Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar
Este tópico ainda não foi avaliado como - Avalie este tópico

Data Encryption Toolkit for Mobile PCs: Guia de Planejamento e Implementação

Capítulo 3: Operações e cenários de recuperação

Publicado em: 29 de maio de 2007


A constante operação e manutenção de computadores protegidos pelo recurso Criptografia de Unidade de Disco BitLocker™ da Microsoft® (BitLocker) e/ou pelo Sistema de Arquivos com Criptografia (EFS), conforme descrito neste guia, requer que você se prepare para enfrentar várias situações diferentes, algumas delas complexas. Este capítulo descreve algumas situações críticas em que sua organização talvez necessite do seu suporte, como:

  • Recuperação de dados em sistemas protegidos por EFS.

  • Recuperação de dados em sistemas protegidos pelo BitLocker.

Nesta página

Cenários em que é necessária a Criptografia de Unidade de Disco BitLocker
Cenários do EFS (Sistema de Arquivos com Criptografia)
Mais informações

Cenários em que é necessária a Criptografia de Unidade de Disco BitLocker

A recuperação do BitLocker depende totalmente do acesso à senha de recuperação. Portanto, todos os cenários de recuperação partem do pressuposto que a senha de recuperação está disponível. A necessidade de recuperar dados do BitLocker pode resultar de uma das seguintes situações:

  • Instalar a unidade protegida por BitLocker em um novo computador.

  • Migrar a placa-mãe para uma com um novo TPM.

  • Desligar, desabilitar ou limpar o TPM.

  • Atualizar componentes críticos de inicialização que fazem o processo de validação do TPM falhar.

  • Esquecer o PIN após o processo de autenticação do PIN ter sido ativado.

  • Perder a unidade de flash USB Plug and Play que contém a chave de inicialização após a autenticação da chave de inicialização ter sido ativada.

  • Reimplantar computadores desktop ou laptops em outros departamentos ou para outros funcionários da empresa. Esse tipo de reimplantação poderia ocorrer para usuários com certificados de segurança diferentes, o que poderia exigir uma funcionalidade de recuperação de dados nos seus respectivos computadores para que pudessem ser aprovados para uso em um novo nível de segurança.

  • Reatribuir tarefas para os desktops em uso. Por exemplo, um administrador de TI talvez precise reinstalar o sistema operacional remotamente sem perder os dados protegidos.

O BitLocker criptografa todo o volume do sistema operacional e ele só pode ser descriptografado depois que a chave do volume for desbloqueada. Se o volume não puder ser desbloqueado, o processo de inicialização será interrompido antes que o sistema operacional possa ser iniciado. Nesta fase do processo de inicialização, você precisa fornecer a senha de recuperação de uma unidade flash USB ou usar as teclas de função para inserir a senha de recuperação. (As teclas F1 a F9 representam os dígitos 1 a 9, e a tecla F10 representa 0.)

Cc162802.note(pt-br,TechNet.10).gif Observação:

Como a recuperação ocorre nos primeiros estágios do processo de inicialização, os recursos de acessibilidade do Microsoft Windows® (como as exibições em alto contraste e leitores de tela) não estão disponíveis. Se você precisa desses recursos de acessibilidade, veja as formas de estabelecer procedimentos de recuperação alternativos para os usuários que dependem desses recursos.

Métodos de recuperação e problemas do BitLocker

A recuperação o BitLocker requer o acesso a uma senha de recuperação do BitLocker que é exclusiva do computador onde foi criada. Você pode salvar a chave em um papel, em um dispositivo de inicialização USB no serviço de diretório do Active Directory® ou em um arquivo na rede. Contudo, o acesso a essa chave concede ao portador a capacidade de desbloquear um volume protegido pelo BitLocker e ler todos os dados nele contidos. Por esse motivo, é vital que sua organização estabeleça procedimentos para controlar o acesso a senhas de recuperação e ter a certeza de que elas estejam armazenadas com segurança, separadas dos computadores que elas protegem.

Métodos de desbloqueio

Existem três formas diferentes de desbloquear um disco criptografado pelo BitLocker:

  • O console de recuperação do BitLocker, executado antes das inicializações do Windows Vista™, foi projetado para ajudar os usuários a desbloquear o volume de um sistema operacional criptografado pelo BitLocker.

  • O assistente de recuperação do painel de controle do BitLocker foi projetado para ajudar os usuários a desbloquear um volume de dados criptografado pelo BitLocker (um volume que não seja do sistema operacional, um volume de sistema operacional alternativo no mesmo computador ou um volume de sistema operacional de outro computador).

  • O Windows Vista Recovery Environment (WinRE) contém um assistente que pode ser usado para desbloquear volumes de dados ou sistema operacional protegidos pelo BitLocker. O WinRE está disponível a partir de um DVD do Windows Vista ou dentro de uma partição de recuperação disponível em certos fabricantes de computador.

Em todos os casos, você pode usar a senha de recuperação de 48 dígitos para desbloquear o acesso à unidade criptografada. Essa senha é capaz de recuperar informações criptografadas pelo BitLocker independentemente do método de proteção utilizado (TPM, TPM com PIN, TPM com chave inicialização etc). Esse recurso preserva a capacidade do BitLocker de recuperar as informações criptografadas. Por exemplo, se o PIN for perdido, os usuários podem reobter o acesso à unidade criptografada inserindo a senha de recuperação.

Durante a recuperação, o console de recuperação do BitLocker exibe duas informações:

  • O rótulo da unidade. Essa informação é definida em uma seqüência de caracteres de três partes, composta pelo nome do computador, nome do volume do disco e data de geração da senha (por exemplo, CATAPULT OS 15/01/07).

  • A ID da senha. Essa informação é definida em uma seqüência de caracteres hexadecimal de 32 dígitos, que identifica com exclusividade cada senha de recuperação do BitLocker (por exemplo, 4269744C-6F63-6B65-7220-697320537570).

Os usuários e profissionais de suporte podem usar esses identificadores para garantir estarem fornecendo a senha de recuperação correta. Eles são especialmente úteis quando a senha é recuperada do Active Directory.

Recuperação iniciada pelo usuário

Os usuários podem recuperar seus próprios dados usando uma senha de recuperação. Contudo, eles precisam conhecer ou ter acesso a essa senha em uma unidade flash USB ou em outro formato acessível. Após obterem acesso à senha correta, eles podem usar tanto o console de recuperação de pré-inicialização ou as ferramentas do WinRE para desbloquear o volume e retomar as operações.

Recuperação assistida pelo Suporte Técnico

Ao planejar o processo de recuperação do BitLocker, o primeiro passo é consultar as práticas recomendadas atuais da sua empresa para a recuperação de informações confidenciais. Por exemplo, como sua empresa lida com a perda de senhas do Windows? Quais procedimentos sua empresa usa para lidar com pedidos de renovação de PIN de cartão inteligente? Use essas práticas recomendadas e recursos relacionados (tanto na forma de pessoas como ferramentas) para ajudá-lo a formular um modelo de recuperação do BitLocker.

Preparando para a recuperação

Antes de completar sua implantação do BitLocker, você deve se preparar para poder atender às solicitações de recuperação em tempo hábil.

Comece examinando o guia sobre como configurar o Active Directory para fazer backup de informações de recuperação da Criptografia de Unidade de Disco BitLocker do Windows e do TPM (pode estar em inglês), que descreve como usar o Active Directory para armazenar informações de recuperação. Este documento contém diversas ferramentas e scripts que podem ser úteis para estabelecer suas operações de recuperação.

A Microsoft desenvolveu a ferramenta BitLocker Recovery Password Viewer (uma extensão do snap-in Usuários e Computadores do Active Directory do MMC) para fornecer um meio de ver as informações de recuperação do BitLocker como propriedade de um objeto computador. Esse recurso torna as informações de recuperação mais facilmente acessíveis à equipe do Suporte Técnico. Você deve examinar atentamente suas diretivas operacionais e delegações de permissões do Active Directory para ter a certeza de estar restringindo o acesso a informações de recuperação somente aos membros do suporte que precisam de acesso.

Para adquirir o BitLocker Recovery Password Viewer, consulte as instruções do artigo 928202 (em inglês) da Microsoft Knowledge Base, sobre como usar a ferramenta BitLocker Recovery Password Viewer para usuários e computadores do Active Directory para ver senhas de recuperação para o Windows Vista. Após adquirir a ferramenta, instale-a de acordo com as instruções do artigo da Knowledge Base. Você precisará usar uma conta com permissão de Administrador Corporativo na primeira vez que instalar a ferramenta em um domínio, porém as instalações subseqüentes só exigirão que a conta da instalação tenha privilégios de Administrador local no computador onde a ferramenta for instalada.

Cc162802.note(pt-br,TechNet.10).gif Observação:

A Microsoft recomenda que você estabeleça uma diretiva de identificação de usuário para verificar quais computadores da empresa pertencem a quais usuários, antes de emitir quaisquer senhas de recuperação.

Executando uma recuperação

Os técnicos do Suporte podem usar os procedimentos de recuperação a seguir.

Para realizar com êxito uma recuperação

  1. Obtenha o nome do computador do usuário. Se o usuário não souber o nome do computador, você pode fazer a derivação a partir da seqüência de caracteres do rótulo da unidade (se o nome do computador não tiver sido alterado).

  2. Verifique a identidade do usuário utilizando um mecanismo de autenticação apropriado.

  3. Recupere a senha de recuperação BitLocker do objeto computador no Active Directory. Você pode fazer isso com o script Get-BitLockerRecoveryInfo.vbs, incluído no guia sobre como configurar o Active Directory para fazer backup de informações de recuperação da Criptografia de Unidade de Disco BitLocker do Windows e do TPM (pode estar em inglês). Opcionalmente, você pode usar o BitLocker Recovery Password Viewer (se instalado) seguindo estes passos:

    1. Abra o snap-in Usuários e Computadores do Active Directory.

    2. No snap-in Usuários e Computadores do Active Directory, localize e clique no recipiente onde se encontra o computador. Por exemplo, clique no recipiente Computadores.

    3. Clique com o botão direito do mouse no objeto computador e selecione Propriedades.

    4. Na caixa de diálogo Propriedades, clique na guia Recuperação do BitLocker para ver as senhas de recuperação do BitLocker associadas àquele computador específico.

  4. Se o nome do computador não estiver disponível, você poderá recuperar a senha usando a ID de senha inserida quando o script Get-BitLockerRecoveryInfoByID.vbs foi executado, ou pode usar o BitLocker Recovery Password Viewer:

    1. Em Usuários e Computadores do Active Directory, clique com o botão direito do mouse no recipiente do domínio e escolha Encontrar Senha de Recuperação do BitLocker.

    2. Na caixa de diálogo Encontrar Senha de Recuperação do BitLocker, digite os primeiros oito caracteres da senha de recuperação na caixa ID da Senha (primeiros 8 caracteres) e clique em Pesquisar.

  5. Forneça a senha de recuperação ao usuário. A senha será solicitada toda vez que o computador for reinicializado, a menos que seja fornecida uma chave de inicialização ou PIN ou que o usuário desative o BitLocker.

  6. Se o usuário não esquecer nem perder o PIN ou chave de inicialização, realize um exame no sistema para determinar o que causou a recuperação. É importante identificar problemas com o TPM, arquivos de inicialização ou outros tópicos que exijam recuperação para garantir que estejam sendo devidamente controlados e que não afetem outros sistemas.

Após identificada a causa raiz que forçou a recuperação, a Microsoft recomenda reiniciar a proteção do BitLocker na unidade. Escolha um dos seguintes métodos, de acordo com a causa da recuperação:

  • Redefina a senha de recuperação. Este método cria uma nova senha de recuperação e invalida todas as senhas anteriores.

  • Redefina o PIN ou chave de inicialização USB. Este método substitui um PIN ou chave de inicialização USB perdida. O link Gerenciar Chaves, no painel de controle da Criptografia de Unidade de Disco BitLocker, permite que você redefina um PIN perdido ou duplique uma chave de inicialização USB.

  • Redefina as medidas de validação do TPM. Este método renova o instantâneo utilizado pelo TPM para validar arquivos de inicialização. Redefina as medidas de TPM somente se souber por que o processo de validação falhou, e se tiver determinado que essa falha é benigna (por exemplo, uma atualização do BIOS feita por um usuário conhecido). Do contrário, considere a hipótese de estabilizar e recriar o computador.

Usando a BitLocker Repair Tool

A BitLocker Repair Tool (disponível no artigo 928201 (em inglês) da Microsoft Knowledge Base sobre como usar a BitLocker Repair Tool para ajudar a recuperar dados de um volume criptografado no Windows Vista pode ajudar a acessar dados criptografados se o disco rígido tiver sido seriamente danificado. Essa ferramenta pode reconstruir partes críticas da unidade e salvar dados recuperáveis. É necessária uma senha de recuperação ou um pacote de chaves de recuperação para descriptografar os dados. A ferramenta foi projetada para ser usada nos casos em que o Windows Vista não possa ser iniciado ou que o console de recuperação do BitLocker não esteja disponível. Se você fornecer a senha de recuperação, a ferramenta tentará ler a chave de criptografia específica do volume a partir do volume. Se a chave específica do volume for danificada ou estiver ilegível, você talvez precise usar o pacote de chaves de recuperação diretamente. A ferramenta essencialmente utiliza a senha de recuperação ou pacote de chaves que você fornecer para permitir que você monte o disco e tente recuperar os dados a partir deste. Observe que a ferramenta de recuperação só será útil se os dados contidos no disco permanecerem legíveis. Se a falha no disco for muito grave a ponto de a ferramenta de recuperação não conseguir ler os dados criptografados, ela não poderá descriptografá-los.

Antes de executar a BitLocker Repair Tool, você precisará do seguinte:

  • O volume criptografado original do BitLocker.

  • Um volume de disco com espaço suficiente para comportar dados do volume criptografado. A Microsoft recomenda o uso de um disco rígido externo para comportar essas informações.

  • Um disco flash USB ou outro dispositivo de armazenamento removível semelhante com as informações de recuperação do BitLocker para o volume danificado.

  • A própria BitLocker Repair Tool.

As instruções completas sobre como executar a BitLocker Repair Tool podem ser encontradas no artigo da Knowledge Base mencionado anteriormente nesta seção.

Cenários do EFS (Sistema de Arquivos com Criptografia)

A recuperação do EFS depende do acesso ao material de chave usado para proteger a chave de criptografia do arquivo (FEK). Esse material poderia ser o certificado EFS do usuário ou um certificado DRA (agente de recuperação de dados). Existem três cenários principais para a recuperação de dados do EFS:

  • O usuário criptografou dados que não deveriam ter sido criptografados. Neste cenário, o modelo de recuperação é simples: desative a criptografia para os itens de dados específicos.

  • Um usuário perdeu o acesso a seu material de chave.

  • A empresa precisa restaurar o acesso aos dados quando o usuário original (ou certificado associado) não estiver disponível para fazê-lo.

Métodos de recuperação e problemas do EFS

Se a chave particular de descriptografia do EFS de um usuário for perdida ou danificada, ele não conseguirá acessar arquivos protegidos por EFS até que a chave de descriptografia seja recuperada. Esta seção fornece informações sobre vários cenários de recuperação do EFS que dependem do método original de recuperação que foi planejado e implantado.

Importando chaves EFS

Se um usuário perder sua chave particular de descriptografia do EFS, o método de recuperação mais simples é importar seu certificado digital EFS (e chave particular) a partir de um backup bom e seguro. Em capítulos anteriores, foram descritos vários métodos de backup de chaves EFS.

Cc162802.note(pt-br,TechNet.10).gif Observação:

Para uma recuperação bem-sucedida, o backup da chave EFS do usuário devem incluir sua chave particular de criptografia do EFS. Além disso, o usuário deve lembrar sua senha de proteção, estabelecida durante a exportação da chave.

Para reimportar uma chave EFS previamente exportada

  1. Faça o logon no Windows usando a conta do usuário que precisa importar sua chave EFS.

  2. Permita que o usuário acesse uma cópia do seu respectivo certificado EFS digital exportado e chave particular. O nome do arquivo exportado deve ter a extensão .pfx.

  3. Clique duas vezes no arquivo EFS exportado.

  4. Na caixa de diálogo Assistente para importação de certificados, clique em Avançar.

  5. Se necessário, digite o local e nome do certificado EFS digital e clique em Avançar.

  6. Digite a senha de proteção que foi estabelecida durante a exportação do certificado EFS e clique em Avançar.

    Cc162802.3e3b1988-af31-480c-aae0-d594a200773b(pt-br,TechNet.10).gif

    Figura 3.1. Prompt para senha de certificado no Assistente para Importação de Certificados

  7. Para permitir que o Assistente para Importação de Certificados importe o certificado EFS no armazenamento padrão correto, marque o botão de opção Selecionar automaticamente o armazenamento de certificados conforme o tipo de certificado e clique em Avançar.

    Cc162802.8933a7be-a729-4e88-9c80-c73c134f21d6(pt-br,TechNet.10).gif

    Figura 3.2. Prompt para local de armazenamento de certificado no Assistente para Importação de Certificados

  8. Na tela final, clique em Concluir.

O usuário deverá agora tentar acessar o arquivo anteriormente protegido por EFS. Se for bem-sucedido, a chave EFS de backup do usuário deverá ser substituída no seu local original seguro. Todas as cópias que tiverem sido feitas deverão ser excluídas, e a Lixeira deverá ser esvaziada.

Usando os DRAs

Um outro cenário comum de recuperação do EFS é o uso de um agente de recuperação de dados (DRA). Se você configurar o DRA corretamente antes que um arquivo seja criptografado, o DRA será automaticamente usado com o arquivo em questão. Você também pode adicionar DRAs a arquivos já existentes após sua criptografia inicial.

Para usar um agente de recuperação de dados

  1. Faça o logon no Windows usando a conta de usuário do DRA. É necessário usar um computador capaz de acessar os arquivos a serem recuperados.

    Cc162802.note(pt-br,TechNet.10).gif Observação:

    Um DRA pode importar seu certificado digital DRA do EFS se este ainda não estiver instalado, utilizando as instruções na seção anterior.

  2. Acesse o local dos arquivos ou pastas a serem recuperados.

  3. Remova o atributo EFS desses arquivos ou pastas usando o Windows Explorer ou o comando Cipher.exe /D.

  4. Faça o logoff e deixe o usuário originariamente afetado fazer o logon.

  5. O usuário pode, então, reativar a proteção do EFS nos arquivos, se desejar. O Windows irá gerar outra vez um certificado EFS, se necessário.

Recuperando chaves arquivadas

Se o certificado EFS digital e chave particular de um usuário forem arquivados por uma autoridade de certificação participante, um cenário de recuperação de chave é apropriado. Esta seção aborda a recuperação de chave EFS usando os Serviços de Certificados do Windows Server® 2003.

Cc162802.note(pt-br,TechNet.10).gif Observação:

Para que a recuperação de chave esteja disponível, o modelo de certificado EFS usado para criar o certificado digital EFS e para criptografar arquivos e pastas deve ser configurado para o arquivamento de chave.

A recuperação de chave envolve três etapas básicas:

  1. O gerenciador de certificados dos Serviços de Certificado recupera o certificado digital EFS do usuário no armazenamento de chave.

  2. O gerenciador de certificados descriptografa a chave particular do usuário e, então, armazena-a em um arquivo PFX.

  3. O usuário importa o arquivo PFX, que readiciona seu respectivo certificado digital EFS e chave particular ao armazenamento de certificado, no computador local do usuário.

O processo de recuperação é simples, mas exige duas etapas intermediárias: identificar o número de série do certificado digital EFS do usuário e recuperar o certificado propriamente dito.

Identificando o número de série do certificado digital EFS do usuário

O primeiro passo da recuperação de chave é identificar o número de série do certificado digital EFS do usuário. Os Serviços de certificados exigem esse número de série para determinar qual certificado deve ser recuperado do arquivamento.

Para identificar o número de série do certificado de um usuário individual

  1. Faça o logon no Windows com uma conta de usuário que tenha permissão para gerenciar Serviços de certificados.

  2. Abra o console da Autoridade de Certificação e conecte-se a um servidor autorizado de Serviços de certificados.

  3. Expanda o nó Autoridade de Certificação e clique no nó Certificados emitidos.

  4. No menu Exibir, clique em Adicionar/remover colunas.

  5. Na caixa de diálogo Adicionar/remover colunas, na lista Coluna disponível, clique em Chave arquivada e depois em Adicionar.

  6. Use os botões Mover para cima ou Mover para baixo para mover o campo Chave arquivada para cima ou para baixo na lista de colunas, para facilitar encontrar a chave, e clique em OK.

  7. O campo Chave arquivada deverá agora aparecer na lista de colunas exibidas e indicar quais chaves encontram-se arquivadas.

  8. Encontre o certificado digital EFS correto. Veja se ele é o certificado EFS mais atual emitido e arquivado. Anote o número de série do certificado (é necessário para a recuperação).

  9. Feche o console da Autoridade de Certificação.

Recuperando o certificado EFS e chave de um usuário

Quando você tiver o número de série do certificado do usuário, poderá recuperar o certificado em si, bem como material de chave associado do servidor de Serviços de certificados. Para isso, é necessário usar o comando Certutil para consultar a Autoridade de Certificação e recuperar um arquivo PKCS #7, que contém o(s) certificado(s) do KRA (agente de recuperação de chaves) e o certificado do usuário com toda a cadeia de confiança do certificado. O conteúdo interno é uma estrutura criptografada PKCS #7, que contém a chave particular (criptografada pelos certificados KRA).

Para descriptografar o arquivo de saída PKCS #7 criptografado, o usuário conectado deve ser um KRA ou ter a chave particular de um ou mais KRAs para o arquivo de saída criptografado em questão. Se o usuário que estiver recuperando a chave do armazenamento de certificados não for um KRA, ele deverá transferir o arquivo de saída criptografado para um outro usuário que tenha uma chave particular KRA para continuar o processamento.

Para armazenar chaves particulares e de certificado de um usuário

  1. Faça o logon no Windows com uma conta de usuário que tenha permissão para gerenciar Serviços de certificados.

  2. Abra uma janela prompt de comando. No prompt de comando, digite

    Certutil -getkey <número> <nome>

    onde número corresponde ao número de série do certificado a ser recuperado, e nome é nome do arquivo de saída onde você deseja armazenar o certificado.

    Esse comando tenta realizar a recuperação a partir de qualquer Autoridade de Certificação corporativa disponível na floresta. Se uma Autoridade de Certificação específica for usada como alvo em vez de todas as Autoridades de Certificação corporativas na floresta, utilize a seguinte sintaxe:

    Certutil -config <nome do computador\nome da autoridade de certificação> -getkey <número> <nome>

  3. No prompt de comando, digite o seguinte comando:

    Certutil -recoverkey <nome do arquivo> <nomedoarquivo.pfx> –p  <senha>

    onde nome do arquivo é o arquivo de saída criptografado criado na etapa anterior, nomedoarquivo.pfx é o nome do novo arquivo de saída para a chave particular EFS do usuário no formato PKCS #12 e senha é a senha do arquivo nomedoarquivo.pfx resultante.

  4. Insira e confirme uma senha segura para o arquivo, quando solicitado.

  5. Forneça a senha ao usuário através de um mecanismo seguro, separado do arquivo em si, para garantir alto nível de segurança no processo de recuperação.

  6. Entregue o arquivo PFX ao usuário através de um mecanismo de entrega segura.

  7. Forneça ao usuário as instruções obtidas na seção "Importando chaves EFS", apresentada anteriormente neste capítulo.

Restaurando dados com o uso de um agente de recuperação offline

Quando é preciso recuperar dados e são usados agentes de recuperação offline, você deve restaurar o certificado do agente de recuperação offline antes de executar a recuperação. Esse é um processo simples e pode ser realizado em etapas individuais, conforme descrito em detalhes mais tarde neste guia:

  1. Use o snap-in Usuários e Computadores do Active Directory do MMC para ativar a conta de usuário do Active Directory usada pelo agente de recuperação, de modo que ela possa ser usada para fazer logon no computador de recuperação.

  2. Use a conta de usuário do agente de recuperação para fazer logon no computador em que o evento de recuperação ocorrerá.

  3. Importe o certificado digital e a chave particular do agente de recuperação.

  4. Recupere os arquivos e pastas necessários.

  5. Remova ou exporte novamente o certificado digital e a chave particular do agente de recuperação. Se você exportar novamente o certificado e a chave, remova-os da rede e armazene a versão exportada com segurança.

  6. Desative a conta de usuário de recuperação.

Migrar para um computador novo

Os usuários geralmente migram seus ambientes de trabalho de um computador para outro. Essas migrações ocorrem por vários motivos, como substituição de hardware, atualizações nos computadores ou mudança de cargo. Devem ser seguidas etapas especiais ao migrar dados de usuário de um computador para outro para garantir o acesso ininterrupto aos dados protegidos pelo EFS. O processo básico requer que sejam completadas as seguintes tarefas:

  • Migrar os certificados EFS e seu respectivo material de chave associado do computador velho para o novo.

  • Criar certificados DRA, se desejar.

  • Migrar os arquivos criptografados e outros dados de usuário para o novo computador.

  • Testar os arquivos criptografados para verificar se eles podem ser abertos.

Migrar os certificados EFS

Migrar os certificados EFS é uma etapa necessária ao deslocar dados de usuário de um computador para outro. O método usado para fazer isso irá depender do sistema operacional Windows que você estiver usando.

Migrando para o Windows Vista

Você pode usar a ferramenta USMT (Microsoft User State Migration Tool) versão 3.0 para migrar automaticamente certificados EFS de computadores Windows XP para computadores operando em Windows Vista. Contudo, por padrão a USMT falha se encontrar um arquivo criptografado (a menos que você use a opção /efs). Portanto, é necessário usar o sinalizador /efs:copyraw com a ferramenta USMT para migrar os arquivos criptografados. Quando você, então, executar a ferramenta USMT no computador de destino, o arquivo criptografado e o certificado EFS irão migrar automaticamente. Você também pode usar os métodos manuais descritos na próxima seção para mover os dados do EFS do Windows XP para o Windows Vista.

Migrando para o Windows XP

Para migrar arquivos criptografados para computadores que operam em Windows XP, você precisa também migrar o certificado EFS. Ao migrar certificados usando a ferramenta USMT, são necessárias algumas entradas feitas pelo usuário antes e depois da migração.

Você pode migrar certificados EFS das seguintes maneiras:

  • Usando a ferramenta Cipher.exe.

  • Usando o snap-in de certificados do MMC.

Usando a ferramenta Cipher.exe para migrar certificados EFS

Você pode usar o comando Cipher.exe para exportar o certificado EFS do usuário (conforme descrito na seção "Recuperação de problemas com o EFS" deste capítulo) e depois importar o arquivo PFX resultante para o novo computador.

Para migrar um certificado de usuário com Cipher.exe

  1. Faça o logon como o usuário proprietário do certificado.

  2. Abra um prompt de comando e digite Cipher /x: <arquivoefs>   <nomedoarquivo> onde nomedoarquivo é o nome do arquivo sem a extensão, e arquivoefs é o caminho para um arquivo criptografado. Em seguida, pressione ENTER.

    Se arquivoefs> for fornecido, será feito o backup do certificado de usuário atual usado para criptografar o arquivo. Do contrário, será feito backup do certificado EFS e chaves atuais do usuário. Cipher.exe irá criar um arquivo .pfx protegido por senha onde quer que você especifique. Para obter informações adicionais sobre o comando Cipher.exe, digite cipher /?.

    Cc162802.note(pt-br,TechNet.10).gif Observação:

    Há duas questões importantes sobre segurança neste processo. Primeiro, o arquivo PFX precisa ser armazenado em um local que será acessível no computador de destino (por exemplo, uma pasta compartilhada ou mídia removível). Segundo, o arquivo não deve ser armazenado no mesmo local que os arquivos protegidos por EFS.

Depois que o arquivo é exportado, o usuário pode importá-lo para o novo computador usando o seguinte procedimento Para importar o certificado para o novo computador.

Usando o snap-in Certificados para migrar certificados EFS

Para exportar um certificado do usuário com o snap-in Certificados

  1. Instrua o usuário proprietário do certificado a fazer logon no computador de origem.

  2. Abra o Console de gerenciamento Microsoft (MMC). Para isso, clique em Iniciar, Executar, digite mmc e pressione ENTER.

  3. No menu Arquivo, clique em Adicionar/remover snap-in.

  4. Na caixa de diálogo Adicionar/Remover Snap-in, clique em Adicionar.

  5. Na lista resultante, selecione Certificados, clique em Adicionar e selecione Minha conta de usuário.

  6. Clique em Concluir, Fechar e, em seguida, clique em OK.

  7. Navegue até Certificados - usuário atual\Pessoal\Certificados.

  8. Clique com o botão direito do mouse no certificado que você deseja migrar.

  9. Clique em Todas as tarefas e, em seguida, clique em Exportar.

  10. O assistente para Exportação de Certificados irá ajudá-lo a armazenar o certificado em um local que seja acessível pelo computador de destino — por exemplo, um disquete ou uma pasta compartilhada. Quando solicitado, informe que você deseja exportar a chave particular juntamente com o certificado.

    Após a conclusão do processo, será exibida uma mensagem indicando que a exportação foi bem-sucedida.

Para importar o certificado para o novo computador

  1. Instrua o usuário proprietário do certificado a fazer logon no novo computador.

  2. Abra o MMC conforme descrito no procedimento anterior.

  3. No menu Arquivo, clique em Adicionar/remover snap-in.

  4. Na caixa de diálogo Adicionar/Remover Snap-in, clique em Adicionar.

  5. Na lista resultante, selecione Certificados, clique em Adicionar e selecione Minha conta de usuário.

  6. Clique em Concluir, Fechar e, em seguida, clique em OK.

  7. Navegue até Certificados - usuário atual\Pessoal.

  8. Clique com o botão direito do mouse em Pessoal.

  9. Clique em Todas as tarefas e, em seguida, clique em Importar.

  10. Use o Assistente para Importação de Certificados para localizar o certificado que você exportou. Ao navegar em busca do certificado, selecione Personal Information Exchange (*.pfx; *.p12) na caixa de lista suspensa Arquivos do tipo. Você precisará informar a senha fornecida quando você exportou o certificado do computador de destino.

    Após a conclusão do processo, será exibida uma mensagem indicando que a importação foi bem-sucedida.

Criar certificados DRA

Como parte da migração, você talvez queira seguir as instruções fornecidas no Capítulo 2: Tarefas de configuração e implantação para garantir que o novo computador (e todos os certificados associados) tem o conjunto correto de certificados DRA associado a ele.

Migrar os arquivos criptografados para o novo computador.

Após exportar o certificado, você pode prosseguir e mover outros dados de usuário, como arquivos, para o novo computador.

Se usar uma ferramenta USMT para mover os dados criptografados de um computador para outro, você precisará especificar o sinalizador /efs:copyraw para permitir que a USMT leia todo o fluxo de dados criptografados dos arquivos de origem. Se não especificar esse sinalizador ou se usar outras ferramentas (como xcopy ou robocopy) para mover os arquivos, eles serão descriptografados pelo computador de origem antes de serem copiados.

Testar os arquivos migrados

Depois de terminar de mover os certificados e arquivos para o novo computador, você deve confirmar se a migração ocorreu corretamente, testando duas coisas:

  • Se a conta do usuário proprietário dos arquivos pode abri-los.

  • Se os arquivos permanecem criptografados (para isso, verifique seus atributos no Windows Explorer). Os ícones de arquivos criptografados aparecerão em verde; você também pode usar a caixa de diálogo Propriedades do arquivo para verificar se o atributo Criptografado está ativado.

Atualizar os certificados DRA

Você precisará atualizar os certificados DRA nas seguintes circunstâncias:

  • Sua organização está migrando de DRAs locais para uma infra-estrutura de DRA centralizadamente gerenciado.

  • Você precisa atualizar uma diretiva de DRA centralizadamente gerenciado porque os certificados DRA existentes expiraram (ou estão prestes a expirar).

  • Você precisa atualizar uma diretiva de DRA centralizadamente gerenciado porque o material de chave de DRA existente foi perdido, colocado em local incorreto ou violado.

Considerações sobre a atualização de certificados DRA

Para atualizar os certificados DRA, você precisa primeiro solicitar ou criar um ou mais pares de chaves e certificados DRA novos. Dependendo do seu ambiente, você pode realizar essa tarefa de uma das seguintes maneiras:

  • Use a instrução /R com Cipher.exe.

  • Use a Web ou interfaces programáticas oferecidas pelos Serviços de certificados Microsoft.

  • Use o mecanismo de solicitação da sua Autoridade de Certificação de terceiros.

A solicitação deve usar um modelo de DRA apropriado para que o certificado emitido seja utilizável como DRA.

Após solicitar e obter o(s) novo(s) certificado(s) DRA, você deverá vinculá-los a uma Diretiva de Grupo apropriada, que se aplique a todos os computadores cujas informações de DRA você deseje atualizar. Certifique-se de que o objeto de Diretiva de Grupo usado se aplica corretamente a novos certificados DRA em várias unidades organizacionais, domínios do Active Directory e florestas do Active Directory. Por padrão, você deve estar capacitado a usar o GPO Diretiva de Domínio Padrão do Active Directory como base para distribuir as novas informações do DRA.

Após atribuir os novos certificados DRA ao GPO, você poderá excluir os certificados existentes. Contudo, ao fazer isso, você perderá a capacidade de recuperar arquivos criados com o certificado DRA existente. Antes de excluir qualquer certificado DRA, certifique-se de ter uma cópia utilizável que irá permitir que você recupere arquivos criptografados.

As mudanças no DRA não entram em vigor em computadores isolados até que esses computadores atualizem as configurações das Diretivas de Grupo. Você pode aguardar a próxima atualização de diretiva de segurança (que ocorre a cada 90 minutos por padrão) ou pode executar o comando gpupdate /force nos computadores afetados, ou reinicializá-los.

Você deve também arquivar os pares de chaves e certificado(s) DRA para maior segurança da chave particular. Após fazer isso, você deve excluir o par de chaves e o certificado do local armazenamento de certificados do usuário; faça isso para qualquer usuário que tenha importado o certificado e o par de chaves. Ao fazer isso, lembre-se de marcar a caixa de seleção Excluir a chave particular se a exportação tiver êxito, no assistente de exportação.

Depois que as informações do DRA forem atualizadas, você poderá prosseguir e atualizar os arquivos protegidos por EFS nos computadores de destino, conforme descrito na próxima seção.

Atualizar arquivos para novo DRA ou certificados de usuário

Depois de alterar ou atualizar os DRAs usados na organização, você deve atualizar todos os arquivos que eram protegidos pelo DRA anterior. Você pode fazer isso manualmente, abrindo e salvando cada arquivo isolado, porém este método é demorado e passível de erro. Você também pode usar a instrução /U com o comando Cipher.exe, que irá atravessar o disco local e atualizar as informações do DRA para cada arquivo criptografado que ele encontrar.

Como parte desse processo, talvez seja aconselhável incorporar as seguintes etapas:

  • Capture a saída de Cipher /U para um log de erro e armazene-a em um local centralizado (como um compartilhamento de rede).

  • Avalie a hipótese de usar o sinalizador /I para forçar Cipher.exe a ignorar erros. Se não fizer isso, quando Cipher /U encontrar arquivos bloqueados ou ocupados, ele não será capaz de atualizá-los, e o processo de atualização irá falhar.

  • Você talvez queira criar um script para realizar a atualização em vez de executar Cipher /U na linha de comando. Esse tipo de script pode levar um longo tempo para ser concluído, portanto talvez não seja apropriado executá-lo durante o processo de logon. Contudo, você pode agendá-lo para que seja executado nos computadores dos usuários ou pedir aos usuários que o ativem manualmente no horário mais conveniente.

Mais informações



Neste artigo

Download

Obtenha o Kit de Ferramentas de Criptografia de Dados para PCs Móveis (pode estar em inglês)

Notificações de atualizações

Inscreva-se para obter informações sobre atualizações e novos lançamentos

Comentários

Envie-nos seus comentários e sugestões


Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft. Todos os direitos reservados.