EFS utilizza algoritmi standard di settore e crittografia a chiave pubblica per garantire la crittografia forte. I file che sono criptati sono sempre riservate. Anche se l'autenticazione di accesso e le autorizzazioni di file NTFS sono orientate a proteggere i dati riservati, è possibile utilizzare EFS per aggiungere un ulteriore strato di sicurezza. Ciò assicura che, quando gli hacker avere accesso completo ai dati di un computer, i dati si trova nel file protetti a causa di crittografia EFS. Una persona non autorizzata non sarebbe in grado di aprire un file crittografato.

EFS in Windows Server 2003 migliora ulteriormente le funzionalità di EFS in Windows 2000. Gli utenti che utilizzano sono crittografati EFS possono condividere file con altri utenti le condivisioni di file e cartelle Web. È possibile configurare EFS funzionalità tramite i Criteri di gruppo e strumenti da riga di comando. EFS è adatto a garantire i dati sensibili sui computer portatili. Funziona anche bene per garantire i dati quando i computer sono condivisi da più utenti.

Come funziona EFS

EFS è in realtà fortemente integrata con NTFS, e il suo file di cifratura e decifratura dei processi siano trasparenti per gli utenti. Ciò significa che quando gli utenti di salvare un file, EFS crittografa i dati come i dati vengono scritti su disco, e quando gli utenti ad aprire un file, è decifrati da EFS come i dati vengono letti dal disco. Gli utenti sono fondamentalmente inconsapevoli di questo processo, e non ha bisogno di intraprendere qualsiasi azione di avviare la crittografia e la decrittografia EFS. Ci possono essere delle tecnologie di terze parti in grado di fornire funzionalità di crittografia di file, ma questi programmi non sono completamente trasparenti per gli utenti. Con questi programmi, la responsabilità dovrebbe essere immesso sul ricordare agli utenti di utilizzare il programma di crittografia. Ciò, a sua volta porta a processi più deboli della sicurezza, e potrebbe creare problemi di protezione per i prodotti sensibili, i dati riservati.

EFS utilizza chiavi per cifrare e decifrare i dati, la crittografia e Application Programming Interface (CryptoAPI) architettura per la fornitura di funzioni crittografiche. Anche se è possibile utilizzare impresa autorità di certificazione (CA) certificati, questo non costituisce un obbligo. Quando non esiste CA, EFS segni di un certificato che può essere utilizzato con la crittografia dei file. Proprio per questa caratteristica, EFS può funzionare sui computer che sono membri di un dominio, e su computer stand-alone.

Le chiavi che EFS utilizza per crittografare e decrittografare i dati, è un pubblico e privato coppia di chiavi, e una chiave per la crittografia dei file. EFS genera una chiave di crittografia file (FEK), che è una chiave di crittografia simmetrica per crittografare i dati. La chiave di crittografia file (FEK) è prossima codificato mediante crittografia asimmetrica l'utente utilizzando la chiave pubblica. Crittografia asimmetrica effettivamente utilizza una chiave pubblica e privata per la coppia più forte di sicurezza. Il FEK crittografata viene archiviato con il file crittografato. Quando il file devono essere decifrati, la FEK devono essere decifrati. L'utente della chiave privata viene utilizzata per decifrare la FEK. Il FEK viene utilizzata per decrittografare i dati del file.

EFS Caratteristiche fondamentali

• EFS è abilitato di default. Gli utenti tuttavia bisogno di un pubblico e privato coppia di chiavi, e il permesso di utilizzare EFS.
• EFS ha bisogno di un agente di recupero per il certificato di lavoro. Esso genera il certificato se non hai uno.
• EFS possibile crittografare file solo quando il file system NTFS è in uso.
• Crittografia non ha alcun impatto su file e cartelle
• È possibile autorizzare più utenti di condividere file crittografati
• Quando si sposta un file EFS diversi file system, la crittografia viene rimosso.
• Quando si spostano i file in una cartella che è criptato, il file rimane nella sua forma originale. Si rimane in chiaro o criptato o.
• Quando si copia un file da una cartella crittografata, il file verrà codificato.
• Quando una cartella è codificato, tutti i file temporanei in quella particolare cartella sono crittografati, come pure.
• La crittografia è elencato come uno degli attributi di file, ed è quindi visualizzata con il resto degli attributi del file.
• EFS può cifrare e decifrare i file su un computer remoto
• File non in linea possono anche essere criptati con EFS
• I file che sono criptati possono essere archiviati in cartelle Web
• EFS precedentemente utilizzata estensione Data Encryption Standard (DESX) per la cifratura. Con Windows Server 2003, il Triple-DES (3DES) algoritmo di cifratura può essere utilizzato per migliorare la sicurezza di EFS.
• È possibile eseguire il backup dei file crittografati.
• Ogni compressa di file e cartelle devono essere decompressi prima di poter essere codificato
• I file e le cartelle di sistema non può essere codificato.
• File o cartelle in un profilo utente comune non può essere codificato

I componenti di EFS

EFS utilizza i seguenti componenti a svolgere le sue funzioni:

• EFS servizio: Il servizio EFS comunica con il driver di EFS locale attraverso la procedura di chiamata (LPC) porto. Il servizio EFS e la crittografia di Microsoft Application Programming Interface (CryptoAPI) comunicare, con il servizio di ricezione di file EFS chiavi di crittografia da CryptoAPI. Si utilizza questi dati per la generazione di chiavi di decrittazione campi (DDFs) e di recupero di dati campi (DRFs). La chiave di crittografia file (FEK) viene utilizzata per i dati dei file. Il servizio EFS passa il FEK, DRF, e DDF EFS al conducente attraverso il file system EFS Run-Time Library (FSRTL).
• EFS conducente: Il driver di richieste di file EFS chiavi di crittografia, DDFs e DRFs dal servizio EFS. E poi questi relè al FSRTL EFS.
• EFS File System Run-Time Library (FSRTL): Il EFS FSRTL esiste in EFS il conducente, e opera con EFS il conducente, in quanto una delle componenti. NTFS file controllo callout vengono utilizzate come meccanismo di comunicazione tra i due. L'EFS FSRTL svolge una serie di file di sistema di funzioni che includono la crittografia, decifrare, e il recupero dei file di dati quando viene letto dal disco o scritte sul disco.
• Microsoft Cryptographic Application Programming Interface (CryptoAPI): CryptoAPI è utilizzata da EFS per funzioni crittografiche. CryptoAPI supporta la crittografia, la decrittografia, hashing, la firma digitale e la sua verifica, la gestione delle chiavi, sicuro, e le principali operazioni di cambio.

Come i file sono cifrati e decifrati

Come già detto in precedenza, EFS utilizza la chiave pubblica e chiave simmetrica di crittografia per garantire il contenuto di file e cartelle. Gli algoritmi di crittografia a chiave pubblica asimmetrica utilizzare chiavi di cifratura e decifratura. Ciò significa che le chiavi utilizzate per cifrare e decifrare i dati sono diversi, perché una chiave privata e una chiave pubblica viene utilizzata. La chiave privata viene conservata dal proprietario della chiave. La chiave pubblica può essere utilizzato sulla rete.

Quando i dati vengono criptati, EFS genera un unico FEK per crittografare il file. E poi la cripta FEK utilizzando la chiave pubblica del certificato di utente. FEK EFS utilizza la crittografia per garantire che si verifica rapidamente. La chiave privata degli utenti viene utilizzata per decifrare la FEK.

Il processo illustrato di seguito si verifica quando un utente crittografa un file:

• Il file è aperto dal servizio EFS
• I flussi di dati del file vengono copiati in un prossimo plaintext file temporaneo situato nella directory temporanea del sistema
• EFS genera l'unica FEK.
• Il FEK viene utilizzata per cifrare i file tramite DESX o 3DES.
• I dati di decrittazione campo (DDF) è creato. Il DDF detiene la FEK crittografata mediante la chiave pubblica dell'utente.
• Se un agente di recupero è definita per mezzo di Criteri di gruppo, i campi di recupero di dati (DRFs) è creato.
• I dati crittografati, DDF, DRF e sono memorizzati nel file.
• Il file temporaneo chiaro situato nella directory temporanea del sistema è soppresso.

Il processo illustrato di seguito si verifica quando un file viene decriptato:

• NTFS effettivamente individua come i file criptati, quindi presenta una richiesta di decrittografia EFS attraverso il conducente.
• Il driver della prossima EFS ottiene i dati di decrittazione campo (DDF) e lo invia al servizio EFS.
• Il servizio EFS ottiene la chiave privata degli utenti. Si utilizza questa chiave per decifrare il DDF.
• Una volta che il servizio EFS ha decriptato il DDF e ottenuto la FEK, invia la FEK al conducente EFS.
• Il conducente EFS utilizza la FEK ricevuto dal servizio EFS per decifrare i dati contenuti nel file.
• Il conducente EFS poi passa il decrittografato dati in NTFS.

EFS e certificati

Non appena un utente consente la crittografia per una cartella o un file, EFS controlli se l'utente ha un certificato di impresa memorizzati nel certificato personale negozio. EFS chiede un certificato per l'utente quando non riesce a trovare un certificato di personale certificato negozio, da un'autorità di certificazione (CA). EFS proventi di creare un certificato firmato autonomo per l'utente, se non vi è alcuna impresa CA. Il certificato di EFS l'utente quando si accede EFS esigenze per crittare e decrittare il FEK. EFS rinnova anche certificati EFS che sono scaduti.

Certificati che sono ottenuti da impresa CA utilizzare modelli di certificato che vengono memorizzate in Active Directory. Certificato dettaglio le caratteristiche dei modelli di certificato tipo che può essere rilasciato agli utenti e computer. Il certificato di modelli che sono il supporto EFS utente, amministratore e di base EFS. Imprese. CA utilizza Access Control Lists (ACL) quando hanno bisogno di verificare se le richieste del certificato deve essere approvato. Un utente deve quindi avere il permesso per Enroll un certificato template per avere un certificato rilasciato. I membri del gruppo Domain Admins Domain Users e il gruppo hanno permesso questo. Gli utenti possono utilizzare lo snap-in Certificati per richiedere certificati.

Utilizzare la procedura descritta di seguito per richiedere un certificato da una CA attraverso lo snap-in Certificati

1. Aprire lo snap-in Certificati
2. Procedere per espandere le cartelle personali.
3. Fare clic col tasto destro e scegliere Certificati Tutte le attività, quindi Nuova Richiesta Certificato dal menu di scelta rapida
4. La Nuova Richiesta Certificato guidata lancia.
5. Scegli l'opzione di base EFS sul certificato Tipi schermo. Fare clic su Avanti
6. Fornire informazioni per Friendly nome e la descrizione. Fare clic su Avanti
7. Fare clic su Fine per uscire dalla procedura guidata.
8. Il nuovo certificato è memorizzato nella cartella Certificati.

È possibile utilizzare lo snap-in Certificati per verificare se si dispone già di un certificato

1. Procedere per navigare e aprire lo snap-in Certificati istituito per il mio account utente
2. Espandere la cartella personale
3. Fai clic destro per visualizzare i certificati se esiste un certificato

Crittografia / decodifica di file tramite EFS

Si raccomanda di abilitare la crittografia EFS per le cartelle, invece di consentire che per i singoli file. In questo modo, lei non avrebbe bisogno di crittografare singoli file quando si salva il file.

Utilizzare la procedura descritta di seguito per crittografare una cartella

1. Aprire Risorse del computer
2. Fai clic destro sulla cartella che si desidera crittografare, quindi selezionare Proprietà dal menu di scelta rapida.
3. Quando la finestra di dialogo Proprietà della cartella si apre, fare clic sul pulsante Avanzate nella scheda Generale.
4. La finestra di dialogo Attributi avanzati viene visualizzato.
5. In Compressione o crittografia attributi sezione della finestra di dialogo Attributi avanzati, consentono il controllo Crittografa contenuto per la protezione dei dati di controllo.
6. Fare clic su OK per attivare la crittografia per la cartella e tutti i file inclusi nella cartella.
7. Un ulteriore messaggio viene visualizzato in una finestra di dialogo quando la cartella contiene sottocartelle ei file che sono in chiaro. Il messaggio chiede di verificare se le impostazioni devono essere applicate solo per la cartella o la cartella e le sottocartelle ei file.
8. Se si sceglie Applica cambiamenti a questa cartella unica opzione, si verifica il seguente:
• File già memorizzati nella cartella e le eventuali sottocartelle rimanere nel loro stato originale
• I file che si creano nella cartella sono criptati
• I file copiati nella cartella da voi e gli altri utenti sono criptati
• I file creati in, copiati o spostati sottocartelle rimangono nel loro stato originale.
9. Se si sceglie la Applica cambiamenti a questa cartella, le sottocartelle ei file opzione, si verifica il seguente:
• File già memorizzati nella cartella e le eventuali sottocartelle sono crittografati se avete il permesso di scrittura.
• I file creati in, copiato o spostato a sottocartelle sono criptati, se da te o da altri utenti

Utilizzare la procedura descritta di seguito per decriptare una cartella

1. Fai clic destro sulla cartella che si desidera decrittografare, e selezionare Proprietà dal menu di scelta rapida.
2. Quando la finestra di dialogo Proprietà della cartella si apre, fare clic sul pulsante Avanzate nella scheda Generale
3. Quando la finestra di dialogo Attributi avanzati viene visualizzata, deselezionare la Crittografa contenuto per la protezione dei dati di controllo.

Come per crittografare file non in linea

1. Aprire Risorse del computer
2. Utilizzare il menu Strumenti per selezionare la voce Opzioni cartella
3. Usa la scheda File non in linea a:
• Abilita file non in linea
• Crittografare file non in linea
4. Fare clic su OK

Come visualizzare lo stato di crittografia EFS

1. Aprire Risorse del computer
2. Utilizzare il menu Strumenti per selezionare la voce Opzioni cartella
3. Fare clic sulla scheda Visualizzazione
4. Attiva Mostra criptati o NTFS compressi nel file di controllo del colore.
5. Fare clic su OK
6. Cartella crittografata e nomi dei file vengono visualizzati in verde.

Come abilitare EFS opzioni dal menu di scelta rapida

Se EFS opzioni sono attivate dal menu di scelta rapida, l'utente deve semplicemente fare clic destro sulla cartella o il file per crittografare o decrittografare la cartella o il file.

1. Fare clic sul pulsante Start, Esegui, digitare regedit.exe nella finestra di dialogo Esegui. Fare clic su OK
2. L'editor del Registro di sistema si apre
3. Individuare la seguente sottochiave:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced

4. Utilizzare il menu Modifica per selezionare Nuovo, quindi Valore DWORD
5. Procedere per specificare EncryptionContextMenu valore per nome, e 1 per il valore dei dati.
6. Registro modifiche sono immediatamente efficaci.

Come usare cipher.exe di visualizzare, creare o modificare la crittografia su file e cartelle

Cipher.exe è uno strumento della riga di comando che possono essere utilizzati per crittografare e decrittografare i file o le cartelle. Utilizzando il comando senza cifratura interruttori per visualizzare lo stato della crittografia per la cartella e il file che si trovano all'interno della cartella.

La sintassi per il comando e il suo cifrario interruttori sono riportati di seguito:

cipher [{/e|/d}][/s:Folder][/a][/i][/f][/q][/h][/k][/u [/n]]

• /e la cripta particolare le cartelle ei file aggiunti sono criptati e
• /d la decodifica particolare cartelle. L'attributo di crittografia viene rimosso dal cartelle.
• /s:Folder usato per indicare la cartella e le sottocartelle che devono essere sfruttate
• /a utilizzata per crittografare i file nella directory corrente
• /i usato per indicare che il processo deve continuare, anche se sono presenti errori.
• /f utilizzata per la cifratura o decifratura vigore per tutti i file e le cartelle definite
• /q elenca solo le informazioni importanti
• /h l'elenco dei file che hanno gli attributi nascosti e di sistema attributi
• /k genera una nuova FEK per il particolare utente che sta eseguendo il comando
• /u aggiorna il FEK l'utente e la chiave del recupero agente. Utilizzato con / n
• /n fermate chiavi in fase di aggiornamento. Utilizzato con / u passare

Come più di autorizzare l'accesso degli utenti ai file crittografati

Prima che autorizza l'accesso a più utenti di file crittografati, considerare i seguenti:

• Una condivisione di file, cartella Web o sessione remota è necessario per gli utenti autorizzati a condividere EFS file attraverso la rete.
• Gli utenti che si vuole autorizzare l'accesso ai file EFS devono essere certificati EFS
• Quando si autorizza un utente di decifrare un file, l'utente è automaticamente in grado di autorizzare altri utenti con accesso al fascicolo

Utilizzare la procedura descritta di seguito per condividere un file EFS con altri utenti

1. Aprire Risorse del computer
2. Fare clic col tasto destro del file crittografato e selezionare Proprietà dal menu di scelta rapida.
3. Quando la finestra di dialogo Attributi avanzati si apre, fare clic sul pulsante Dettagli
4. La crittografia Dettagli apre la finestra di dialogo.
5. Fare clic su Aggiungi per aprire la finestra di dialogo Seleziona utente.
6. È ora possibile aggiungere un utente dal computer locale, o da Active Directory.
7. Fare clic sul certificato di utente per aggiungere un utente dal computer locale. Fare clic su OK
8. Fare clic sul pulsante Trova per trovare l'utente di un utente in Active Directory.
9. Quindi, fare clic su Sfoglia quando Trova utenti, contatti e gruppi finestra di dialogo per trovare l'utente (s).
10. Fare clic sulla cartella o il dominio che deve essere cercato nella Sfoglia per container finestra di dialogo.
11. Selezionare l'utente (s) e quindi fare clic su OK

File Recovery agenti

Essere in grado di recuperare i dati diventa importante quando i dipendenti misplace loro chiavi private o lasciare l'organizzazione senza decifrare tutti i loro file. Questo è il momento di agente di recupero diventa importante. Al fine di utilizzare EFS, un agente di recupero dati crittografati politica deve esistere. EFS utilizza automaticamente un valore predefinito di agente di recupero conto quando non di agente di recupero dati crittografati politica esiste. I membri del gruppo Domain Admins possibile specificare un account da utilizzare per il recupero agente conto. Politica locale può essere utilizzato su computer stand-alone per specificare i conti come gli agenti di recupero dati. Tali conti sono normalmente un account di amministratore. DRA certificati vengono memorizzati nel certificato di conservare il computer quando un utente accede a un computer di dominio che è incluso nella gamma della politica di recupero EFS. Questo rende possibile per ogni dominio del computer per accedere alla chiave pubblica del DRA. File crittografati di recupero di dati contengono un campo che, a sua volta detiene il file codificato FEK. Un DRA può decifrare un file crittografato che è la gamma di recupero EFS politica attraverso l'utilizzo della chiave privata.
È necessario definire più DRAs attraverso EFS recupero politica se si vuole di più agli utenti di essere in grado di decifrare i file. I file sono in genere più sicuri, se una sola persona è in grado di decifrare il file. L'aspetto negativo è che il file è meno recuperabile.

Utilizzare la procedura descritta di seguito per aggiungere un agente di recupero per il computer locale

1. Fare clic sul pulsante Start, Esegui, quindi digitare mmc nella finestra di dialogo Esegui. Fare clic su OK
2. Scegliere Aggiungi / Rimuovi snap-in dal menu File, quindi fare clic su Aggiungi.
3. Quando il Aggiungi snap-in finestra di dialogo, scegliere Editor oggetti Criteri di gruppo. Fare clic su Aggiungi.
4. Assicurarsi che Computer locale sia selezionato. Fare clic su OK
5. Nel riquadro a sinistra, procedere per espandere Criteri del computer locale, Configurazione computer, Impostazioni di Windows, Impostazioni protezione, e la chiave pubblica Impostazioni.
6. Fai clic destro Encrypting File System, quindi scegliere Proprietà dal menu di scelta rapida.
7. EFS è in esecuzione sul computer, se Consenti agli utenti di crittografare i file utilizzando Crittografia file system (EFS) casella di controllo è attivata. Fare clic su OK
8. Fai clic destro Encrypting File System e scegliere Aggiungi agente recupero dati dal menu di scelta rapida.
9. L'agente di recupero Aggiungi guidata inizia.
10. Fornire un nome utente per l'utente che ha un certificato di recupero. Fare clic su Avanti
11. Sulla Selezionare Recupero agenti schermo, sfogliare le cartelle / directory, per specificare gli utenti.
12. Fare clic su Avanti. Fare clic su Fine.

Utilizzare la procedura descritta di seguito per rimuovere un DRS

1. Utilizzo di Criteri di gruppo, nel riquadro di sinistra, procedere per espandere Criteri del computer locale, Configurazione computer, Impostazioni di Windows, Impostazioni protezione, Criteri chiave pubblica, e Encrypting File System
2. Scegli il DRA che si desidera eliminare, e cancellare il certificato.

Come per l'esportazione e l'importazione EFS e DRA certificati e chiavi private

Gli utenti possono garantire l'accesso ai file crittografati EFS da esportare i loro certificati e chiavi private su supporti rimovibili.

Utilizzare la procedura descritta di seguito per esportare un certificato di un supporto rimovibile

1. Procedere per accedere lo snap-in Certificati
2. Espandere le cartelle personali, quindi fare doppio clic su Certificati
3. Trova e cliccate con il tasto destro del certificato che si desidera esportare, quindi scegliere Tutte le attività, quindi Esporta dal menu di scelta rapida.
4. Scegliere Sì, esportare la chiave privata.
5. È ora possibile scegliere di eliminare la chiave privata dal computer dopo che è stato esportato, o potete scegliere di lasciare il computer. Dopo aver selezionato l'opzione che si adatta alle tue esigenze, fare clic su Avanti
6. Fornire una password per la protezione della chiave privata esportati. Fare clic su Avanti
7. Fornire un nome per il certificato esportato e chiave privata.
8. Fare clic su Avanti. Fare clic su Fine.

Utilizzare la procedura descritta di seguito per importare un certificato

1. Procedere per accedere lo snap-in Certificati
2. Espandere la cartella personale, e poi a destra, fare clic su Certificati, scegliere Tutte le attività, quindi Importa dal menu di scelta rapida.
3. Inserire il file del certificato che deve essere importato.
4. Fornire la corretta password per aprire il file
5. Specificare il percorso in cui il certificato deve essere importato.

Come rafforzare la chiave e il file di sicurezza

Si possono rafforzare la sicurezza sostituendo le DESX EFS utilizza l'algoritmo che, con l'algoritmo più forte 3DES. È possibile utilizzare il sistema di crittografia dei Criteri di gruppo per consentire 3DES per la crittografia per la protezione IP e EFS. È possibile tuttavia modificare il Registro di sistema appropriato in HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WindowsNT \ CurrentVersion \ EFS chiave tramite l'Editor del registro di consentire 3DES per la crittografia di EFS solo.

È inoltre possibile utilizzare una chiave di avvio per proteggere comandante chiavi e le informazioni riservate che risiede sul computer. Una chiave di avvio è detto anche syskey. Avvio chiavi vengono create automaticamente per i computer che sono membri di un dominio. È necessario creare manualmente una chiave di avvio per un computer.

Una chiave di avvio protegge riservate le seguenti informazioni:

• Master chiavi: Queste sono le chiavi utilizzate per proteggere le chiavi private.
• Chiavi di protezione: Queste sono le chiavi per account utente o password memorizzati in Active Directory, o in locale Gestione account di protezione (SAM) chiave del Registro di sistema
• Chiavi di protezione per il vostro segreto LSA
• La chiave di protezione per l'account amministratore password

Dopo un avvio chiave è attivata, la procedura che si svolge in fase di avvio è il seguente:

• Il sistema recupera la chiave di avvio
• E 'quindi utilizzata per decifrare la chiave di protezione master
• Questa chiave viene poi utilizzata per ottenere l'account utente chiave di cifratura.
• L'account utente chiave di crittografia viene utilizzata per decifrare la password in Active Directory, o in locale Gestione account di protezione (SAM) chiave del Registro di sistema.

Utilizzare la procedura descritta di seguito per abilitare la crittografia 3DES per EFS solo per

1. Aprire l'editor del Registro di sistema
2. Individuare la chiave HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ EFS sottochiave del Registro di sistema.
3. Utilizzare il menu Modifica per scegliere Nuovo, quindi Valore DWORD
4. Inserisci AlgorithmID valore per nome, e per i dati relativi al valore 0x6603
5. Questi valori permettono 3DES
6. Riavviare il computer

Utilizzare la procedura descritta di seguito per consentire 3DES utilizzando Criteri di gruppo

1. Utilizzo di Criteri di gruppo, nel riquadro di sinistra, procedere per espandere Configurazione computer, Impostazioni di Windows, Impostazioni protezione, Criteri locali, Opzioni di protezione.
2. Fare doppio clic sull'icona Sistema di crittografia: Usa algoritmi FIPS compatibili per crittografia politica.
3. Scegliere Attiva
4. Fare clic su OK

Utilizzare la procedura descritta di seguito per attivare la chiave di avvio

1. Inserisci syskey alla linea di comando
2. Procedere a fare clic su Crittografia Attivato.
3. Fare clic su OK
4. Scegli un opzione per la chiave. Il sistema ha generato una password che viene memorizzato localmente opzione è l'opzione predefinita.
5. Fare clic su OK per riavviare il computer.

Utilizzare la procedura descritta di seguito per modificare le opzioni di avvio chiave

1. Inserisci syskey alla linea di comando
2. Procedere a fare clic su Aggiorna.
3. Procedere per modificare la password, o scegliere una diversa chiave di opzione
4. Fare clic su OK. Riavviare il computer.

Come disabilitare EFS

È possibile disattivare EFS per un computer o per il dominio. Utilizzare la procedura descritta di seguito per disattivare EFS utilizzando l'editor del Registro di sistema

1. Aprire l'editor del Registro di sistema
2. Individuare la chiave HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ EFS sottochiave del Registro di sistema.
3. Utilizzare il menu Modifica per scegliere Nuovo, quindi Valore DWORD
4. Inserisci EfsConfiguration valore per nome, e 1 per il valore dei dati
5. Questi valori disattivare EFS
6. Riavviare il computer

EFS Best Practices

A pochi migliori pratiche per EFS sono riassunte qui di seguito:

• Sempre scegliere di crittografare le cartelle, e non singoli file. Cifrare cartelle semplice facilita la crittografia dei file di gestione. Ricordate che ogni file che si trovano in, o creati in una cartella crittografata sono criptati automaticamente.
• È possibile utilizzare Microsoft Certificate Services per la gestione e EFS DRA certificati / chiavi private
• Gli utenti devono esportare i loro certificati EFS e le chiavi private su supporti rimovibili, e anche i mezzi di conservare in un luogo sicuro.
• Cercate di avere un piccolo numero di agenti di recupero specificate. Il meno il numero di agenti di recupero, il più semplice è per la loro gestione, e assicurare che non siano correttamente decifrare i file.
• Si dovrebbe anche esportare le chiavi private per il recupero conti, e di sicuro in un luogo sicuro.
• Si dovrebbe cercare di crittografare i dati sensibili su ogni computer che è un membro di un dominio.
• Consentire una chiave di avvio su computer stand-alone per migliorare ulteriormente la sicurezza per le chiavi private degli utenti.
• Assicurarsi che la cartella Documenti è codificato, nei casi in cui l'utente si collega al computer stesso.
• Si consiglia di crittografare file non in linea per assicurare la protezione di documenti memorizzati localmente.
• Utilizzo di SMB (Server Message Block) firma con EFS aiuta a garantire che i file sono sicuro trasmessi / ricevuti attraverso la rete.
• È inoltre possibile utilizzare IPSec per la crittografia dei dati, come si muove attraverso la rete