Criar e verificar um certificado de Agente de Recuperação de Dados (DRA) do Sistema de Arquivos com Criptografia (EFS)

Observação

A partir de julho de 2022, a Microsoft está preterindo o Windows Proteção de Informações (WIP). A Microsoft continuará a dar suporte ao WIP em versões com suporte do Windows. Novas versões do Windows não incluirão novos recursos para WIP e não serão compatíveis em versões futuras do Windows. Para obter mais informações, consulte Anunciando o pôr do sol do Windows Proteção de Informações.

Para suas necessidades de proteção de dados, a Microsoft recomenda que você use Proteção de Informações do Microsoft Purview e Prevenção Contra Perda de Dados do Microsoft Purview. O Purview simplifica a configuração configuração e fornece um conjunto avançado de recursos.

Aplica-se a:

• Windows 10
• Windows 11

Se você ainda não tiver um certificado DRA do EFS, precisará criar e extrair um do seu sistema antes de poder usar o Windows Proteção de Informações (WIP), anteriormente conhecido como EDP (enterprise data protection), em sua organização. Para os fins desta seção, usaremos o nome do arquivo EFSDRA; no entanto, esse nome pode ser substituído por qualquer coisa que faça sentido para você.

Importante

Se você já tiver um certificado de DRA do EFS para sua organização, você pode ignorar a criação de um novo. Basta usar o certificado de DRA do EFS atual em sua política. Para obter mais informações sobre quando usar uma PKI e a estratégia geral que você deve usar para implementar certificados de DRA, consulte o artigo EFS de Implementação de Inspeção de Segurança: parte 1 no TechNet. Para obter mais informações gerais sobre proteção EFS, consulte Protegendo Dados Usando o EFS para Criptografar Unidades de Disco Rígido.

Se o certificado DRA tiver expirado, você não poderá criptografar seus arquivos com ele. Para corrigir isso, você precisará criar um novo certificado, usando as etapas neste tópico e implementá-lo por meio da política.

Criar manualmente um certificado DRA do EFS

1. Em um computador sem um certificado de DRA do EFS instalado, abra um prompt de comando com direitos elevados e navegue até onde deseja armazenar o certificado.

2. Execute este comando:

   cipher /r:EFSRA
   

   Onde EFSRA é o nome dos .cer arquivos e .pfx que você deseja criar.

3. Quando solicitado, digite e confirme a senha para ajudar a proteger seu novo arquivo de troca de informações pessoais (.pfx)

   Os arquivos EFSDRA.cer e EFSDRA.pfx são criados no local especificado na Etapa 1.

   Importante

   Como as chaves privadas nos arquivos .pfx de DRA podem ser usadas para descriptografar qualquer arquivo WIP, você deve protegê-las adequadamente. É altamente recomendável armazenar esses arquivos offline, mantendo cópias em um cartão inteligente com proteção forte para o uso normal e cópias mestres em um local físico seguro.

4. Adicione seu certificado EFS DRA à política wip usando uma ferramenta de implantação, como Microsoft Intune ou Microsoft Configuration Manager.

   Observação

   Esse certificado pode ser usado em Intune para políticas com MDM (registro de dispositivo) e sem MAM (registro de dispositivo).

Verifique se o certificado de recuperação de dados está configurado corretamente em um computador cliente WIP

1. Encontre ou crie um arquivo que esteja criptografado usando a Proteção de Informações do Windows. Por exemplo, você pode abrir um aplicativo em sua lista de aplicativos permitidos e, em seguida, criar e salvar um arquivo para que ele seja criptografado pela WIP.

2. Abra um aplicativo em sua lista de aplicativos protegidos e crie e salve um arquivo para que ele seja criptografado pela WIP.

3. Abra um prompt de comando com direitos elevados, navegue até onde você armazenou o arquivo que acabou de criar e, em seguida, execute este comando:

   cipher /c filename
   

   Onde filename é o nome do arquivo que você criou na Etapa 1.

4. Certifique-se de que o certificado de recuperação de dados está listado na lista Certificados de Recuperação.

Recuperar seus dados usando o certificado DRA do EFS em um ambiente de teste

1. Copie o arquivo criptografado WIP para um local onde você tem acesso de administrador.

2. Instale o arquivo EFSDRA.pfx usando sua senha.

3. Abra um prompt de comando com direitos elevados, navegue até o arquivo criptografado e, em seguida, execute este comando:

   cipher /d encryptedfile.extension
   

   Onde encryptedfile.extension é o nome do seu arquivo criptografado. Por exemplo, corporatedata.docx.

Recuperar o wip protegido após o cancelamento do registro

É possível que você possa revogar dados de um dispositivo não registrado apenas para posteriormente restaura-lo completamente. Isso pode acontecer caso um dispositivo perdido seja devolvido ou se um funcionário não registrado registrar-se novamente. Se o funcionário se registrar novamente usando o perfil de usuário original e o repositório de chaves revogado ainda estiver no dispositivo, todos os dados revogados poderão ser restaurados ao mesmo tempo.

Importante

Para controlar seus dados corporativos e ser poder revogar novamente no futuro, você deve executar somente esse processo depois que o funcionário tiver registrado novamente o dispositivo.

1. Faça com que o funcionário entre no dispositivo não registrado, abra um prompt de comando elevado e digite:

   Robocopy "%localappdata%\Microsoft\EDP\Recovery" "new_location" * /EFSRAW
   

   Onde "new_location" está em um diretório diferente. Isso pode estar no dispositivo do funcionário ou em uma pasta compartilhada em um computador que executa Windows 8 ou Windows Server 2012 ou mais recente e pode ser acessado enquanto você está conectado como um agente de recuperação de dados.

   Para iniciar o Robocopy no modo S, abra o Gerenciador de Tarefas. Clique emExecutar nova tarefa de Execução de Arquivo>, digite o comando e clique em Criar essa tarefa com privilégios administrativos.

   

   Se o funcionário realizou uma instalação limpo e não há nenhum perfil de usuário, você precisará recuperar as chaves da pasta Volume do Sistema em cada unidade. Tipo:

   Robocopy "drive_letter:\System Volume Information\EDP\Recovery\" "new_location" * /EFSRAW
   

2. Inicie sessão em um dispositivo diferente com credenciais de administrador que possui acesso ao certificado de DRA da sua organização e execute a descriptografia do arquivo e a recuperação digitando:

   cipher.exe /D "new_location"
   

3. Após seu funcionário iniciar sessão no dispositivo não registrado, digite:

   Robocopy "new_location" "%localappdata%\Microsoft\EDP\Recovery\Input"
   

4. Peça ao funcionário para bloquear e desbloquear o dispositivo.

   O serviço de credencial do Windows recupera automaticamente as chaves revogadas anteriormente do funcionário do Recovery\Input local.

Recuperação automática de chaves de criptografia

A partir do Windows 10, versão 1709, a WIP inclui um recurso de recuperação de dados que permite que os seus funcionários recuperem automaticamente o acesso a arquivos de trabalho caso a chave de criptografia seja perdida e os arquivos não estejam mais acessíveis. Isso costuma ocorrer quando um funcionário refaz a imagem da partição do sistema operacional, removendo as informações da chave WIP, ou quando um dispositivo é comunicado como perdido e você seleciona por engano o dispositivo errado para cancelamento de registro.

Para ajudar a garantir que os funcionários sempre possam acessar arquivos, o WIP cria uma chave de recuperação automática que faz backup de sua identidade Microsoft Entra.

A experiência do funcionário baseia-se em entrar com uma conta de trabalho Microsoft Entra ID. O funcionário pode:

• Adicione uma conta de trabalho por meio do menu Acesso de Contas de Configurações >> do Windows ou do menu conectar escola>.

  -OU-

• Abra o Windows Settings Accounts >> Access work ou school > Connect e escolha o link Ingressar neste dispositivo para Microsoft Entra ID, em Ações alternativas.

  Observação

  Para executar uma junção de domínio Microsoft Entra da página Configurações, o funcionário deve ter privilégios de administrador para o dispositivo.

Depois de entrar, as informações necessárias da chave WIP serão automaticamente baixadas e os funcionários poderão acessar os arquivos novamente.

Para testar o que o funcionário vê durante o processo de recuperação da chave WIP

1. Tente abrir um arquivo de trabalho em um dispositivo não registrado.

   A caixa Conectar-se ao Trabalho para acessar arquivos de trabalho será exibida.

2. Clique em Conectar.

   A página Acessar configurações de trabalho ou escola será exibida.

3. Entre no Microsoft Entra ID como o funcionário e verifique se os arquivos agora estão abertos

Tópicos relacionados

• EFS de Implementação de Inspeção de Segurança: parte 1

• Protegendo Dados Usando o EFS para Criptografar Unidades de Disco Rígido

• Criar uma política de Proteção de Informações do Windows (WIP) usando o Microsoft Intune

• Criar uma política do Windows Proteção de Informações (WIP) usando Microsoft Configuration Manager

• Criando um Agente de Recuperação Baseado em Domínio