O EFS utiliza algoritmos padrão da indústria e criptografia de chaves públicas para garantir a encriptação forte. Os arquivos que são criptografados, portanto, são sempre confidenciais. Apesar de logon de autenticação e arquivos NTFS permissões são voltadas a proteger os dados confidenciais, você pode usar o EFS para adicionar uma camada adicional de segurança. Isto assegura que, quando hackers ter acesso pleno ao armazenamento de dados de um computador, os dados localizados em arquivos são garantidos devido à encriptação EFS. Uma pessoa não autorizada não seria capaz de abrir um arquivo criptografado.

EFS no Windows Server 2003 melhora ainda mais a sobre as capacidades do EFS no Windows 2000. Os usuários que estão utilizando o EFS pode compartilhar arquivos criptografados com outros usuários no arquivo partes e mesmo Web pastas. Você pode configurar o EFS funcionalidades através da política de grupo e de ferramentas de linha de comando. EFS é adequada para garantir os dados sensíveis em computadores portáteis. Também funciona bem para a obtenção de dados quando os computadores são compartilhados por vários usuários.

Como funciona o EFS

EFS é realmente firmemente integrado com o NTFS, e seu arquivo criptografia e decriptografia processos são transparentes para os usuários. O que isto significa é que quando os usuários salvar um arquivo, o EFS criptografa dados como os dados são gravados no disco, e quando os usuários se abrir um arquivo, ele é descriptografado pelo EFS como os dados são lidos a partir do disco. Os usuários são basicamente de ignorar este processo, e não precisa de tomar qualquer acção para iniciar o EFS criptografia e descriptografia. Pode haver terceiro tecnologias que podem proporcionar arquivo criptografia capacidades, mas estes programas não são totalmente transparentes para os usuários. Com estes programas, a responsabilidade seria colocado sobre os usuários a se lembrar de utilizar a encriptação programa. Este, por sua vez, conduz a processos mais fraco da segurança, e poderiam eventualmente criar vulnerabilidades de segurança para sensíveis, dados confidenciais.

O EFS utiliza chaves para encriptar e desencriptar os dados, bem como a criptografia (application programming interface CryptoAPI) arquitetura para fornecer funções criptográficas. Mesmo que ele possa usar empreendimento certificado autoridade (CA) certificados, esta não é uma exigência. Quando não existe CA, EFS assina um certificado que pode ser utilizado com ficheiros encriptação. Devido a esta característica, o EFS pode funcionar em computadores que são membros de um domínio, e em autônomo computadores.

As teclas que usa o EFS para criptografar e descriptografar os dados, é um par chave pública e privada, e por um arquivo criptografia chave. EFS gera um arquivo criptografia chave (FEK), que é uma chave de encriptação simétrica encriptar os dados. O File Encryption Key (FEK) é a próxima codificado por meio de criptografia assimétrica utilizando a chave pública do usuário. Criptografia assimétrica realmente usa uma chave pública e privada par de uma maior segurança. A FEK encriptada é então armazenada com o arquivo criptografado. Quando o arquivo precisa ser descriptografado, o FEK deve ser desencriptados. O usuário da chave privada é utilizada para descriptografar o FEK. A FEK é então usada para descriptografar os dados do arquivo.

EFS Principais Características

• EFS é ativado por padrão. Usuários porém precisam de um par chave pública e privada, bem como a permissão de usar o EFS.
• Um agente de recuperação EFS necessidades certificado para se trabalhar. Irá gerar o certificado se não tiver uma.
• EFS só pode criptografar arquivos quando o sistema de arquivos NTFS está sendo utilizado.
• Encriptação não tem qualquer impacto sobre o arquivo e pasta permissões
• Você pode autorizar usuários múltiplos para compartilhar arquivos criptografados
• Quando você move o EFS arquivos para um outro sistema de arquivos, criptografia é removido.
• Quando você mover os arquivos para uma pasta que está codificado, o arquivo fica na sua forma original. Fica quer codificado ou não criptografada.
• Quando você copiar um arquivo para uma pasta criptografada, o arquivo será criptografado.
• Quando uma pasta é criptografado, todos os arquivos temporários nessa pasta particular são criptografados também.
• Criptografia é listado como um arquivo atributo e, portanto, é apresentado com o restante dos atributos do arquivo.
• EFS pode criptografar e descriptografar arquivos em um computador remoto
• Offline arquivos também podem ser criptografados pelo EFS
• Arquivos que são criptografados podem ser armazenados em pastas da Web
• EFS anteriormente utilizada Extensão Data Encryption Standard (DESX) para a encriptação. Com o Windows Server 2003, o triplo-DES (3DES) criptografia algoritmo pode ser utilizado para reforçar a segurança do EFS.
• Você pode fazer backup de arquivos criptografados.
• Qualquer arquivos compactados e pastas precisam ser descomprimidos antes de poderem ser codificado
• Sistema de arquivos e pastas não podem ser criptografados.
• Arquivos ou pastas em um utilizador móvel perfil não pode ser codificado

Os componentes do EFS

O EFS utiliza os seguintes componentes para desempenhar as suas funções:

• EFS serviço: O serviço EFS EFS se comunica com o condutor através da chamada de procedimento local (LPC) porto. O serviço EFS eo Microsoft Cryptographic Application Programming Interface (CryptoAPI) comunicar, com o serviço de recepção EFS arquivo criptografia chaves do CryptoAPI. Ele usa estas teclas para gerar dados decriptografia campos (DDFs) e da recuperação dos dados campos (DRFs). O arquivo criptografia chave (FEK) é utilizada para os dados dos ficheiros. O EFS serviço passa a FEK, DRF, e à DDF EFS condutor através do EFS File System Run-Time Library (FSRTL).
• EFS condutor: O arquivo criptografia EFS condutor pedidos chaves, DDFs e DRFs da EFS serviço. Em seguida, estes relés para o EFS FSRTL.
• EFS File System Run-Time Library (FSRTL): O EFS FSRTL existe no EFS condutor, e opera com o EFS condutor como um componente. Arquivos NTFS controle chamadas são utilizadas como mecanismo de comunicação entre os dois. O EFS FSRTL realiza um conjunto de funções do sistema de arquivos que incluem encrypting, decrypting e recuperar dados quando o arquivo é lido a partir do disco ou escritas para o disco.
• Microsoft Cryptographic Application Programming Interface (CryptoAPI): CryptoAPI é utilizado pelo EFS para funções criptográficas. CryptoAPI suporta criptografia, decriptografia, hashing, assinaturas digitais e verificação º, chave de gestão, armazenamento seguro, e as principais operações de câmbio.

Como os arquivos são criptografados e desencriptados

Como mencionado anteriormente, o EFS utiliza a chave pública ea chave criptografia simétrica para proteger o conteúdo de arquivos e pastas. Os algoritmos de chave pública de criptografia assimétrica utilizam chaves de criptografia e descriptografia. O que isto significa é que as chaves utilizadas para criptografar e descriptografar os dados são diferentes, porque uma chave privada e uma chave pública é utilizada. A chave privada é mantida pelo proprietário da chave. A chave pública pode ser utilizada na rede.

Quando os dados são criptografados, EFS gera um único FEK para criptografar o arquivo. Em seguida, criptografa o FEK utilizando a chave pública do certificado do utilizador. O EFS utiliza o FEK criptografia para garantir que ocorre rapidamente. A chave privada do utilizador é utilizado para descriptografar o FEK.

O processo descrito a seguir ocorre quando um usuário criptografa um arquivo:

• O arquivo é aberto, o serviço EFS
• Os fluxos de dados do arquivo são copiados para uma próxima plaintext arquivo temporário localizado no diretório temporário do sistema
• EFS gera o único FEK.
• A FEK é utilizada para criptografar o arquivo seja através DESX ou 3DES.
• Os dados decriptografia campo (DDF) é criada. O titular da DDF FEK criptografado através da chave pública do usuário.
• Sempre que um agente de recuperação é definido por meio de política de grupo, a recuperação dos dados campos (DRFs) é criada.
• Os dados criptografados, DDF, DRF e são armazenadas no arquivo.
• Plaintext O arquivo temporário localizado no diretório temporário do sistema é suprimido.

O processo descrito a seguir ocorre quando um arquivo é descriptografado:

• NTFS realmente identifica os arquivos como sendo criptografadas e, em seguida, apresentar um pedido de decriptografia até o EFS condutor.
• O EFS condutor próximo obtém os dados decriptografia campo (DDF) e envia-lo para o serviço EFS.
• O serviço EFS obtém a chave privada do utilizador. Ele usa essa chave para descriptografar a DDF.
• Uma vez que o serviço tem o EFS desencriptados a DDF e obteve o FEK, envia o FEK sobre o EFS condutor.
• O EFS utiliza o condutor FEK ela recebeu do serviço EFS para descriptografar os dados no arquivo.
• O condutor EFS, em seguida, passa a desencriptados dados para NTFS.

EFS e Certificados

Logo que um usuário permite encriptação para uma pasta ou ficheiros, EFS verifica se o usuário tiver um certificado armazenado no empreendimento certificado pessoal loja. EFS pedidos de um certificado para o usuário quando ele não consegue encontrar um certificado no certificado pessoal loja, a partir de uma autoridade de certificação (CA). EFS produto para criar um certificado auto-assinado para o utilizador, se não houver uma empresa CAs. O certificado de EFS é acessado quando o usuário precisa EFS para criptografar e descriptografar o FEK. EFS também renova certificados EFS que tenham expirado.

Certificados, que são obtidas a partir de empresa CAs utilização certificado modelos que são armazenados no Active Directory. Certificado modelos detalhadamente os atributos de tipos de certificado que pode ser emitido para os usuários e computadores. O certificado modelos que suportam o EFS são usuário, administrador, e Basic EFS. Empresa. CAs utiliza Access Control Lists (ACLs), quando eles precisam de saber se os pedidos certificado deve ser aprovado. Um usuário, portanto, tem de ter permissão para o Enroll um modelo de certificado tem um certificado emitido. Os membros do grupo Domain Admins e Domain Users grupo têm esta permissão. Os usuários podem usar o snap-in de certificados para solicitar certificados.

Use os passos abaixo para solicitar um certificado de uma CA, através do snap-in Certificados

1. Abra o snap-in Certificados
2. Prossiga para expandir a pasta pessoal.
3. Certificados botão direito do mouse e escolha Todas as tarefas e, em seguida, solicitar nova Certidão do menu de atalho
4. O Pedido de Certidão Nova assistente lançamentos.
5. Escolha a opção Basic EFS no certificado Tipos tela. Clique em Avançar
6. Fornecer informações para Friendly nome e Descrição. Clique em Avançar
7. Clique em Concluir para sair do assistente.
8. O novo certificado é armazenado na pasta Certificados.

Você pode usar o snap-in Certificados para verificar se você já possui um certificado

1. Prossiga para navegar e abrir o snap-in Certificados criado para o usuário Minha conta
2. Expanda a pasta pessoal
3. Direito do mouse em Certificados para ver se existe um certificado

Encrypting / Descriptografando arquivos usando o EFS

Recomenda-se a permitir que o EFS criptografia para pastas em vez de permitir que ele para arquivos individuais. Ao fazer isso, você não precisa codificar cada arquivo ao salvar o arquivo.

Use os passos a seguir para criptografar uma pasta

1. Abra Meu computador
2. Botão direito do mouse na pasta que pretende encriptar e selecione Propriedades no menu de atalho.
3. Quando a caixa de diálogo Propriedades da pasta abrir, clique no botão Avançado, na guia Geral.
4. A caixa de diálogo Atributos avançados é exibida.
5. Em Compactar ou codificar atributos secção da caixa de diálogo Atributos avançados, ative o Criptografar conteúdo para proteger dados checkbox.
6. Clique em OK para ativar a criptografia da pasta e todos os ficheiros incluídos na pasta.
7. Uma nova mensagem é exibida em uma caixa de diálogo quando a pasta contém subpastas e arquivos que estão não criptografada. A mensagem pede para você verificar se sua configuração deve ser aplicada somente para a pasta ou para a pasta da subpastas e arquivos também.
8. Se você escolher o Aplicar alterações a esta pasta única opção, ocorre o seguinte:
• Os arquivos já armazenados na pasta e quaisquer subpastas permanecer no seu estado original
• Os arquivos que você criou na pasta são criptografados
• Os arquivos copiados para a pasta por você e outros usuários são criptografadas
• Arquivos criados em, copiados ou movidos para subpastas permanecer no seu estado original.
9. Se você escolher o Aplicar alterações a esta pasta, subpastas e arquivos opção, ocorre o seguinte:
• Os arquivos já armazenados na pasta e quaisquer subpastas são criptografados se você tem a permissão Escrever.
• Arquivos criados em, copiados ou movidos para subpastas são criptografados, quer por você ou por outros usuários

Use os passos a seguir para descriptografar uma pasta

1. Botão direito do mouse na pasta que você deseja descriptografar e selecione Propriedades no menu de atalho.
2. Quando a caixa de diálogo Propriedades da pasta abrir, clique no botão Avançado, na guia Geral
3. Quando a caixa de diálogo Atributos avançados é exibida, desmarque a Encriptar conteúdo para proteger dados checkbox.

Como criptografar arquivos offline

1. Abra Meu computador
2. Utilize o menu Ferramentas para selecionar o item Opções de pasta
3. Use a guia Arquivos off-line para:
• Ativar arquivos off-line
• Criptografar arquivos offline
4. Clique em OK

Como exibir o status de encriptação EFS

1. Abra Meu computador
2. Utilize o menu Ferramentas para selecionar o item Opções de pasta
3. Clique na guia Exibir
4. Ative o Mostrar arquivos NTFS criptografados ou compactados em cores checkbox.
5. Clique em OK
6. Encriptados pasta de arquivos e nomes são exibidos em verde.

Como habilitar o EFS opções no menu de atalho

Se o EFS opções estão ativados no menu de atalho, um utilizador apenas tem de clique-direito na pasta ou arquivo para criptografar ou descriptografar a pasta ou arquivo.

1. Clique em Iniciar, Executar e digite regedit.exe na caixa de diálogo Executar. Clique em OK
2. Abre o Editor do Registro
3. Localize a seguinte subchave:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced

4. Utilize o menu Editar para seleccionar Novo, e depois em Valor DWORD
5. Prossiga para especificar EncryptionContextMenu para o nome do valor, e 1 para o valor de dados.
6. Registro alterações são eficazes imediatamente.

Como usar Cipher.exe para visualizar, criar ou modificar criptografia em pastas e arquivos

Cipher.exe é uma ferramenta da linha de comando que pode ser usado para encriptar e desencriptar pastas ou ficheiros. Usando o comando cipher sem interruptores irá exibir o status de criptografia na pasta e arquivos localizados dentro da pasta.

A sintaxe para o comando cipher e seus parâmetros estão descritos a seguir:

cipher [{/e|/d}][/s:Folder][/a][/i][/f][/q][/h][/k][/u [/n]] E cipher [{/e|/d}][/s:Folder][/a][/i][/f][/q][/h][/k][/u [/n]]

• /e encripta as pastas e arquivos adicionados são criptografados, bem
• /d descriptografa as pastas. A criptografia é removido do atributo pastas.
• /s:Folder usada para indicar a pasta e subpastas que devem ser utilizados
• /a usado para encriptar arquivos no diretório atual
• /i utilizada para indicar que o actual processo deveria continuar apesar de erros estão presentes.
• /f usadas para forçar a codificação ou descodificação para todos os arquivos e pastas definidas
• /q enumera apenas as informações importantes
• /h enumera os arquivos que possuem atributos ocultos e de sistema de atributos
• /k gera um novo FEK especial para o usuário que executa o comando
• /u actualiza o FEK do usuário ea chave da recuperação agente. Usado com a opção / n
• /n pára chaves para não serem actualizados. Usado com a opção / u

Como autorizar o acesso do usuário a vários arquivos criptografados

Antes de autorizar vários usuários acesso aos arquivos criptografados, considere o seguinte:

• Um compartilhamento de arquivo, pasta da Web ou sessão remota é necessária para os usuários autorizados EFS para compartilhar arquivos na rede.
• Os usuários que você está indo para autorizar o acesso a ficheiros EFS devem possuir certificados EFS
• Quando você autorizar um usuário para descriptografar um arquivo, o usuário é automaticamente capaz de autorizar outros usuários com acesso aos autos

Use os passos abaixo para compartilhar um arquivo com o EFS usuários adicionais

1. Abra Meu computador
2. Clique com o botão direito codificado arquivo e selecione Propriedades no menu de atalho.
3. Quando a caixa de diálogo Atributos avançados, clique no botão Detalhes
4. A caixa de diálogo Detalhes encriptação.
5. Clique em Adicionar para abrir a caixa de diálogo Selecionar usuário.
6. Você agora pode adicionar um usuário a partir do computador local, ou a partir do Active Directory.
7. Clique no certificado do usuário para adicionar um usuário a partir do computador local. Clique em OK
8. Clique no botão para localizar o usuário encontrará um usuário no Active Directory.
9. Em seguida, clique em Procurar quando o Localizar Usuários, Contatos e Grupos caixa de diálogo para localizar o usuário (s).
10. Clique na pasta ou o domínio que deve ser procurado na caixa de diálogo Browse for Container.
11. Selecione o usuário (s) e clique em OK

File Recovery Agents

Ser capaz de recuperar os dados torna-se importante quando se deslocar seus empregados chaves privadas ou deixar a organização sem descodificação de todos os seus arquivos. Isto é quando a recuperação se torna agente importante. A fim de utilizar o EFS, Encrypted Data Recovery um agente político deve existir. O EFS utiliza automaticamente uma recuperação padrão agente conta quando não Encrypted Data Recovery Agent política existe. Os membros do grupo Domain Admins pode especificar uma conta que será usada para a recuperação agente conta. Política local pode ser usado em computadores autônomo para especificar contas como agentes da recuperação dos dados. Estas contas são normalmente uma conta do Administrador. DRA certificados são armazenados no certificado de armazenar o computador quando um usuário acessa um domínio computador que está incluído no intervalo do EFS recuperação política. Isto torna possível para cada domínio computador para acessar a chave pública do DRA. Encriptados arquivos contém um campo que a recuperação dos dados, por sua vez, detém o arquivo criptografado FEK. A DRA possa descriptografar um arquivo criptografado que está no intervalo do EFS recuperação política, através da utilização da chave privada.
Você deve definir múltiplos Dras através EFS recuperação política se quiser que múltiplos usuários para poder descriptografar arquivos. Os arquivos são geralmente mais seguras, se apenas uma pessoa é capaz de descriptografar o arquivo. A desvantagem é que embora o arquivo é menor reembolsáveis.

Use os passos abaixo para adicionar um agente de recuperação para o computador local

1. Clique em Iniciar, Executar e digite mmc na caixa de diálogo Executar. Clique em OK
2. Escolha Adicionar / Remover Snap-in no menu Arquivo, e clique em Adicionar.
3. Quando o Add Standalone Snap-in caixa de diálogo, selecione Group Policy Object Editor. Clique em Adicionar.
4. Assegurar que Computador local está selecionado. Clique em OK
5. No painel da esquerda, vá para expandir Política Computador local, Configuração do computador, Configurações do Windows, Configurações de Segurança, e Public Key Settings.
6. Botão direito do mouse Encrypting File System, e então selecione Propriedades no menu de atalho.
7. EFS está sendo executado no computador, se a opção Permitir aos utilizadores encriptar arquivos usando Encrypting File System (EFS) checkbox está ativado. Clique em OK
8. Botão direito do mouse Encrypting File System e escolha Add Data Recovery Agent no menu de atalho.
9. O Assistente para Adicionar Agente Recuperação começa.
10. Forneça um nome de utilizador para o utilizador que tem uma recuperação certificado. Clique em Avançar
11. Pelo Selecione Recuperação Agentes tela, navegar através de pastas / diretórios para especificar usuários.
12. Clique em Avançar. Clique em Concluir.

Use os passos abaixo para remover uma DRS

1. Utilizar a política de grupo, no painel da esquerda, vá para expandir Política Computador local, Configuração do computador, Configurações do Windows, Configurações de Segurança, de chave pública e, Encrypting File System
2. Escolha a DRA que pretende apagar, e elimine o certificado.

Como exportar e importar DRA EFS e certificados e chaves privadas

Os usuários podem garantir o acesso aos arquivos criptografados pelo EFS exportar seus certificados e chaves privadas para uma mídia removível.

Use os passos a seguir para exportar um certificado para uma mídia removível

1. Prossiga para acessar o snap-in Certificados
2. Expanda a pasta pessoal e, em seguida, dê um duplo clique em Certificados
3. Localize e clique com o botão direito do certificado que pretende exportar, e escolha Todas as tarefas e, em seguida, Exportar no menu de atalho.
4. Escolha Sim, exportar a chave privada.
5. Você pode agora optar por excluir a chave privada a partir do computador depois de ter sido exportada, ou você pode optar por deixá-la no computador. Depois de selecionar uma opção que atende às suas necessidades, clique em Avançar
6. Forneça uma senha para a protecção da chave privada exportados. Clique em Avançar
7. Forneça um nome para o certificado exportado ea chave privada.
8. Clique em Avançar. Clique em Concluir.

Use os passos a seguir para importar um certificado

1. Prossiga para acessar o snap-in Certificados
2. Expanda a pasta pessoal e, em seguida, clique com o botão direito Certificados, selecione Todas as tarefas, e depois em Importar no menu de atalho.
3. Insira o arquivo de certificado deve ser importado.
4. Fornecer a devida senha para abrir o arquivo
5. Especifique uma localização onde o certificado deve ser importado para.

Como a chave e reforçar a segurança do arquivo

Você pode reforçar a segurança através da substituição do DESX algoritmo que utiliza o EFS, com o forte algoritmo 3DES. Você pode usar o sistema de criptografia para permitir a definição de política de grupo para a criptografia 3DES para IP Segurança e EFS. Você pode, no entanto, alterar a definição de registo adequado na HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WindowsNT \ CurrentVersion \ EFS chave através do Editor do Registro para ativar a criptografia 3DES para EFS só.

Você também pode usar uma chave de inicialização mestre chaves e proteger as informações confidenciais que reside no computador. Um arranque chave também é chamado um syskey. Arranque chaves são criadas automaticamente para computadores que são membros de um domínio. Você tem de criar manualmente uma tecla para iniciar um computador autônomo.

Um arranque chave protege confidenciais as seguintes informações:

• Mestre chaves: Estas teclas são utilizadas para proteger as chaves privadas.
• Protecção chaves: Estas são as chaves para a conta de utilizador ou senhas armazenadas no Active Directory, ou no local Security Accounts Manager (SAM) Registro chave
• Protecção chaves para o seu LSA segredos
• A protecção chave para a conta de administrador senha

Após um arranque chave é ativada, o processo que ocorre durante a inicialização é a seguinte:

• O sistema recupera o arranque chave
• Em seguida, é utilizada para descriptografar a chave mestre protecção
• Esta chave é então utilizado para obter a conta de utilizador criptografia chave.
• A conta de usuário criptografia chave é utilizada para descriptografar a senha informações no Active Directory, ou no local Security Accounts Manager (SAM) chave de registo.

Use os passos abaixo para ativar a criptografia 3DES para EFS só

1. Abra o Editor do Registro
2. Localize o HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ EFS chave do registro.
3. Utilize o menu Editar clique em Novo e, em seguida, em Valor DWORD
4. Inserir AlgorithmID para o valor nome e valor para 0x6603 dados
5. Estes valores permitem 3DES
6. Reinicie o computador

Use os passos a seguir para permitir 3DES usando Group Policy

1. Utilizar a política de grupo, no painel da esquerda, vá para expandir Configuração do computador, Configurações do Windows, Configurações de segurança, Diretivas locais, e em Opções de segurança.
2. Dê um duplo clique no Criptografia do sistema: use algoritmos compatíveis com FIPS para encriptação política.
3. Escolha Activar
4. Clique em OK

Use os passos a seguir para permitir o arranque chave

1. Digite syskey na linha de comando
2. Continue a clicar em Criptografia Ativado.
3. Clique em OK
4. Escolha uma opção para a chave. O sistema Gerada senha que é armazenada localmente opção é a opção padrão.
5. Clique em OK para reiniciar o computador.

Use os passos a seguir para alterar a tecla arranque opções

1. Digite syskey na linha de comando
2. Continue a clicar em Atualizar.
3. Prossiga para alterar a senha, ou escolher uma opção diferente chave
4. Clique em OK. Reinicie o computador.

Como desativar o EFS

Você pode desativar o EFS para um computador ou para o domínio. Use os passos a seguir para desativar o EFS usando o Editor do Registro

1. Abra o Editor do Registro
2. Localize o HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ EFS chave do registro.
3. Utilize o menu Editar clique em Novo e, em seguida, em Valor DWORD
4. Inserir EfsConfiguration para o nome do valor, e 1 para o valor de dados
5. Estes valores desativar o EFS
6. Reinicie o computador

EFS Best Practices

Algumas das melhores práticas para EFS estão resumidos a seguir:

• Sempre selecione para criptografar pastas, e não arquivos individuais. Encrypting pastas facilita simples arquivo criptografia gestão. Lembre-se que quaisquer arquivos localizados em, ou criados em uma pasta criptografada serão automaticamente criptografados.
• Você pode utilizar o Microsoft Certificate Services para gerir DRA EFS e certificados / chaves privadas
• Os usuários devem exportar os seus certificados EFS e chaves particulares para uma mídia removível, e também guardar o material em um local seguro.
• Tenta ter um pequeno número de agentes especificados recuperação. Quanto menos o número de agentes recuperação, o mais simples é a geri-los, e garantir que eles não estão incorrectamente descriptografar arquivos.
• Você também deve exportar as chaves privadas para a recuperação contas, e segura-las em um local seguro.
• Você deve lutar para criptografar os dados sensíveis em cada computador que é membro de um domínio.
• Ativar uma chave de inicialização autônomo computadores para reforçar a segurança para as chaves privadas dos usuários.
• Assegure-se que a pasta Meus Documentos está codificado nos casos em que o usuário se conecta a um mesmo computador.
• Você deve criptografar arquivos offline para assegurar a protecção de documentos armazenados localmente.
• Utilizando Server Message Block (SMB) assinatura com EFS auxilia na garantia de que os arquivos são seguramente transmitidos / recebidos através da rede.
• Você também pode usar o IPSec para criptografar dados na medida em que se move sobre a rede