EFS – Encrypting File System

“A segurança é tão forte quanto o seu elo mais fraco”.

EFS (Encrypting File System) é uma tecnologia de criptografia de dados da Microsoft presente nos sistemas operativos Windows 2000 ou superior que permite assegurar a segurança de ficheiros e pastas do sistema contra acessos indevidos.

 

Através de algoritmos matemáticos, que são a base de qualquer tecnologia de criptografia, o EFS permite implementar um nível de segurança virtualmente inquebrável, sem recurso a software de outros fabricantes. O EFS está implementado de forma nativa no Sistema Operativo, não sendo portanto instalar nem activar nenhum componente.

 

Para a activação do EFS é necessário cumprir alguns requisitos base. O sistema de ficheiros tem de ser obrigatoriamente NTFS, e a edição do sistema operativo que estamos a utilizar tem que suportar o EFS. Normalmente as edições domesticas não têm essa funcionalidade, como o caso do XP Home. Apenas o XP Profissional, e o Vista Business ou Ultimate suportam esta funcionalidade, embora as restantes edições do Vista também o suportem, de forma menos directa.

Após activar o EFS numa pasta, automaticamente será criado um certificado digital, que por sua vez ficará associado ao utilizador do Windows que activou o EFS. Dando o exemplo , em XP Profissional, para activar o EFS numa pasta, basta aceder às propriedades da mesma, e no separador Geral clicar em Avançadas. Posteriormente, na janela Atributos avançados basta activar a última opção.

Neste momento todos os ficheiros da respectiva pasta serão automaticamente encriptados e desencriptados de forma transparente para o utilizador. Caso a pasta que queiramos encriptar já contenha outras pastas  ou ficheiros, ser-nos-à perguntado se queremos apenas encriptar a pasta onde estamos a activar o EFS, ou as pastas, subpastas e ficheiros já existentes. O Windows Explorer  mostrará agora a cor verde todo o conteúdo da pasta. Este processo pode também ser aplicado individualmente a um ficheiro, acedendo às propriedades do mesmo.

Foi criado automaticamente um certificado EFS cuja função é permitir encriptar/desencriptar os nossos dados. Podemos verificar no snap-in de certificados. Iniciar > Executar > escrever “certmgr.msc”.

Na pasta Pessoal temos agora um novo certificado. Podemos verificar na coluna “Objectivos a que se destina” que a sua função é controlar o sistema de encriptação de ficheiros.

 

Processo de Exportação

Agora o passo mais importante de todo este processo, e sem o qual podemos ser vitimas do nosso próprio sistema de segurança: Criar uma cópia de segurança deste certificado e guarda-la em lugar restrito e seguro. Tudo passa a depender deste certificado, daí a sua importância, já que a falta dele leva à perda perda irreversível dos dados.

Clicando com o botão direito em cima do certificado, em “Todas as tarefas”, temos agora hipótese de o exportar. Não executar este procedimento nesta fase pode levar a que apenas se lembre de o fazer quando realmente precisar de o repor, daí o Windows Vista ter um alerta constante, para efectuar a cópia de segurança.

No assistente de exportação, fazer Seguinte.

Aqui, escolher exportar a chave privada.

Manter todas as opções apresentadas.

Aqui temos de definir uma palavra passe que nos vai ser pedida no caso de haver necessidade de fazer a importação deste certificado. Por exemplo, no caso de reinstalar o sistema operativo.

Agora é só definir o nome do ficheiro e a sua localização. Como é obvio só tem lógica guardar este certificado fora do computador, como num CD, DVD, ou numa pendrive, e por fim guardar o mesmo num local seguro. É boa prática manter mais do que uma cópia do mesmo em dois locais diferentes. Escusado será dizer que ter o certificado para reposição e não se lembrar da password deita todo o processo por “água abaixo”.

 

 

Processo de Importação

Será necessário efectuar a importação do certificado no caso de transportar dados encriptados para um outro computador onde o nosso certificado EFS não existe, no caso de reinstalar o sistema operativo, ou no caso de existir algum problema em que sejamos forçados  a tal.

O processo de importação consiste em executar o certificado, de modo a iniciar o assistente de importação:

Basta confirmar a localização do mesmo, e fazer seguinte.

 

Aqui é pedida a password que foi definida na exportação. Neste passo podemos também marcar este certificado como exportável. Caso não o façamos deixamos de o poder exportar.

Aqui podemos definir em que pasta do arquivo de certificados ele será armazenado. Por defeito ele irá para a pasta “Pessoal”.

Concluir.

 

 

Neste momento apenas o utilizador proprietário da chave de encriptação terá acesso aos dados. Partilhar a pasta para outros utilizadores da rede, aceder ao Windows com outro utilizador, ligar o disco rígido num outro computador, ou formatar e reinstalar  o sistema operativo, numa tentativa de aceder aos dados, resultará numa mensagem de acesso negado por falta permissões.

Ainda que encriptados, os nomes das pastas e ficheiros ficaram visíveis a todos.

 

A única maneira que terá para aceder aos dados é mesmo fazer logon com o seu nome de utilizador e password. Aqui reside também outro ponto muito importante que é colocar uma password forte, de acesso ao Windows. Sem isso o EFS não pode impedir que alguém que tenha acesso ao computador possa abrir os ficheiros. O EFS não tem forma de saber quem está a aceder os dados.

 

Existem ainda outras formas de complementar o EFS como SmartCard’s ou Tokens que permitem uma autenticação forte, já que depende agora de dois factores. O que o utilizador sabe (a password) e o que ele tem (Token ou smartcard). Entre as várias funções que estes dispositivos podem ter, está o facto de poderem armazenar certificados digitais, como um certificado EFS, ou um certificado de acesso a um sistema de E-banking.

Desta forma o certificado deixaria de estar “fisicamente” instalado no Windows, para estar dentro do dispositivo. Para o EFS, por exemplo seria possível configurar o sistema de modo a que o Windows necessite que o utilizador introduza o smartcard/token  cada vez que tentamos abrir um ficheiro encriptado.

Este tipo de tecnologia é utilizada quase em exclusivo em grandes organizações , como bancos, seguradoras, governo, já que tem custos elevados e processos de implementação complexos.

Para efeitos de demonstração, os fabricantes, desta tecnologia, como a Aladdin, costumam disponibilizar unidades de demonstração, totalmente funcionais que permitem testar as potencialidades dos seus produtos.

 

 

Em forma de conclusão o EFS permite acrescentar alguma segurança aos nossos dados mais sensíveis.  O facto de ter uma password no Windows por si só não garante quase segurança nenhuma já que a mesma pode ser ultrapassada em pouco tempo, se for uma password simples como “123456”. Se a password for mais elaborada como “1Q2W3E##@@!!” poderá levar mais tempo, mas também pode ser descoberta ou alterada, daí que será muito mais fácil instalar fisicamente o disco rígido em outro computador e aceder a todos os dados. É precisamente aqui que entra o EFS, já que embora se possa ver os nomes dos ficheiros, não será possível abrir os mesmos sem o certificado instalado. Sem o EFS activo, o acesso seria directo. Outra situação em que pode ser útil é no caso de ter uma pasta partilhada, mas não pretender que um ficheiro ou uma pasta possam ser abertos por outros utilizadores da rede. No transporte de dados em pendrives, desde que formatadas em NTFS, pode também ser útil activar numa determinada pasta, o EFS.

Como alternativa, existe outras aplicações mais versáteis, como o TrueCrypt que permite um sem número de outras funcionalidades. Com o TrueCrypt é possível por exemplo, encriptar todo o disco, incluindo unidades de sistema. Mais informação aqui.

 

Perguntas e Respostas:

Se a minha unidade não estiver formatada em NTFS posso activar o EFS?

• Terá de converter a unidade para NTFS para poder utilizar o EFS.

 

Que pastas devem ser encriptadas?

• Ainda que o processo de encriptação seja simples de activar, não devem ser encriptadas todas as pastas do disco. Apenas as pastas que contem dados críticos e importantes devem ser encriptadas. Ficheiros de sistema também não podem ser encriptados.

 

Ao copiar os ficheiros para outro local eles mantém-se encriptados?

• Se copiar os ficheiros para um computador ou volume em que o sistema de ficheiros não seja NTFS, os ficheiros serão automaticamente desencriptados.

 

 

Pontos fortes:

• A encriptação é feita com certificados.
• O Vista avisa-nos para fazer backup dos certificados.
• A utilização de SmartCard torna a protecção 100% segura.

 

Pontos fracos:

• Sem utilização de SmartCard o sistema pode ser comprometido. Existe software que tenta efectuar a desencriptação.
• É sempre possível ver o conteúdo das pastas, os nomes dos ficheiros ficam visíveis e podem dar informação sobre o conteúdo destes.
• É um sistema popular, logo mais facilmente levanta suspeitas alguma coisa estar a ser escondida.
• Se o EFS for activado, mas o utilizador não tiver password de acesso ao Windows, o atacante com acesso físico ao computador tem acesso a toda a informação.

 

Sites de Interesse:

Microsoft: http://www.microsoft.com/brasil/security/guidance/smb/protect_data_EFS.mspx

http://windowshelp.microsoft.com/Windows/pt-PT/Help/e895bd18-36e5-4229-8424-dff307b155c22070.mspx

 

Wikipédia:

http://en.wikipedia.org/wiki/Encrypting_File_System

 

 

Gostou deste artigo? Deixe um comentário…