SlideShare uma empresa Scribd logo

Protegendo Arquivos Sigilosos com EFS

Transferir como PPT, PDF
Diego Souza
Diego Souza

O documento discute o Encrypting File System (EFS) do Windows, que permite criptografar arquivos no disco rígido. O EFS usa criptografia de chave pública para criptografar arquivos individuais com uma chave simétrica única, armazenando a chave simétrica criptografada com a chave pública do usuário. Isso permite que apenas o usuário leia os arquivos criptografados. O documento também discute requisitos, recursos, configuração e casos de uso do EFS.

Tecnologia
1 de 43
Protegendo Arquivos Sigilosos com EFS
Introdução O envio e o recebimento de informações sigilosas é uma necessidade antiga, que existe há centenas de anos. E daí a criptografia tornou-se uma ferramenta essencial para que apenas o emissor e o receptor tenham acesso livre às informações.
  O que é a Criptografia • O termo Criptografia surgiu da fusão das palavras gregas "Kryptós" e "gráphein", que significam "oculto" e "escrever", respectivamente. Trata-se de um conjunto de regras que visa codificar a informação de forma que só o emissor e o receptor consiga decifrá-la. Para isso varias técnicas são usadas e ao passar do tempo, modificada, aperfeiçoada e o surgimento de novas outras de maneira que fiquem mais seguras. • Na computação, a técnica usada são a de chaves, as chamadas “CHAVES CRIPTOGRAFICAS”, Trata-se de um conjunto de bit’s baseado em um algoritmo capaz de codificar e de decodificar informações. Se o receptor da mensagem usar uma chave diferente e incompatível com a do emissor ela não conseguira ter a informação •
Por que usar criptografia? • Sabemos que existem muitas formas de proteger os sistemas ou até mesmo fazer alterações para prevenir acessos indevidos, mas mesmo assim, a proteção de um usuário a um arquivo pode ser o último recurso de defesa contra brechas indesejadas na privacidade. A forma mais segura de se proteger a informação é usando técnicas de criptografia. O software criptográfico pode ajudar a proteger as informações
Tipos de Criptografia • No caso das Chaves (tanto Simétrica quanto Assimétrica), o nível de segurança de uma criptografia é medido no número de bits, ou seja, quanto mais bits forem usados, mais difícil será quebrar a criptografia na força bruta. Ex: Se tivermos uma criptografia de 10 bits, existirão apenas 2¹º (ou 1024) chaves, porém, ao usarmos 64 bits, o número de chaves possíveis subirá para aproximadamente 20 x 10^18 chaves, um número alto até mesmo para um computador
Criptografia hash • A criptografia hash permite que, através de uma string de qualquer tamanho, seja calculado um identificador digital de tamanho fixo, chamado de valor hash. O valor hash geralmente é formado por 16 bytes (no caso do MD-2, MD-4 e MD- 5) ou 20 bytes (no caso do SHA-1), mas pode se estender, embora não passe de 512 bytes
Chaves Simétricas • É o tipo mais simples de criptografia, já que tanto o emissor quanto o receptor da mensagem possuem a mesma chave, ou seja, a mesma chave é usada tanto na codificação quanto na decodificação. Para ser realizada, basta que o emissor, antes de enviar a mensagem criptografada, envie a chave privada que será utilizada para descriptografá-la. Existem diversos algoritmos criptográficos que fazem uso da Chave Simétrica, tais como: •  - DES (Data Encryption Standard) •  - IDEA (Internacional Data Encryption Algorithm) • - RC (Ron’s Code ou Rivest Cipher)
Chaves Assimétricas  • Diferentemente do método de Chave Simétrica, esse tipo utiliza 2 chaves, uma pública e uma privada. O sistema funciona da forma que alguém cria uma chave e envia essa chave à quem quiser mandar informações à ela, essa é a chamada chave pública. Com ela é feita a codificação da mensagem. Para decodificação será necessário utilizar uma outra chave que deve ser criada, a chave privada – que é secreta. • Na figura, a chave verde representa a chave pública, enquanto a chave rosa reprenta a chave privada • Algoritmos que usam essa chave  -  
Encrypting File System
Encrypting File System – O QUE É ? • O Sistema de Arquivos com Criptografia (EFS) é um recurso do Windows que permite armazenar informações no disco rígido em um formato criptografado. • Utiliza um esquema de criptografia baseada em chave pública. Os dados são encriptados através de uma chave simétrica obtida aleatoriamente chamada de File Encryption Key (FEK). • Esta chave é gerada por meio de uma ou mais chaves públicas específicas. O EFS utiliza por padrão o algoritmo de encriptação simétrica DESX2 com chave 128 bits, podendo utilizar também o 3DES3 ou AES4 com chaves de 128, 192 ou 256 bits, dependendo da versão do sistema operacional
Como funciona ? • EFS funciona usando uma mistura inteligente de simétrica / assimétrica tecnologia-chave. Ambas tecnologias de criptografia têm seus pontos fortes e fracos.
Processo de encriptação • No processo de encriptação, os dados do arquivo a ser criptografado são abertos e copiados para um arquivo temporário do sistema. O EFS então gera a FEK e em seguida a utiliza para criptografar o arquivo, de acordo com o algoritmo de encriptação simétrica escolhido. Cria-se então o campo Data Decryption Field (DDF) contendo a FEK baseada na chave publica do usuário.
• O campo Data Recovery Field (DRF) também é automaticamente criado, no caso de ter sido definido agente de recuperação de dados do arquivo através de política de grupos. Finalmente, o arquivo temporário é apagado, e os dados criptografados são armazenados. Este processo pode ser representado pela Figura 1
Processo de decriptação • Na decriptação, o arquivo criptografado é identificado pelo sistema de arquivos nativo através do EFS. O EFS então obtém a FEK do usuário e a utiliza para decriptar a DDF. Os dados são finalmente decriptados e enviados ao sistema de arquivos nativo. A Figura 2 apresenta o processo descrito
Requisitos para uso • Windows • Windows 2000 Professional, Server, Advanced Server and Datacenter editions • Windows XP Professional, also in Tablet PC Edition, Media Center Edition and x64 Edition • Windows Server 2003 and Windows Server 2003 R2, in both x86 and x64 editions • Windows Vista Business, Enterprise and Ultimate editions[8] • Windows 7 Professional, Enterprise and Ultimate editions • Windows Server 2008 and Windows Server 2008 R2 O EFS só funciona em computadores que usam o sistema de arquivos NTFS. Se o arquivo que você deseja criptografar estiver em uma unidade que use o sistema de arquivos FAT ou FAT32, será necessário converter o volume em NTFS
Recursos • Criar e manter uma chave de recuperação para garantir que os dados criptografados podem ser recuperados com segurança quando o usuário original não puder fazê-lo. • Criar agentes de recuperação que pode recuperar arquivos criptografados quando o usuário original não puder fazê-lo. • Exportação e importação chaves de recuperação de dados para permitir a recuperação segura de pastas e arquivos criptografados. • Recuperar dados quando o usuário original não puder fazê-lo. • A criptografia é simples; basta marcar uma caixa de seleção nas propriedades do arquivo ou da pasta para ativá-la. • Você possui controle sobre quem pode ler os arquivos. • Os arquivos são criptografados quando você os fecha, mas estão automaticamente prontos para uso quando você os abre. • Se desistir de criptografar um arquivo, desmarque a caixa de seleção nas propriedades do arquivo.
Configuração • O recurso EFS nos permite configurar uma conta com a função de Recovery Agent (Agente de Recuperação). Com esta conta, podemos acessar arquivos criptografados por outros usuários. Em computadores Member Servers (Servidores Membros), por padrão, a conta de usuário Administrator (Administrador) é configurada como Recovery Agent (Agente de Recuperação).
  • Já em Domain Controllers (Controladores de Domínio), por padrão, a conta de usuário Domain Administrator (Administrador do Domínio) é configurada como Recovery Agent (Agente de Recuperação). O Recovery Agent (Agente de Recuperação) é útil quando excluímos a conta de um usuário que possui arquivos criptografados. Após a exclusão dessa conta de usuário, somente o Recovery Agent (Agente de Recuperação) poderá acessar esses arquivos.
Gerar  Backup chave de  recuperação • Não ter uma chave de recuperação de backup pode resultar na perda irrevogável dos dados criptografados. Fazer o backup de uma chave de recuperação ajuda a garantir que os dados criptografados podem ser recuperados no caso de o usuário possuir o certificado de criptografia EFS não é capaz de descriptografar os dados.
• Esta operação deve ser realizada utilizando a conta de agente de recuperação que tem o certificado de recuperação de arquivo e uma chave privada no seu arquivo privado. O administrador de domínio é o agente de recuperação padrão, não tem recuperação padrão, mas você em uma ambiente de grupo ou de domínio pode criar um agente de recuperação local para todas as contas no computador.
Processo de Exportação • Agora um dos passos muito importante de todo este processo, e sem o qual podemos ser vitimas do nosso próprio sistema de segurança: Criar uma cópia de segurança deste certificado e guarda-la em lugar restrito e seguro. Tudo passa a depender deste certificado, daí a sua importância, já que a falta dele leva à perda perda irreversível dos dados
Estudo de Caso Muitas empresas fornecem para seus consultores notebooks normalmente com Windows, caso esse notebook seja roubado em algumas de suas visitas rotineiras, os arquivos vão estar expostos a qualquer pessoa podendo causar um grande prejuízo , se usarmos a criptografia EFS esse risco pode ser mitigado
Caso 1 – Atacante  • Passo um, um laptop é roubado. O próximo passo a ser superado pelo atacante é a forma de fazer logon no computador e acessar os arquivos contidos nele. Existem várias maneiras para obter acesso ao login administrador Windows. • Neste caso fica mais fácil pois ele está com acesso físico ao computador. Ele pode rodar um livecd linux de quebra de senha,a partir daí acessar as informações. • O atacante consegue acesso total inclusive os criptografados pois ele quebrou a senha de administrador e com ela é possível ter acesso as chaves
Caso 2 – Erro de  Configuração • Acesso ao Servidor: A Microsoft recomenda que um agente de recuperação deve ser disponibilizado. • Por padrão o agente de recuperação usa a mesma conta de administrador local do sistema. • Se o atacante consegue acesso físico ao servidor, quebrar a senha do servidor onde ficam as chaves, o invasor obtém controle total de todos os arquivos mesmo os codificados.
Segurança da Chave Privada • A Microsoft espera tornar a chave privada exportada para alguns outros meios de comunicação (Isto é cartões inteligentes), mas por enquanto, no Windows 2000/2003, as chaves são armazenadas localmente. Supondo que o atacante obteve acesso a conta de administrador. Ele faz uma verificação rápida da política de segurança local e descobre que o certificado de recuperação foi removido ainda existe chances para o invasor. Ainda assim, ele abre o gerenciar, seleciona Usuários e Grupos Locais. • Todas as contas de usuário são exibidas. O atacante agora muda as senhas interessantes, fazendo logon no sistema. Assim, ele obtém acesso a todos os arquivos criptografados do usuário.
Caso 3  • Algumas empresas de consultoria em Segurança da Informação usam o ambiente que utilizam AD com GPOs bem específicas e onde os usuários podem acessar suas pastas criptografadas com EFS apenas após autenticarem-se com suas credenciais cadastradas no AD. • Neste caso o uso do EFS é obrigatório para armazenar dados de clientes, como relatórios de auditorias, review codes e testes de invasão. Assim mantém seu ambiente seguro tendo em vista que as informações contidas nos servidores são de extrema importância.
Correções de  Vulnerabilidades
Atualizações do EFS – Aplicados no  Caso 2 • Vários aprimoramentos importantes feitos no EFS estão disponíveis no Windows Server® 2008. Entre eles estão a capacidade de armazenar certificados de criptografia em cartões inteligentes, a criptografia por usuário de arquivos no cache do cliente, opções adicionais de Diretiva de Grupo e um novo assistente de rechaveamento. • Armazenamento de chaves em cartões inteligentes • As chaves e os certificados de criptografia do EFS podem ser armazenados em cartões inteligentes, o que oferece maior proteção das chaves. Isso pode ser especialmente importante para ajudar a proteger computadores portáteis ou estações de trabalho compartilhadas. O uso de cartões inteligentes para armazenar chaves de criptografia também oferece maneiras de aperfeiçoar o gerenciamento de chaves em empresas de grande porte.
Atualizações do EFS – Caso 2 • Por que essa funcionalidade é importante? • O uso de um cartão inteligente para armazenar chaves do EFS ajuda a manter essas chaves fora do disco rígido do computador. Isso aumenta a segurança dessas chaves porque elas não poderão ser violadas por outro usuário ou por alguém que roubar o computador. • O que funciona de maneira diferente? • No Windows Server 2008 e no Windows Vista, o EFS permite armazenar as chaves particulares dos usuários em cartões inteligentes. • Usando configurações de Diretiva de Grupo, você pode configurar o EFS para armazenar chaves particulares em cartões inteligentes no modo sem cache e de cache.
• Modo sem cache. Semelhante ao modo tradicional de funcionamento do EFS, todas as operações de descriptografia que exigem a chave particular do usuário são executadas no cartão inteligente. • Modo de cache. Uma chave simétrica é derivada da chave particular do usuário e armazenada na memória cache protegida. As operações de criptografia e descriptografia que envolvem a chave do usuário são substituídas pelas operações criptográficas simétricas correspondentes usando-se essa chave derivada. Isso elimina a necessidade de manter o cartão inteligente sempre conectado ou de usar o processador de cartão inteligente em cada operação de descriptografia. Por isso, ocorre um aumento considerável no desempenho. O EFS também tem diretivas para impor o uso de cartão inteligente e controlar os parâmetros e o comportamento de armazenamento em cache das chaves dos usuários.
Medidas Caso 1 • Uma medida que deve ser tomada quanto ao acesso físico ao servidores é implementando medidas de acessos restrito ao local utilizando alguns itens: Trava na porta onde fica o servidor, colocar acesso via Leitores de cartões magnéticos, Dispositivos de impressão digital integrado leitores de cartões e PIN, Dispositivos integrados leitores de impressão digital, cartões de reconhecimento facial, Scanners de retina, câmeras entre outros.
Diferença entre  EFS e Bitlocker
• O BitLocker ajuda a proteger todos os arquivos de sistema e pessoais da unidade em que o Windows está instalado (a unidade do sistema operacional), caso o computador seja roubado ou se usuários não autorizados tentarem acessá-lo. Você pode usar o BitLocker para criptografar todos os arquivos em unidades de dados fixas (como unidades de disco rígido internas) e o BitLocker To Go para criptografar arquivos em unidades de dados removíveis (como unidades de disco rígido externas ou unidades flash USB). O EFS é usado para ajudar a proteger arquivos individuais de qualquer unidade e por usuário. A tabela abaixo mostra as principais diferenças entre o BitLocker e o EFS.
 Podemos usar ambos os  recursos em conjunto? • Sim,você pode usar a Criptografia de Unidade de Disco BitLocker e o EFS juntos para obter a proteção oferecida pelos dois recursos. Quando o EFS é usado, as chaves de criptografia são armazenadas no sistema operacional do computador. Embora as chaves usadas com o EFS sejam criptografadas, a segurança delas ainda pode ficar comprometida se um hacker conseguir acessar a unidade do sistema operacional. O uso do BitLocker para criptografar a unidade do sistema operacional pode ajudar a proteger essas chaves impedindo que a unidade do sistema seja inicializada ou acessada, caso seja instalada em outro computador.
Requisitos para utilização do  BitLocker • Para que você possa utilizar o BitLocker os seguintes requisitos precisam ser atendidos: • Windows Vista Enterprise ou Windows Vista Ultimate. • O computador precisa ter um chip TPM. Caso não tenha você poderá utilizar um disco removível USB. • O disco do computador deve ter pelo menos duas partições. Se você criar uma nova partição depois de já ter instalado o Windows, será preciso reinstalar o Windows antes de ativar o BitLocker. Se você ainda não tem duas partições, pode usar a Ferramenta de Preparação de Unidades de Disco BitLocker para ajudar a preparar o sistema para BitLocker criando a segunda partição necessária. Se você estiver usando o Windows Vista Ultimate, você poderá baixar e instalar essa ferramenta nos Extras do Ultimate. Uma vez instalada a ferramenta, digite BitLocker na caixa Pesquisar do menu Iniciar e clique duas vezes em Ferramenta de Preparação de Unidades de Disco BitLocker para executá-la. Após a execução da ferramenta, é necessário reiniciar o computador para ativar o BitLocker. • As partições precisam estar formatadas com o NTFS. • A BIOS do computador deve ser compatível com o TPM e oferecer suporte a leitura de dispositivos USB durante a inicialização.
• Como saber se meu computador possui um chip TPM? Geralmente essa informação é fornecida pelos próprios fabricantes das placas mãe. Mas a partir do Windows Vista temos um utilitário que nos mostra essa informação. • Exemplo prático – Verificar se um computador possui o chip TPM.(Trusted Platform Module) É um criptoprocessador seguro, capaz de armazenar chaves criptográficas que protegem informações , fica na placa mãe. • a) Efetue logon com uma conta de usuário que possua direitos administrativos. • b) Abra o Painel de Controle, Criptografia de Unidade BitLocker. • c) Na tela que será exibida você pode identificar se o seu computador possui ou não um chip TPM. Vejam na imagem abaixo que o computador não possui o chip TPM.
Recomendações de Uso • Certifique-se de criar a chave de recuperação ao ativar o BitLocker pela primeira vez; caso contrário, você poderá perder permanentemente o acesso aos arquivos. Se o computador tiver o chip do TPM (Trusted Platform Module), o BitLocker irá usá-lo para lacrar as chaves utilizadas para desbloquear a unidade do sistema operacional criptografada. Quando você inicia o computador, o BitLocker solicita as chaves para a unidade ao TPM e a desbloqueia. • Se criptografar unidades de dados (fixas ou removíveis), você poderá desbloquear uma unidade criptografada com uma senha ou um cartão inteligente, ou configurar a unidade para desbloquear automaticamente quando você fizer logon no computador. • Você pode desativar o BitLocker a qualquer momento, seja de forma temporária, suspendendo-o; ou permanente, descriptografando a unidade. •
O que tem de errado nessa imagem ? Visitante com acesso a sala restrita Arquivos confidenciais na lixeira sem passar por um Triturador de papel Senha colada no monitor Usuário passando a senha por telefone Uso incorreto do crachá com foto para trás Alarme desligado Entre outros erros....
Perguntas ?
• GRUPO: • DIEGO SOUZA • LEANDRO ALBERTO • IGOR ANTONIO • RAFAEL SAMPAIO • APRESENTAÇÃO : PROTEGENDO ARQUIVOS SIGILOSOS COM EFS • MATÉRIA: SEGURANÇA EM AMBIENTE WINDOWS • PROFESSOR:MARCELO RIBEIRO • PÓS- GRADUAÇÃO SEGURANÇA EM REDES DE COMPUTADORES • UNIVERSIDADE ESTÁCIO DE SÁ

Recomendados

Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informaçãoalex_it
 
Apresentação tema 9 Segurança das Informações e Continuidade dos negócios
Apresentação tema 9 Segurança das Informações e Continuidade dos negóciosApresentação tema 9 Segurança das Informações e Continuidade dos negócios
Apresentação tema 9 Segurança das Informações e Continuidade dos negóciosSanger Dias
 
Aula 2 semana3
Aula 2 semana3Aula 2 semana3
Aula 2 semana3Jorge Ávila Miranda
 
Introducao a criptografia
Introducao a criptografiaIntroducao a criptografia
Introducao a criptografiagillojau
 
Sistemas Distribuídos - Aula 08 - Segurança
Sistemas Distribuídos - Aula 08 - SegurançaSistemas Distribuídos - Aula 08 - Segurança
Sistemas Distribuídos - Aula 08 - SegurançaArthur Emanuel
 
Aula src openvpn-configuração com chave publica
Aula src openvpn-configuração com chave publicaAula src openvpn-configuração com chave publica
Aula src openvpn-configuração com chave publicaRafael Simões
 
Aula 2 semana2
Aula 2 semana2Aula 2 semana2
Aula 2 semana2Jorge Ávila Miranda
 
Introdução a segurança da informação
Introdução a segurança da informaçãoIntrodução a segurança da informação
Introdução a segurança da informaçãoneemiaslopes
 

Recomendados

Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informaçãoalex_it
 
Apresentação tema 9 Segurança das Informações e Continuidade dos negócios
Apresentação tema 9 Segurança das Informações e Continuidade dos negóciosApresentação tema 9 Segurança das Informações e Continuidade dos negócios
Apresentação tema 9 Segurança das Informações e Continuidade dos negóciosSanger Dias
 
Aula 2 semana3
Aula 2 semana3Aula 2 semana3
Aula 2 semana3Jorge Ávila Miranda
 
Introducao a criptografia
Introducao a criptografiaIntroducao a criptografia
Introducao a criptografiagillojau
 
Sistemas Distribuídos - Aula 08 - Segurança
Sistemas Distribuídos - Aula 08 - SegurançaSistemas Distribuídos - Aula 08 - Segurança
Sistemas Distribuídos - Aula 08 - SegurançaArthur Emanuel
 
Aula src openvpn-configuração com chave publica
Aula src openvpn-configuração com chave publicaAula src openvpn-configuração com chave publica
Aula src openvpn-configuração com chave publicaRafael Simões
 
Aula 2 semana2
Aula 2 semana2Aula 2 semana2
Aula 2 semana2Jorge Ávila Miranda
 
Introdução a segurança da informação
Introdução a segurança da informaçãoIntrodução a segurança da informação
Introdução a segurança da informaçãoneemiaslopes
 
Trabalho tic
Trabalho ticTrabalho tic
Trabalho ticAlef Lopes
 
Tema 09
Tema 09Tema 09
Tema 09Google
 
Cyber Security - Aula 1
Cyber Security - Aula 1Cyber Security - Aula 1
Cyber Security - Aula 1VicenteTino
 
Criptografia
CriptografiaCriptografia
CriptografiaArtur Prass
 
T aula4-introducao-criptografia
T aula4-introducao-criptografiaT aula4-introducao-criptografia
T aula4-introducao-criptografiaHélio Martins
 
Criptografia - Redes de Computadores
Criptografia - Redes de ComputadoresCriptografia - Redes de Computadores
Criptografia - Redes de ComputadoresCícero Bruno
 
Tecnologias Atuais de Redes - Aula 1 - Criptografia [Apostila]
Tecnologias Atuais de Redes - Aula 1 - Criptografia [Apostila]Tecnologias Atuais de Redes - Aula 1 - Criptografia [Apostila]
Tecnologias Atuais de Redes - Aula 1 - Criptografia [Apostila]Ministério Público da Paraíba
 
Psi apostila2
Psi apostila2Psi apostila2
Psi apostila2paulo_batista
 
Criptografia
CriptografiaCriptografia
CriptografiaPaula P.
 
Pentest invasoedefesa-anonfeh-130416201153-phpapp01 (1)
Pentest invasoedefesa-anonfeh-130416201153-phpapp01 (1)Pentest invasoedefesa-anonfeh-130416201153-phpapp01 (1)
Pentest invasoedefesa-anonfeh-130416201153-phpapp01 (1)Marcelo Area Leao
 
Criptografia_Métodos_E_Tecnicas_Criptograficas.ppt
Criptografia_Métodos_E_Tecnicas_Criptograficas.pptCriptografia_Métodos_E_Tecnicas_Criptograficas.ppt
Criptografia_Métodos_E_Tecnicas_Criptograficas.pptMárcio Antônio Moraes Reyes
 
Crypto rave 2016: criptografia de disco inteiro
Crypto rave 2016: criptografia de disco inteiroCrypto rave 2016: criptografia de disco inteiro
Crypto rave 2016: criptografia de disco inteiroFernando Silva
 
Criptografia
CriptografiaCriptografia
CriptografiaMarílio Cerqueira
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores LinuxImpacta Eventos
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Introdução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoIntrodução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoNeemias Lopes
 
S.D.I - SEGURANÇA DE DADOS E INFORMAÇÕES
S.D.I - SEGURANÇA DE DADOS E INFORMAÇÕESS.D.I - SEGURANÇA DE DADOS E INFORMAÇÕES
S.D.I - SEGURANÇA DE DADOS E INFORMAÇÕESMateus Cardoso
 
segurança de redes.pptx
segurança de redes.pptxsegurança de redes.pptx
segurança de redes.pptxSamara Santos
 
Aula 8.0 - Segurança
Aula 8.0 - SegurançaAula 8.0 - Segurança
Aula 8.0 - SegurançaAndrei Carniel
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação2015s
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoAdilmar Dantas
 
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Diego BBahia
 

Mais conteúdo relacionado

Mais procurados

Tema 09
Tema 09Tema 09
Tema 09Google
 
Cyber Security - Aula 1
Cyber Security - Aula 1Cyber Security - Aula 1
Cyber Security - Aula 1VicenteTino
 
T aula4-introducao-criptografia
T aula4-introducao-criptografiaT aula4-introducao-criptografia
T aula4-introducao-criptografiaHélio Martins
 
Criptografia - Redes de Computadores
Criptografia - Redes de ComputadoresCriptografia - Redes de Computadores
Criptografia - Redes de ComputadoresCícero Bruno
 
Tecnologias Atuais de Redes - Aula 1 - Criptografia [Apostila]
Tecnologias Atuais de Redes - Aula 1 - Criptografia [Apostila]Tecnologias Atuais de Redes - Aula 1 - Criptografia [Apostila]
Tecnologias Atuais de Redes - Aula 1 - Criptografia [Apostila]Ministério Público da Paraíba
 

Mais procurados (7)

Trabalho tic
Trabalho ticTrabalho tic
Trabalho tic
 
Tema 09
Tema 09Tema 09
Tema 09
 
Cyber Security - Aula 1
Cyber Security - Aula 1Cyber Security - Aula 1
Cyber Security - Aula 1
 
Criptografia
CriptografiaCriptografia
Criptografia
 
T aula4-introducao-criptografia
T aula4-introducao-criptografiaT aula4-introducao-criptografia
T aula4-introducao-criptografia
 
Criptografia - Redes de Computadores
Criptografia - Redes de ComputadoresCriptografia - Redes de Computadores
Criptografia - Redes de Computadores
 
Tecnologias Atuais de Redes - Aula 1 - Criptografia [Apostila]
Tecnologias Atuais de Redes - Aula 1 - Criptografia [Apostila]Tecnologias Atuais de Redes - Aula 1 - Criptografia [Apostila]
Tecnologias Atuais de Redes - Aula 1 - Criptografia [Apostila]
 

Semelhante a Protegendo Arquivos Sigilosos com EFS

Criptografia
CriptografiaCriptografia
CriptografiaPaula P.
 
Pentest invasoedefesa-anonfeh-130416201153-phpapp01 (1)
Pentest invasoedefesa-anonfeh-130416201153-phpapp01 (1)Pentest invasoedefesa-anonfeh-130416201153-phpapp01 (1)
Pentest invasoedefesa-anonfeh-130416201153-phpapp01 (1)Marcelo Area Leao
 
Crypto rave 2016: criptografia de disco inteiro
Crypto rave 2016: criptografia de disco inteiroCrypto rave 2016: criptografia de disco inteiro
Crypto rave 2016: criptografia de disco inteiroFernando Silva
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores LinuxImpacta Eventos
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Introdução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoIntrodução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoNeemias Lopes
 
S.D.I - SEGURANÇA DE DADOS E INFORMAÇÕES
S.D.I - SEGURANÇA DE DADOS E INFORMAÇÕESS.D.I - SEGURANÇA DE DADOS E INFORMAÇÕES
S.D.I - SEGURANÇA DE DADOS E INFORMAÇÕESMateus Cardoso
 
segurança de redes.pptx
segurança de redes.pptxsegurança de redes.pptx
segurança de redes.pptxSamara Santos
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação2015s
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoAdilmar Dantas
 
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Diego BBahia
 
Certificação Digital - Aula1 Exercícios
Certificação Digital - Aula1 ExercíciosCertificação Digital - Aula1 Exercícios
Certificação Digital - Aula1 ExercíciosLeandro Rezende
 
126015847 seguranca-de-redes-criptografia-2
126015847 seguranca-de-redes-criptografia-2126015847 seguranca-de-redes-criptografia-2
126015847 seguranca-de-redes-criptografia-2Marco Guimarães
 
126015847 seguranca-de-redes-criptografia-2 (1)
126015847 seguranca-de-redes-criptografia-2 (1)126015847 seguranca-de-redes-criptografia-2 (1)
126015847 seguranca-de-redes-criptografia-2 (1)Marco Guimarães
 

Semelhante a Protegendo Arquivos Sigilosos com EFS (20)

Psi apostila2
Psi apostila2Psi apostila2
Psi apostila2
 
Criptografia
CriptografiaCriptografia
Criptografia
 
Pentest invasoedefesa-anonfeh-130416201153-phpapp01 (1)
Pentest invasoedefesa-anonfeh-130416201153-phpapp01 (1)Pentest invasoedefesa-anonfeh-130416201153-phpapp01 (1)
Pentest invasoedefesa-anonfeh-130416201153-phpapp01 (1)
 
Criptografia_Métodos_E_Tecnicas_Criptograficas.ppt
Criptografia_Métodos_E_Tecnicas_Criptograficas.pptCriptografia_Métodos_E_Tecnicas_Criptograficas.ppt
Criptografia_Métodos_E_Tecnicas_Criptograficas.ppt
 
Crypto rave 2016: criptografia de disco inteiro
Crypto rave 2016: criptografia de disco inteiroCrypto rave 2016: criptografia de disco inteiro
Crypto rave 2016: criptografia de disco inteiro
 
Criptografia
CriptografiaCriptografia
Criptografia
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores Linux
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 
Introdução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoIntrodução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteção
 
S.D.I - SEGURANÇA DE DADOS E INFORMAÇÕES
S.D.I - SEGURANÇA DE DADOS E INFORMAÇÕESS.D.I - SEGURANÇA DE DADOS E INFORMAÇÕES
S.D.I - SEGURANÇA DE DADOS E INFORMAÇÕES
 
segurança de redes.pptx
segurança de redes.pptxsegurança de redes.pptx
segurança de redes.pptx
 
Aula 8.0 - Segurança
Aula 8.0 - SegurançaAula 8.0 - Segurança
Aula 8.0 - Segurança
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
 
Certificação Digital - Aula1 Exercícios
Certificação Digital - Aula1 ExercíciosCertificação Digital - Aula1 Exercícios
Certificação Digital - Aula1 Exercícios
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5
 
Criptografia
CriptografiaCriptografia
Criptografia
 
126015847 seguranca-de-redes-criptografia-2
126015847 seguranca-de-redes-criptografia-2126015847 seguranca-de-redes-criptografia-2
126015847 seguranca-de-redes-criptografia-2
 
126015847 seguranca-de-redes-criptografia-2 (1)
126015847 seguranca-de-redes-criptografia-2 (1)126015847 seguranca-de-redes-criptografia-2 (1)
126015847 seguranca-de-redes-criptografia-2 (1)
 

Mais de Diego Souza

Ransomware all locked up book
Ransomware all locked up bookRansomware all locked up book
Ransomware all locked up bookDiego Souza
 
CASE-BPMN - BMM
CASE-BPMN - BMM CASE-BPMN - BMM
CASE-BPMN - BMM Diego Souza
 
Apresentação bmm
Apresentação bmmApresentação bmm
Apresentação bmmDiego Souza
 
CASE COBIT - ISHIKAWA
CASE COBIT - ISHIKAWACASE COBIT - ISHIKAWA
CASE COBIT - ISHIKAWADiego Souza
 
Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000Diego Souza
 
Marco Civil da Internet
Marco Civil da Internet Marco Civil da Internet
Marco Civil da Internet Diego Souza
 
Como escrever relatórios e laudos de forense computacional e análise de malwares
Como escrever relatórios e laudos de forense computacional e análise de malwaresComo escrever relatórios e laudos de forense computacional e análise de malwares
Como escrever relatórios e laudos de forense computacional e análise de malwaresDiego Souza
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoDiego Souza
 
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO Diego Souza
 
Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Diego Souza
 
Alinhar a ti ao negócio e não o negócio à ti
Alinhar a ti ao negócio e não o negócio à tiAlinhar a ti ao negócio e não o negócio à ti
Alinhar a ti ao negócio e não o negócio à tiDiego Souza
 
Gerenciamento de Serviço de TI - ITIL
Gerenciamento de Serviço de TI - ITILGerenciamento de Serviço de TI - ITIL
Gerenciamento de Serviço de TI - ITILDiego Souza
 
Trabalho maltego (1)
Trabalho maltego (1)Trabalho maltego (1)
Trabalho maltego (1)Diego Souza
 
Tutorial de Configuranção do TRUECRYPT no Pen Drive
Tutorial de Configuranção do TRUECRYPT no Pen DriveTutorial de Configuranção do TRUECRYPT no Pen Drive
Tutorial de Configuranção do TRUECRYPT no Pen DriveDiego Souza
 
Tutorial fundamentos s.o
Tutorial fundamentos s.oTutorial fundamentos s.o
Tutorial fundamentos s.oDiego Souza
 
Práticas e Modelos de Segurança
Práticas e Modelos de SegurançaPráticas e Modelos de Segurança
Práticas e Modelos de SegurançaDiego Souza
 

Mais de Diego Souza (20)

Ransomware all locked up book
Ransomware all locked up bookRansomware all locked up book
Ransomware all locked up book
 
CASE-BPMN - BMM
CASE-BPMN - BMM CASE-BPMN - BMM
CASE-BPMN - BMM
 
Apresentação bmm
Apresentação bmmApresentação bmm
Apresentação bmm
 
CASE COBIT - ISHIKAWA
CASE COBIT - ISHIKAWACASE COBIT - ISHIKAWA
CASE COBIT - ISHIKAWA
 
Exin
ExinExin
Exin
 
Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000
 
Marco Civil da Internet
Marco Civil da Internet Marco Civil da Internet
Marco Civil da Internet
 
Como escrever relatórios e laudos de forense computacional e análise de malwares
Como escrever relatórios e laudos de forense computacional e análise de malwaresComo escrever relatórios e laudos de forense computacional e análise de malwares
Como escrever relatórios e laudos de forense computacional e análise de malwares
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao Desenvolvimento
 
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO
 
Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...
 
Alinhar a ti ao negócio e não o negócio à ti
Alinhar a ti ao negócio e não o negócio à tiAlinhar a ti ao negócio e não o negócio à ti
Alinhar a ti ao negócio e não o negócio à ti
 
Gerenciamento de Serviço de TI - ITIL
Gerenciamento de Serviço de TI - ITILGerenciamento de Serviço de TI - ITIL
Gerenciamento de Serviço de TI - ITIL
 
Psm i
Psm iPsm i
Psm i
 
Diego souza
Diego souzaDiego souza
Diego souza
 
Trabalho maltego (1)
Trabalho maltego (1)Trabalho maltego (1)
Trabalho maltego (1)
 
Tutorial de Configuranção do TRUECRYPT no Pen Drive
Tutorial de Configuranção do TRUECRYPT no Pen DriveTutorial de Configuranção do TRUECRYPT no Pen Drive
Tutorial de Configuranção do TRUECRYPT no Pen Drive
 
Tutorial fundamentos s.o
Tutorial fundamentos s.oTutorial fundamentos s.o
Tutorial fundamentos s.o
 
Analise de Logs
Analise de LogsAnalise de Logs
Analise de Logs
 
Práticas e Modelos de Segurança
Práticas e Modelos de SegurançaPráticas e Modelos de Segurança
Práticas e Modelos de Segurança
 

Protegendo Arquivos Sigilosos com EFS

  • 1. Protegendo Arquivos Sigilosos com EFS
  • 2. Introdução O envio e o recebimento de informações sigilosas é uma necessidade antiga, que existe há centenas de anos. E daí a criptografia tornou-se uma ferramenta essencial para que apenas o emissor e o receptor tenham acesso livre às informações.
  • 3.
  • 4.   O que é a Criptografia • O termo Criptografia surgiu da fusão das palavras gregas "Kryptós" e "gráphein", que significam "oculto" e "escrever", respectivamente. Trata-se de um conjunto de regras que visa codificar a informação de forma que só o emissor e o receptor consiga decifrá-la. Para isso varias técnicas são usadas e ao passar do tempo, modificada, aperfeiçoada e o surgimento de novas outras de maneira que fiquem mais seguras. • Na computação, a técnica usada são a de chaves, as chamadas “CHAVES CRIPTOGRAFICAS”, Trata-se de um conjunto de bit’s baseado em um algoritmo capaz de codificar e de decodificar informações. Se o receptor da mensagem usar uma chave diferente e incompatível com a do emissor ela não conseguira ter a informação •
  • 5. Por que usar criptografia? • Sabemos que existem muitas formas de proteger os sistemas ou até mesmo fazer alterações para prevenir acessos indevidos, mas mesmo assim, a proteção de um usuário a um arquivo pode ser o último recurso de defesa contra brechas indesejadas na privacidade. A forma mais segura de se proteger a informação é usando técnicas de criptografia. O software criptográfico pode ajudar a proteger as informações
  • 6. Tipos de Criptografia • No caso das Chaves (tanto Simétrica quanto Assimétrica), o nível de segurança de uma criptografia é medido no número de bits, ou seja, quanto mais bits forem usados, mais difícil será quebrar a criptografia na força bruta. Ex: Se tivermos uma criptografia de 10 bits, existirão apenas 2¹º (ou 1024) chaves, porém, ao usarmos 64 bits, o número de chaves possíveis subirá para aproximadamente 20 x 10^18 chaves, um número alto até mesmo para um computador
  • 7. Criptografia hash • A criptografia hash permite que, através de uma string de qualquer tamanho, seja calculado um identificador digital de tamanho fixo, chamado de valor hash. O valor hash geralmente é formado por 16 bytes (no caso do MD-2, MD-4 e MD- 5) ou 20 bytes (no caso do SHA-1), mas pode se estender, embora não passe de 512 bytes
  • 8. Chaves Simétricas • É o tipo mais simples de criptografia, já que tanto o emissor quanto o receptor da mensagem possuem a mesma chave, ou seja, a mesma chave é usada tanto na codificação quanto na decodificação. Para ser realizada, basta que o emissor, antes de enviar a mensagem criptografada, envie a chave privada que será utilizada para descriptografá-la. Existem diversos algoritmos criptográficos que fazem uso da Chave Simétrica, tais como: •  - DES (Data Encryption Standard) •  - IDEA (Internacional Data Encryption Algorithm) • - RC (Ron’s Code ou Rivest Cipher)
  • 9. Chaves Assimétricas  • Diferentemente do método de Chave Simétrica, esse tipo utiliza 2 chaves, uma pública e uma privada. O sistema funciona da forma que alguém cria uma chave e envia essa chave à quem quiser mandar informações à ela, essa é a chamada chave pública. Com ela é feita a codificação da mensagem. Para decodificação será necessário utilizar uma outra chave que deve ser criada, a chave privada – que é secreta. • Na figura, a chave verde representa a chave pública, enquanto a chave rosa reprenta a chave privada • Algoritmos que usam essa chave  -  
  • 11. Encrypting File System – O QUE É ? • O Sistema de Arquivos com Criptografia (EFS) é um recurso do Windows que permite armazenar informações no disco rígido em um formato criptografado. • Utiliza um esquema de criptografia baseada em chave pública. Os dados são encriptados através de uma chave simétrica obtida aleatoriamente chamada de File Encryption Key (FEK). • Esta chave é gerada por meio de uma ou mais chaves públicas específicas. O EFS utiliza por padrão o algoritmo de encriptação simétrica DESX2 com chave 128 bits, podendo utilizar também o 3DES3 ou AES4 com chaves de 128, 192 ou 256 bits, dependendo da versão do sistema operacional
  • 12. Como funciona ? • EFS funciona usando uma mistura inteligente de simétrica / assimétrica tecnologia-chave. Ambas tecnologias de criptografia têm seus pontos fortes e fracos.
  • 13. Processo de encriptação • No processo de encriptação, os dados do arquivo a ser criptografado são abertos e copiados para um arquivo temporário do sistema. O EFS então gera a FEK e em seguida a utiliza para criptografar o arquivo, de acordo com o algoritmo de encriptação simétrica escolhido. Cria-se então o campo Data Decryption Field (DDF) contendo a FEK baseada na chave publica do usuário.
  • 14. • O campo Data Recovery Field (DRF) também é automaticamente criado, no caso de ter sido definido agente de recuperação de dados do arquivo através de política de grupos. Finalmente, o arquivo temporário é apagado, e os dados criptografados são armazenados. Este processo pode ser representado pela Figura 1
  • 15. Processo de decriptação • Na decriptação, o arquivo criptografado é identificado pelo sistema de arquivos nativo através do EFS. O EFS então obtém a FEK do usuário e a utiliza para decriptar a DDF. Os dados são finalmente decriptados e enviados ao sistema de arquivos nativo. A Figura 2 apresenta o processo descrito
  • 16. Requisitos para uso • Windows • Windows 2000 Professional, Server, Advanced Server and Datacenter editions • Windows XP Professional, also in Tablet PC Edition, Media Center Edition and x64 Edition • Windows Server 2003 and Windows Server 2003 R2, in both x86 and x64 editions • Windows Vista Business, Enterprise and Ultimate editions[8] • Windows 7 Professional, Enterprise and Ultimate editions • Windows Server 2008 and Windows Server 2008 R2 O EFS só funciona em computadores que usam o sistema de arquivos NTFS. Se o arquivo que você deseja criptografar estiver em uma unidade que use o sistema de arquivos FAT ou FAT32, será necessário converter o volume em NTFS
  • 17. Recursos • Criar e manter uma chave de recuperação para garantir que os dados criptografados podem ser recuperados com segurança quando o usuário original não puder fazê-lo. • Criar agentes de recuperação que pode recuperar arquivos criptografados quando o usuário original não puder fazê-lo. • Exportação e importação chaves de recuperação de dados para permitir a recuperação segura de pastas e arquivos criptografados. • Recuperar dados quando o usuário original não puder fazê-lo. • A criptografia é simples; basta marcar uma caixa de seleção nas propriedades do arquivo ou da pasta para ativá-la. • Você possui controle sobre quem pode ler os arquivos. • Os arquivos são criptografados quando você os fecha, mas estão automaticamente prontos para uso quando você os abre. • Se desistir de criptografar um arquivo, desmarque a caixa de seleção nas propriedades do arquivo.
  • 18. Configuração • O recurso EFS nos permite configurar uma conta com a função de Recovery Agent (Agente de Recuperação). Com esta conta, podemos acessar arquivos criptografados por outros usuários. Em computadores Member Servers (Servidores Membros), por padrão, a conta de usuário Administrator (Administrador) é configurada como Recovery Agent (Agente de Recuperação).
  • 19.   • Já em Domain Controllers (Controladores de Domínio), por padrão, a conta de usuário Domain Administrator (Administrador do Domínio) é configurada como Recovery Agent (Agente de Recuperação). O Recovery Agent (Agente de Recuperação) é útil quando excluímos a conta de um usuário que possui arquivos criptografados. Após a exclusão dessa conta de usuário, somente o Recovery Agent (Agente de Recuperação) poderá acessar esses arquivos.
  • 20. Gerar  Backup chave de  recuperação • Não ter uma chave de recuperação de backup pode resultar na perda irrevogável dos dados criptografados. Fazer o backup de uma chave de recuperação ajuda a garantir que os dados criptografados podem ser recuperados no caso de o usuário possuir o certificado de criptografia EFS não é capaz de descriptografar os dados.
  • 21. • Esta operação deve ser realizada utilizando a conta de agente de recuperação que tem o certificado de recuperação de arquivo e uma chave privada no seu arquivo privado. O administrador de domínio é o agente de recuperação padrão, não tem recuperação padrão, mas você em uma ambiente de grupo ou de domínio pode criar um agente de recuperação local para todas as contas no computador.
  • 22. Processo de Exportação • Agora um dos passos muito importante de todo este processo, e sem o qual podemos ser vitimas do nosso próprio sistema de segurança: Criar uma cópia de segurança deste certificado e guarda-la em lugar restrito e seguro. Tudo passa a depender deste certificado, daí a sua importância, já que a falta dele leva à perda perda irreversível dos dados
  • 23.
  • 24. Estudo de Caso Muitas empresas fornecem para seus consultores notebooks normalmente com Windows, caso esse notebook seja roubado em algumas de suas visitas rotineiras, os arquivos vão estar expostos a qualquer pessoa podendo causar um grande prejuízo , se usarmos a criptografia EFS esse risco pode ser mitigado
  • 25. Caso 1 – Atacante  • Passo um, um laptop é roubado. O próximo passo a ser superado pelo atacante é a forma de fazer logon no computador e acessar os arquivos contidos nele. Existem várias maneiras para obter acesso ao login administrador Windows. • Neste caso fica mais fácil pois ele está com acesso físico ao computador. Ele pode rodar um livecd linux de quebra de senha,a partir daí acessar as informações. • O atacante consegue acesso total inclusive os criptografados pois ele quebrou a senha de administrador e com ela é possível ter acesso as chaves
  • 26. Caso 2 – Erro de  Configuração • Acesso ao Servidor: A Microsoft recomenda que um agente de recuperação deve ser disponibilizado. • Por padrão o agente de recuperação usa a mesma conta de administrador local do sistema. • Se o atacante consegue acesso físico ao servidor, quebrar a senha do servidor onde ficam as chaves, o invasor obtém controle total de todos os arquivos mesmo os codificados.
  • 27. Segurança da Chave Privada • A Microsoft espera tornar a chave privada exportada para alguns outros meios de comunicação (Isto é cartões inteligentes), mas por enquanto, no Windows 2000/2003, as chaves são armazenadas localmente. Supondo que o atacante obteve acesso a conta de administrador. Ele faz uma verificação rápida da política de segurança local e descobre que o certificado de recuperação foi removido ainda existe chances para o invasor. Ainda assim, ele abre o gerenciar, seleciona Usuários e Grupos Locais. • Todas as contas de usuário são exibidas. O atacante agora muda as senhas interessantes, fazendo logon no sistema. Assim, ele obtém acesso a todos os arquivos criptografados do usuário.
  • 28. Caso 3  • Algumas empresas de consultoria em Segurança da Informação usam o ambiente que utilizam AD com GPOs bem específicas e onde os usuários podem acessar suas pastas criptografadas com EFS apenas após autenticarem-se com suas credenciais cadastradas no AD. • Neste caso o uso do EFS é obrigatório para armazenar dados de clientes, como relatórios de auditorias, review codes e testes de invasão. Assim mantém seu ambiente seguro tendo em vista que as informações contidas nos servidores são de extrema importância.
  • 30. Atualizações do EFS – Aplicados no  Caso 2 • Vários aprimoramentos importantes feitos no EFS estão disponíveis no Windows Server® 2008. Entre eles estão a capacidade de armazenar certificados de criptografia em cartões inteligentes, a criptografia por usuário de arquivos no cache do cliente, opções adicionais de Diretiva de Grupo e um novo assistente de rechaveamento. • Armazenamento de chaves em cartões inteligentes • As chaves e os certificados de criptografia do EFS podem ser armazenados em cartões inteligentes, o que oferece maior proteção das chaves. Isso pode ser especialmente importante para ajudar a proteger computadores portáteis ou estações de trabalho compartilhadas. O uso de cartões inteligentes para armazenar chaves de criptografia também oferece maneiras de aperfeiçoar o gerenciamento de chaves em empresas de grande porte.
  • 31. Atualizações do EFS – Caso 2 • Por que essa funcionalidade é importante? • O uso de um cartão inteligente para armazenar chaves do EFS ajuda a manter essas chaves fora do disco rígido do computador. Isso aumenta a segurança dessas chaves porque elas não poderão ser violadas por outro usuário ou por alguém que roubar o computador. • O que funciona de maneira diferente? • No Windows Server 2008 e no Windows Vista, o EFS permite armazenar as chaves particulares dos usuários em cartões inteligentes. • Usando configurações de Diretiva de Grupo, você pode configurar o EFS para armazenar chaves particulares em cartões inteligentes no modo sem cache e de cache.
  • 32. • Modo sem cache. Semelhante ao modo tradicional de funcionamento do EFS, todas as operações de descriptografia que exigem a chave particular do usuário são executadas no cartão inteligente. • Modo de cache. Uma chave simétrica é derivada da chave particular do usuário e armazenada na memória cache protegida. As operações de criptografia e descriptografia que envolvem a chave do usuário são substituídas pelas operações criptográficas simétricas correspondentes usando-se essa chave derivada. Isso elimina a necessidade de manter o cartão inteligente sempre conectado ou de usar o processador de cartão inteligente em cada operação de descriptografia. Por isso, ocorre um aumento considerável no desempenho. O EFS também tem diretivas para impor o uso de cartão inteligente e controlar os parâmetros e o comportamento de armazenamento em cache das chaves dos usuários.
  • 33. Medidas Caso 1 • Uma medida que deve ser tomada quanto ao acesso físico ao servidores é implementando medidas de acessos restrito ao local utilizando alguns itens: Trava na porta onde fica o servidor, colocar acesso via Leitores de cartões magnéticos, Dispositivos de impressão digital integrado leitores de cartões e PIN, Dispositivos integrados leitores de impressão digital, cartões de reconhecimento facial, Scanners de retina, câmeras entre outros.
  • 35. • O BitLocker ajuda a proteger todos os arquivos de sistema e pessoais da unidade em que o Windows está instalado (a unidade do sistema operacional), caso o computador seja roubado ou se usuários não autorizados tentarem acessá-lo. Você pode usar o BitLocker para criptografar todos os arquivos em unidades de dados fixas (como unidades de disco rígido internas) e o BitLocker To Go para criptografar arquivos em unidades de dados removíveis (como unidades de disco rígido externas ou unidades flash USB). O EFS é usado para ajudar a proteger arquivos individuais de qualquer unidade e por usuário. A tabela abaixo mostra as principais diferenças entre o BitLocker e o EFS.
  • 36.
  • 37.  Podemos usar ambos os  recursos em conjunto? • Sim,você pode usar a Criptografia de Unidade de Disco BitLocker e o EFS juntos para obter a proteção oferecida pelos dois recursos. Quando o EFS é usado, as chaves de criptografia são armazenadas no sistema operacional do computador. Embora as chaves usadas com o EFS sejam criptografadas, a segurança delas ainda pode ficar comprometida se um hacker conseguir acessar a unidade do sistema operacional. O uso do BitLocker para criptografar a unidade do sistema operacional pode ajudar a proteger essas chaves impedindo que a unidade do sistema seja inicializada ou acessada, caso seja instalada em outro computador.
  • 38. Requisitos para utilização do  BitLocker • Para que você possa utilizar o BitLocker os seguintes requisitos precisam ser atendidos: • Windows Vista Enterprise ou Windows Vista Ultimate. • O computador precisa ter um chip TPM. Caso não tenha você poderá utilizar um disco removível USB. • O disco do computador deve ter pelo menos duas partições. Se você criar uma nova partição depois de já ter instalado o Windows, será preciso reinstalar o Windows antes de ativar o BitLocker. Se você ainda não tem duas partições, pode usar a Ferramenta de Preparação de Unidades de Disco BitLocker para ajudar a preparar o sistema para BitLocker criando a segunda partição necessária. Se você estiver usando o Windows Vista Ultimate, você poderá baixar e instalar essa ferramenta nos Extras do Ultimate. Uma vez instalada a ferramenta, digite BitLocker na caixa Pesquisar do menu Iniciar e clique duas vezes em Ferramenta de Preparação de Unidades de Disco BitLocker para executá-la. Após a execução da ferramenta, é necessário reiniciar o computador para ativar o BitLocker. • As partições precisam estar formatadas com o NTFS. • A BIOS do computador deve ser compatível com o TPM e oferecer suporte a leitura de dispositivos USB durante a inicialização.
  • 39. • Como saber se meu computador possui um chip TPM? Geralmente essa informação é fornecida pelos próprios fabricantes das placas mãe. Mas a partir do Windows Vista temos um utilitário que nos mostra essa informação. • Exemplo prático – Verificar se um computador possui o chip TPM.(Trusted Platform Module) É um criptoprocessador seguro, capaz de armazenar chaves criptográficas que protegem informações , fica na placa mãe. • a) Efetue logon com uma conta de usuário que possua direitos administrativos. • b) Abra o Painel de Controle, Criptografia de Unidade BitLocker. • c) Na tela que será exibida você pode identificar se o seu computador possui ou não um chip TPM. Vejam na imagem abaixo que o computador não possui o chip TPM.
  • 40. Recomendações de Uso • Certifique-se de criar a chave de recuperação ao ativar o BitLocker pela primeira vez; caso contrário, você poderá perder permanentemente o acesso aos arquivos. Se o computador tiver o chip do TPM (Trusted Platform Module), o BitLocker irá usá-lo para lacrar as chaves utilizadas para desbloquear a unidade do sistema operacional criptografada. Quando você inicia o computador, o BitLocker solicita as chaves para a unidade ao TPM e a desbloqueia. • Se criptografar unidades de dados (fixas ou removíveis), você poderá desbloquear uma unidade criptografada com uma senha ou um cartão inteligente, ou configurar a unidade para desbloquear automaticamente quando você fizer logon no computador. • Você pode desativar o BitLocker a qualquer momento, seja de forma temporária, suspendendo-o; ou permanente, descriptografando a unidade. •
  • 41. O que tem de errado nessa imagem ? Visitante com acesso a sala restrita Arquivos confidenciais na lixeira sem passar por um Triturador de papel Senha colada no monitor Usuário passando a senha por telefone Uso incorreto do crachá com foto para trás Alarme desligado Entre outros erros....
  • 43. • GRUPO: • DIEGO SOUZA • LEANDRO ALBERTO • IGOR ANTONIO • RAFAEL SAMPAIO • APRESENTAÇÃO : PROTEGENDO ARQUIVOS SIGILOSOS COM EFS • MATÉRIA: SEGURANÇA EM AMBIENTE WINDOWS • PROFESSOR:MARCELO RIBEIRO • PÓS- GRADUAÇÃO SEGURANÇA EM REDES DE COMPUTADORES • UNIVERSIDADE ESTÁCIO DE SÁ