Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Data Encryption Toolkit for Mobile PCs: Guia de Planejamento e Implementação

Capítulo 1: Considerações sobre planejamento

Publicado em: 29 de maio de 2007


O processo de implantar ferramentas de criptografia de dados para proteger dados em sua organização requer um conhecimento abrangente das tecnologias incorporadas aos sistemas operacionais Microsoft, bem como dos problemas de segurança específicos do seu ambiente. Você também precisa estar preparado para identificar e resolver possíveis problemas de implantação referentes à escolha de hardware e sua configuração, à diretiva de segurança da sua organização e às questões complexas de conformidade e auditoria.

Este capítulo do Guia de Planejamento e Implementação aborda as considerações sobre planejamento envolvidas na implantação do Windows Vista™ com Criptografia de Unidade de Disco BitLocker™ da Microsoft® (BitLocker) e o componente EFS (Sistema de arquivos com criptografia) do Windows Vista e Microsoft Windows® XP.

As considerações sobre o planejamento do BitLocker e EFS discutidas neste capítulo consistem em: conhecer os requisitos de hardware e software, determinar os itens de computadores e dados que precisam de proteção e escolher configurações apropriadas. Outras considerações consistem em problemas de implantação da Diretiva de Grupo e serviço de diretório do Active Directory®, gerenciabilidade, utilização prática e planejamento de recuperação de dados eficiente.

Quanto ao EFS, as considerações adicionais envolvem integrar o EFS a uma PKI (Infra-estrutura de chave pública) existente, implantar o Microsoft Encrypting File System Assistant (Assistente do EFS) e planejar recuperação de chave eficiente.

Nesta página

Planejamento do recurso Criptografia de Unidade de Disco BitLocker
Planejamento de EFS (Sistema de arquivos com criptografia)
Mais informações

Planejamento do recurso Criptografia de Unidade de Disco BitLocker

Os procedimentos a seguir devem ser usados para fazer um planejamento para implantar o BitLocker:

  1. Entender as opções de implantação do BitLocker

  2. Avaliar a prontidão do BitLocker

  3. Determinar o escopo da implantação do BitLocker

  4. Escolher configuração do BitLocker

  5. Planejar recuperação de dados

  6. Planejar gerenciabilidade

  7. Planejar utilização prática

  8. Planejar implementação do Active Directory e Diretiva de Grupo

As seguintes subseções abordam esses problemas de planejamento de BitLocker em mais detalhes.

Entender as opções de implantação de BitLocker

O BitLocker é um atenuante eficaz das muitas ameaças à segurança. Para entender quais ameaças o BitLocker atenua e quais ameaças adicionais podem ser atenuadas pelo BitLocker e EFS juntos, é necessário conhecer o modelo de segurança do BitLocker e as opções de implantação que ele suporta. O documento Análise de Segurança incluído neste Toolkit descreve uma série de riscos e como o BitLocker os atenua. Você deve se familiarizar com o conteúdo desse documento antes de continuar com seu processo de planejamento.

Avaliar a prontidão do BitLocker

Para usar o BitLocker, um computador requer os seguintes componentes:

  • As edições Enterprise ou Ultimate do Windows Vista™.

  • Uma placa-mãe compatível com TPM, se você desejar usar o BitLocker com um TPM (BIOS e chip do TPM com especificação Trusted Computing Group TPM, v.1.2 ou posterior).

  • Unidade de disco rígido com duas partições formatadas com NTFS. A partição onde as informações do componente de inicialização do BitLocker serão armazenadas deve estar vazia com pelo menos 1,5 GB de espaço livre. Essa partição deve ser a partição ativa.

Você pode confirmar esses requisitos manualmente usando o script Instrumentação de Gerenciamento do Windows (WMI) ou PowerShell para consultar cada computador cliente e coletar informações sobre seus recursos. A maioria das organizações prefere usar uma ferramenta de gerenciamento, como a Microsoft Systems Management Server (SMS) ou uma de outro fornecedor equivalente, já que essas ferramentas fornecem recursos de inventário e relatório automatizados.

Requisitos de hardware do BitLocker

O BitLocker pode ser executado em qualquer computador que atenda aos requisitos de sistema do Windows Vista. (Para obter mais informações sobre os requisitos de CPU, memória e disco, consulte Orientação para planejamento de hardware para o Windows Vista Enterprise.) Embora a Microsoft tenha estabelecido categorias distintas do “Windows Vista Capable” e “Windows Vista Premium Ready” para componentes de hardware compatíveis com vários recursos do Windows Vista, o BitLocker funcionará em qualquer computador compatível com o Windows Vista.

Para desfrutar do suporte do BitLocker ao hardware TPM, seus computadores devem incluir o TPM 1.2 ou posterior. Muitos fabricantes incluem suporte ao TPM em seus produtos padrões, e outros incluem em subconjuntos limitados de suas linhas de computadores portáteis ou não incluem em nenhum. Não há como adicionar suporte ao TPM a computadores que ainda não o tem. Todavia, você pode usar uma chave USB para armazenar as chaves de criptografia BitLocker em computadores que não incluem o hardware TPM.

Os computadores que incluem o hardware TPM também devem ter uma versão do BIOS que capacite o Windows Vista a usar o conjunto completo de recursos do TPM. Alguns computadores que contêm o hardware TPM 1.2 ainda podem requerer atualizações do BIOS, se eles tiverem sido lançados antes de janeiro de 2007. Se desejar usar o BitLocker com uma chave USB, o BIOS deverá ser capaz de ler a partir da chave USB durante o processo de inicialização.

Cc162806.note(pt-br,TechNet.10).gif Observação:

Algumas implementações do BIOS são compatíveis com USB para inicializar o computador, mas depois desabilitam esse recurso se o computador for inicializado do disco rígido ou de outro dispositivo. Essas implementações não são compatíveis com o BitLocker porque ele lê a chave USB no processo de inicialização.

Cada computador protegido pelo BitLocker deve conter duas partições de disco: uma para o sistema operacional e dados e uma menor para ser usada somente quando o computador for inicializado ou durante as atualizações do sistema operacional. (Você não deve usar essa partição de inicialização para outro armazenamento de dados.) A Microsoft recomenda que a partição de inicialização tenha no mínimo 1,5 GB de espaço livre. Ambas essas partições devem ser formatadas usando o sistema de arquivos NTFS.

Os usuários do Windows Vista Ultimate podem usar a ferramenta de preparação da unidade BitLocker do Windows (Windows BitLocker Drive Preparation Tool) para criar a partição de utilitário de forma dinâmica para ativar o uso do BitLocker. Os usuários da edição Enterprise podem obter a ferramenta de preparação da unidade como descrito no artigo 930063 (em inglês) da Microsoft Knowledge Base que descreve a ferramenta de preparação da unidade BitLocker. Para obter a ferramenta, é necessário ligar para os serviços de atendimento ao cliente Microsoft. A ligação e a ferramenta são gratuitas. A Microsoft não oferece suporte à criação ou deslocamento de partições manualmente para criar a configuração de partição do BitLocker requerida. Você deve seguir um dos seguintes procedimentos: instalar o Windows Vista do zero (criando partições durante o processo de instalação) ou usar a ferramenta de preparação da unidade.

Se você tem intenção de usar as unidades USB flash como parte da implantação do BitLocker, os modelos que você usar devem implementar a especificação USB Mass Storage Class Bulk-Only Transport no site do USB.

Compreendendo o TPM

A maioria das organizações que implantam o BitLocker vai querer os benefícios de segurança oferecidos pelos computadores que incorporam o hardware TPM. Conhecer esse hardware e suas capacidades é uma parte essencial na escolha da configuração do BitLocker apropriada à sua organização. (Um exame aprofundado do TPM está fora do escopo deste guia. Para obter informações específicas sobre o TPM e o Trusted Computing Group, consulte a página de especificações do TPM (em inglês) no site do Trusted Computing Group.)

É importante entender a natureza do TPM, que é essencialmente um microprocessador com finalidade especial, com seu próprio sistema de E/S e armazenamento. O TPM contém uma chave de endosso (EK) que é usada para assinar e criptografar os dados que vêm diretamente do TPM ou que são passados para o TPM para assinatura e criptografia. A EK deve ser carregada no TPM, seja pelo fabricante do computador ou automaticamente como parte da inicialização do BitLocker.

Também é preciso saber que o TPM pode existir em um dos vários estados em um determinado período:

  • Habilitado ou desabilitado. O TPM pode ser habilitado ou desabilitado várias vezes dentro de um período de inicialização. Quando o TPM é habilitado, todos os seus recursos tornam-se disponíveis. Quando o TPM é desabilitado, ele restringe todas as operações, exceto a capacidade de relatar os recursos de TPM e de aceitar atualizações.

  • Ativado ou desativado. Quando o TPM é ativado, todos os seus recursos tornam-se disponíveis. Desativado é semelhante a desabilitado, mas é possível fazer alterações no estado operacional (por exemplo, alterar o proprietário ou a ativação com presença física).

  • Com proprietário ou sem proprietário. Quando o sistema operacional assume a propriedade do TPM, o TPM gera uma chave raiz de armazenamento (SRK), que é um par de chaves usado para lacrar as operações nos volumes protegidos. O proprietário de um TPM pode realizar todas as operações, inclusive alterar o estado operacional. O BitLocker não pode usar o TPM até que ele esteja em um estado de propriedade.

Esses estados podem ser combinados. Por exemplo, alguns fornecedores vendem computadores habilitados para TPM, nos quais o TPM se apresenta em um estado padrão desabilitado, desativado e sem proprietário. Para usar o BitLocker em tais computadores, você deve estabelecer a propriedade do TPM, ativá-lo e habilitá-lo. Essas operações são automaticamente realizadas quando você usa a interface de usuário padrão do BitLocker. Quando o BitLocker é ligado, ele é automaticamente habilitado, ativado e assume a propriedade do TPM, se houver um.

É necessário entender também o requisito de presença física para algumas operações do TPM. As especificações de TPM do Trusted Computing Group requerem que uma pessoa interaja diretamente com o computador físico para realizar alguns comandos, e essa pessoa não pode ser substituída ou se passar por outra em um script. A presença física indica que um usuário está declarando propriedade e está fisicamente presente no computador para realizar tarefas administrativas básicas do TPM, tais como:

  • Habilitar o TPM sem informações do proprietário.

  • Ativar o TPM.

  • Remover um proprietário existente do TPM.

  • Desativar ou desabilitar temporariamente o TPM.

Requisitos de software do BitLocker

O Windows Vista está disponível em várias edições, mas somente as edições Enterprise e Ultimate são compatíveis com o BitLocker. A Microsoft inclui o recurso Windows Anytime Upgrade (descrito na ajuda online do Windows Vista), que você pode usar para atualizar computadores individuais. Por exemplo, você pode migrar da edição Business para a edição Ultimate com o recurso Anytime Upgrade. (Alguns tipos de atualização requerem reinstalação. Por exemplo, as atualizações de 32 a 64 bits requerem uma reinstalação da versão de 64 bits do Windows Vista.)

Cc162806.note(pt-br,TechNet.10).gif Observação:

As orientações e ferramentas no Data Encryption Toolkit for Mobile PCs se aplicam tanto ao EFS (disponível no Windows XP Professional SP 2 e em todas as versões do Windows Vista) quanto ao BitLocker (disponível nas versões Enterprise e Ultimate do Windows Vista). Todavia, o Windows Vista Ultimate não foi rigorosamente testado para oferecer suporte a todos os recursos descritos nas orientações e ferramentas. O Toolkit destina-se principalmente ao uso com o Windows XP Professional SP 2 e com as edições Enterprise e Business do Windows Vista.

Implantando o Windows Vista

O Solution Accelerator para Business Desktop Deployment fornece orientação e ferramentas abrangentes para implantar o Windows Vista nos computadores clientes da sua organização. Ao planejar sua estratégia de implantação do Windows Vista, lembre-se de que a habilitação do BitLocker provavelmente irá requerer sua intervenção física em cada computador porque o TPM não pode ser inicializado ou reprogramado, exceto a partir do console do computador afetado. Lembre-se também de que você talvez precise atualizar o BIOS dos seus computadores para desfrutar ao máximo os recursos do BitLocker.

Um fator crítico da implantação é decidir entre migrar os computadores existentes do Windows XP para o Windows Vista ou efetuar uma instalação limpa do novo sistema operacional. O BitLocker não pode ser habilitado até que você instale o Windows Vista. Contudo, você deverá estar ciente de que o BitLocker requer uma determinada configuração de particionamento de disco (como descrito no Guia passo a passo da Criptografia de Unidade de Disco BitLocker do Windows Vista). Se você desejar atualizar seus computadores existentes que executam o Windows XP, seu plano de implantação deverá incluir a criação da estrutura de partições requerida antes de poder ativar o BitLocker nesses computadores.

O kit de ferramentas Business Desktop Deployment (BDD) do Windows Vista aceita a habilitação automática do BitLocker sob algumas circunstâncias. Consulte o Guia para Lite Touch Installation para obter mais detalhes sobre o uso das ferramentas BDD para habilitar o BitLocker como parte do processo de implantação do sistema operacional.

Determinar o escopo da implantação do BitLocker

Depois de avaliar quais partes de uma organização possuem hardware e software compatíveis com um ou mais modos do BitLocker, a próxima etapa é determinar onde o BitLocker deve ser implantado. As perguntas a seguir precisam ser respondidas para concluir essa etapa e determinar o futuro escopo da implantação do BitLocker:

  • Quais computadores precisam de proteção em sua organização? É possível que você opte por proteger alguns ou todos os seus computadores de mesa e laptops, dependendo de suas necessidades de segurança e do ciclo de implantação.

  • Quais dados precisam de proteção em sua organização? Algumas organizações podem querer proteger todos os dados disponíveis, enquanto que outras podem ter requisitos mais específicos.

Quais computadores precisam de proteção?

Normalmente, as decisões de segurança envolvem um equilíbrio entre proteção e custo, e a implementação do BitLocker não é uma exceção. Em primeira análise, a melhor estratégia de segurança parece ser implantar o Windows Vista em todos os computadores clientes de uma organização e habilitar o BitLocker neles. Entretanto, a maioria das organizações precisará sincronizar a implementação em ampla escala do Windows Vista (e conseqüentemente do BitLocker) com seu plano geral de implantação de TI. Mesmo assim, toda organização pode se beneficiar da implementação intencional do Windows Vista e do BitLocker em computadores que apresentam os maiores riscos potenciais. Entre esses computadores, incluem-se:

  • Computadores usados por executivos, advogados ou outros funcionários que trabalham rotineiramente com dados financeiros, jurídicos e estratégicos confidenciais.

  • Computadores usados por desenvolvedores de software, testadores, Web designers ou outros usuários que possam ter acesso a dados pessoais ou financeiros sobre clientes, funcionários ou parceiros de negócios.

  • Computadores usados por funcionários de recursos humanos, corretores de seguros, funcionários do setor de saúde ou outros que rotineiramente lidam com informações pessoais confidenciais de clientes ou funcionários.

  • Computadores usados em áreas onde eles são vulneráveis a ataques físicos (incluindo roubo do computador inteiro ou de unidades de disco).

  • Laptops ou computadores portáteis que os funcionários usam para acessar ou trabalhar com informações da empresa enquanto estão fora do escritório.

  • Computadores domésticos ou pessoais de funcionários importantes, caso sejam usados para trabalhar com informações da empresa ou para acessar a rede da organização.

Para determinar quais computadores em seu ambiente precisam de proteção, use um inventário de bens automatizado (se possível) para identificar os computadores que se encaixam em um dos grupos acima. Talvez você queira acrescentar um inventário automatizado com uma lista de verificação manual que correlacione funcionários que trabalham com dados confidenciais e computadores de propriedade da empresa que eles usam rotineiramente. Se a sua organização usa um conjunto de computadores móveis atribuídos a localidades específicas, ou que estão disponíveis para funcionários usarem sob um esquema de emprestar e devolver, convém incluí-los em uma categoria separada de computadores que requerem proteção.

Quais itens de dados precisam de proteção?

Um dos maiores benefícios do BitLocker é que ele protege todo o conteúdo do volume do sistema. Esta funcionalidade elimina boa parte da incerteza sobre quais itens de dados devem ou não ser criptografados. Cada arquivo que o usuário criar ou alterar será criptografado se estiver armazenado no volume do sistema operacional.

No entanto, é importante identificar categorias ou classes específicas de dados que possam requerer a proteção do BitLocker para que você possa identificar melhor quais usuários e computadores têm permissão para processar esses tipos de dados. Entre os tipos de dados candidatos à proteção, incluem-se:

  • Informações comerciais confidenciais, incluindo dados financeiros, planos de produtos, informações bancárias ou de crédito e planos e comunicações estratégicos.

  • Informações e registros relacionados a processos judiciais pendentes, encerrados ou futuros, especialmente se eles estiverem sujeitos a privilégio cliente-advogado.

  • Dados pessoais de ex-funcionários e funcionários atuais, aposentados ou clientes.

  • Código-fonte, bancos de dados, informações de design patenteadas, materiais de sigilo comercial ou outra propriedade intelectual.

  • Material licenciado ou de propriedade de parceiros de negócios ou outros licenciadores que exijam a confidencialidade de tais informações.

Escolher configuração do BitLocker

Esta fase do planejamento determinará quais configurações são apropriadas para a sua organização e descreverá processo de configuração e implantação.

O guia Análise de Segurança neste Solution Accelerator contém uma descrição completa dos métodos de segurança que podem ser usados com o BitLocker para proteger o volume das chaves de criptografia. Use as informações no guia Análise de Segurança para escolher os modos do BitLocker apropriados à sua organização. A escolha de modos do BitLocker pode depender da disponibilidade do hardware e software, como discutido anteriormente, ou de diferentes requisitos de segurança nas diferentes partes da organização. Os modos disponíveis são:

  • BitLocker com TPM

  • BitLocker com TPM e PIN

  • BitLocker com dispositivo USB

  • BitLocker com TPM e dispositivo USB

A figura a seguir mostra uma árvore de decisão que você pode usar para avaliar as opções de configuração do BitLocker para o seu ambiente.

Cc162806.ca97aaca-c63e-43bb-948c-67d3ae965c2e(pt-br,TechNet.10).gif

Figura 1.1. Árvore de decisão sobre as opções de configuração do BitLocker

O resultado do seu processo de decisão pode ser semelhante ao que está mostrado na tabela a seguir. As informações devem incluir funções de hardware, tipos de hardware suportados e a diretiva e configuração do BitLocker associadas.

Tabela 1.1. Orientações da diretiva e configuração do BitLocker

Tipo do sistema

Diretiva e configuração do BitLocker

Desktop padrão

Os computadores usarão criptografia BitLocker com um TPM ou uma chave de inicialização USB, dependendo da capacidade do hardware. Esta configuração será usada para controlar a exposição de dados e gerenciar a "aposentadoria" de equipamentos.

Laptop padrão

Todos os novos computadores usarão um TPM e um PIN. Os computadores sem TPM usarão chaves de inicialização em unidades USB, mas todos os novos computadores serão vendidos com dispositivos TPM. Esta configuração será usada para controlar a exposição de dados e gerenciar a baixa equipamentos.

Laptops de executivos

Todos os computadores usam um TPM com um PIN. Os computadores existentes que não forem compatíveis com TPM serão substituídos.

Considerações sobre o modo BitLocker com TPM

O BitLocker com o modo TPM fornece proteção sem a necessidade de intervenção do usuário, e a criptografia de volume, inicialização e operação são transparentes ao usuário. Geralmente, este modo do BitLocker não é apropriado para uma implementação de BitLocker de linha de base, mas deve ser considerado apenas nas seguintes situações:

  • Quando a autenticação multifatores do BitLocker não for requerida.

  • Quando o valor dos dados não justificar a despesa adicional e/ou complexidade da autenticação multifatores do BitLocker.

Planejamento do modo BitLocker com TPM

As etapas de planejamento para o modo BitLocker com TPM consistem em:

  • Um inventário dos computadores que possuem hardware TPM em sua organização.

  • Ciclo de atualização e substituição do seu hardware.

  • Como funcionam seus processos de atualização e gerenciamento de patches de software.

  • Se você tem razões comerciais ou operacionais para permitir ou impedir a inicialização de computadores sem supervisão. O BitLocker com TPM permite inicialização sem supervisão, mas os modos BitLocker que usam um PIN ou uma chave USB requerem ambos durante a inicialização.

  • Como seus processos existentes do suporte técnico (incluindo reparo, substituição e descomissionamento) funcionarão com os sistemas protegidos por TPM, uma vez que o disco protegido por BitLocker pode não ter utilidade imediata em um computador substituto.

Considerações sobre o modo BitLocker com TPM e PIN

O BitLocker com um TPM e um PIN impede melhor que os usuários do domínio que não conhecem o PIN leiam dados do computador protegido. Ele protege contra ataques no computador que seriam bem-sucedidos se o computador chegasse à tela de logon na inicialização.

A fase de planejamento deve investigar se os usuários irão se recusar a aprender e decorar mais um PIN e tomar medidas para convencê-los. A segurança adicional obtida ao exigir um fator de autenticação extra torna esta solução uma boa escolha para proteger bens valiosos.

Planejamento do modo BitLocker com TPM e PIN

Para planejar o modo BitLocker com TPM e PIN, você precisa seguir todos os procedimentos de planejamento do modo BitLocker com TPM. É necessário também criar um plano para:

  1. Criar uma documentação para treinamento de usuários, que forneça instruções sobre como criar um PIN satisfatório que atenda aos requisitos de segurança da organização e explique como proceder caso um usuário esqueça seu PIN.

  2. Criar uma documentação que instrua os funcionários do atendimento ao cliente sobre os procedimentos de redefinição de PIN.

Considerações sobre o modo BitLocker com USB

O modo BitLocker com um dispositivo USB fornece proteção em computadores que não contêm um TPM. Este modo oferece funcionalidade básica, mas não oferece confirmação de integridade na inicialização nem impede que os usuários do domínio façam logon no computador e leiam os dados depois da inicialização do sistema usando o dispositivo USB.

Planejamento do modo BitLocker com USB

Se tiver intenção de usar BitLocker com uma chave de inicialização USB, você precisará realizar os seguintes procedimentos de planejamento:

  1. Teste seus computadores para verificar se eles podem reconhecer seu modelo preferido de chaves USB na inicialização. Os testes da Microsoft indicam que algumas marcas de chaves USB apresentam um índice de falha de até 50%, portanto seu teste deve incluir teste de confiabilidade. Além disso, é altamente recomendável usar uma única marca de chave para garantir acesso confiável às senhas de inicialização e recuperação.

  2. Planeje como os usuários que usam somente o modo BitLocker com uma chave USB irão migrar para o modo BitLocker com TPM e PIN. O plano deve incluir procedimentos sobre como migrar seus dados e aplicativos compatíveis com TPM ou, se os computadores desses usuários forem compatíveis com TPM, como habilitar o TPM e voltar a habilitar o BitLocker.

Considerações sobre o modo TPM e USB

Neste modo, o BitLocker fornece criptografia e confirmação de integridade na inicialização, e o token USB deve estar presente no momento da inicialização para permitir que o computador inicialize. As considerações de planejamento para esse modo são um híbrido daquelas exigidas nos modos somente TPM e somente USB, uma vez que você precisa verificar se seus computadores podem usar BitLocker com um TPM, bem como preparar para proporcionar compatibilidade com chave USB.

Planejamento do modo BitLocker com TPM e USB

Se desejar usar este modo, você deverá executar os mesmos procedimentos de planejamento descritos anteriormente na seção "Planejamento do modo BitLocker com TPM" deste capítulo, além dos procedimentos na seção "Planejamento do modo BitLocker com USB".

Planejar recuperação de dados

O BitLocker oferece criptografia para seus dados. Não há "plano B" ou outras maneiras de recuperar dados de um disco protegido por BitLocker se você não tiver a senha de recuperação correta. Este fator aumenta a importância do planejamento de recuperação, visto que sem uma boa cópia da senha de recuperação, você não conseguirá recuperar nenhum dado do volume protegido.

Durante a inicialização do computador, o BitLocker pode detectar uma condição que o impeça de desbloquear a unidade na qual o Windows está instalado. Entre os exemplos dessas condições incluem-se erros no disco ou alterações nos arquivos de inicialização do computador. Se ocorrer uma dessas condições, você não conseguirá fazer o logon e acessar seus arquivos protegidos até desbloquear o volume usando sua senha de recuperação BitLocker. Se você tentar montar o disco rígido em um computador diferente, ainda precisará da senha de recuperação do BitLocker.

Existem quatro estratégias básicas de armazenamento de senha de recuperação:

  • Imprima a senha.

  • Armazene a senha em uma mídia removível.

  • Armazene a senha em um local de armazenamento de rede.

  • Armazene a senha no Active Directory.

A Microsoft recomenda escolher uma combinação de métodos de recuperação para seu ambiente. Como os volumes do BitLocker são irrecuperáveis sem a senha, armazenar senhas de recuperação usando um único método introduz um ponto único de falha no seu processo de recuperação de dados. Cada método de recuperação apresenta vantagens e desvantagens, que você deve conhecer antes de escolher um método.

Active Directory

A Microsoft recomenda enfaticamente que você planeje e implante um armazenamento de senhas de recuperação do Active Directory em seus computadores protegidos com BitLocker. Usando este método, as informações de recuperação são armazenadas como atributos no objeto computador no Active Directory. As informações de recuperação incluem a senha de recuperação para cada volume habilitado por BitLocker, a senha do proprietário do TPM e as informações requeridas para identificar a quais computadores e volumes as informações de recuperação se aplicam. Opcionalmente, você também pode salvar um pacote que contém as chaves que foram realmente usadas para criptografar os dados, bem como a senha de recuperação requerida para acessar essas chaves. Este método de armazenar a senha de recuperação apresenta as seguintes vantagens principais comparado a outros métodos de armazenamento:

  • O processo de armazenamento é automatizado e não requer intervenção do usuário.

  • As informações de recuperação não podem ser perdidas ou danificadas pelo usuário.

  • O Active Directory fornece controle e auditoria centralizados do armazenamento e utilização das informações de recuperação.

  • As informações de recuperação são armazenadas em backup e protegidas juntamente com outros dados valiosos do Active Directory.

  • As informações de recuperação podem ser acessadas remotamente, tornando possível fazer recuperação por meio do suporte técnico e fora da instalação.

Usar o Active Directory para armazenar senhas de recuperação do BitLocker exige os seguintes requisitos:

  • A organização deve ter uma infra-estrutura do Active Directory robusta e bem gerenciada.

  • O esquema do Active Directory no Windows Server® 2003 deve ser estendido para incluir os atributos e objetos do BitLocker. Planejar a extensão do esquema do Active Directory é uma tarefa e tanto. Para obter mais informações sobre como estender o esquema do Active Directory, consulte o artigo (em inglês) sobre como estender o esquema do Active Directory no Windows Server 2003 R2.

  • O administrador deve então ativar as configurações da Diretiva de Grupo para permitir backup de senha de recuperação do BitLocker.

  • Deverá haver diretivas e proteções pessoais suficientes para oferecer armazenamento seguro e acesso controlado ao material de recuperação armazenado no Active Directory.

Cc162806.note(pt-br,TechNet.10).gif Observação:

Os computadores que entrarem no modo de recuperação inesperadamente poderão ter sido infectados por malware. Você deve assegurar-se de que todo computador que entrar no modo de recuperação sem uma causa conhecida seja examinado pelo suporte técnico antes do usuário executar uma recuperação.

Método de arquivamento/impressão

A impressão da senha de recuperação ou seu armazenamento em arquivo é um processo simples que apresenta algumas vantagens importantes:

  • Fácil de configurar.

  • Exige pouca infra-estrutura.

  • Fácil de gerenciar por usuários não-técnicos.

Todavia, ele também apresenta algumas desvantagens importantes:

  • Conta que o usuário irá gerenciar a senha de recuperação e protegê-la contra perda ou violação.

  • Armazenar senhas desta maneira não oferece nenhum controle ou auditoria centralizados.

  • Não existe nenhuma proteção eficaz para proteger o arquivo salvo ou o papel impresso contra perda ou danos.

Método de dispositivo USB

Armazenar a senha de recuperação em um dispositivo USB oferece as seguintes vantagens:

  • Você pode armazenar várias senhas de recuperação em um único dispositivo USB porque elas são arquivos de texto sem formatação.

  • É mais fácil adicionar segurança e barreiras físicas para proteger as senhas.

  • Separar a chave USB do computador oferece uma maneira de manter tarefas separadas.

Todavia, este método também apresenta suas desvantagens:

  • Nem todos os computadores são compatíveis com dispositivos USB autônomos durante os processos de pré-inicialização e inicialização.

  • A coleta e o armazenamento de senhas de recuperação é um processo manual que deve ser realizado em cada computador individual.

  • Não existe controle nem auditoria centralizada para este método.

  • O dispositivo USB pode ser perdido ou danificado, ou falhar.

Defina uma diretiva de recuperação

É importante definir uma diretiva que especifique quem pode recuperar dados de um computador protegido com o BitLocker. A recuperação por BitLocker requer acesso físico ao computador para que a senha de recuperação possa ser inserida. Este requisito influencia, de forma significativa, o processo de definir uma diretiva de recuperação, visto pode ser preciso ativar cenários nos quais um usuário remoto ou móvel precise reaver o acesso a um volume protegido por BitLocker quando estiver fora do escritório.

Por padrão, todos os administradores de domínio podem ler as senhas de recuperação do BitLocker armazenadas em Serviços de Domínio do Active Directory. Os administradores de domínio podem delegar esse recurso a outros usuários atribuindo permissões de "controle de acesso" e "propriedade de leitura" a esses usuários. De modo semelhante, os administradores podem delegar o recurso para ler informações do proprietário do TPM armazenadas. Por exemplo, você pode conceder aos funcionários do suporte técnico e do atendimento ao cliente acesso às senhas de recuperação. Todavia, antes de fazer isso, assegure-se de que permitir tal acesso esteja em conformidade com as diretivas de segurança de sua organização, porque qualquer usuário que tiver acesso à senha de recuperação de um volume poderá ler os dados naquele volume sem restrição.

Antes de especificar um método de recuperação obrigatório, assegure-se de que você atenda aos pré-requisitos necessários para esse determinado método. Esses pré-requisitos são:

  • Para chaves USB, assegure-se de que seu sistema de destino tenha a capacidade de ler os dispositivos USB na inicialização. Além disso, teste em um computador representativo para garantir que sua marca padrão de chave USB funciona adequadamente com o BitLocker antes da implantação em grande escala. Assegure-se de ter a chave USB disponível quando você habilitar o BitLocker pela primeira vez.

  • Para locais de armazenamento alternativos, certifique-se de que a senha de recuperação esteja disponível aos usuários quando eles precisarem executar uma recuperação. Não use um local de armazenamento alternativo no mesmo computador porque ele não será acessível durante uma recuperação do computador. Evite usar compartilhamentos de rede que não possam ser adequadamente protegidos contra o acesso de usuários mal-intencionados ou não confiáveis.

  • Se você desejar imprimir a senha de recuperação, certifique-se de que haja uma impressora local ou de rede conectada disponível quando você habilitar o BitLocker. Lembre-se também de planejar o que fazer com a senha impressa — os registros de papel estão sujeitos a todo tipo de risco e e ameaça.

  • O armazenamento de senhas de recuperação no Active Directory requer seu próprio conjunto de procedimentos preparatórios (como descrito no próximo capítulo).

Planejamento de gerenciabilidade

Uma etapa importante no processo de planejamento do BitLocker é decidir como o BitLocker irá afetar os processos de gerenciamento de TI da organização. O BitLocker afeta os seguintes processos em execução encontrados em qualquer organização:

  • Gerenciamento de atualização de software

  • Atualizações e substituição de hardware

  • Integração com software de criação de imagens, de backup e antimalware

  • Gerenciamento da configuração do BitLocker

  • Descomissionamento de computadores

Gerenciamento de atualização de software

Os três cenários de gerenciamento de atualização de software principais afetam o planejamento de implantação do BitLocker.

O primeiro cenário envolve atualizações do BIOS. O BitLocker monitora uma variedade de componentes, incluindo alguns aspectos da configuração do BIOS, para alterações. Se algum desses parâmetros for alterado inesperadamente, o BitLocker forçará uma recuperação em cada inicialização. Para evitar este problema, você deverá desabilitar o BitLocker antes de atualizar o BIOS do sistema. Atualize o BIOS e reabilite o BitLocker.

O segundo cenário envolve atualizações ou patches para o Windows Vista. Existem dois subcenários se o BitLocker for ativado com um TPM:

  • As atualizações que afetam o gerenciador de inicialização, o carregador do sistema operacional, o aplicativo usado para retornar às atividades após hibernação ou o aplicativo de diagnóstico de memória. Quando o BitLocker detectar que um ou mais desses componentes foram alterados pelo Windows Update, ele atualizará suas informações de configuração para refletir as novas versões.

  • As atualizações que afetam outros componentes do Windows são aplicadas de acordo com os mecanismos de atualização convencionais do Windows, os quais não afetam os parâmetros medidos pelo BitLocker.

Cc162806.note(pt-br,TechNet.10).gif Observação:

Se o BitLocker for habilitado mas o TPM não for usado, não haverá nenhum caminho confiável para a confirmação de integridade na inicialização, e as atualizações do sistema não poderão forçar uma recuperação ou atualização de configuração.

O terceiro cenário envolve atualizações de versão ou edição (por exemplo, migrar do Windows Vista Enterprise para o Windows Vista Ultimate). Em tal cenário, você deve descriptografar a unidade e desabilitar o BitLocker antes de aplicar a atualização. Depois que a atualização for concluída, você poderá habilitar o BitLocker e criptografar novamente a unidade.

Atualizações e substituição de hardware

Um volume de disco criptografado pelo BitLocker não pode ser montado e lido em outro computador a menos que você tenha acesso à senha de recuperação. Quando inicializar o Windows Vista, você poderá recuperar o volume inserindo a senha de recuperação para que o processo de inicialização possa continuar. Esta funcionalidade pode requerer alterações na diretiva de reparo e atualização do seu hardware. As alterações específicas irão variar dependendo de como e quando você substitui computadores (quer você esteja usando imagem de disco ou software de backup para mover dados de um computador para outro) e de como você está concedendo acesso aos dados de recuperação do BitLocker.

Integração com software de criação de imagens, de backup e antimalware

O BitLocker criptografa dados no nível do volume de disco. Os programas ou utilitários que acessam diretamente o disco enquanto o Windows não está em execução serão capazes de ler dados do disco, mas os dados estarão criptografados. Por exemplo, as ferramentas de criação de imagens serão capazes de capturar o conteúdo criptografado de um disco protegido por BitLocker, mas não o conteúdo em texto sem formatação.

A maioria das ferramentas de backup, restauração e antimalware que atuam enquanto o Windows está em execução funciona conforme o esperado em um computador que usa BitLocker.

Além disso, as ferramentas que alteram os arquivos de sistema do Windows ou modificam os parâmetros de configuração do sistema podem forçar o BitLocker a solicitar uma senha de recuperação na próxima inicialização. (As alterações na diretiva, como alternar do modo somente TPM para o modo TPM com PIN, também podem provocar o processo de recuperação.) Para obter mais informações sobre o impacto da criptografia por BitLocker sobre o gerenciamento de atualização de software, consulte o Capítulo 3: Operações e cenários de recuperação neste guia.

Gerenciamento da configuração do BitLocker

Juntamente com a Diretiva de Grupo, o BitLocker oferece suporte ao uso de script para controlar e gerenciar o comportamento fundamental da tecnologia. Para obter mais informações sobre interfaces de script como ProtectKeyWithTPM, consulte o documento Criptografia de Unidade de Disco BitLocker: visão geral técnica. Algumas organizações podem decidir usar script para aplicar a diretiva de BitLocker, e outras podem decidir usar Diretiva de Grupo. Esta decisão deve ser feita relativamente cedo no processo de planejamento.

As opções de controle do BitLocker disponíveis no Console de Gerenciamento de Diretiva de Grupo do Windows Vista (ou em outros computadores com modelos administrativos do Windows Vista instalados) permitem-lhe controlar o seguinte:

  • Se um backup automático das chaves do BitLocker é ou não realizado no Active Directory.

  • O local padrão usado para armazenar as chaves de recuperação.

  • Se os usuários podem alterar as opções de recuperação e inicialização.

  • Que método de criptografia o BitLocker usa.

  • Como é realizada a validação da plataforma TPM.

O restante desta seção descreve cada configuração no modelo. Você pode acessar essas configurações em \Configuração do computador\Configurações administrativas\Criptografia de Unidade de Disco BitLocker.

Ativar backup BitLocker nos Serviços de Domínio Active Directory

Esta configuração de diretiva permite-lhe gerenciar o backup das informações de recuperação do recurso Criptografia de Unidade de Disco BitLocker  em Serviços de Domínio do Active Directory. Por padrão, essa configuração é marcada como Não configurada. Se você habilitar esta configuração de diretiva, será feito o backup das informações de recuperação do BitLocker automaticamente e de forma transparente em Serviços de Domínio do Active Directory (AD DS), quando o BitLocker for ativado em um computador.

As informações de recuperação do BitLocker incluem a senha de recuperação e alguns dados de identificador exclusivos. Você também pode especificar que deseja que o Windows faça backup de um pacote de chaves de recuperação, que contêm uma chave de criptografia do volume protegido pelo BitLocker, juntamente com a senha de recuperação. Esse pacote de chaves é protegido pela senha de recuperação e pode ajudar a realizar uma recuperação especializada quando o disco for danificado ou corrompido.

Se você selecionar a opção Exigir backup do BitLocker em AD DS, o BitLocker não poderá ser desativado a menos que o computador esteja conectado ao domínio e o backup no AD DS for bem-sucedido. Esta opção é selecionada por padrão para ajudar a garantir que a recuperação do BitLocker seja possível. Se você desativar esta opção, o BitLocker ainda tentará registrar chaves de recuperação no Active Directory, mas se o registro falhar, a configuração do BitLocker poderá continuar. Uma nova tentativa de backup não ocorrerá, e a senha de recuperação poderá não ter sido armazenada em AD DS durante a configuração do BitLocker.

Cc162806.important(pt-br,TechNet.10).gif Importante:

Para impedir a perda de dados, é necessário ter um método de recuperação do BitLocker. Se você desabilitar ou não definir esta configuração de diretiva, não será feito backup das informações de recuperação do BitLocker em AD DS.

Configuração do Painel de Controle: Configurar pasta de recuperação

Esta configuração de diretiva permite-lhe especificar o caminho padrão exibido quando o assistente para configuração do recurso Criptografia de Unidade de Disco BitLocker solicita ao usuário que digiter o local de uma pasta no qual a senha de recuperação será salva.

Se você habilitar esta configuração de diretiva, poderá especificar o caminho usado como o local de pasta padrão quando o usuário escolher a opção para salvar a senha de recuperação em uma pasta. Você pode especificar um caminho totalmente qualificado ou incluir as variáveis de ambiente do computador de destino no caminho. Se o caminho não for válido, o assistente para configuração do BitLocker mostrará a exibição de pasta de nível superior do computador.

Se você desabilitar ou não definir esta configuração de diretiva, o assistente de configuração do BitLocker exibirá a pasta de nível superior quando o usuário escolher a opção para salvar a senha de recuperação em uma pasta.

Cc162806.note(pt-br,TechNet.10).gif Observação:

O usuário conseguirá sempre selecionar outras pastas para salvar a senha de recuperação.

Configuração do Painel de Controle: Configurar opções de recuperação

Esta configuração de diretiva permite-lhe definir se o assistente de configuração do recurso Criptografia de Unidade de Disco BitLocker irá solicitar que o usuário salve as opções de recuperação do BitLocker.

Os usuários têm duas opções de recuperação para desbloquear o acesso aos dados criptografados pelo BitLocker:

  • Digitar uma senha de recuperação numérica de 48 dígitos gerada aleatoriamente.

  • Inserir uma unidade USB flash que contenha uma chave de recuperação de 256 bits gerada aleatoriamente.

As chaves de recuperação ou senhas são geradas na configuração do BitLocker. Se você habilitar esta configuração de diretiva, poderá configurar as opções que o assistente para configuração oferece aos usuários para recuperar o BitLocker. Por exemplo, impedir acesso à senha de recuperação de 48 dígitos impede que os usuários imprimam ou salvem as informações de recuperação em uma pasta.

Se você desabilitar ou não definir esta configuração de diretiva, o assistente para configuração do BitLocker apresentará aos usuários formas de armazenar opções de recuperação. Ao salvar em uma unidade USB flash, a senha de recuperação de 48 dígitos é armazenada como arquivo de texto, e a chave de recuperação de 256 bits, como um arquivo oculto. Ao salvar em uma pasta, a senha de recuperação de 48 dígitos é armazenada como um arquivo de texto. A impressão fornecerá a senha de recuperação de 48 dígitos.

Cc162806.note(pt-br,TechNet.10).gif Observação:

Se a inicialização do TPM for necessária durante a configuração do BitLocker, as informações do proprietário do TPM serão salvas ou impressas com as informações de recuperação do BitLocker.

Configuração do Painel de Controle: Habilitar opções avançadas de inicialização

Esta configuração de diretiva permite-lhe definir se o assistente de configuração do recurso Criptografia de Unidade de Disco BitLocker irá solicitar que o usuário defina uma autenticação adicional a ser usada toda vez que o computador for reinicializado. Nesta configuração de diretiva, você pode controlar os seguintes aspectos da inicialização do BitLocker:

  • A configuração Permitir BitLocker sem um TPM compatível controla se o BitLocker pode ser usado em computadores que não incluem um TPM compatível. Em computadores sem TPM, você deve usar um dispositivo USB para armazenar a chave de inicialização, o que significa que o computador deve ser capaz de ler um dispositivo USB na inicialização. Sem um TPM, os dados criptografados pelo BitLocker são protegidos exclusivamente pelo material de chaves nessa unidade USB flash.

  • Em um computador com um TPM compatível, você pode escolher quais métodos de inicialização estão disponíveis aos usuários. Quando o computador é inicializado, ele pode exigir que o usuário insira uma unidade USB flash que contenha uma chave de inicialização. Ele também pode exigir que os usuários insiram um PIN de inicialização de 4 a 20 dígitos.

Se você habilitar esta configuração de diretiva, o assistente exibirá uma página que permite que o usuário configure as opções de inicialização avançadas para BitLocker. Você também pode definir as opções de configuração para computadores com e sem um TPM.

Se você desabilitar ou não definir esta configuração de diretiva, o assistente para configuração do BitLocker exibirá as etapas básicas que permitem que os usuários habilitem o BitLocker em computadores com um TPM. Neste assistente básico, nenhuma chave de inicialização adicional ou PIN de inicialização pode ser configurado.

Se você desejar usar o BitLocker sem um TPM, ou com um TPM mais um PIN ou chave de inicialização, certifique-se de que a diretiva do computador local (ou a Diretiva de Grupo cumulativa efetiva) esteja configurada para as opções avançadas de inicialização (veja a figura a seguir). Esta configuração deve ser definida antes de habilitar o BitLocker e pode ser encontrada em Configuração do computador\Modelos administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker\Configuração do Painel de Controle: Habilitar opções avançadas de inicialização.

Cc162806.01e06e8d-fc15-49cd-a09c-ed805d2c1655(pt-br,TechNet.10).gif

Figura 1.2. Caixa de diálogo de opções Habilitar opções avançadas de inicialização
Configurar método de criptografia

Esta diretiva permite-lhe configurar o algoritmo e o tamanho da chave usada pelo BitLocker. Esta configuração de diretiva se aplica a um disco totalmente descriptografado. Mudar o método de criptografia não surtirá efeito se o disco já estiver criptografado ou se a criptografia estiver em curso. A configuração de diretiva apresenta quatro opções:

  • AES-128 e AES-256 usam o algoritmo AES padrão do FIPS com a restrição de chave especificada.

  • AES-128 com Diffuser e AES-256 com Diffuser adicionam o algoritmo Diffuser descrito no guia Análise de Segurança. A camada do diffuser adiciona algumas propriedades de segurança recomendáveis na configuração de criptografia de disco, mas não são fornecidas diretamente pelo AES no modo Cipher Block Chaining (CBC).

Se você habilitar esta configuração de diretiva, poderá configurar o método de criptografia usado para criptografar um volume descriptografado. Se você desabilitar ou não definir esta configuração de diretiva, o BitLocker usará o método de criptografia padrão de AES de 128 bits com Diffuser ou o método de criptografia especificado por um script de configuração do administrador local.

Evita a substituição de memória ao reiniciar

Esta configuração de diretiva controla o desempenho da reinicialização do computador protegendo contra o risco de expor os segredos do BitLocker. Os segredos do BitLocker consistem em materiais de chaves usados para criptografar dados. Esta configuração de diretiva aplica-se somente quando a proteção por BitLocker está habilitada.

Se você habilitar esta configuração de diretiva, o Microsoft Windows não instruirá o computador a substituir memória nas reinicializações. Impedir a substituição de memória pode melhorar o desempenho da reinicialização, mas pode aumentar o risco de expor os segredos do BitLocker.

Se você desabilitar ou não configurar esta configuração de diretiva, o Windows ajudará a garantir que os segredos do BitLocker sejam removidos da memória quando o computador for reiniciado. Por padrão, esta diretiva não é configurada.

Configurar perfil de validação de plataforma TPM

Esta configuração de diretiva permite que você configure o modo como o hardware de segurança TPM protege a chave de criptografia do BitLocker. Esta configuração de diretiva não se aplicará se o computador não tiver um TPM compatível ou se o BitLocker já tiver sido ativado com a proteção TPM.

Se você habilitar esta configuração de diretiva antes de ativar o BitLocker, poderá configurar os componentes de inicialização que o TPM validará antes de desbloquear o acesso ao volume do sistema operacional criptografado pelo BitLocker. Se um desses componentes mudar enquanto a proteção do BitLocker estiver em vigor, o TPM não permitirá que a chave de criptografia desbloqueie o volume, e o computador entrará no modo de recuperação durante a inicialização.

Se você desabilitar ou não definir esta configuração de diretiva, o TPM usará o perfil de validação de plataforma padrão ou o perfil de validação de plataforma especificado pelo script de configuração do administrador local. O perfil de validação de plataforma padrão protege a chave de criptografia contra alterações nestes itens: CRTM (Core Root of Trust of Measurement), BIOS e extensões de plataforma (Processor Configuration Register 0, ou PCR 0), Código de Opção ROM (PCR 2), Código MBR (Master Boot Record) (PCR 4), Setor de Inicialização do NTFS (PCR 8), Bloco de Inicialização do NTFS (PCR 9), Gerenciador de Inicialização (PCR 10) e Controle de Acesso do BitLocker (PCR 11).

Cc162806.important(pt-br,TechNet.10).gif Importante:

Alterar a partir do perfil padrão afeta a segurança e a gerenciabilidade do seu computador. A sensibilidade do BitLocker quanto a modificações na plataforma (mal-intencionadas ou autorizadas) aumenta ou diminui de acordo com a inclusão ou exclusão (respectivamente) dos PCRs.

Descomissionamento de computadores

Você deve incluir descomissionamento no seu planejamento. Por exemplo, o que você fará quando um computador protegido por BitLocker precisar ser reatribuído, movido para fora da organização ou descartado devido a uma falha de hardware? Devido à restrição de algoritmo do algoritmo AES usado pelo BitLocker, apagar a senha de recuperação impede, de modo eficaz, o acesso a um volume protegido. Você deve levar em consideração diretivas e procedimentos que ajudam a verificar se todos os protetores são removidos do Active Directory ou de outros locais quando você descomissiona um computador. (Para obter mais informações sobre como remover protetores para descomissionamento, consulte o artigo sobre Criptografia de Unidade de Disco BitLocker e saneamento de mídia (em inglês)

Planejamento de utilização prática

O BitLocker foi projetado para oferecer segurança robusta, porém transparente, aos usuários durante as atividades normais. Entretanto, os usuários devem conhecer uma variedade de coisas para usar o BitLocker com eficiência e segurança. Você deve desenvolver e documentar uma diretiva de criptografia que descreva o uso, os requisitos e os problemas operacionais envolvidos em criptografia. Os usuários e funcionários do suporte técnico devem ser instruídos sobre o uso apropriado de criptografia antes da implantação.

Uma diretiva de criptografia deve tratar de problemas relacionados ao uso de criptografia para proteção de dados confidenciais, incluindo:

  • Os tipos de informações que devem ser criptografados.

  • Os tipos de equipamentos de computação que devem usar criptografia (por exemplo, computadores desktop, laptops, etc.).

  • As soluções de criptografia de dados compatíveis (por exemplo, EFS e BitLocker).

  • Que problemas a criptografia soluciona e não soluciona.

  • Como as chaves e senhas de recuperação devem e não devem ser armazenadas.

  • Quem é o responsável pelo armazenamento de chaves e senhas de recuperação e possui acesso a elas.

  • O que os usuários podem e devem fazer para assegurar o uso apropriado da criptografia.

  • Quais são as responsabilidades dos usuários quanto à manutenção de senhas de recuperação em seus computadores.

  • Problemas potenciais (por exemplo, perda de dados) relacionados à criptografia.

  • Quais são os procedimentos que os usuários devem seguir para criptografar arquivos.

  • Quem é o responsável pela recuperação de dados criptografados e como os usuários podem iniciar uma recuperação.

  • Como os usuários podem obter suporte a problemas de criptografia.

Use seus canais de treinamento convencionais para compartilhar informações sobre criptografia com usuários, incluindo fontes online e impressas, com lições práticas e aulas, conforme necessário. Esta iniciativa pode ser conduzida em paralelo com o resto do seu processo de implantação.

Planejamento de implementação do Active Directory e Diretiva de Grupo

O resultado dos procedimentos de planejamento anteriores descreve até que ponto o Active Directory será usado para ajudar a gerenciar o ambiente do BitLocker. Entre as possibilidades, incluem-se:

  • Usar o Active Directory para armazenar TPM e senhas de recuperação.

  • Gerenciar definições e configurações para o BitLocker usando Diretiva de grupo.

Planejamento de armazenamento de senhas de recuperação no Active Directory

Como discutido anteriormente na seção "Planejar recuperação de dados", o uso do Active Directory para armazenar senhas de recuperação requer uma extensão do esquema do Active Directory. A implementação dessa extensão é um passo significativo e deve ser planejado muito bem antes da implantação do BitLocker, a fim de garantir que a extensão do esquema seja bem-sucedida e que o ambiente se estabilize corretamente.

O processo de planejamento das ações do Active Directory no BitLocker também deve incluir debates e decisões sobre quem serão nomeados operadores de recuperação de chave e dados. Um ponto importante a ser considerado é se a função de operador de recuperação será separada das funções de administrador de domínio e de empresa. Algumas organizações com requisitos estritos de segregação de tarefas são forçadas a separar essas funções, e outras organizações (possivelmente menores) vão querer permitir que os administradores de domínio desempenhem tarefas de recuperação de dados e chaves pelo simples fato de que esses funcionários já estão treinados em tarefas técnicas complexas de gerenciar o Active Directory.

Controlando o recurso Criptografia de Unidade de Disco BitLocker com Diretiva de Grupo

Os procedimentos de planejamento anteriores determinaram quais opções de Diretiva de Grupo relacionadas ao BitLocker serão usadas. As opções de Diretiva de Grupo a serem planejadas são:

  • Como o TPM e senhas de recuperação são armazenados no Active Directory.

  • Quais mecanismos de recuperação são desabilitados ou habilitados.

  • As configurações padrão do BitLocker quanto ao nível de segurança e comprimento da codificação.

Planejamento de EFS (Sistema de arquivos com criptografia)

Os procedimentos a seguir devem ser usados para concluir um plano de implantação do EFS:

  1. Conhecer as opções de implantação do EFS

  2. Avaliar a prontidão do EFS

  3. Determinar o escopo da implantação do EFS

  4. Escolher configuração do EFS

  5. Planejar recuperação de chaves e dados

  6. Planejar gerenciabilidade

  7. Planejar utilização prática

  8. Planejar implementação do Active Directory e Diretiva de Grupo

Conhecer as opções de implantação do EFS

O EFS é um atenuante eficaz das várias ameaças à segurança. Para entender quais ameaças o EFS atenua e quais ameaças adicionais podem ser atenuadas pelo BitLocker e EFS juntos, é necessário conhecer o modelo de segurança do EFS e as opções de implantação que ele suporta. O documento Análise de Segurança incluído neste Toolkit descreve uma série de riscos e explica como o EFS os atenua. Você deve se familiarizar com o conteúdo desse documento antes de continuar com seu processo de planejamento.

Avalie a prontidão do EFS

Antes de criar um plano de implementação de EFS, você deverá avaliar a prontidão de sua organização para implantar e usar EFS.

Cc162806.note(pt-br,TechNet.10).gif Observação:

Você pode simplificar bastante seus planos de implantação do EFS se usar o recurso de credencial móvel do Active Directory. Para obter mais informações, consulte a página Entendendo as credenciais móveis no Microsoft TechNet.

Requisitos de hardware e software

O EFS não requer hardware especial além de um computador capaz de executar uma versão do sistema operacional Windows compatível com EFS. As informações específicas sobre o uso do EFS em qualquer sistema operacional diferente do Windows XP Professional ou das versões Business, Enterprise ou Ultimate do Windows Vista estão além do escopo deste guia.

Requisitos adicionais

Além dos requisitos de hardware e software listados anteriormente, o EFS requer o seguinte:

  • Todos os computadores participantes devem executar o Windows XP ou Windows Vista.

  • Os arquivos e pastas que você deseja criptografar devem estar armazenados em volumes formatados com NTFS.

  • Os usuários que criptografam arquivos devem ter direitos de permitir-modificar do NTFS no arquivo ou pasta que estiverem criptografando.

  • Os aplicativos que abrem e modificam arquivos protegidos pelo EFS devem ser considerados compatíveis com EFS. Normalmente, os aplicativos do Microsoft Win32® têm compatibilidade com EFS. A maioria dos problemas de compatibilidade ocorre com aplicativos herdados de 16 bits, apesar de que os aplicativos que acessam o sistema de arquivos de maneiras especiais (incluindo pacotes antivírus, aplicativos de backup e desfragmentadores) merecem atenção especial.

Determine o escopo da implantação do EFS

O planejamento para implantação do EFS envolve decisões relativas à designação de computadores e usuários que irão usar o EFS, bem como que tipo de dados deverá ser protegido com EFS em cada computador. Como o EFS pode ser usado na maioria dos computadores com um sistema operacional Windows, um processo analítico que primeiro determine quais dados devem ser protegidos e depois identifique quais usuários e quais computadores retêm cópias desses dados pode definir plenamente o escopo de uma implantação de EFS.

Analise as seguintes perguntas para ajudá-lo a identificar quais dados você precisa proteger:

  • Se esses dados forem corrompidos ou alterados, intencional ou acidentalmente, qual será o grau de esforço necessário para recuperá-los ou recriá-los?

  • Se os dados não puderem ser recuperados ou recriados, quais serão as implicações financeiras na organização?

  • Se os dados forem expostos ou divulgados indevidamente, eles causarão constrangimento à organização?

  • Qual seria o custo da exposição desses dados ao público?

  • A exposição desses dados será tão desastrosa ou tão constrangedora quanto a exposição do conteúdo em si?

  • Se esses dados forem adquiridos à surdina por um invasor hostil, como eles seriam usados para atrapalhar, constranger, lograr, defraudar ou, de outra forma, denegrir a empresa?

  • Qual seria o custo desses cenários para a organização?

Entre os exemplos de dados que deveriam ser criptografados, incluem-se:

  • Contratos, negociações, RFPs, RFQs e cotações, gerados por clientes ou por fornecedores.

  • Lista de preços, documentos de descontos ou outras informações relacionadas a preços.

  • Informações de contato de funcionários e clientes existentes e potenciais.

  • Minutas e apresentações de reuniões.

  • Memorandos e manuais de diretivas.

  • Projetos e configurações.

  • Pesquisa e análise de concorrentes.

  • Dados protegidos legalmente (por exemplo, informações que possam revelar a identidade de clientes).

O intuito dessa lista é estimular os hábitos de conscientização da segurança; não é uma lista abrangente.

Arquivos e pastas que não podem ser criptografados usando EFS

Muitos arquivos e pastas não podem ser criptografados usando EFS, independentemente das permissões do usuário. Para proteger o usuário contra um estado inoperável, o Windows impede, especificamente, a criptografia de itens críticos que não devem ser criptografados. Entre esses arquivos e pastas, incluem-se:

  • Arquivos de inicialização críticos do sistema dentro da pasta raiz

  • %Windir% e os objetos filhos

  • Arquivos referentes a perfis de usuários (ou seja, Ntuser.*)

  • %APPDATA%

  • \Boot (no Windows Vista)

  • \$Recycle.Bin

  • Qualquer arquivo ou pasta marcado com o atributo Sistema

  • Arquivos de hibernação

Cc162806.note(pt-br,TechNet.10).gif Observação:

Algumas dessas pastas permitirão a criptografia de alguns dos arquivos nelas contidos (apenas arquivos não críticos).

A maioria dos arquivos e pastas que não podem ser criptografados pelo EFS é categoricamente impedida de ser criptografada, a fim de proteger o usuário e o computador participante. Por exemplo, as chaves particulares de criptografia por EFS do usuário são armazenadas no perfil do usuário. Se o usuário conseguisse criptografar seu perfil de usuário, o Windows não teria como obter a chave de criptografia para descriptografá-lo. Conseqüentemente, o Windows impede que os usuários criptografem esses arquivos.

Cc162806.note(pt-br,TechNet.10).gif Observação:

Você pode usar BitLocker para criptografar os arquivos críticos do sistema antes da inicialização.

O Windows Vista permite-lhe criptografar alguns arquivos e pastas críticos que não podiam ser criptografados em versões mais antigas do Windows, inclusive o arquivo de paginação do sistema (pagefile.sys).

Arquivos e pastas que não devem ser criptografados

Existem outros tipos de arquivos e pastas que os usuários não devem criptografar, mesmo se o sistema operacional permitir. Alguns exemplos seriam:

  • Arquivos que serão compartilhados (a menos que o compartilhamento EFS esteja habilitado).

  • A pasta \Arquivos de Programas e suas subpastas.

  • Bancos de dados compartilhados, inclusive os bancos de dados do Microsoft Exchange Server.

  • Arquivos criados em um computador para uso ou processamento em outro (a menos que o compartilhamento EFS esteja habilitado).

Cc162806.note(pt-br,TechNet.10).gif Observação:

Arquivos de bancos de dados compartilhados não devem ser criptografados para que possam ser acessados por todos os usuários e pelo programa de banco de dados. Os arquivos de bancos de dados são melhor protegidos usando a criptografia específica a campo/atributo.

Identificar dados e locais de dados

Um cenário comum do EFS envolve a proteção de texto, gráficos, planilhas e documentos de apresentações criados por produtos como os da suíte Microsoft Office. Uma pesquisa deve ser realizada para determinar se todos os usuários em sua organização usam o local padrão para tais documentos. Se for esse o caso, planeje a criptografia dessa pasta inteira em cada computador a ser protegido.

Além disso, a pasta %TEMP% deve ser criptografada para proteger os arquivos de aplicativos temporários que possam ter sido criados nela.

Outros aplicativos que interagem com dados confidenciais devem ser examinados para determinar onde os dados criados por eles estão armazenados.

Depois que os locais de todos os dados confidenciais e de aplicativos padrão forem identificados, uma diretiva deverá ser escrita para informar os usuários sobre como habilitar a criptografia nessas pastas. Um plano para configurar e implantar automação de diretiva para habilitar criptografia automaticamente também deve ser desenvolvido.

Estruturas de diretório de criptografia comuns

Provavelmente você ficará surpreso quando descobrir onde os usuários armazenam arquivos de dados confidenciais no momento. O intuito principal dessa iniciativa não é especificar, por exemplo, que os usuários devem guardar documentos na pasta Meus Documentos\Confidencial, mas sim assegurar-se de que eles não os armazenem em diretórios que não podem ser criptografados, como no C:\ ou C:\WINDOWS.

Criar uma estrutura de diretórios comum para todos os laptops protegidos simplificará a manutenção. Obviamente, o método mais simples é traçar uma diretiva para manter todos os documentos na pasta Meus Documentos e criptografar a árvore inteira dessa pasta. Embora esse método possa ser suficiente para muitas organizações, algumas irão considerá-lo muito restritivo e definirão diretivas mais complexas e flexíveis.

Alguns aplicativos criam arquivos temporários ou de cache que podem conter dados confidenciais. Você poderá usar o EFS e a ferramenta Assistente do EFS que acompanham este guia para proteger os diretórios que contiverem esses arquivos. Todavia, você precisará testar seus aplicativos para assegurar-se de que eles funcionarão corretamente quando seus diretórios temporários ou de cache forem criptografados.

Escolha opções de configuração do EFS

Quando o escopo da implantação do EFS for determinado, a próxima etapa do processo de planejamento do EFS é escolher as opções e configurações de EFS para os computadores de sua organização. As opções que devem ser consideradas e planejadas são:

  • Optar entre certificados auto-assinados ou certificados emitidos pela autoridade de certificação.

  • Decidir se cartões inteligentes serão usados para o certificado EFS.

  • Escolher codificações de criptografia e tamanhos de chave.

  • Capacidade de impedir que o EFS use certificados auto-assinados quando nenhuma autoridade de certificação estiver presente.

Cc162806.note(pt-br,TechNet.10).gif Observação:

Este recurso está incluído no Windows Vista. Para usá-lo no Windows XP, consulte o artigo 912761 (em inglês) da Microsoft Knowledge Base "O EFS gera um certificado auto-assinado quando você tenta criptografar um arquivo EFS em um computador com o Windows XP."

Os computadores baseados no Windows Vista oferecem várias opções adicionais, incluindo os seguintes recursos:

  • Criptografar o conteúdo da pasta de documentos do usuário

  • Exigir o uso de um cartão inteligente para o EFS

  • Usar o cartão inteligente diretamente para todos as operações de criptografia

  • Habilitar a criptografia de arquivo de paginação

  • Exibir notificações de backup importantes quando uma chave de usuário é criada ou alterada

Como algumas das opções de configuração só são possíveis no Windows Vista, talvez você precise planejar uma migração do sistema operacional baseada nos requisitos de segurança de uma parte da organização.

Escolhendo uma estratégia de certificado digital

Os certificados digitais do EFS podem ser auto-assinados ou emitidos por uma Autoridade de Certificação confiável. Na primeira vez que um usuário tentar criptografar um arquivo ou uma pasta usando o EFS, o Windows verificará se o arquivo ou pasta tem um certificado e uma chave que possam ser usados. Se não, o Windows tentará contatar uma Autoridade de Certificação emissora para obter um certificado e uma chave. Se isso não der certo, o Windows criará um certificado auto-assinado para o usuário. Um certificado auto-assinado é aquele cujo certificado digital não tem uma autoridade de autenticação confiável de nível superior reconhecendo sua autenticidade. Geralmente, os certificados digitais auto-assinados não devem ser considerados válidos externamente por outros fornecedores. Contudo, os certificados auto-assinados normalmente são apropriados para aplicativos internos, como o EFS.

Em geral, os certificados digitais para EFS auto-assinados são mais fáceis de implementar no início e mais difíceis de gerenciar em termos operacionais. Devem-se optar por certificados emitidos pela autoridade de certificação se os serviços de PKI apropriados já estiverem implementados.

Cc162806.note(pt-br,TechNet.10).gif Observação:

As empresas sem uma plataforma com PKI devem pensar seriamente em implementar os Serviços de certificados antes de habilitar e usar o EFS. Os Serviços de certificados estão disponíveis no Microsoft Windows 2000 Server e em produtos de servidor posteriores. Os benefícios do gerenciamento do ciclo de vida do certificado digital para EFS e da automação de uma solução de recuperação resultarão em menos esforços e menor custo.

Pode ser usada uma Diretiva de Grupo ou Diretiva de Computador Local para permitir ou impedir que um computador gere um certificado auto-assinado quando uma Autoridade de Certificação participante não estiver presente. Esta opção é discutida na próxima seção.

Os administradores devem analisar as vantagens e desvantagens de cada método de certificação digital e tomar uma decisão fundamentada quanto ao uso de uma ou outra solução. Pode ser complicado alterar o método de cadeia de confiança do certificado digital do EFS depois de implementar o EFS.

Vantagens e desvantagens dos certificados auto-assinados

Os certificados auto-assinados são o modo mais fácil de estabelecer uma infra-estrutura de EFS funcional. Os certificados auto-assinados serão emitidos de forma automática aos clientes do EFS se nenhuma Autoridade de Certificação de PKI participante e compatível for detectada. A criação e instalação de certificados auto-assinados é rápida e transparente ao usuário participante. Por padrão, os certificados auto-assinados têm validade de 100 anos.

Todavia, os certificados auto-assinados apresentam algumas desvantagens significativas, entre elas:

  • O período de validade longo dos certificados auto-assinados pode torná-los mais vulneráveis a violações.

  • Mais empenho é exigido para revogar certificados digitais auto-assinados, visto que é necessário revogá-los em cada computador em vez de em uma Autoridade de Certificação centralizada.

  • É mais difícil compartilhar arquivos criptografados. Como os certificados auto-assinados não são publicados no Active Directory, eles não são acessíveis por outros computadores a menos que sejam movidos manualmente.

  • Mais empenho é exigido para automatizar o arquivamento de chaves porque não existe um local centralizado no qual arquivar chaves.

Vantagens e desvantagens de certificados EFS de uma Autoridade de Certificação

A emissão de certificados EFS de uma Autoridade de Certificação centralizada apresenta algumas vantagens convincentes. Este método oferece gerenciamento centralizado de certificados digitais e reduz o risco à segurança porque os certificados digitais gerados têm um período de validade menor. As tarefas de renovação, revogação e arquivamento são mais fáceis de automatizar porque o material de chaves e certificados permanece acessível através da Autoridade de Certificação. Você também pode definir vários parâmetros para o certificado modificando o modelo do certificado. Além disso, você pode publicar os certificados no Active Directory para que os usuários localizem com mais facilidade os certificados de outros usuários para compartilhar arquivos criptografados com o EFS.

Todavia, os certificados EFS emitidos pela Autoridade de Certificação têm suas desvantagens. Em primeiro lugar, você deve implementar uma Autoridade de Certificação compatível com EFS antes de implantar o EFS. Em segundo lugar, o período de validade menor dos certificados emitidos pela Autoridade de Certificação podem exigir rechaveamento mais freqüente dos certificados. Acima de tudo, os computadores com Windows emitem seus próprios certificados EFS auto-assinados se eles não podem contatar uma Autoridade de Certificação participante. Esse recurso pode gerar um ambiente misto de certificados assinados pela Autoridade de Certificação e auto-assinados, o que complica o gerenciamento de certificados digitais EFS. Você pode encontrar uma solução alternativa para esse problema configurando uma Diretiva de Grupo para desabilitar o uso de certificados auto-assinados para EFS ou desabilitando o EFS completamente até implementar os serviços da Autoridade de Certificação necessários.

Se você tiver intenção de usar registro automático para emitir certificados clientes para serem usados com o EFS, leia com atenção a seção "Planejamento de implementação do Active Directory e Diretiva de Grupo", mais adiante neste capítulo, para garantir que a infra-estrutura do Active Directory seja compatível com registro automático (o que requer pelo menos um controlador de domínio do Windows Server 2003 em sua floresta).

EFS e cartões inteligentes

O Windows XP e Windows Vista oferecem suporte ao uso de cartões inteligentes com o EFS. Como descrito no guia Análise de Segurança, quando você usa cartões inteligentes com o EFS, você ajuda a atenuar o risco de um invasor obter uma senha de usuário e usá-la para fazer logon em um computador e recuperar arquivos protegidos pelo EFS — um dos principais riscos para o EFS. Exigir o uso de cartões inteligentes com o EFS ajuda a aumentar a proteção de forma eficiente, mas a maneira de exigir o uso de cartão inteligente com o EFS difere no Windows XP e Windows Vista.

No Windows XP, o cartão inteligente pode ser requerido para logon. Opcionalmente, ele pode ser requerido para desbloquear uma área de trabalho inativa ou bloqueada. Em tal cenário, a proteção adicional para chaves EFS se dá devido à presença obrigatória do cartão inteligente, o que é a única forma de desbloquear as chaves EFS e usá-las nos arquivos.

No Windows Vista, o cartão inteligente pode ser requerido para logon e desbloqueamento. Todavia, é possível também exigir que o cartão esteja presente toda vez que um arquivo protegido pelo EFS for criptografado ou descriptografado. Por padrão, o Windows Vista extrai uma chave criptográfica e a armazena para uso em operações do EFS. Para maior segurança, o Windows Vista pode usar cartão inteligente em vez de chave para cada operação de criptografia. Contudo, esse método é menos prático para os usuários e muito mais lento do que o modo de chave armazenada em cache; por isso, ele pode não ser útil em alguns ambientes.

Cc162806.note(pt-br,TechNet.10).gif Observação:

Para obter mais detalhes sobre os modos de EFS compatíveis no Windows Vista e no Windows XP, consulte o "Capítulo 3: EFS (Sistema de arquivos com criptografia) nesta Análise de Segurança.

Vantagens dos cartões inteligentes

Os cartões inteligentes foram projetados para oferecer segurança criptográfica reforçada em um pacote de segurança físico e portátil. Um cartão inteligente aumenta a segurança porque descarrega assinatura, verificação, criptografia e descriptografia do computador host para ele próprio. As chaves criptográficas são armazenadas com segurança no cartão inteligente e são consideradas protegidas, de uma maneira geral, contra todos os invasores, inclusive os mais sofisticados e equipados. Os certificados associados a um cartão inteligente podem ser usados para uma variedade de aperfeiçoamentos de segurança, incluindo proteção S/MIME para email, autenticação baseada em certificado para aplicativos da Web e acesso remoto, além de logon mais seguro na área de trabalho. Requerer o uso de cartões inteligentes força essencialmente o uso de autenticação de dois fatores, já que qualquer usuário que desejar se autenticar deverá ter o cartão e a senha secreta associada a ele ou um PIN. Além disso, não é necessário configurar sistemas de credenciais móveis, já que as credenciais de cada usuário são armazenadas no cartão.

Desvantagens dos cartões inteligentes

Os cartões inteligentes têm vários pontos fracos notáveis. Primeiro, eles requerem sua implantação juntamente com leitores, o que pode ser extremamente dispendioso para algumas organizações. A emissão do certificado de cartões e o mecanismo de controle devem ser integrados a uma PKI, o que pode aumentar o custo e a complexidade das implantações de cartões inteligentes. As organizações que requerem cartões inteligentes também devem implementar procedimentos para emitir e controlar os cartões, uma atividade relacionada à segurança que deve ser cuidadosamente gerenciada para evitar vulnerabilidades. O Identity Lifecycle Manager 2007 (ILM 2007) da Microsoft pode ser implantado para ajudar a simplificar o processo de implantação de cartão inteligente.

Escolhendo uma codificação de criptografia

O EFS pode ser implementado com uma variedade de codificações e restrições de chave. É importante entender que o tipo de codificação e a restrição de chave podem ser escolhidos em dois objetos EFS diferentes: a chave pessoal assimétrica do EFS do usuário e a chave de criptografia de arquivos simétrica compartilhada de um arquivo (FEK). Cada arquivo protegido pelo EFS possui uma única FEK simétrica. Os dados de arquivo em cada arquivo protegido pelo EFS são criptografados com a FEK do arquivo.

Cada usuário autorizado (ou agente de recuperação) recebe uma cópia da FEK do arquivo, que é criptografada com a chave pública no certificado EFS do usuário (e só pode então ser descriptografada pela chave particular correspondente do usuário). Quando o usuário precisa acessar um arquivo protegido pelo EFS, a chave de criptografia do EFS assimétrica, particular e pessoal do usuário é usada para descriptografar a cópia criptografada do usuário da FEK do arquivo. A FEK simétrica não criptografada é então usada para descriptografar o arquivo protegido pelo EFS. É importante entender a diferença entre os dois tipos de chave EFS ao decidir o tipo de codificação e restrição de chave.

Codificações suportadas

As codificações de algoritmo de criptografia da FEK são, na ordem da menos segura à mais segura:

  • Padrão de Criptografia de Dados (DES)

  • Padrão de Criptografia de Dados Expandido (DESX)

  • Padrão de Criptografia de Dados Triplo (3DES)

  • Padrão Avançado de Criptografia (AES)

O Windows Vista, Windows XP Professional (SP1 e posterior) e Windows Server 2003 usam a codificação AES de alta segurança por padrão. As versões anteriores do Windows XP Professional usam a codificação DESX por padrão, mas essa pode ser mudada para a codificação 3DES mais segura. Para isso, a opção que determina usar a diretiva de algoritmos compatíveis com o FIPS para criptografia, hash e assinatura deve ser ativada na Diretiva de Grupo, na Diretiva de Computador Local ou editando o Registro diretamente. O Windows 2000 usa as codificações DES ou DESX para o EFS. A DESX é automaticamente usada para qualquer versão do Windows 2000 SP1 ou posterior.

Se a opção do FIPS estiver ativada no Windows XP Professional SP1 (ou em versões posteriores) ou no Windows Server 2003, ela alterará a proteção criptográfica de AES para 3DES. Contudo, se esta opção estiver ativada, os servidores IIS e os clientes do Microsoft Internet Explorer® terão que usar o protocolo TLS em vez do protocolo SSL menos seguro para transações seguras da Web. É possível também exigir o protocolo TLS mais seguro no nível de servidor, sem ativar a segurança do FIPS e reduzindo a segurança da chave simétrica em clientes herdados baseados no Windows XP.

O algoritmo de codificação assimétrico usado para criptografar as FEKs é o RSA, tanto para as chaves auto-assinadas como para as chaves emitidas pela autoridade de certificação baseada na Microsoft.

Cc162806.note(pt-br,TechNet.10).gif Observação:

O algoritmo padrão usado é sempre a codificação mais segura disponível na ocasião. Cada versão é capaz de lidar com todas as codificações suportadas pelas versões anteriores. A Microsoft recomenda que você não mude as configurações de codificação do EFS, a menos que isso seja exigido para atender às necessidades de regulamentação ou conformidade.

Tamanhos de chave EFS

O Windows XP e Windows Vista permitem flexibilidade quanto aos tamanhos de chave de codificação FEK do arquivo e assimétrica de usuário, embora exista menos flexibilidade no tamanho de chave FEK. A escolha do algoritmo de codificação da FEK determina a restrição de chave simétrica FEK. O uso de tamanhos maiores de chave pode proporcionar maior proteção do EFS, mas em compensação pode reduzir o desempenho, dependendo do algoritmo usado.

Tamanhos de chave assimétrica de usuário

Em geral, os tamanhos de chave assimétrica podem variar de 1.024 a 16.384 bits. Normalmente, os tamanhos de chave são: 1.024, 2.048, 4.096, 8.192 e 16.384 bits. No Windows Vista, o tamanho de chave padrão é 2.048 bits, que é segura o suficiente para quase todas as aplicações do EFS. A Microsoft recomenda enfaticamente manter esse tamanho de chave padrão em novas implantações do EFS. As versões anteriores do Windows usam um tamanho de chave padrão de 1.024 bits.

Tamanhos de FEK simétricas

Normalmente, as codificações de FEK simétricas do EFS variam de 56 bits em versões anteriores do Windows a AES de 256 bits no Windows Vista. O Windows 2000 usa chaves DESX de 128 bits quando o High Encryption Pack ou SP1 ou posterior está instalado; caso contrário, uma chave de 56 bits é usada. O Windows XP SP 1 (ou posterior) e o Windows Server 2003 usam AES de 256 bits por padrão. Antes do SP1, o Windows XP usava DESX mas podia ser configurado para usar 3DES de 168 bits.

De maneira geral, a maioria dos usuários está bem servida porque as codificações de FEK do EFS podem ser usadas. Todavia, em vez disso, algumas organizações requerem o uso de codificações de criptografia mais antigas ou tamanhos de chave personalizados.

EFS e Windows Vista

O Windows Vista oferece alguns aperfeiçoamentos significativos no EFS. Você deve analisar onde e como implantar o Windows Vista para fazer uso apropriado desses aperfeiçoamentos, que incluem:

  • Capacidade de exigir cartão inteligente do usuário para o EFS. Esta funcionalidade proporciona benefícios de segurança e gerenciabilidade significativos, uma vez que o EFS pode ser gerenciado com o processo existente usado para gerenciar cartões inteligentes.

  • Capacidade de usar o cartão inteligente diretamente em todas as operações criptográficas (conhecida como modo sem cache) ou de permitir que o Windows armazene uma chave criptográfica derivada (conhecida como modo em cache). Esses modos, que estão descritos na íntegra no "Capítulo 3: Sistema de arquivos com criptografia" no guia Análise de Segurança, permitem-lhe balancear a segurança, o desempenho e o conforto do usuário.

  • Capacidade de criptografar o arquivo de paginação do sistema. Esta funcionalidade ajuda a proteger contra divulgação acidental de informações confidenciais impedindo que um invasor inspecione o arquivo de paginação enquanto o Windows não estiver em execução.

  • Capacidade de lembrar os usuários de fazer backup de suas chaves quando atualizarem chaves existentes ou criarem novas.

  • Capacidade de impedir que os usuários criem seus próprios certificados auto-assinados para usar com o EFS quando não houver Autoridade de Certificação disponível. Esta funcionalidade permite-lhe restringir o uso do EFS fora da sua infra-estrutura de chave pública.

Se esses recursos são importantes para sua organização, convém analisar como você pode coordenar a implantação do EFS com a implantação do Windows Vista. O assistente de implantação do Windows permite-lhe habilitar o BitLocker como parte de uma implantação Lite Touch. Para obter um recurso equivalente ao EFS, ative o registro automático para certificados de usuários, depois instale o Assistente do EFS (como parte da imagem do Windows Vista ou através de outros meios) para que os arquivos confidenciais possam ser automaticamente protegidos.

EFS e compartilhamento de arquivos

Começando pelo Windows XP Professional, os arquivos e pastas protegidos pelo EFS podem ser compartilhadas com usuários adicionais. O primeiro usuário (ou um agente de recuperação de dados EFS) a criptografar um arquivo ou pasta deve acrescentar usuários adicionais ao arquivo ou à pasta. Os usuários adicionais já devem ter certificados digitais EFS válidos.

Outros usuários que tiverem permissões para gravar, excluir ou modificar talvez possam modificar ou excluir os arquivos e pastas protegidos pelo EFS, mesmo se eles não tiverem a capacidade de criptografar ou descriptografar esses mesmos arquivos ou pastas. O EFS protege a confidencialidade (ou seja, os usuários não autorizados não podem ler, exibir ou imprimir arquivos protegidos), mas eles ainda podem manipular o arquivo sem exibir ou ler seu conteúdo. Se a capacidade de compartilhar arquivos entre vários usuários for importante, você deverá assegurar-se de que as diretivas da empresa sejam claras sobre quem será o responsável por criptografar arquivos, quem terá permissão para lê-los e quem terá autoridade para adicionar ou remover usuários compartilhados para arquivos criptografados.

Planejamento de recuperação de chaves e dados

As organizações que optarem por implantar o EFS terão que planejar cuidadosamente a recuperação de dados em certas situações como, por exemplo, quando um usuário deixar a organização, quando ele não conseguir acessar sua área de trabalho ou quando o certificado e chaves de EFS forem corrompidos. As tarefas de planejamento mais importantes para recuperação de dados do EFS estão documentadas na seção sobre proteção e recuperação de dados no Windows XP/Visão geral de recuperação da documentação do Windows XP. Essa seção fornece orientação adicional sobre os problemas que você deve levar em conta durante o planejamento.

EFS é uma solução de criptografia de arquivos segura. Se as chaves de criptografia usadas para descriptografar os arquivos protegidos ficarem indisponíveis, é possível que os arquivos protegidos também fiquem indisponíveis. Se não existir um backup dos dados em um formato não criptografado, ou se o método de recuperação da criptografia não for implantado, os arquivos protegidos poderão ficar permanentemente indisponíveis.

Como discutido anteriormente neste guia, o EFS usa uma combinação de algoritmos de chave simétrica e assimétrica (pública/particular) para proteger os dados. Em um cenário típico, uma chave de criptografia de arquivo simétrica (FEK) é gerada e, então, criptografada usando a chave pública de um certificado X.509. Existem dois métodos diferentes para uma estratégia de backup de dados criptografados pelo EFS:

  • Criar backups das chaves particulares associadas ao certificado X.509. Este método é normalmente chamado de chave de recuperação porque ele enfatiza a proteção do material da chave como um meio de preservar o acesso a arquivos protegidos.

  • Criar cópias adicionais criptografadas da FEK copiadas com outros tipos de certificados. Este método é chamado de recuperação de dados porque ele permite recuperar dados mesmo se a chave ou certificado originais forem perdidos.

Recuperação de chave

A recuperação de chave significa que a porção da chave particular de um par de chaves públicas-particulares pode ser arquivada e recuperada se for necessário. Se a cópia da chave particular de usuário for perdida ou corrompida, independentemente de ter sido armazenada em cartão inteligente ou em um computador local, a chave poderá ser recuperada do local do backup. Depois que uma chave é recuperada, qualquer dado (ou melhor, qualquer chave simétrica criptografada, como uma FEK) pode ser descriptografada. No Windows, esse recurso é fornecido de duas maneiras: usando os agentes de recuperação de chaves ou arquivamento manual de chaves.

Usando um agente de recuperação de chaves

Se forem usados os Serviços de Certificado ou outra Autoridade de Certificação compatível, um agente de recuperação de chaves (KRA) pode ser usado para realizar a recuperação de arquivos. A Autoridade de Certificação emissora pode arquivar automaticamente os certificados digitais EFS à medida que os emite, e o KRA pode ser usado para recuperar chaves EFS perdidas desse arquivamento. A diferença operacional principal entre um agente de recuperação de dados (DRA) do EFS e um agente de recuperação de chaves (KRA) é que os DRAs do EFS têm pleno acesso a todos os arquivos participantes protegidos pelo EFS, ao passo que os KRAs só podem recuperar cópias armazenadas de chaves de outras pessoas. Os KRAs também podem participar de eventos de recuperação de chaves de certificado digital além do EFS.

O arquivamento automático de chaves é feito como parte do processo de registro de certificado, se os modelos de certificado estiverem configurados para requerer arquivamento de chaves. Se esse for o caso, a chave particular será enviada para a Autoridade de Certificação como parte da solicitação de certificado, e a chave particular será automaticamente arquivada pela Autoridade de Certificação.

Para obter mais informações sobre o planejamento e implementação de um mecanismo de arquivamento e recuperação de chaves, consulte a publicação técnica Key Archival and Management in Windows Server 2003 (pode estar em inglês)

Arquivamento manual de chaves

Se a implantação do EFS conta com certificados auto-assinados, o arquivamento manual de chaves é a única forma de fazer backup de chave particular necessária para descriptografar a FEK. Por padrão, todos os usuários do EFS podem fazer um backup de seus certificados digitais EFS e da chave particular de descriptografia do EFS. O Windows Vista solicita que os usuários façam backup de suas chaves toda vez que elas são criadas ou alteradas. Todas as versões do Windows posteriores à versão Windows 2000 permitem que os usuários façam backup manualmente de suas chaves EFS, usando dois ou mais métodos. Caso sua diretiva de segurança permita, os usuários devem fazer backup de suas chaves EFS e armazená-las em dois ou mais locais separados usando uma mídia de armazenamento confiável.

Com o arquivamento manual de chaves, os usuários exportam manualmente as chaves particulares e as enviam para um administrador de Autoridade de Certificação que, por sua vez, as importa para um banco de dados de Autoridade de Certificação protegido.

Este método permite que os usuários se responsabilizem por suas próprias chaves de recuperação. Todavia, é difícil monitorar e regular esse método em organizações de grande porte, uma vez que não existe uma forma confiável de determinar se um usuário arquivou ou não uma chave EFS, o que pode ser importante à conformidade da diretiva aplicada.

Recuperação de dados

A recuperação é de certa forma um processo diferente que não envolve o arquivamento das chaves associadas a nenhum certificado X.509 específico. Em vez disso, esse processo cria caminhos redundantes para acessar um arquivo criptografado criando KEFs criptografadas adicionais, cada qual criptografada com a chave pública de um certificado X.509 diferente. As chaves adicionais criadas pelo processo são chamadas de agentes de recuperação de dados.

Quando qualquer arquivo é criptografado, o Windows cria automaticamente uma cópia da FEK do arquivo e a criptografa com a chave EFS pública do agente de recuperação de dados (DRA). Esta funcionalidade significa que um DRA pode descriptografar qualquer arquivo protegido pelo EFS.

A vantagem principal de um DRA é que cada arquivo protegido pelo EFS possui automaticamente uma cópia da FEK do arquivo criada por padrão. Ele não requer que um usuário faça chaves de backup manualmente. A maior desvantagem é que se a conta de usuário do DRA for violada, o invasor poderá acessar os arquivos protegidos pelo EFS.

Cc162806.note(pt-br,TechNet.10).gif Observação:

É recomendável usar métodos que proporcionam maior segurança para proteger as contas de usuário de um DRA. Além disso, a chave de recuperação EFS do agente de recuperação pode ser exportada e armazenada externamente para impedir uma violação ao EFS se a conta do agente for violada. A chave de recuperação EFS pode ser importada no futuro, se necessário.

Ao implementar recuperação de dados e agentes de recuperação de dados, cada chave de criptografia do arquivo criptografado é criptografada usando a chave pública do DRA além da chave pública do usuário. Ao usar a chave particular associada, qualquer DRA designado pode descriptografar qualquer arquivo criptografado dentro do escopo da diretiva de recuperação do EFS.

Definindo uma diretiva de recuperação

A diretiva de recuperação define quem tem permissão para recuperar os dados e sob que circunstâncias as recuperações podem ser realizadas, além de ser um elemento essencial em seu planejamento de EFS. Sua diretiva deve definir:

  • Quais usuários ou funções têm permissões para recuperar seus próprios dados.

  • Quais usuários ou funções têm permissões para recuperar dados de outros usuários.

  • Quais controles empresariais ou regulamentais se aplicam à recuperação de dados.

  • Como você controlará o uso de ferramentas de recuperação de dados para certificar-se de que estejam sendo usadas corretamente.

  • Como os materiais de senha de recuperação serão coletados, armazenados e protegidos.

  • Quais estações de trabalho ou recursos podem ser usados para realizar operações de recuperação.

A Microsoft recomenda, sempre que possível, escolher uma das duas práticas recomendadas para sua diretiva de recuperação. O método de recuperação preferido é emitir um certificado DRA em um cartão inteligente, depois armazenar o cartão inteligente e seu PIN separadamente. Um computador com o Windows Vista pode usar esse cartão inteligente e o certificado associado para recuperar dados de qualquer cliente no domínio. Esta combinação oferece proteção segura de dois fatores para as credenciais do DRA, e você pode atribuir acesso separado ao cartão inteligente e ao PIN para garantir distinção de tarefas de recuperação.

Em ambientes em que isso não é viável, a Microsoft recomenda definir e configurar computadores separados usados somente para recuperação de dados. Esses computadores de recuperação devem ser fisicamente protegidos e ter medidas de segurança e de controle adicionais, na proporção do valor dos dados que possam ser recuperados.

Planejando a validade do DRA

Os agentes de recuperação de dados do EFS usam certificados que, como qualquer outro, têm prazo de validade. Todavia, os certificados convencionais são comumente usados para fornecer sigilo na transferência: eles protegem materiais que devem permanecer criptografados por um determinado período. Para preservar o sigilo na transferência, é necessário que a chave associada ao certificado tenha um prazo de validade para que ela possa ser rechaveada.

Os DRAs fornecem o oposto do sigilo na transferência: eles permitem a recuperação de dados com prazo vencido. Esta funcionalidade significa que um certificado DRA vencido ainda é útil para recuperar dados que foram criptografados durante o período de validade do certificado DRA. Para poder continuar recuperando dados independentemente de sua validade, você deve arquivar certificados DRA em uma mídia de armazenamento para que eles possam ser usados sempre que necessário.

Quando um certificado DRA expira, você pode reemiti-lo ou rechaveá-lo. Depois de fazer isso, o DRA pode ser usado para recuperar dados recém-criptografados. Todavia, você deve manter uma cópia do certificado DRA anterior para recuperar dados protegidos pelo DRA anterior. Quando você desenvolver procedimentos e diretivas para administrar o prazo de validade (ou impedir seu vencimento), leve em conta o seguinte:

  • Mesmo se um certificado DRA ativo tiver expirado (mesmo se o cliente tiver vários certificados DRA configurados), o Windows irá recusar a criptografia de arquivos novos. Esta funcionalidade significa que uma organização deve emitir novos certificados DRA e substituir os certificados prestes a expirar com bastante antecedência, visto que a latência da Diretiva de Grupo não permite que nenhum cliente tenha um certificado DRA vencido.

  • A substituição de certificados DRA (e as etapas subseqüentes, embora opcionais, requeridas para atualizar arquivos de clientes) é um processo de várias etapas, porém descomplicado.

  • Qualquer Objeto Diretiva de Grupo (GPO) que configure DRAs deve conter mais de um DRA. Este método fornece proteção redundante contra a perda de dados causada por perda de acesso a uma única chave particular DRA.

Determine o nível da diretiva de recuperação de dados

Uma diretiva de recuperação padrão é automaticamente aplicada ao domínio quando o administrador faz logon no controlador de domínio pela primeira vez, o que torna o administrador o agente de recuperação do domínio. O Windows XP, Windows Vista e Windows Server 2003 não requerem mais uma diretiva de recuperação vigente para criptografar arquivos.

A diretiva de recuperação padrão é configurada localmente em computadores autônomos. Em se tratando de computadores que fazem parte de um domínio com base no Active Directory, a diretiva de recuperação é configurada no site, no domínio, em uma unidade organizacional ou em cada computador e aplicada a todos os computadores que executam o Windows 2000, Windows Server 2003, Windows XP e Windows Vista dentro do escopo de influência definido. Os certificados de recuperação podem ser emitidos por uma Autoridade de Certificação e gerenciados com o snap-in de certificados Microsoft Management Console (MMC).

Em um ambiente de rede, o administrador de domínio controla a maneira como o EFS é implementado na diretiva de recuperação para todos os usuários e computadores no escopo de influência. Em uma instalação padrão do Active Directory, quando o primeiro controlador de domínio é configurado, o administrador de domínio é o agente de recuperação especificado para o domínio. A maneira como o administrador de domínio configura a diretiva de recuperação determina a maneira como o EFS é implementado para os usuários em seus computadores locais. Para mudar a diretiva de recuperação do domínio, o administrador do domínio usa o editor de Diretiva de Grupo em um computador cliente ou servidor conectado ao domínio. Em um computador autônomo (não associado a um domínio), o período de validade de um certificado DRA auto-assinado para conta de administrador é de 100 anos. Em um computador associado a um domínio, o certificado DRA padrão emitido para o administrador de domínio tem um período de validade de 3 anos.

Os administradores podem definir um dos três tipos de diretivas:

  • Diretiva de agente de recuperação. Quando um administrador adiciona um ou mais agentes de recuperação, uma diretiva de agente de recuperação entra em vigor. Esses agentes são responsáveis pela recuperação dos dados criptografados dentro do âmbito da administração. Uma diretiva de agente de recuperação é o tipo mais comum de diretiva de recuperação. As diretivas de agente de recuperação podem ser usadas para distribuir a carga de trabalho administrativo em sua organização, e você pode designar contas de recuperação EFS alternativas para categorias de computadores agrupados pelas unidades organizacionais. Você também poderá configurar as opções de agentes de recuperação de dados criptografados em computadores portáteis para que eles usem os mesmos certificados de agente de recuperação quando estiverem conectados ao domínio ou quando estiverem operando como computadores autônomos.

  • Diretiva de recuperação vazia. Quando um administrador exclui todos os agentes de recuperação e seus certificados de chave pública, uma diretiva de recuperação vazia entra em vigor. Uma diretiva de recuperação vazia significa que não existe um agente de recuperação. Se o sistema operacional cliente for o Windows 2000, o EFS será desabilitado nesta configuração. O cliente Windows XP permite que o EFS opere com uma diretiva de DRA vazia.

  • Diretiva de não-recuperação. Quando um administrador exclui as chaves particulares associadas a uma determinada diretiva de recuperação, uma diretiva de não-recuperação entra em vigor. Como não existe uma chave particular disponível, não é possível usar um agente de recuperação, conseqüentemente, a recuperação não será possível. Este tipo de diretiva seria útil para organizações com um ambiente misto dos clientes Windows 2000 e Windows XP que não desejam fazer recuperação de dados.

Embora o administrador de domínio seja o DRA padrão em um ambiente do Active Directory, esse recurso deve ser delegado ou atribuído a um ou mais usuários.

Escolhendo o mecanismo certo

As estratégias de recuperação de chaves e de dados podem ser usadas juntas ou separadas. Existem muitos problemas operacionais e de segurança a serem considerados. Mais informações adicionais podem ser encontradas na publicação técnica sobre arquivamento e gerenciamento de chaves no Windows Server 2003 (pode estar em inglês). É altamente recomendável consultar essas informações antes de optar por uma estratégia ou combinação de estratégias.

Planejamento de gerenciabilidade

Uma etapa importante no processo de planejamento do EFS é decidir como o EFS irá afetar os processos de gerenciamento de TI da organização. O EFS afeta os seguintes processos em execução encontrados em qualquer organização:

  • Integração com software de criação de imagens, de backup e antimalware

  • Planejamento de EFS e compartilhamento de arquivos

  • Descomissionamento de computadores

Integração com software de criação de imagens, de backup e antimalware

A maioria dos aplicativos de imagens, backup e antimalware de outros fornecedores foi projetada e testada para funcionar com o EFS. Conhecer as variedades de ferramentas desse tipo usadas por uma organização e depois testá-las com o EFS é uma etapa necessária do planejamento para garantir que os contratos de serviço da TI sejam cumpridos. O critério de teste deve incluir se os aplicativos funcionam corretamente com dados criptografados e se as ferramentas retêm ou não o status criptografado, dependendo dos requisitos da organização.

Copiando e movendo arquivos

Copiar e mover arquivos protegidos pelo EFS pode causar alterações no status de criptografia do arquivo. As regras gerais sobre como a cópia e movimentação de arquivos afetam a criptografia são:

  • Se você copiar um arquivo ou uma pasta no mesmo computador a partir de uma partição NTFS para outra partição NTFS, o arquivo ou a pasta será criptografado no destino.

  • Se você copiar um arquivo ou uma pasta de uma partição NTFS em um computador para outro tipo de partição, independentemente de as partições estarem ou não no mesmo computador, a cópia não será criptografada porque o sistema de arquivos de destino não aceita criptografia.

  • Se você copiar um arquivo ou uma pasta entre partições NTFS em dois computadores, o arquivo de destino será criptografado se o computador remoto permitir que o usuário criptografe os arquivos; caso contrário, eles não serão criptografados. Observe que o computador remoto deve ser confiável para delegação. Em um ambiente de domínio, a criptografia remota não é habilitada por padrão.

Os utilitários de manutenção que copiam arquivos por completo sem ler os dados desses arquivos devem funcionar como esperado. Por exemplo, o utilitário Backup do Windows (e a maioria dos outros programas de backup) lê o conjunto inteiro de todos os dados de fluxo NTFS dos arquivos dos quais eles fazem backup, assim o backup pode continuar sem ter que acessar o material de chave de usuário. O backup de arquivos usando este método manterá os arquivos criptografados na mídia de backup.

Cc162806.note(pt-br,TechNet.10).gif Observação:

O utilitário de backup incluído no Windows Vista não pode fazer backup de arquivos protegidos pelo EFS. Se não estiver usando uma ferramenta de backup de outro fornecedor, você ainda poderá usar a ferramenta Robocopy com a opção /efsraw para automatizar o backup de arquivos protegidos pelo EFS em computadores que executam o Windows Vista.

Ferramentas de criação de imagem de disco

De modo semelhante, as ferramentas de criação de imagem de disco que capturam o conteúdo do sistema de arquivos inteiro preservarão o estado dos arquivos protegidos pelo EFS porque elas lêem blocos individuais do disco. A captura da imagem de um computador que contenha dados protegidos pelo EFS incluirá os dados criptografados pelo EFS na imagem. Algumas ferramentas de criação de imagem permitem que você abra uma imagem e exiba ou modifique arquivos individuais na imagem sem restaurá-la para um computador de destino. Normalmente, essas ferramentas não funcionam corretamente com arquivos criptografados pelo EFS, nem são capazes de abrir ou modificar arquivos criptografados capturados em uma imagem a não ser que o computador em que você abrir os arquivos tenha o material de chaves correto.

Ferramentas antimalware

Normalmente, os programas antimalware (incluindo software antivírus e antispyware) funcionam de duas maneiras:

  • Eles interceptam as solicitações para abrir arquivos e verificam se eles contêm malware antes de o usuário poder acessá-lo. Os programas que usam esse mecanismo normalmente funcionam com EFS porque a varredura é realizada depois que o aplicativo solicita dados de um arquivo, e a solicitação é feita dentro do contexto de segurança do usuário.

  • Eles usam uma conta do sistema (como SISTEMA LOCAL ou SERVIÇO DE REDE) para varrer os arquivos em um computador, independentemente de seus proprietários. Normalmente, as ferramentas que usam esse mecanismo não conseguem inspecionar os arquivos protegidos pelo EFS, porque quando elas tentam abrir o arquivo, ocorre uma mensagem de erro de acesso negado.

Os programas antimalware individuais podem incluir esses dois métodos. Consulte a documentação das suas soluções antimalware e teste-as para ter certeza de que elas funcionam corretamente com arquivos protegidos pelo EFS em seu ambiente.

Planejamento de EFS e compartilhamento de arquivos

Se a sua organização precisar compartilhar dados confidenciais com vários usuários, existem duas maneiras de fazer isso: através do armazenamento em pastas compartilhadas comuns nos servidores de arquivos ou do uso de pastas da Web. Ambos os métodos requerem configuração para suportar EFS, e você precisa entender os problemas, vantagens e riscos descritos a seguir.

  • Se os arquivos criptografados estiverem armazenados em um servidor de arquivos remoto, você pode decidir se deseja permitir que o servidor mantenha cópias dos arquivos em texto simples ou se eles devem permanecer criptografados no servidor. Se você desejar fornecer acesso compartilhado a arquivos criptografados e, ao mesmo tempo, proteger seu conteúdo nos PCs móveis, poderá manter cópias dos arquivos em texto simples no servidor. Se um dos requisitos de sua empresa for manter criptografados os arquivos protegidos independentemente de onde estiverem armazenados, você precisará configurar o servidor de forma adequada (o que exige que o servidor seja confiável para delegação no Active Directory).

  • Você pode armazenar arquivos criptografados em pastas da Web quando usar o Windows XP ou o Windows Server 2003. Este método disponibiliza os arquivos através dos aplicativos que podem usar o protocolo DAV (Distributed Authoring and Versioning) para acessar pastas da Web (incluindo as do Microsoft Office 2000 e posterior), bem como permite que você as disponibilize aos usuários através de aplicativos baseados na Web.

Planejamento de descomissionamento

O EFS criptografa apenas arquivos selecionados, e o material de chave pode permanecer armazenado no volume do sistema em alguns modos operacionais. Quando você descomissiona um computador que contém conteúdo protegido pelo EFS, você precisa aplicar suas práticas normais de descomissionamento a fim de garantir que todos os arquivos sejam removidos.

Planejamento de utilização prática

O EFS é um método seguro para criptografar arquivos e pastas nos volumes NTFS. Recomenda-se redigir e distribuir uma documentação da diretiva de criptografia citando os problemas de uso, requisito e operação relacionados à criptografia. Os usuários e funcionários do suporte técnico devem ser instruídos sobre o uso apropriado de criptografia antes da implantação.

Uma diretiva de criptografia deve abranger questões relacionadas à criptografia de dados confidenciais, entre elas:

  • Os tipos de informações que devem ser criptografados.

  • Os tipos de equipamentos de computação que devem usar criptografia (por exemplo, computadores desktop, laptops, etc.).

  • As soluções de criptografia de dados compatíveis (por exemplo, EFS e BitLocker).

  • Os problemas que a criptografia soluciona e não soluciona.

  • Quais algoritmos de codificação e quais tamanhos mínimos de chave são aceitáveis para proteger dados organizacionais.

  • O que os usuários podem e devem fazer para assegurar o uso apropriado da criptografia.

  • Problemas potenciais (por exemplo, perda de dados) relacionados à criptografia.

  • Quais são os procedimentos que os usuários devem seguir para criptografar arquivos.

  • Como os usuários podem confirmar a criptografia de arquivos (por exemplo, aplicando fonte de cor verde nos arquivos no Windows Explorer, Cipher.exe e assim por diante).

  • Quem é o responsável pela recuperação de dados criptografados e como os usuários devem iniciar uma recuperação.

  • Como os usuários podem obter suporte a problemas de criptografia.

Use os canais de treinamento convencionais para compartilhar informações sobre criptografia com usuários, incluindo fontes online e impressas, com exercícios e aulas práticas conforme necessário. Esta iniciativa pode ser conduzida em paralelo com o resto do seu processo de implantação.

Planejamento do Active Directory e da Diretiva de Grupo

O Active Directory e a Diretiva de Grupo fornecem os meios mais eficazes de gerenciar a configuração e diretiva de EFS. As opções de GPO a seguir podem afetar o comportamento do EFS.

  • Em Configuração do computador\Configurações do Windows\Configurações de segurança\Diretivas locais\Opções de segurança

    • Desligamento: limpar arquivo de paginação de memória virtual. Esta opção instrui o sistema operacional a, ao ser desligado, remover o conteúdo do arquivo de paginação do sistema. Esta configuração reduz o risco de que dados em texto simples vazem pelo arquivo de paginação.

    • Criptografia de sistema: usar algoritmos compatíveis com FIPS para criptografia, hash e assinatura. Por padrão, o EFS usa o algoritmo AES (Advanced Encryption Standard) com um comprimento de chave de 256 bits em computadores que executam o Windows XP Service Pack 1 (SP1) e Windows Server 2003. Todavia, se você ativar a opção Criptografia de sistema: usar algoritmos compatíveis com FIPS para criptografia, hash e assinatura nesses computadores, o sistema operacional usará o algoritmo 3DES com um comprimento de chave de 168 bits. Nos computadores com o Windows Vista, esta configuração forçará o EFS a usar AES.

    Cc162806.note(pt-br,TechNet.10).gif Observação:

    Usar a diretiva FIPS não é um método recomendado para manipular os algoritmos de criptografia usados pelo EFS, a menos que a conformidade com FIPS seja um requisito. O método recomendado para mudar os algoritmos usados pelo EFS é configurando o valor apropriado em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS.

  • Em Configuração do computador\Configurações do Windows\Configurações de segurança\Diretivas de chave pública

    • Sistema de arquivos com criptografia (EFS). Habilita o EFS em computadores dentro do escopo da diretiva.

    • Sistema de arquivos com criptografia (EFS). Adicione ou remova agentes de recuperação para modificar a diretiva de recuperação de sua organização. O processo de gerenciar agentes de recuperação de dados está descrito em detalhes no Capítulo 2: Tarefas de configuração e implantação neste guia.

Planejando a migração para contas de domínio

Devido às razões discutidas no guia Análise de Segurança deste Solution Accelerator, o EFS oferece segurança de alto nível somente aos usuários com contas de domínio no Active Directory. É possível usar o utilitário Syskey para atingir níveis de segurança semelhantes, mas o impacto do usuário de níveis avançados do Syskey é um tanto negativo. Por esta razão, os usuários do EFS devem ser usuários de domínio. Parte do planejamento de EFS deve incluir uma pesquisa com usuários potenciais para assegurar que eles tenham contas de domínio e que as usem somente para fazer logon em um computador para obter acesso a dados confidenciais protegidos pelo EFS.

Planejando a diretiva de senha no Active Directory

A menos que sejam usados cartões inteligentes com EFS, as chaves de criptografia de arquivos EFS são protegidas pela senha do usuário. Qualquer pessoa que conseguir obter uma ID e senha de um usuário poderá fazer logon como se fosse o usuário e descriptografar seus arquivos. Por isso, uma diretiva de senha segura juntamente com um treinamento rigoroso para os usuários deve fazer parte das práticas de segurança de qualquer organização a fim de garantir a proteção dos arquivos criptografados pelo EFS.

Planejando a migração de certificados auto-assinados para certificados emitidos por Autoridade de Certificação

É possível que alguns usuários tenham começado a usar o EFS antes de fazer uma implantação formal. Se um usuário tentar criptografar um arquivo em um computador sem nenhum certificado EFS, o subsistema de EFS irá gerar um novo certificado auto-assinado. Quando você implantar EFS nos computadores de sua organização, convém substituir esses certificados auto-assinados por certificados emitidos por sua autoridade de certificação. Esse processo de substituição padroniza a duração e restrição de chave de certificados usadas pelo EFS em computadores com certificados auto-assinados e em outros com o EFS neles implementado.

Mais informações


Neste artigo

Download

Obtenha o Data Encryption Toolkit for Mobile PCs

Notificações de atualizações

Inscreva-se para obter informações sobre atualizações e novos lançamentos

Comentários

Envie-nos seus comentários e sugestões



Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft