Aviso de segurança de 5 minutos – Usando o sistema de arquivos com criptografia

Quando você está longe do computador, como saber se seus arquivos estão seguros? Uma opção é trancar o computador em um cofre e colocar um guarda armado na porta, mas isso é inviável, a menos que você trabalhe na Casa Branca. Você pode, e deve, usar o sistema de arquivos NTFS(site em inglês) para proteger os arquivos contra acesso não autorizado de outros usuários do mesmo computador. No entanto, esse recurso não vale nada contra um invasor que tenha acesso físico ao computador: ele sempre pode remover o disco, pegar os arquivos e ler o que quiser. Existe uma solução melhor: se você criptografar os arquivos, eles não poderão ser lidos mesmo se alguém roubar o computador inteiro, o que é uma tranqüilidade para usuários de laptop. O Windows 2000 Professionale o Windows XP Professional(sites em inglês) incluem suporte para EFS (Encrypting File System, sistema de arquivos com criptografia), que possibilita a criptografia de arquivos individuais ou pastas de um volume NTFS.

Como funciona o EFS

Quando você usa EFS, cada arquivo ou pasta criptografada fica protegido por uma chave de criptografia exclusiva. Por sua vez, essa chave é protegida por um certificado de usuário, garantindo que mais ninguém tenha acesso aos arquivos. Eles não poderão ser lidos a menos que o certificado das outras pessoas seja capaz de desbloquear a chave específica da pasta/do arquivo. O arquivo sempre é criptografado no disco; os usuários autorizados podem copiar ou mover o arquivo em sua forma criptografada. Quando um usuário autorizado tentar abrir o arquivo, o Windows automaticamente o descriptografará na memória, passando cada bloco de dados descriptografado para o aplicativo que o solicitou. O Windows nunca grava dados descriptografados em disco (os aplicativos podem fazê-lo, mas se você seguir as orientações da Microsoft e criptografar a pasta de arquivos temporários, ainda estará protegido). O arquivo permanecerá criptografado a menos que você instrua o Windows a descriptografá-lo ou até que você o mova para uma pasta descriptografada.

Muitas empresas preocupam-se com continuidade de acesso; o que acontecerá se você contratar alguém e essa pessoa criptografar um lote de dados e depois sair da empresa? Essa é uma preocupação cabível, pois a criptografia do EFS usa o mesmo algoritmo usado pelo seu banco para proteger o tráfego ATM. O EFS oferece suporte a agentes de recuperação que podem obter os itens criptografados e descriptografá-los. Depois que o agente de recuperação recupera um arquivo criptografado, o proprietário original saberá que ocorreu tal recuperação, pois o arquivo não estará mais criptografado. Isso protege os dados contra agentes de recuperação intrusos.

O Windows XP Professional otimizou alguns recursos presentes no EFS do Windows 2000. Primeiramente, agora você pode permitir que usuários adicionais tenham acesso aos arquivos criptografados. Isso proporciona o equilíbrio perfeito entre a segurança do EFS e a comodidade de poder compartilhar os dados. O EFS do Windows XP permite que você criptografe arquivos em pastas da Web e em pastas offline(site em inglês), ou seja, você pode compartilhar e transportar dados sem abrir mão da segurança.

Criptografando seus dados

A única coisa de que você precisa para usar o EFS é um computador com Windows 2000 Professional (ou posterior) ou Windows XP Professional e um volume NTFS. O EFS funciona tanto em uma máquina com domínio do Windows ou do Active Directory e mesmo se houver uma autoridade de certificação na rede. Criptografar arquivos e pastas no Windows XP é muito simples (como no Windows 2000, mas as etapas são um pouco diferentes):

1. Abra o Windows Explorer.

2. Localize a pasta que você deseja criptografar e abra sua caixa de diálogo de propriedades. Observe que as práticas recomendadas para EFS(site em inglês) da Microsoft sugerem a criptografia somente de pastas, e não de arquivos, para garantir que você não deixará acidentalmente cópias dos arquivos sem criptografia no disco).

3. Na guia Geral, procure o grupo Atributos. Clique no botão Avançado. A caixa de diálogo Atributos Avançados será exibida.

   

4. Marque a caixa de seleção "Criptografar o conteúdo para proteger os dados". Se você estiver criptografando uma pasta, o Windows perguntará se você deseja criptografar todos os seus arquivos e subpastas ou somente a pasta.

5. Clique em OK para fechar a caixa de diálogo Atributos Avançados e, em seguida, clique em OK novamente para fechar a caixa de diálogo de propriedades do item.

Pronto! Você não verá diferença alguma depois de criptografar um item, pois o Windows e os aplicativos podem descriptográ-lo usando suas credenciais. Contudo, outros usuários do mesmo computador receberão uma mensagem de "acesso negado" quando tentarem abrir seus arquivos.

Descriptografar arquivos e pastas também é fácil: abra a caixa de diálogo de propriedades e desmarque a caixa de seleção "Criptografar o conteúdo para proteger os dados". O Windows automaticamente descriptografará o item especificado. Pronto.

Para mais flexibilidade, você pode usar a ferramenta de linha de comando cipher para criptografar e descriptografar arquivos e pastas e para sobrescrever o espaço em disco depois que ele foi usado e liberado. Se você estiver interessado, consulte estas instruções.

Compartilhando arquivos criptografados

Se você estiver usando o Windows XP, poderá compartilhar os arquivos criptografados(site em inglês) com outros usuários. Essa é uma excelente maneira de proteger os dados ao mesmo tempo em que ainda pode compartilhá-los com outros usuários autorizados no seu computador ou em servidores de arquivos. Você pode adicionar outros usuários autorizados a arquivos, mas não às pastas, e não é possível incluir grupos, apenas indivíduos. O processo é bem simples:

Abra a caixa de diálogo de propriedades do arquivo no qual você deseja incluir usuários e, em seguida, abra a caixa de diálogo Atributos Avançados.
Se ele ainda não estiver criptografado, criptografe-o; não é possível adicionar usuários antes de o arquivo ser criptografado com sucesso.
Clique no botão Detalhes. Você verá a caixa de diálogo Detalhes de Criptografia que mostra quais usuários estão autorizados no momento para abrir o arquivo.
Clique no botão Adicionar. Selecione o usuário ao qual você deseja conceder acesso e clique em OK. Se necessário, você poderá usar o botão Localizar Usuário para pesquisar na máquina local ou no Active Directory o usuário e o certificado associado.