Para otimizar o desempenho, o Sistema de Arquivos com Criptografia (EFS) armazenará em cache os certificados e as chaves usados no processo de criptografia ou de descriptografia. É possível controlar quando esses itens armazenados em cache são removidos da memória.
Armazenamento em cache de certificados
Quando o EFS usa um certificado, ele é armazenado em cache no computador local. Isso elimina a necessidade de consultar os usuários do Active Directory toda vez que um novo usuário é adicionado a um arquivo criptografado.
Certificados que fazem parte de uma cadeia de certificados, e certificados auto-assinados, podem ser usados e armazenados em cache. Quando um certificado de usuário que faz parte de uma cadeia de certificados for adicionado a um arquivo criptografado, o certificado será armazenado em cache no armazenamento de certificados "Outras Pessoas" do usuário atual. Certificados para outras pessoas que sejam auto-assinadas, como os gerados automaticamente pelo EFS quando nenhuma autoridade de certificação está presente, são armazenados em cache no armazenamento de certificados "Pessoas confiáveis" do usuário atual.
Quando um certificado é adicionado ao armazenamento "Pessoas confiáveis", o usuário é advertido de que o certificado será explicitamente confiável e solicita que o usuário confirme a ação. Quando um certificado é adicionado ao armazenamento Pessoas confiáveis, não será desempenhada verificação de status do certificado, exceto da validade de tempo.
 | Observação |
|
Os usuários que possuem uma chave particular no computador local também são adicionados ao armazenamento "Pessoas confiáveis", além do armazenamento "Outras Pessoas". Isso melhora o desempenho da criptografia local no computador. |
Armazenamento em cache de chaves
O Windows foi desenvolvido para otimizar o armazenamento em cache de chaves de usuário em um servidor quando ele está sendo usado para criptografia do servidor remoto. Por padrão, o servidor armazenará em cache até 15 identificadores de chave de usuário na memória para aumentar o desempenho da criptografia no servidor. No entanto, o administrador pode alterar o padrão, editando o seguinte valor de registro:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS\UserCacheSize DWORD
Os valores aceitáveis estão entre 5 e 30 para esse valor de registro.
| Observação |
|
As chaves particulares não são armazenadas na memória em cache, mas apenas como um identificador para o contêiner de chaves CryptoAPI. |
Alterando as propriedades do armazenamento em cache de chaves
É possível alterar o desempenho do armazenamento de chaves, selecionando as opções da guia Cache da página Propriedades do Sistema de Arquivos com Criptografia na Diretiva de Grupo ou na diretiva do sistema local.
Por exemplo, é possível configurar um valor de tempo limite automático e especificar se o cache deve ser limpo quando o usuário bloquear a estação de trabalho. O cache também é limpo quando o usuário efetua logoff ou o computador é reiniciado.