Criar e verificar um certificado de Agente de Recuperação de Dados (DRA) do Sistema de Arquivos com Criptografia (EFS)
Observação
A partir de julho de 2022, a Microsoft está preterindo o Windows Proteção de Informações (WIP). A Microsoft continuará a dar suporte ao WIP em versões com suporte do Windows. Novas versões do Windows não incluirão novos recursos para WIP e não serão compatíveis em versões futuras do Windows. Para obter mais informações, consulte Anunciando o pôr do sol do Windows Proteção de Informações.
Para suas necessidades de proteção de dados, a Microsoft recomenda que você use Proteção de Informações do Microsoft Purview e Prevenção Contra Perda de Dados do Microsoft Purview. O Purview simplifica a configuração configuração e fornece um conjunto avançado de recursos.
Aplica-se a:
- Windows 10
- Windows 11
Se você ainda não tiver um certificado DRA do EFS, precisará criar e extrair um do seu sistema antes de poder usar o Windows Proteção de Informações (WIP), anteriormente conhecido como EDP (enterprise data protection), em sua organização. Para os fins desta seção, usaremos o nome do arquivo EFSDRA; no entanto, esse nome pode ser substituído por qualquer coisa que faça sentido para você.
Importante
Se você já tiver um certificado de DRA do EFS para sua organização, você pode ignorar a criação de um novo. Basta usar o certificado de DRA do EFS atual em sua política. Para obter mais informações sobre quando usar uma PKI e a estratégia geral que você deve usar para implementar certificados de DRA, consulte o artigo EFS de Implementação de Inspeção de Segurança: parte 1 no TechNet. Para obter mais informações gerais sobre proteção EFS, consulte Protegendo Dados Usando o EFS para Criptografar Unidades de Disco Rígido.
Se o certificado DRA tiver expirado, você não poderá criptografar seus arquivos com ele. Para corrigir isso, você precisará criar um novo certificado, usando as etapas neste tópico e implementá-lo por meio da política.
Criar manualmente um certificado DRA do EFS
Em um computador sem um certificado de DRA do EFS instalado, abra um prompt de comando com direitos elevados e navegue até onde deseja armazenar o certificado.
Execute este comando:
cipher /r:EFSRA
Onde EFSRA é o nome dos
.cer
arquivos e.pfx
que você deseja criar.Quando solicitado, digite e confirme a senha para ajudar a proteger seu novo arquivo de troca de informações pessoais (.pfx)
Os arquivos EFSDRA.cer e EFSDRA.pfx são criados no local especificado na Etapa 1.
Importante
Como as chaves privadas nos arquivos .pfx de DRA podem ser usadas para descriptografar qualquer arquivo WIP, você deve protegê-las adequadamente. É altamente recomendável armazenar esses arquivos offline, mantendo cópias em um cartão inteligente com proteção forte para o uso normal e cópias mestres em um local físico seguro.
Adicione seu certificado EFS DRA à política wip usando uma ferramenta de implantação, como Microsoft Intune ou Microsoft Configuration Manager.
Observação
Esse certificado pode ser usado em Intune para políticas com MDM (registro de dispositivo) e sem MAM (registro de dispositivo).
Verifique se o certificado de recuperação de dados está configurado corretamente em um computador cliente WIP
Encontre ou crie um arquivo que esteja criptografado usando a Proteção de Informações do Windows. Por exemplo, você pode abrir um aplicativo em sua lista de aplicativos permitidos e, em seguida, criar e salvar um arquivo para que ele seja criptografado pela WIP.
Abra um aplicativo em sua lista de aplicativos protegidos e crie e salve um arquivo para que ele seja criptografado pela WIP.
Abra um prompt de comando com direitos elevados, navegue até onde você armazenou o arquivo que acabou de criar e, em seguida, execute este comando:
cipher /c filename
Onde filename é o nome do arquivo que você criou na Etapa 1.
Certifique-se de que o certificado de recuperação de dados está listado na lista Certificados de Recuperação.
Recuperar seus dados usando o certificado DRA do EFS em um ambiente de teste
Copie o arquivo criptografado WIP para um local onde você tem acesso de administrador.
Instale o arquivo EFSDRA.pfx usando sua senha.
Abra um prompt de comando com direitos elevados, navegue até o arquivo criptografado e, em seguida, execute este comando:
cipher /d encryptedfile.extension
Onde encryptedfile.extension é o nome do seu arquivo criptografado. Por exemplo,
corporatedata.docx
.
Recuperar o wip protegido após o cancelamento do registro
É possível que você possa revogar dados de um dispositivo não registrado apenas para posteriormente restaura-lo completamente. Isso pode acontecer caso um dispositivo perdido seja devolvido ou se um funcionário não registrado registrar-se novamente. Se o funcionário se registrar novamente usando o perfil de usuário original e o repositório de chaves revogado ainda estiver no dispositivo, todos os dados revogados poderão ser restaurados ao mesmo tempo.
Importante
Para controlar seus dados corporativos e ser poder revogar novamente no futuro, você deve executar somente esse processo depois que o funcionário tiver registrado novamente o dispositivo.
Faça com que o funcionário entre no dispositivo não registrado, abra um prompt de comando elevado e digite:
Robocopy "%localappdata%\Microsoft\EDP\Recovery" "new_location" * /EFSRAW
Onde "new_location" está em um diretório diferente. Isso pode estar no dispositivo do funcionário ou em uma pasta compartilhada em um computador que executa Windows 8 ou Windows Server 2012 ou mais recente e pode ser acessado enquanto você está conectado como um agente de recuperação de dados.
Para iniciar o Robocopy no modo S, abra o Gerenciador de Tarefas. Clique emExecutar nova tarefa de Execução de Arquivo>, digite o comando e clique em Criar essa tarefa com privilégios administrativos.
Se o funcionário realizou uma instalação limpo e não há nenhum perfil de usuário, você precisará recuperar as chaves da pasta Volume do Sistema em cada unidade. Tipo:
Robocopy "drive_letter:\System Volume Information\EDP\Recovery\" "new_location" * /EFSRAW
Inicie sessão em um dispositivo diferente com credenciais de administrador que possui acesso ao certificado de DRA da sua organização e execute a descriptografia do arquivo e a recuperação digitando:
cipher.exe /D "new_location"
Após seu funcionário iniciar sessão no dispositivo não registrado, digite:
Robocopy "new_location" "%localappdata%\Microsoft\EDP\Recovery\Input"
Peça ao funcionário para bloquear e desbloquear o dispositivo.
O serviço de credencial do Windows recupera automaticamente as chaves revogadas anteriormente do funcionário do
Recovery\Input
local.
Recuperação automática de chaves de criptografia
A partir do Windows 10, versão 1709, a WIP inclui um recurso de recuperação de dados que permite que os seus funcionários recuperem automaticamente o acesso a arquivos de trabalho caso a chave de criptografia seja perdida e os arquivos não estejam mais acessíveis. Isso costuma ocorrer quando um funcionário refaz a imagem da partição do sistema operacional, removendo as informações da chave WIP, ou quando um dispositivo é comunicado como perdido e você seleciona por engano o dispositivo errado para cancelamento de registro.
Para ajudar a garantir que os funcionários sempre possam acessar arquivos, o WIP cria uma chave de recuperação automática que faz backup de sua identidade Microsoft Entra.
A experiência do funcionário baseia-se em entrar com uma conta de trabalho Microsoft Entra ID. O funcionário pode:
Adicione uma conta de trabalho por meio do menu Acesso de Contas de Configurações >> do Windows ou do menu conectar escola>.
-OU-
Abra o Windows Settings Accounts >> Access work ou school > Connect e escolha o link Ingressar neste dispositivo para Microsoft Entra ID, em Ações alternativas.
Observação
Para executar uma junção de domínio Microsoft Entra da página Configurações, o funcionário deve ter privilégios de administrador para o dispositivo.
Depois de entrar, as informações necessárias da chave WIP serão automaticamente baixadas e os funcionários poderão acessar os arquivos novamente.
Para testar o que o funcionário vê durante o processo de recuperação da chave WIP
Tente abrir um arquivo de trabalho em um dispositivo não registrado.
A caixa Conectar-se ao Trabalho para acessar arquivos de trabalho será exibida.
Clique em Conectar.
A página Acessar configurações de trabalho ou escola será exibida.
Entre no Microsoft Entra ID como o funcionário e verifique se os arquivos agora estão abertos
Tópicos relacionados
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de