O sistema de arquivos com criptografia (EFS) é uma tecnologia de criptografia de arquivos básica usada para armazenar arquivos criptografados em volumes do sistema de arquivos NTFS. Os arquivos criptografados não podem ser usados se o usuário não tiver acesso às chaves necessárias para decriptografar as informações.
A criptografia é transparente para o usuário que decriptografou o arquivo. Isso significa que você não precisa decriptografar manualmente o arquivo criptografado para poder usá-lo; pode abri-lo e alterá-lo como faz normalmente. Ao criptografar um arquivo ou pasta, você trabalha com o arquivo ou pasta criptografado assim como faz com qualquer outro arquivo ou pasta.
O uso do EFS é semelhante ao uso de permissões em arquivos e pastas. Ambos os métodos podem ser usados para restringir o acesso aos dados. No entanto, um intruso que consiga acesso físico não-autorizado aos seus arquivos ou pastas criptografados não poderá lê-los. Se o intruso tentar abrir ou copiar o arquivo ou pasta criptografado, receberá uma mensagem de acesso negado. As permissões de arquivos e pastas não protegem contra ataques físicos não-autorizados.
Para criptografar ou decriptografar uma pasta ou arquivo, configure a propriedade de criptografia para pastas e arquivos da mesma forma como configura qualquer outro atributo, como somente leitura, comprimido ou oculto. Se você criptografar uma pasta, todos os arquivos e subpastas criados na pasta criptografada serão automaticamente criptografados. É recomendado criptografar no nível de pasta.
Também é possível criptografar ou decriptografar um arquivo ou pasta usando o comando Codificação.
Considere o seguinte ao trabalhar com arquivos e pastas criptografados:
-
Somente arquivos e pastas de volumes NTFS podem ser criptografados. No entanto, você pode usar o WebDAV (Web distributed authoring and versioning), que também funciona com o NTFS, para transferir arquivos em forma criptografada.
-
Arquivos ou pastas compactados também não podem ser criptografados. Se o usuário marcar um arquivo ou pasta para criptografia, esse arquivo ou pasta será descompactado.
-
Os arquivos criptografados serão decriptografados se você copiar ou mover o arquivo para um volume que não seja NTFS.
-
Mover arquivos decriptografados para uma pasta criptografada fará com que esses arquivos sejam criptografados na nova pasta. No entanto, a operação inversa não decriptografará arquivos automaticamente. Os arquivos devem ser decriptografados explicitamente.
-
Arquivos marcados com o atributo Sistema não podem ser criptografados, nem os arquivos da estrutura do diretório raiz do sistema.
-
A criptografia de uma pasta ou arquivo não protege contra a exclusão ou listagem de arquivos ou diretórios. Qualquer pessoa com as permissões apropriadas pode excluir ou listar pastas ou arquivos criptografados. Por isso, não é recomendado usar o EFS juntamente com as permissões do NTFS.
-
Você pode criptografar ou decriptografar arquivos e pastas localizados em um computador remoto que tenha sido habilitado para criptografia remota, mas, nesta versão do Windows, os dados transmitidos em uma rede por esse processo não são criptografados. Outros protocolos, como o SSL/TLS (Secure Socket Layer/Transport Layer Security) ou o IPsec (Internet Protocol security) devem ser usados para criptografar dados enquanto estiverem em transmissão na rede. (Também é possível usar o WebDAV, conforme descrito no primeiro marcador, para transmitir o arquivo de forma criptografada.)
Configurações da diretiva EFS
Você pode usar a Diretiva de Grupo para configurar diversas configurações EFS.
Permitir ou não permitir o EFS
Você pode escolher entre permitiu ou não o uso do EFS junto. Se você não definir configurações de diretiva para o EFS, ele será permitido.
Opções do EFS
Se você optar por permitir o EFS, pode selecionar diversas opções, como se criptografar automaticamente a pasta Documentos do usuário, para requerer o uso de um cartão inteligente com o EFS, para armazenar chaves criadas com base em um cartão inteligente, para habilitar a criptografia do arquivo de paginação do Windows ou para notificar os usuários para fazerem cópias de backup de suas chaves de criptografia.
Certificados do EFS
A criptografia do EFS é baseada nos pares de chaves associados a certificados. Na maioria dos ambientes gerenciados, os certificados são emitidos por uma autoridade de certificação (CA) em execução no domínio. Os usuários podem ser receber um certificado emitido pela CA automaticamente, sem intervenção manual. As configurações do EFS incluem uma lista suspensa de modelos de certificado disponíveis no domínio para que você possa especificar qual modelo de certificado deseja usar para inscrição automática.
 | Observação |
|
A lista inclui todos os modelos de certificado presentes no domínio. O administrador deve configurar corretamente a CA para que os certificados possam ser emitidos. Alguns certificados exibidos podem não estar acessíveis. |
Quando um certificado não puder ser emitido por uma CA, o EFS poderá usar um certificado auto-assinado criado no computador local. Você pode optar por desabilitar essa funcionalidade e especificar um comprimento de chave padrão.