EFS (Encrypting File System) è un'importante tecnologia di crittografia dei file utilizzata per memorizzare i file crittografati su volumi del file system NTFS. I file crittografati non possono essere utilizzati se l'utente non dispone dell'accesso alle chiavi necessarie per decrittografare le informazioni.

Non è necessario decrittografare manualmente un file crittografato prima di utilizzarlo. È possibile aprire e modificare il file come sempre. Dopo aver crittografato un file o una cartella, è possibile utilizzarli esattamente come file o cartelle normali.

L'utilizzo della tecnologia EFS è simile a quello delle autorizzazioni per file e cartelle. Entrambi i metodi possono essere utilizzati per limitare l'accesso ai dati. Nel caso di accesso fisico non autorizzato a cartelle e file crittografati tuttavia l'intruso non potrà leggerli. Se l'intruso cercherà di aprire o copiare la cartella o il file crittografati, riceverà un messaggio di accesso negato. Le autorizzazioni per file e cartelle non rappresentano una protezione contro attacchi fisici non autorizzati.

Per crittografare o decrittografare una cartella o un file è sufficiente impostare le proprietà di crittografia proprio come gli altri attributi, quali la sola lettura, la compressione o la visualizzazione. Se una cartella viene crittografata, vengono automaticamente crittografati anche tutti i file e le sottocartelle creati in tale cartella. È consigliabile effettuare la crittografia a livello di cartella.

È inoltre possibile crittografare o decrittografare un file o una cartella con il comando cipher.

Quando si utilizzano cartelle o file crittografati, tenere presenti le informazioni seguenti:

  • È possibile crittografare solo file e cartelle nei volumi NTFS. È tuttavia possibile utilizzare Web distributed authoring and versioning (WebDAV), che funziona anche con NTFS, per trasferire file in forma crittografata.

  • Non è possibile crittografare cartelle o i file compressi. Se l'utente contrassegna un file o una cartella per la crittografia, questi verranno decompressi.

  • Se copiati o spostati in un volume non NTFS, i file crittografati verranno decrittografati.

  • Se si spostano file non crittografati in una cartella crittografata questi verranno automaticamente crittografati nella nuova cartella. L'operazione inversa tuttavia non determina la decrittografia automatica dei file. I file devono essere decrittografati esplicitamente.

  • Non è possibile crittografare file contrassegnati con attributi di sistema o file che si trovano nella struttura della directory radice del sistema.

  • La crittografia di una cartella o di un file non impedisce l'eliminazione o l'elencazione di file o directory. Ogni utente dotato delle autorizzazioni appropriate può eliminare o elencare cartelle o file crittografati. Per tale motivo, si consiglia l'utilizzo della tecnologia EFS unitamente alle autorizzazioni NTFS.

  • È possibile crittografare o decrittografare cartelle e file situati in un computer remoto abilitato per la crittografia remota. Tuttavia i dati trasmessi in rete con questo processo non sono crittografati. Altri protocolli, ad esempio SSL/TLS (Secure Socket Layer/Transport Layer Security) o IPsec (Internet Protocol security) sono utilizzati per crittografare i dati durante le trasmissioni attraverso la rete. È inoltre possibile utilizzare WebDAV, come descritto al primo punto dell'elenco, per trasmettere i file in forma crittografata.

Impostazioni dei criteri EFS

Per configurare le diverse impostazioni dei criteri EFS è possibile utilizzare Criteri di gruppo. Tali impostazioni dei criteri sono disponibili in Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza\Criteri chiave pubblica\Encrypting File System.

Attivare o disattivare la tecnologia EFS

È possibile scegliere se attivare o disattivare completamente l'utilizzo della tecnologia EFS. Se l'utente non configura alcuna impostazione per la tecnologia EFS, questa sarà attivata.

Se si sceglie di attivare la tecnologia EFS, è inoltre possibile selezionare diverse opzioni, ad esempio la crittografia automatica della cartella Documenti di un utente, la richiesta di una smart card per l'utilizzo con EFS, la memorizzazione nella cache delle chiavi create sulla base di una smart card, la creazione da una smart card di chiavi utente in grado di memorizzare nella cache o la notifica all'utente per la creazione di copie di backup delle chiavi di crittografia.

Attivare o disattivare la crittografia ECC

Con EFS è possibile attivare o disattivare l'utilizzo della crittografia ECC (Elliptic Curve Cryptography, crittografia a curva ellittica). Se l'utente non configura alcuna impostazione per la tecnologia EFS, la crittografia ECC è attivata. La crittografia ECC consente la conformità agli standard Suite-B.

Suite-B è un insieme di algoritmi di crittografia. I relativi componenti sono: Advanced Encryption Standard (AES) con chiavi da 128 e 256 bit per la crittografia simmetrica, ECDSA (Elliptic Curve Digital Signature Algorithm) per le firme digitali, Diffie-Hellman a curva ellittica (ECDH, Elliptic Curve Diffie-Hellman) per la chiave concordata e Secure Hash Algorithm (SHA-256 e SHA-384) per il digest del messaggio.

Argomenti della Guida