Configurar serviços de arquivo DFS e criptografar com BitLocker

Configurar serviços de arquivo DFS e criptografar com BitLocker | Microsoft 2025
Configurar serviços de arquivo DFS e criptografar com BitLocker | Microsoft 2025

Vamos tratar de uma questão de vital importância em nosso papel de administradores, e é uma questão que está relacionada à segurança das informações em nossa rede, todos nós sabemos que as organizações devem garantir a segurança e a disponibilidade das informações, pois há dados extremamente delicados e se forem roubados, hackeados ou qualquer outro tipo de situação podem gerar problemas não só para a organização, mas também para o responsável pela área de sistemas.

Antes de começar, vamos revisar o que Termo de criptografia e quais os benefícios que isso pode nos oferecer; A criptografia é simplesmente transformar os dados que temos em um arquivo impossível de ler para outro usuário que não está autorizado a acessar esses dados. Existe também o processo de descriptografia, que nada mais é do que converter os dados criptografados ao seu estado original.

existir 3 tipos de algoritmos para criptografar:

SimétricoÉ aquele que usa uma chave simples para criptografar ou descriptografar um arquivo.

AssimétricoÉ aquele que usa duas chaves matematicamente relacionadas, uma o arquivo é criptografado e a outra é descriptografado.

Tipo de hashEsse tipo de criptografia funciona apenas de uma forma, ou seja, após a criptografia não pode ser descriptografado.

Hoje o Windows Server 2012 incorpora duas (2) tecnologias de criptografia

  • Sistema de criptografia de arquivos - Sistema de arquivos com criptografia (EFS)
  • Criptografia de dispositivo BitlLocker - Criptografia de unidade bitlocker

Vamos começar com a parte prática, vamos para o próximo capítulo clicando em próximo.

1. Criptografar ou descriptografar arquivos usando EFS


Poderia criptografar arquivos em volumes NTFS e para a sua utilização o utilizador deve ter os códigos de acesso, ao abrirmos (com a palavra-passe válida) um ficheiro com o EFS será automaticamente desencriptado e se o guardarmos será desencriptado.

Criptografar arquivo com EFS
O processo para criptografar um arquivo com EFS é o seguinte:

Devemos clicar com o botão direito na pasta ou arquivo que queremos criptografar e escolher a opção Propriedades (editar):

Na aba em geral nós escolhemos a opção Opções avançadas.

A opção será exibida Atributos avançados.

Nós escolhemos a opção Criptografe o conteúdo para proteger os dados, nós clicamos em Aceitar.

Veremos que nossa pasta criptografada está destacada.

ObservaçãoSe houver subpastas dentro da pasta que possuímos, ao aplicar as mudanças o sistema nos perguntará se queremos aplicar essas mudanças a todas as pastas (incluindo as subpastas) ou apenas à pasta raiz

Selecionamos a opção mais adequada e clicamos em Aceitar.

Descriptografar arquivo ou pasta com EFS
Para descriptografar um arquivo ou pasta, realizamos o seguinte processo:

Clicamos com o botão direito e escolhemos as propriedades:

Na aba em geral nós escolhemos Opções avançadas:

A janela de Atributos avançados e teríamos que desmarque opção Criptografe o conteúdo para proteger os dados:

Nós clicamos em Aceitar Y Aplicar para salvar as alterações.

Vamos nos lembrar desses aspectos importantes ao trabalhar com Criptografia EFS:

  • Só podemos criptografar pastas usando o volume NTFS.
  • A pasta será descriptografada automaticamente quando movida ou copiada para outro volume NTFS.
  • Os arquivos que são raiz do sistema não podem ser criptografados.
  • Usar o EFS não é uma garantia de que nossos arquivos possam ser excluídos, para evitar isso, devemos usar as permissões NTFS.

2. Compartilhe arquivos protegidos por EFS com outros usuários


Como compartilhar arquivos protegidos por EFS com outros usuários? Esta é uma questão muito requisitada neste campo, mas não se preocupe, ela tem solução. Quando criptografamos um arquivo com EFS, apenas o usuário que o criptografou pode ter acesso a esse arquivo, mas nas versões mais recentes do NTFS podemos adicionar um certificado ao nosso arquivo ou pasta criptografada para compartilhá-lo com outras pessoas.

Para realizar este processo, devemos realizar as seguintes etapas:

Clicamos com o botão direito na pasta ou arquivo para compartilhar e escolher Propriedades.

Na janela Propriedades (editar) nós escolhemos Opções avançadas.

Lá a janela de Atributos avançados, devemos escolher a opção Detalhes.

E na janela exibida, simplesmente adicionamos os usuários com os quais ele será compartilhado e clique em Aceitar.

No caso de alguém que gerenciava as SAIs sair da organização ou esquecer a senha criptografada, podemos usar o DRA (Data Recovery Agent-Data Recovery Agent).

Para isso vamos realizar o seguinte processo:

  • Nós abrimos nosso Administrador de Política de Grupo (Em nosso gerenciador de servidor ou Administrador de servidor, menu Ferramentas).
  • Implantamos a floresta e o domínio.
  • Clicamos com o botão direito em Política padrão ou política de domínio padrão, nós selecionamos Editar:

Assim que a janela de edição abrir, vamos para o seguinte caminho:

  • Configuração do Computador
  • Políticas
  • Opções do Windows
  • Configurações de segurança
  • Políticas de chave pública

Nós escolhemos Sistema de criptografia de arquivos (Encrypting File System) e aí clicamos com o botão direito e escolhemos Criar Agente de Recuperação de Dados (Criar Agente de Recuperação de Dados).

Nós clicamos em Sistema de criptografia de arquivos (Encrypting File Systems), escolhemos os certificados e fechamos o editor do grupo.

3. Gestão de certificados


Quando criamos um arquivo pela primeira vez, o sistema cria automaticamente o certificado de criptografia. Podemos fazer um backup do referido certificado, para isso vamos ao comando Executar ou chaves:

Windows + R

E inserimos o seguinte: 

 certmgr.msc

Na janela exibida, escolhemos Pessoal / Certificados, no certificado exibido, clicamos com o botão direito e escolhemos Exportar.

O assistente de exportação será aberto, clique em Próximo.

Nós escolhemos se queremos enviar a chave privada:

Nós clicamos em Próximo, escolhemos o tipo de formato e clicamos novamente em Próximo.

Nós clicamos em Próximo, procuramos nosso certificado e clicamos em Finalizar

4. Criptografia de arquivo usando Bitlocker


Com BitLocker (criptografia de unidade BDE-BitLocker) É possível criptografar volumes inteiros, portanto, se perdermos nosso dispositivo, os dados permanecerão criptografados mesmo se estiver instalado em outro lugar.

BDE usa um novo recurso chamado Módulo de plataforma confiável TPM - Módulo de plataforma confiável, e isso permite ter maior segurança no caso de um ataque externo.O BitLocker usa o TPM para validar o boot e inicialização do servidor, e garante que o disco rígido está em ótimas condições de segurança e operação.

Há alguns Requisitos que devemos levar em consideração para implementar a criptografia com BitLocker, estes são:

  • Um computador com TPM.
  • Um dispositivo de armazenamento removível, como um USB, portanto, caso o computador não tenha um TPM, o TPM armazena a chave nesse dispositivo.
  • Mínimo 2 partições no disco rígido.
  • BIOS compatível com TPM, se não for possível, devemos atualizar nosso BIOS usando o BitLocker.

O TPM está disponível nas seguintes versões do Windows para computadores pessoais:

  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows 8 Pro
  • Windows 8 Enterprise

O BitLocker não é comumente usado em servidores, mas pode aumentar a segurança combinando-o com o failover de cluster.

O Bit Locker pode suportar os seguintes formatos:

  • FAT16
  • FAT32
  • NTFS
  • SATA
  • ATA, etc

O BitLocker não oferece suporte a:

  • Arquivos de sistema de CD ou DVD
  • iSCI
  • Fibra
  • Bluetooth

O BitLocker usa 5 modos operacionais em sua operação:

TPM + PIN (número de identificação pessoal) + senhaO sistema criptografa as informações com o TPM, além disso, o administrador deve inserir seu PIN e senha para acessar

TPM + chaveO sistema criptografa as informações com TPM e o administrador deve fornecer uma chave de acesso

TPM + PINO sistema criptografa as informações com o TPM e o administrador deve fornecer sua identificação de acesso

Apenas chaveO administrador deve fornecer a senha de acesso para gerenciar

Apenas TPMNenhuma ação exigida pelo administrador

5. Como instalar o Bitlocker


O processo de instalação desse recurso é o seguinte:

Vamos ao Administrador do Servidor ou ao Gerenciador do Servidor e escolhemos Adicionar funções e recursos localizado no início rápido ou no menu Gerenciar:

PROLONGAR

Na janela exibida, clicamos em Próximo, nós escolhemos Instalação baseada em função ou recurso, clicamos novamente em Próximo:

Na janela seguinte, selecionamos nosso servidor e clicamos em Próximo, na janela de funções, clicamos em Próximo porque vamos adicionar um recurso, não uma função. Na janela de Selecione os recursos nós escolhemos a opção Criptografia de unidade bitlocker.

Como podemos ver no painel direito temos um breve resumo das funcionalidades deste recurso, clicamos em Próximo. Uma janela será exibida com um resumo do que vamos fazer:

Nós clicamos em Instalar para iniciar o processo:

Uma vez que nosso Recurso BitLocker devemos reiniciar o servidor.

6. Determine se nosso computador tem TPM


Módulo de plataforma confiável é o conhecido (TPM). No BitLocker, o chip TPM é usado para proteger as chaves de criptografia e autenticação, fornecendo integridade com confiança.

Para determinar se temos a opção TPM, devemos ir para Painel de controle e nós escolhemos a opção Segurança:

Uma vez que a janela de Segurança nós escolhemos Criptografia de unidade bitlocker.

Veremos que no painel inferior esquerdo temos a opção de Gerenciamento de TPM.

Clicamos nesta opção, Gestão TPM e veremos se nossa equipe tem este recurso instalado:

7. Ativação do BitLocker


Para habilitar BitLocker devemos ir para:
  • Painel de controle
  • Segurança
  • Criptografia de unidade bitlocker

Nós escolhemos a opção Habilitar BitLocker, o processo de ativação começará:

O sistema indicará algumas das seguintes opções:

Neste exemplo, escolhemos insira uma senha

O sistema nos dirá o que fazer com nossa senha:

No nosso caso nós escolhemos Salvar em arquivo:

Salvamos nossa senha e clicamos em Próximo, aí o sistema diz-nos que tipo de encriptação queremos realizar, unidade inteira ou apenas espaço em disco, escolhemos de acordo com a nossa configuração.

Nós escolhemos e clicamos em Próximo e, finalmente, procedemos à criptografia de nossa unidade.

AtençãoSe por algum motivo de hardware nosso computador não passar no teste de TPM, podemos executar o seguinte processo para permitir que o BitLocker seja ativado:

  • Nós executamos o comando gpedit.msc em Corre
  • Entramos na seguinte rota: Configuração do computador / Modelos administrativos / Componentes do Windows / Criptografia de unidade Bitlocker / Unidades do sistema operacional.
  • Damos um duplo clique nesta última opção.
  • Habilitamos a política clicando em Habilitar.
  • Nós salvamos e podemos executar nossa ativação sem problemas.

O que é BitLocker To Go?Bitlocker To Go é uma funcionalidade que nos permite criptografar nossos flash drives, para isso devemos seguir a etapa anterior escolhendo o flash drive.

Pré-provisionamento do BitLockerEsta opção permite configurar o Bitlocker antes da instalação do sistema operacional, para isso devemos configurar a opção Windows Preinstallation Environment Win PE com o comando Manage-bde -on x:

Resumindo, podemos dizer que possuímos ferramentas que nos proporcionam maior segurança para nossos arquivos e pastas, tudo com o objetivo de preservar sua integridade.

Se você quiser mais informações sobre o DFS, não se esqueça de visitar o site oficial da Microsoft.

Criptografar discos do Windows 10 com BitLocker

wave wave wave wave wave

Publicações Populares

wave
1
post-title
Pesquise texto na web com o Safari no iPhone ou iPad
2
post-title
Como montar e conectar a unidade de rede do Windows no macOS Mojave
3
post-title
O status do texto em cores de 24 horas chega ao WhatsApp
4
post-title
Como configurar a Área de Trabalho Remota com X2Go no Debian 9
5
post-title
Como habilitar a lixeira do Active Directory

Recomendado

wave
- Sponsored Ad -

Escolha Do Editor

wave
- Sponsored Ad -