Encrypting File System
Encrypting File System (EFS) è il sistema utilizzato dal file system NTFS per criptare trasparentemente i file. Normalmente è utilizzato un cifrario chiamato DESX, una versione potenziata del più noto (e, oramai, assai meno sicuro che in passato) cifrario Data Encryption Standard.
Voci correlate
Documentazione esterna
EFS (Encrypting File System) Questo argomento non è stato ancora valutato - Valuta questo argomento Aggiornamento: maggio 2008
Si applica a: Windows Server 2008
EFS (Encrypting File System) è un potente strumento per la crittografia di file e cartelle nei computer client e nei file server remoti. Consente agli utenti di proteggere i dati dall'accesso non autorizzato da parte di altri utenti e di autori di attacchi.
Finalità di EFS
EFS è utile per la crittografia di file e cartelle a livello utente. EFS è stato introdotto per la prima volta nel sistema operativo Microsoft® Windows® 2000 ed è stato in seguito migliorato nelle versioni successive del sistema operativo.
Utenti interessati a questa funzionalità
EFS potrebbe interessare le tipologie di utenti seguenti:
Amministratori, professionisti della protezione IT e responsabili della conformità con il compito di garantire la riservatezza dei dati e impedirne la divulgazione non autorizzata.
Amministratori responsabili di server o computer client Windows Vista® portatili.
Utenti che condividono i computer e lavorano con informazioni riservate.
Note speciali
Prima di implementare EFS, gli amministratori devono pianificare il recupero delle informazioni in caso di smarrimento delle chiavi o dei certificati. EFS supporta un affidabile meccanismo di recupero che include tre importanti modifiche apportate in questa versione di Windows:
Modifiche apportate agli agenti di recupero chiavi
L'agente recupero dati può ora trovarsi in una smart card. In questo modo non è più necessario disporre di una postazione di recupero non in linea ed è possibile il recupero remoto.
Questi primi due elementi sono entrambi importanti per gli amministratori.
Lo strumento ntbackup non è più disponibile nel sistema operativo. È stata invece aggiunta a Windows Server® 2008 l'utilità Robocopy, la quale è in grado di copiare i file crittografati con EFS senza la necessità di disporre della chiave di decrittografia. Le copie effettuate in questo modo rimarranno crittografate. Il motore SafeDocs supporta il backup dei file EFS in Windows Server 2008.
Tutte queste modifiche sono importanti ai fini del piano di distribuzione di EFS.
Nuova funzionalità introdotta
In Windows Server® 2008 sono inclusi diversi miglioramenti importanti di EFS, tra cui la possibilità di archiviare i certificati di crittografia su smart card, la crittografia per utente dei file nella cache sul lato client, opzioni aggiuntive di Criteri di gruppo e una nuova procedura guidata per la reimpostazione delle chiavi.
Archiviazione delle chiavi su smart card
Le chiavi di crittografia e i certificati di EFS possono essere archiviati su smart card affinché siano maggiormente protetti. Ciò può risultare particolarmente utile per la protezione di computer portatili o workstation condivise. L'utilizzo di smart card per archiviare le chiavi di crittografia può inoltre offrire vantaggi per quanto concerne la gestione delle chiavi nelle aziende di grandi dimensioni.
Perché questa funzionalità è importante
Grazie alla possibilità di utilizzare una smart card per archiviare le chiavi EFS non è più necessario tenere le chiavi sul disco rigido del computer. In questo modo esse risultano più protette in quando non possono essere intercettate da un altro utente o da qualcuno che si impossessa del computer.
Che cosa è diverso
In Windows Server 2008 e Microsoft Windows Vista EFS supporta l'archiviazione della chiavi private degli utenti su smart card.
Memorizzazione delle chiavi nella cache
Le impostazioni di Criteri di gruppo consentono di configurare EFS affinché archivi le chiavi private su smart card in modalità con o senza cache.
Modalità senza cache. Analogamente al funzionamento consueto di EFS, tutte le operazioni di decrittografia che richiedono la chiave privata dell'utente vengono eseguite sulla smart card.
Modalità con cache. La chiave privata dell'utente viene utilizzata per creare una chiave simmetrica la quale viene memorizzata nella cache nella memoria protetta. Le operazioni di crittografia e decrittografia che prevedono l'utilizzo della chiave dell'utente vengono sostituite con le operazioni di crittografia simmetrica corrispondenti mediante la chiave derivata. In questo modo non è necessario tenere la smart card collegata per tutto il tempo necessario o utilizzare l'elaboratore della smart card per tutte le operazioni di decrittografia. Ciò consente pertanto un sensibile miglioramento delle prestazioni.
EFS include inoltre criteri per imporre l'utilizzo obbligatorio della smart card e per controllare i parametri e la memorizzazione nella cache delle chiavi degli utenti.
Single Sign-On con smart card
Il metodo di autenticazione Single Sign-On con smart card viene attivato ogni volta che l'utente accede con un smart card e si verifica una delle condizioni seguenti:
L'utente non dispone di una chiave di crittografia EFS valida nel computer e le smart card sono obbligatorie per EFS in base alle impostazioni dei criteri.
L'utente dispone di una chiave di crittografia EFS valida che si trova sulla smart card utilizzata per l'accesso.
Quando viene attivato il metodo Single Sign-On, EFS memorizza nella cache il PIN immesso dall'utente al momento dell'accesso e continua a utilizzarlo per le operazioni da eseguire. In questo modo, durante la sessione non vengono visualizzate altre richieste di immissione del PIN.
Se la smart card utilizzata per l'accesso viene rimossa dal lettore prima che vengano completate le operazioni di crittografia, Single Sign-On viene disattivato. Verrà pertanto richiesto all'utente di inserire una smart card e di specificare il PIN alla prima operazione EFS.
Come preparare il cambiamento
Per prepararsi all'utilizzo di smart card per archiviare certificati EFS, è consigliabile esaminare l'implementazione esistente dell'infrastruttura a chiave pubblica e includervi la pianificazione relativa ai certificati EFS. Se l'organizzazione non dispone di un'infrastruttura a chiave pubblica, non sarà possibile utilizzare smart card per archiviare i certificati EFS.
Crittografia per utente di file non in linea
Le copie non in linea dei file di server remoti possono essere ugualmente crittografate mediante EFS. Se questa opzione è attivata, ogni file nella cache non in linea viene crittografato con una chiave pubblica dell'utente che ha memorizzato il file nella cache. In questo modo, solo tale utente potrà accedere al file, il quale non potrà essere letto nemmeno dagli amministratori locali senza accesso alle chiavi private dell'utente.
Importante Se un computer è condiviso tra più utenti e questi tentano contemporaneamente di utilizzare una copia crittografata di un determinato file memorizzato nella cache, la copia non in linea del file potrà essere letta solo dal primo utente che ha memorizzato il file nella cache. Perché questa funzionalità è importante
La crittografia per utente rappresenta un ulteriore miglioramento della protezione. Nelle versioni precedenti qualsiasi utente del computer può accedere a qualsiasi file memorizzato nella cache non in linea.
Che cosa è diverso
Nelle versioni precedenti la crittografia viene eseguita mediante le chiavi del sistema, pertanto un utente può leggere i file non in linea di un altro utente. Questa situazione non è più possibile poiché la crittografia viene eseguita con la chiave pubblica propria di ogni utente.
Come preparare il cambiamento
Acquisire familiarità con le nuove impostazioni di EFS e scegliere le opzioni che soddisfano le esigenze di protezione specifiche dell'azienda.
Configurabilità di EFS migliorata tramite Criteri di gruppo
I criteri di protezione di EFS possono essere controllati e configurati per l'intera organizzazione da una postazione centralizzata mediante Criteri di gruppo.
Sono state introdotte numerose opzioni di Criteri di gruppo che consentono agli amministratori di definire e implementare criteri organizzativi per EFS. È ad esempio possibile imporre l'utilizzo di smart card per EFS, imporre la crittografia dei file di paging, definire la lunghezza minima delle chiavi per EFS, imporre la crittografia della cartella Documenti dell'utente e impedire l'uso di certificati autofirmati.
Perché questa funzionalità è importante
I miglioramenti apportati alla configurabilità agevolano gli amministratori consentendo loro di configurare e controllare i criteri EFS su scala aziendale.
Che cosa è diverso
Le impostazioni aggiuntive migliorano l'efficacia di Criteri di gruppo. Per ulteriori informazioni, vedere Impostazioni aggiunte o modificate più avanti in questo argomento.
Come preparare il cambiamento
Acquisire familiarità con le nuove impostazioni di EFS in Criteri di gruppo e scegliere le opzioni che soddisfano le esigenze di protezione specifiche dell'azienda.
Procedura guidata per la reimpostazione delle chiavi di EFS (Encrypting File System)
La procedura guidata per la reimpostazione delle chiavi di EFS consente all'utente di scegliere un certificato per EFS e di selezionare file esistenti di cui eseguire la migrazione affinché utilizzino il nuovo certificato scelto. Consente inoltre di eseguire la migrazione di utenti in installazioni esistenti dai certificati software alle smart card. La procedura guidata può inoltre essere utilizzata da un amministratore o dagli utenti stessi in situazioni di recupero. Si tratta di una soluzione più efficiente rispetto all'esecuzione delle operazioni di decrittografia e di ricrittografia dei file.
Perché questa funzionalità è importante
La procedura guidata consiste in un semplice processo dettagliato che consente di scegliere certificati o di eseguire la migrazione dei file.
Che cosa è diverso
I file non vengono ricrittografati automaticamente quando vengono aperti o aggiornati. La procedura guidata offre un elevato grado di flessibilità.
Come preparare il cambiamento
In un computer di test fare clic su Start. Nella casella Inizia ricerca digitare rekeywiz e quindi premere INVIO. In questo modo verrà avviata la procedura guidata per la reimpostazione delle chiavi di EFS e sarà possibile acquisire familiarità con le relative operazioni.
Impostazioni aggiunte o modificate
In questa versione di Windows Server 2008 è possibile gestire opzioni aggiuntive di EFS con Criteri di gruppo. Le impostazioni di Criteri di gruppo elencate nella tabella seguente sono disponibili nei modelli amministrativi.
Nella tabella è disponibile una breve descrizione di ogni impostazione. Per ulteriori informazioni su un'impostazione specifica, vedere la scheda Descrizione corrispondente nella console Gestione Criteri di gruppo.
Modello e impostazione Percorso e descrizione Impostazione predefinita GroupPolicy.admx - Elaborazione del criterio di ripristino EFS Configurazione Computer\Modelli amministrativi\Sistema\Criteri di gruppo - Determina se i criteri di crittografia sono aggiornati. Non configurato EncryptFilesonMove.admx - Non crittografare automaticamente i file spostati nelle cartelle crittografate Configurazione Computer\Modelli amministrativi\Sistema\ - Impedisce a Esplora risorse di crittografare file spostati in una cartella crittografata. Non configurato OfflineFiles.admx - Crittografa la cache dei file non in linea Configurazione Computer\Modelli amministrativi\Rete\File non in linea\ - Questa impostazione determina se i file non in linea sono crittografati. Nota In Windows XP questi file sono crittografati con la chiave del sistema, mentre in Windows Server 2008 con quella dell'utente. Non configurato Search.admx - Consenti l'indicizzazione di file crittografati Configurazione Computer\Modelli amministrativi\Componenti di Windows\Ricerca\ - Questa impostazione consente l'indicizzazione degli elementi crittografati mediante Ricerca di Windows. Nota Potrebbero verificarsi problemi di protezione dei dati se i file crittografati vengono indicizzati e l'indice non viene adeguatamente protetto mediante EFS o altri mezzi. Non configurato È inoltre possibile utilizzare la console Gestione Criteri di gruppo oppure Editor Criteri di gruppo locali (secpol.msc) per configurare le opzioni di EFS indicate di seguito. Per visualizzare o modificare le opzioni, espandere il nodo Criteri chiave pubblica, fare clic con il pulsante destro del mouse su Encrypting File System e quindi scegliere Proprietà.
Nella scheda Generale è possibile configurare le opzioni generali e dei certificati. Sono disponibili le opzioni generali seguenti:
Opzione Note Impostazione predefinita Crittografia file mediante Crittografia file system (EFS) Se impostata su Non consentire, non sarà possibile utilizzare EFS nel computer. Se impostata su Consenti o Non definito, sarà possibile utilizzare EFS nel computer. Non definito Crittografa il contenuto della cartella Documenti dell'utente Se attivata, la cartella Documenti di tutti gli utenti del computer verrà automaticamente crittografata con EFS. Disattivato Richiedi smart card per EFS Se attivata, non sarà possibile utilizzare i certificati software per EFS. Disattivato Crea da smart card una chiave utente in grado di memorizzare nella cache Se attivata, la prima volta che è necessaria una smart card per EFS durante una sessione utente, viene creata una versione memorizzata nella cache delle chiavi necessarie, come descritto più indietro in questo argomento. Se disattivata, ogni volta che è necessario crittografare o decrittografare un file protetto con un certificato archiviato nella smart card sarà necessario inserire quest'ultima. Attivato Abilita crittografia del file di paging Se attivata, il file di paging della memoria di Windows verrà crittografato con EFS. Disattivato Visualizza notifiche del backup della chiave alla creazione o alla modifica della chiave utente Se attivata, agli utenti verrà richiesto di eseguire il backup delle chiavi EFS per le operazioni di recupero ogni volta che viene creata una chiave nuova o ne viene modificata una esistente. Di dominio: Disattivato Gruppo di lavoro o Autonomo: Attivato Nella sezione relativa ai certificati sono disponibili le opzioni seguenti:
Opzione Note Impostazione predefinita Consenti a EFS di generare certificati autofirmati quando non è disponibile un'Autorità di certificazione Se disattivata, gli utenti non saranno in grado di utilizzare EFS, a meno che non dispongano di certificati di un'Autorità di certificazione. Attivato Dimensioni della chiave per i certificati autofirmati È possibile selezionare chiavi a 1024, 2048, 4096, 8192 o 16384 bit. Maggiore è la lunghezza delle chiavi migliore è la protezione, tuttavia le prestazioni risultano ridotte di conseguenza. 2048 Modello EFS per le richieste automatiche di certificati Si tratta del nome del modello di certificato utilizzato per richiedere un certificato EFS di un'Autorità di certificazione. EFS di base Nota Per tutti i modelli EFS inclusi in Windows Server 2008, sia per l'utente che per il recupero, nonché per i certificati EFS autofirmati viene ora impostata una lunghezza di chiave predefinita pari a 2048 bit. Nella scheda Cache è possibile modificare il funzionamento della cache dei certificati EFS. Per ulteriori informazioni sulla memorizzazione nella cache in EFS, fare clic sull'apposito collegamentonella scheda Cache.
Necessità di modificare il codice
Non è necessaria alcuna modifica al codice esistente per EFS.
Come preparare la distribuzione di questa funzionalità
Prima di attivare EFS, è consigliabile considerare quanto segue:
Definire un processo e un agente di recupero designato.
Esaminare le nuove impostazioni di EFS e stabilire quali configurazioni sono più adatte per i requisiti specifici di protezione.
Questa funzionalità è disponibile in tutte le edizioni di Windows Server 2008?
EFS è parte integrante del file system di tutte le edizioni di Windows Server 2008, tra le quali non sussistono differenze relative alle funzionalità. EFS è disponibile sulle piattaforme a 32 e a 64 bit.
EFS è disponibile in Windows Vista® Business, Windows Vista® Enterprise e Windows Vista® Ultimate e consente di migliorare notevolmente la protezione dei dati archiviati nei computer client, in particolare quelli portatili.
Ulteriori riferimenti
Per ulteriori informazioni su EFS, vedere Crittografia file system in Windows XP e Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkID=85746).
Per ulteriori informazioni sulla protezione dei dati mediante le tecnologie di crittografia Microsoft, vedere la pagina relativa al toolkit di crittografia dei dati per computer portatili (http://go.microsoft.com/fwlink/?LinkID=85982).