A partire da Windows 2000, il sistema operativo dispone di una crittografia dei file per i supporti di dati NTFS: l’Encrypted File System (EFS). Questa funzione rimane in gran parte inutilizzata. E se viene utilizzata, la frustrazione è grande quando non si riesce più ad accedere ai dati crittografati dopo una nuova installazione. Questo articolo fornisce una panoramica su EFS e su come utilizzarlo.
Indice dei contenuti
EFS per chi e per cosa?
Con Windows 2000, Microsoft ha introdotto una nuova funzione per i supporti dati NTFS, che chiama Encrypted File System (EFS). Con questa funzione, i file vengono crittografati su richiesta e possono essere letti solo dal proprietario e da altri utenti autorizzati.
Tuttavia, il nome EFS è un po’ fuorviante. Non è un file system a sé stante, ma solo un’estensione del file system NTFS. EFS non funziona quindi sui supporti di dati FAT.
EFS può crittografare singoli file o intere cartelle. Solo il contenuto dei file viene crittografato. I file stessi sono ancora presenti e visibili nel sistema come qualsiasi altro file e non vengono nascosti. Pertanto, se il nome del file deve essere classificato come informazione sensibile, il file deve essere nascosto o rinominato con altri mezzi.
EFS funziona per l’utente in background e senza il suo intervento. Se si imposta la crittografia per un file o una cartella e poi si accede ai file crittografati, questi vengono aperti decifrati e ricifrati al momento del salvataggio senza ulteriori interventi da parte dell’utente. Se si salva un nuovo file in una cartella impostata come crittografata, il nuovo file viene automaticamente crittografato.
Alcuni lettori si chiederanno certamente a cosa serva la crittografia in questo caso, se il file viene decrittografato automaticamente senza l’intervento dell’utente. La soluzione è molto semplice: solo l’account utente del proprietario è in grado di decifrare il file.
A questo scopo, EFS utilizza la crittografia asimmetrica, come già noto da PGP. Il file viene crittografato con la chiave pubblica dell’utente. Il file può essere nuovamente decifrato con la chiave privata. Il sistema operativo crea entrambe le chiavi individualmente per l’utente in un certificato.
Se un utente accede al file senza la chiave privata appropriata, cosa che le impostazioni di sicurezza del volume NTFS possono anche consentirgli di fare, non può comunque decifrare il file. L’utente o la sua applicazione vedono solo un caos di dati.
La forza della chiave è di 128 bit. Da Windows XP SP1, EFS utilizza l’algoritmo Advanced Encryption Standard (AES) e sostituisce il metodo DESX introdotto con Windows 2000 e XP (senza SP).
EFS per chi?
EFS è adatto solo per i file memorizzati su supporti di dati NTFS. Windows XP Home non offre EFS. In questo caso è necessario affidarsi a strumenti di terze parti.
Se un sistema è utilizzato da più utenti, i file sensibili possono essere crittografati a livello di utente. Anche se tutti gli utenti avessero accesso al file, non sarebbero in grado di decifrarne il contenuto a causa delle chiavi mancanti.
I proprietari dei notebook possono criptare l’intero contenuto dei loro dati. I ladri non hanno quindi modo di accedere ai dati perché manca la password dell’utente. Anche se il ladro tentasse di assegnare una nuova password all’amministratore tramite uno strumento di terze parti, impostando così le password degli altri utenti su un nuovo valore, ciò non annullerebbe la crittografia (vedere la voce Sicurezza delle chiavi).
Se si monta un supporto dati NTFS con altri sistemi o strumenti che aggirano le impostazioni di sicurezza NTFS, non è comunque possibile visualizzare o modificare i file crittografati perché mancano le chiavi appropriate.
Anche un amministratore non può fare nulla con i dati.
Cosa non può fare EFS
- EFS cripta solo il contenuto dei file. Tuttavia, il nome di un file può già dirci qualcosa sul suo contenuto. Se volete nascondere anche questo, dovete aiutarvi con altri strumenti, che presenteremo in un articolo successivo. I file nell’immagine sono tutti crittografati (nomi dei file verdi). Tuttavia, il solo nome potrebbe suscitare l’interesse e l’immaginazione del resto dello staff.
File crittografati - EFS non cripta i file temporanei che i programmi applicativi possono creare altrove. Per ottenere la massima sicurezza possibile, è necessario crittografare anche queste cartelle.
- EFS non funziona sui supporti di dati FAT, come le chiavette USB e altri supporti di memorizzazione mobili. Anche in questo caso è meglio utilizzare altri strumenti.
- EFS di Windows 2000 è considerato insicuro dagli esperti a causa di un errore di progettazione. Su Internet esistono programmi con cui è possibile estrarre le chiavi EFS da un sistema Windows 2000 e quindi avere accesso ai file crittografati.
- EFS non è adatto allo scambio di file criptati tra utenti. In linea di principio, è possibile autorizzare altri utenti del sistema con il proprio certificato ad accedere ai file, ma l’operazione è molto complicata. Inoltre, il destinatario con il certificato sarebbe in grado di leggere tutti i file dell’utente. Per il semplice scambio di file crittografati, esistono soluzioni migliori che utilizzano, ad esempio, la crittografia simmetrica (la stessa password per la crittografia e la decrittografia).
Nell’articolo successivo Crittografia dei file – Possibilità e programmi, presentiamo programmi e possibilità per aggirare le limitazioni di EFS.
EFS costa in termini di prestazioni
A questo punto vorremmo sottolineare che l’uso di EFS costa complessivamente in termini di prestazioni. A seconda della dotazione del computer, le prestazioni di scrittura e lettura del sistema possono diminuire fino al 50% con i file crittografati. Finché vengono elaborati solo i file di Office e così via, la decodifica e la crittografia non si notano. Tuttavia, con file di grandi dimensioni, come quelli che si trovano nell’editing video, EFS è un grande ostacolo. L’ideale sarebbe criptare solo i file che necessitano di una maggiore protezione.
EFS in pratica
La gestione della funzione EFS è molto semplice. È possibile visualizzare la finestra di dialogo“Attributi estesi” tramite il menu contestuale -> Proprietà ->Estesi.
 |
| Dialogo sulla crittografia |
Qui è possibile attivare la crittografia per l’oggetto.
Se si seleziona un file in una cartella non crittografata e si attiva la crittografia, il sistema emette un messaggio di avviso e offre la possibilità di crittografare la cartella e il file.
 |
| Dialogo di crittografia per la cartella |
I file appena creati in una cartella crittografata o copiati in essa vengono automaticamente crittografati dal sistema. Se si desidera decifrare nuovamente i file, è sufficiente deselezionare la casella di controllo negli attributi estesi.
Se un utente accede a un file crittografato per il quale dispone dei diritti necessari ma non del file chiave appropriato, riceverà solo un messaggio di errore:
 |
| File crittografato non leggibile da utenti stranieri |
È anche possibile criptare e decriptare i file tramite la riga di comando. Questo è probabilmente adatto per i comandi batch, ecc.
cipher /e /s: “C:\Documents and Settings\Michael\Documents\secret”
ad esempio, cripta tutti i file nella cartella “secret” Il comando per decifrare è cipher /d. Il riferimento completo al comando può essere visualizzato tramite cipher /?
Colore per EFS
Per rendere i file crittografati riconoscibili come tali, è necessario attivare l’opzione corrispondente in Esplora risorse in Strumenti -> Opzioni cartella -> Visualizza:
 |
| Rendi riconoscibili i file crittografati |
Il valore predefinito del colore “verde” può essere modificato tramite il registro di sistema in HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrent\Version\Explorer con un nuovo valore binario chiamato AltEncryptionColor. Come valore, immettere il colore desiderato direttamente in esadecimale, la quarta cifra deve essere sempre 00.
Il colore può essere facilmente regolato tramite TweakUi.
 |
| Regolazione del colore tramite TweakUI |
EFS nel menu contestuale
È inoltre possibile visualizzare le voci per la crittografia e la decrittografia di file e cartelle nel menu contestuale con un intervento nel registro di sistema.
A tale scopo, navigare con Regedit in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\Explorer\Advanced (se necessario, creare dei sottopercorsi) e creare qui una nuova voce DWORD con il nome EncryptionContextMenu e il valore 1. Dopo un riavvio, troverete Crittografia e Decrittografia nel menu contestuale. Il suggerimento è disponibile anche nell’archivio dei suggerimenti di WinTotal.
Backup delle chiavi
Backup immediato dei tasti
Non appena si inizia a utilizzare la funzione EFS, eseguire immediatamente il backup della chiave (certificato) su un supporto di memorizzazione sicuro.
Se il sistema è danneggiato e non si avvia più, potrebbe non essere più possibile accedere ai dati. Anche se si riavvia Windows e si crea lo stesso utente (nome e password), i certificati non potranno comunque essere decifrati.
Se l’amministratore cambia la password dell’utente, non sarà più possibile accedere ai file crittografati. Se invece è l’utente stesso a cambiare la password, non c’è alcun pericolo. Il sistema decifra con la vecchia password e poi salva i file con la nuova password.
Se si utilizza un software di immagine come Acronis True Image, tenere presente che le chiavi EFS sono incluse nell’immagine solo se la funzione era già in uso per l’utente. Per sicurezza, è quindi consigliabile eseguire il backup delle chiavi in modo indipendente.
Backup delle chiavi in dettaglio
È necessario eseguire il backup delle chiavi in modo da poter continuare ad accedere ai propri dati nel caso in cui l’account o il sistema siano danneggiati e debbano essere riavviati.
Vedere anche il nostro suggerimento sull’esportazione e l’importazione delle chiavi EFS.
È possibile eseguire il backup della chiave in due modi.
a.) Variante tramite Internet Explorer
In Internet Explorer, andare alle opzioni Internet e qui alla scheda Contenuti e al pulsante Certificati.
 |
| Pulsante Certificati in Internet Explorer |
I propri certificati sono elencati nella seguente finestra di dialogo.
 |
| Esportazione dei certificati |
Fare clic sul pulsante Esporta per avviare la procedura guidata di esportazione dei certificati:
 |
| Procedura guidata per l’esportazione dei certificati |
Qui si seleziona Esporta chiave privata e si assegna una password di esportazione e il percorso di memorizzazione del certificato. Senza la chiave privata non è più possibile decifrare i file.
 |
| Esportazione della chiave privata! |
La procedura guidata salva quindi il file della chiave PFX nel percorso specificato.
Conservare il file in un luogo sicuro e poi eliminarlo dal sistema.
b.) Variante tramite la console di gestione Microsoft
Invece di utilizzare Internet Explorer, è possibile utilizzare la console di gestione Microsoft per avviare l’esportazione guidata del certificato. A tal fine, inserire certmgr.msc in Start -> Esegui.
Il certificato si trova in Miei certificati. È possibile avviare l’Esportazione guidata certificato tramite Azione -> Tutte le attività. Per il resto, vale quanto detto sopra.
 |
| certmgr.msc |
Importare nuovamente la chiave
Con la chiave protetta nel file PFX, sarà possibile accedere ai file crittografati anche se si reinstalla il sistema o si cambia il nome utente.
Nell’esempio seguente, ora ci chiamiamo “Erich” e vogliamo accedere ai nostri file crittografati con “Michael”.
A questo scopo, “Erich” ha bisogno solo del file PFX e della password di esportazione, che viene richiesta quando si fa doppio clic sul file. Si avvia così la procedura guidata per l’importazione del certificato.
 |
| Importazione dei certificati |
Nella finestra di dialogo seguente è necessario inserire la password di esportazione. Le altre opzioni si spiegano da sole.
 |
| Immissione della password di esportazione |
Selezionare Certificati propri come destinazione del certificato.
 |
| Certificati propri come destinazione |
Non appena il certificato è stato importato, si ha accesso ai file crittografati dell’utente da cui proviene il certificato. Se l'”importatore” è il nuovo account, è meglio decifrare prima tutti i file e poi riattivare la crittografia. In questo modo, viene utilizzato il certificato principale dell’utente.
Si noti che qualsiasi utente a cui si fornisce la chiave privata può automaticamente utilizzarla anche per visualizzare i file crittografati.
Accesso generale per l’amministratore – l’Agente di ripristino
Oltre al backup della chiave per ogni utente, è possibile impostare un agente di recupero dati (Recovery Agent). Si tratta di un account appositamente autorizzato che può decifrare i file crittografati degli utenti in caso di emergenza. Tuttavia, ciò è possibile solo finché Windows stesso è ancora eseguibile. L’agente di ripristino non sostituisce quindi il backup del certificato.
Con Windows 2000, l’amministratore è automaticamente l’agente di ripristino. Con Windows XP e successivi, questo deve essere creato manualmente.
Il modo più semplice per farlo è utilizzare il comando cipher /r filename. “filename” è il nome prima del suffisso dei due file che chiper crea automaticamente.
 |
| cipher /r:filename |
Dopo aver assegnato le password, cipher salva un file PFX (file della chiave privata) e un file CER (file del certificato pubblico). Salvate entrambi i file in un luogo sicuro.
Per impostare un account come agente di recupero dati, accedere con l’account corrispondente. Quindi avviare l’amministrazione dei criteri di sicurezza locali tramite secpol.msc.
 |
| Agente di recupero dati |
In “Criteri di chiave pubblica” -> “Il file system è crittografato”, avviare la finestra di dialogo per l’aggiunta dell’agente di recupero dati tramite il menu contestuale.
 |
| Agente di recupero dati |
Selezionare ora il file CER precedentemente creato con cipher/r.
 |
| Agente di recupero dati – Selezione utente |
Al termine della procedura guidata, l’utente selezionato è Data Recovery Agent.
 |
| Agente di recupero dati |
Da quel momento in poi, un nuovo file viene sempre crittografato due volte: prima con la chiave pubblica dell’utente esecutore e poi con la chiave pubblica dell’agente di recupero. Quest’ultimo dispone quindi di una chiave duplicata per ogni file.
Agente di recupero in uso
Se a un certo punto è necessario utilizzare l’agente di recupero, ad esempio perché un account utente è stato eliminato ma i file sono ancora crittografati, procedere come segue:
- Accedere con l’account dell’agente di recupero.
- Importare la chiave privata dell’agente tramite il file PFX creato con cipher/r facendo doppio clic.
È quindi possibile decifrare i file crittografati degli altri utenti.
Disattivare completamente EFS
Come molte altre cose, anche EFS può essere disattivato completamente tramite il registro di sistema:
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Efs, creare un nuovo valore DWORD con il nome EfsConfiguration e il valore 1. Questo disattiva EFS localmente. In questo modo si disattiva EFS a livello locale. Andare al suggerimento “Disattivare EFS”.
Tuttavia, è possibile disattivare EFS anche per alcune directory. A tale scopo, inserire un file con il nome DESKTOP.INI nella cartella e aggiungere
[Crittografia]
Disabilita=1
come contenuto.
Conclusione
L’EFS è una misura di sicurezza ideale per proteggere i propri file da occhi estranei. Anche un amministratore non ha modo di visualizzare i file. Gli svantaggi e le limitazioni dell’EFS sono stati spiegati nell’articolo. In ogni caso, l’utente dovrebbe esportare il proprio certificato per poterlo importare nuovamente in caso di emergenza. I file crittografati per i quali non è più disponibile un certificato vanno irrimediabilmente persi.
Ulteriori link web
Microsoft:
Il file system di crittografia
KB329741: I file del file system di crittografia (EFS) appaiono danneggiati quando si aprono
Utilizzo del file system di crittografia (EFS) in Windows Server 2003