Esplorare la crittografia del file system nel client Windows

  • 4 minuti

EFS è uno strumento di crittografia file predefinito per sistemi basati su Windows. EFS è un componente del file system NTFS e usa algoritmi di crittografia standard avanzati per consentire la crittografia e la decrittografia trasparente dei file. Tramite la funzionalità Windows Information Protection, la funzionalità EFS viene simulata anche nei volumi che usano il file system FAT32. Qualsiasi utente o app che non abbia accesso a un archivio certificati che contiene una chiave di crittografia appropriata non può leggere i dati crittografati. È possibile proteggere i file crittografati anche da coloro che ottengono il possesso fisico di un computer su cui sono archiviati i file. Anche le persone che dispongono dell'autorizzazione ad accedere a un computer e al relativo file system non possono visualizzare i dati crittografati.

La crittografia è una potente aggiunta a qualsiasi piano difensivo. Tuttavia, è necessario usare strategie difensive aggiuntive, perché la crittografia non è la contromisura corretta per ogni minaccia. Inoltre, ogni arma difensiva può danneggiare i dati, se la si usa in modo errato. Quando si implementa EFS, l'attività più importante consiste nel gestire correttamente i certificati EFS per gli utenti. La crittografia fornita da EFS si basa sui certificati utente e sulle relative chiavi pubbliche e private. Senza una corretta gestione dei certificati, è possibile arrivare facilmente a una situazione in cui i dati crittografati non sono accessibili.

Gestire i certificati EFS

EFS usa la crittografia a chiave pubblica per crittografare i file. EFS ottiene le chiavi dal certificato EFS di un utente, che potrebbe anche contenere informazioni sulla chiave privata. Pertanto, è necessario gestirle correttamente.

Gli utenti hanno bisogno di coppie di chiavi asimmetriche per crittografare i dati e possono ottenere queste chiavi:

  • Da un'autorità di certificazione (CA). Una CA interna o di terze parti può emettere certificati EFS. Questo metodo fornisce la gestione centrale e il backup delle chiavi. Questo è il modo consigliato per rilasciare e gestire i certificati EFS in quanto consente di ripristinare il certificato utente in caso di perdita.
  • Generandole. Se una CA non è disponibile, Windows genererà una coppia di chiavi. Queste chiavi hanno una durata di 100 anni. Questo metodo è più difficile rispetto all'uso di una CA perché non esiste una gestione centralizzata e gli utenti diventano responsabili della gestione delle proprie chiavi. Inoltre, il ripristino è più difficile da gestire. Tuttavia, è ancora un metodo popolare perché non richiede alcuna configurazione.

Gli utenti possono rendere i file crittografati accessibili ai certificati EFS di altri utenti. Se si concede l'accesso al certificato EFS di un altro utente, tale utente può rendere tali file disponibili per i certificati EFS di un altro utente.

Rilasciare un certificato per un DRA

Prima di iniziare a usare EFS nell'organizzazione, è molto importante rilasciare un certificato DRA (Data Recovery Agent). Questo certificato viene usato negli scenari in cui un utente che ha crittografato il file non può o non vuole decrittografarlo. Un utente con un certificato DRA può decrittografare qualsiasi file crittografato nell'organizzazione. Questo vale per tutti i file crittografati dopo l'emissione di un certificato DRA.

È possibile rilasciare certificati EFS solo ai singoli utenti. Non è possibile rilasciare certificati EFS ai gruppi.

Le autorità di certificazione possono archiviare e ripristinare i certificati EFS rilasciati dalla CA

Se si usa la CA per rilasciare certificati EFS, è possibile configurare l'archiviazione della chiave privata dell'utente. È consigliabile configurare questa funzionalità prima di iniziare a rilasciare certificati EFS per gli utenti. Se non si usa questa funzionalità, gli utenti devono eseguire manualmente il backup dei certificati EFS autogenerati e delle chiavi private. A tale scopo, è possibile esportare il certificato e la chiave privata in un file di Exchange personale (con estensione .pfx), protetto da password durante il processo di esportazione. Questa password è necessaria per importare il certificato nell'archivio certificati di un utente. In Windows è anche possibile usare lo strumento predefinito per gestire ed eseguire il backup dei certificati utente usati per EFS. È consigliabile che ogni utente che usa EFS usi questo strumento per eseguire il backup del proprio certificato, con una chiave privata, in una posizione protetta esterna.

Esportare il certificato EFS client senza la chiave privata

Se è necessario distribuire solo la chiave pubblica, è possibile esportare il certificato EFS client senza la chiave privata in file con estensione .cer (Canonical Encoding Rules). La chiave privata di un utente viene archiviata nel profilo dell'utente nella cartella RSA, a cui è possibile accedere espandendo AppData>Roaming>Microsoft>Crittografia. Si noti tuttavia che, poiché è presente una sola istanza della chiave, è vulnerabile a errori del disco rigido o danneggiamento dei dati.

Esportare i certificati con lo snap-in Certificati MMC

Lo snap-in Certificati di Microsoft Management Console (MMC) esporta certificati e chiavi private. L'archivio certificati personali contiene i certificati EFS. Quando gli utenti crittografano i file in cartelle condivise remote, le relative chiavi vengono archiviate nel file server.

Funzionamento di EFS

La funzionalità di crittografia EFS di base funziona come segue:

  • Quando un utente che possiede la chiave necessaria apre un file, il file viene aperto. Se un utente non possiede la chiave, l'utente riceve un messaggio di accesso negato.
  • La crittografia dei file usa una chiave simmetrica crittografata con la chiave pubblica di un utente, archiviata nell'intestazione del file. Inoltre, archivia un certificato con le chiavi pubbliche e private dell'utente, o chiavi asimmetriche, nel profilo dell'utente. La chiave privata dell'utente deve essere disponibile per la decrittografia del file.
  • Se una chiave privata subisce danni o viene persa, il file non può essere decrittografato. Se esiste un agente di recupero dati, il file è recuperabile. Se si implementa l'archiviazione della chiave, è possibile ripristinare la chiave e decrittografare il file. In caso contrario, il file potrebbe andare perso. Il sistema di certificati, su cui si basa la crittografia, viene definito infrastruttura a chiave pubblica (PKI).
  • È possibile archiviare il certificato di un utente che contiene le sue chiavi pubbliche e private. Ad esempio, è possibile esportarlo in un'unità flash USB e quindi mantenere l'unità flash USB in un luogo sicuro per il ripristino se le chiavi subiscono danni o si perdono.
  • La password di un utente protegge le chiavi pubbliche e private. Qualsiasi utente che può ottenere l'ID utente e la password può accedere come tale utente e decrittografare i file di quell’utente. Pertanto, le procedure di sicurezza di un'organizzazione devono includere criteri password complesse e formazione degli utenti per proteggere i file crittografati con EFS.
  • I file crittografati con EFS non rimangono crittografati durante l'attraversamento della rete, ad esempio quando si usano i file in una cartella condivisa. Il file viene decrittografato e quindi attraversa la rete in uno stato non crittografato. EFS lo crittografa in locale se lo si salva in una cartella nell'unità locale configurata per la crittografia. I file crittografati con EFS possono rimanere crittografati durante l'attraversamento di una rete se vengono salvati in una cartella Web usando il protocollo WebDAV (World Wide Web Distributed Authoring and Versioning). Possono anche rimanere crittografati se si configura il traffico di rete da crittografare tramite IPSec (Internet Protocol Security).
  • EFS supporta algoritmi di crittografia standard del settore, tra cui Advanced Encryption Standard (AES). AES usa una chiave di crittografia simmetrica a 256 bit ed è l'algoritmo EFS predefinito.

Funzionalità di EFS in Windows 10

Tenere inoltre presente le funzionalità seguenti durante l'implementazione di EFS in Windows:

  • Supporto per l'archiviazione di chiavi private nelle smart card. Windows include il supporto completo per l'archiviazione delle chiavi private degli utenti nelle smart card. Se un utente accede a Windows con una smart card, EFS può anche usare la smart card per la crittografia dei file. Gli amministratori possono archiviare le chiavi di ripristino del dominio in una smart card. Il ripristino dei file è, quindi, semplice quanto l'accesso al computer interessato, in locale o tramite desktop remoto, e l'uso della smart card di ripristino per accedere ai file.
  • Procedura guidata per la reimpostazione della chiave del file system di crittografia. La procedura guidata della crittografia della ridefinizione delle chiavi del file system consente agli utenti di scegliere un certificato EFS, quindi selezionare ed eseguire la migrazione dei file esistenti che useranno il certificato EFS appena scelto. Gli amministratori possono usare la procedura guidata per eseguire la migrazione degli utenti nelle installazioni esistenti dai certificati software alle smart card. La procedura guidata è utile anche in situazioni di ripristino perché è più efficiente rispetto alla decrittografia e alla crittografia dei file.
  • Impostazioni dei criteri di gruppo per EFS. È possibile usare i criteri di gruppo per controllare e configurare centralmente i criteri di protezione EFS per un'intera azienda. Ad esempio, Windows consente la crittografia dei file di pagina tramite i criteri di sicurezza locali o i criteri di gruppo.
  • Crittografia per utente dei file offline. È possibile usare EFS per crittografare le copie offline dei file dai server remoti. Quando si abilita questa opzione, ogni file nella cache offline viene crittografato con una chiave pubblica dell'utente che ha memorizzato il file nella cache. Pertanto, solo quell’utente ha accesso al file e neanche gli amministratori locali non possono leggere il file senza accedere alle chiavi private dell'utente.
  • Cancellazione selettiva. Una funzionalità di Windows in un ambiente aziendale è la cancellazione selettiva. Se un dispositivo viene smarrito o rubato, un amministratore può revocare la chiave EFS usata per proteggere i file nel dispositivo. La revoca di una chiave impedisce l'accesso a tutti i file di dati archiviati nel dispositivo di un utente.