Come accedere e ripristinare in modo sicuro i file crittografati con EFS in una nuova posizione

EFS (Encrypting File System) è una funzione del sistema operativo Windows che protegge i singoli file. Questa esercitazione spiega come accedere e ripristinare i file crittografati con EFS in una nuova posizione in modo sicuro e verificabile.

Che cos’è l’EFS?

EFS cripta i file utilizzando una chiave protetta da un certificato associato a uno specifico account utente. Senza l’account e il certificato corrispondente, i file crittografati non possono essere letti. Questo è diverso da BitLocker, lo strumento integrato di Windows utilizzato per crittografare intere unità. EFS è compatibile solo con le edizioni Windows Server, enterprise, educational e professional, che utilizzano dispositivi di archiviazione formattati con NTFS.

Spesso gli amministratori IT devono ripristinare i file crittografati con EFS su nuove macchine o renderli accessibili a utenti diversi da quello che li ha originariamente crittografati.

Perché è importante non spostare i file crittografati con EFS in una partizione non NTFS?

EFS è supportato solo sulle unità formattate con NTFS. Se li sposti/copi su un’altra unità non formattata con NTFS, perderanno la loro crittografia. Questo può avere implicazioni sulla conformità se sei obbligato a proteggere i dati sensibili mantenendoli crittografati.

Come recuperare i file crittografati con EFS

I file crittografati con EFS possono essere recuperati solo utilizzando il certificato dell’utente che li ha crittografati o di un agente di recupero dati (DRA), ovvero un utente in grado di decifrare i dati crittografati da altri utenti. Il mantenimento degli utenti DRA è essenziale in azienda, nel caso in cui il certificato originale venga perso o cancellato.

La cosa fondamentale da ricordare quando si spostano dati crittografati è assicurarsi che siano leggibili sulla destinazione prima di rimuoverli dall’origine.

Cosa serve per ripristinare i file crittografati con EFS in modo sicuro e verificabile

Per recuperare i file crittografati con EFS è necessario quanto segue:

• Autorizzazione ad accedere ai dati protetti (da parte del proprietario o come risultato di un criterio definito, ad esempio un piano d’azione per il recupero dei dati)
• Il certificato EFS/chiave privata dell’utente o una chiave EFS Recovery Agent configurata (di solito si tratta di un file .PFX con una password)
• Privilegi di amministratore sui computer di origine e di destinazione, oltre a un file di prova per la convalida
• Strumenti di copia EFS-aware (ad esempio, robocopy) e accesso alla riga di comando (PowerShell/CLI)

È fondamentale mantenere i backup di tutti i dati crittografati con EFS, nonché i certificati che possono essere utilizzati per ripristinarli.

Fase 1: Identificare i file da recuperare e decidere se conservare la crittografia

Decidi se mantenere i file crittografati durante l’intero processo: puoi spostare i file e poi importare il certificato necessario per l’accesso del nuovo utente, oppure decifrarli e poi crittografarli nuovamente nel luogo di destinazione. Ciò dipende dall’ambiente operativo: se esiste un modo sicuro per trasferire il file non crittografato nella nuova posizione, se è necessario crittografarlo nuovamente e se la conformità richiede che rimanga crittografato durante l’intero processo di recupero/ripristino.

Puoi vedere chi ha accesso a un file o a una cartella crittografata con EFS:

• Fai clic con il tasto destro del mouse sul file o sulla cartella e poi su Proprietà
• Fai clic su Avanzate… nella scheda Generale
• Fai clic su Dettagli sotto la sezione Attributi di compressione o crittografia (Crittografa contenuto per la protezione dei dati deve essere stato precedentemente selezionato)
• Visualizza l’elenco degli utenti e delle impronte digitali dei certificati

Fase 2: Esportazione/importazione di certificati e chiavi EFS e convalida del ripristino EFS

Per ripristinare i file crittografati con EFS, devi identificare chi possiede il file, chi deve accedervi e se è necessario un DRA. Quindi, puoi esportare il file .PFX richiesto per l’utente che dovrà accedere al file in futuro.

Esporta il certificato EFS e la chiave privata di un utente utilizzando i seguenti passaggi:

• Apri la console MMC dei certificati come utente che ha eseguito la crittografia eseguendo certmgr.msc dalla finestra di dialogo Esegui
• Vai su Certificati (utente corrente)\Personali\Certificati nella struttura di navigazione

• Fai clic con il tasto destro del mouse sul certificato pertinente (che avrà il valore Scopi previsti di File di sistema di crittografia) e clicca su Tutte le attività> Esporta
• Nella procedura guidata di esportazione del certificato, seleziona Sì, esporta la chiave privata

• Quindi, seleziona il formato . PFX come Formato del file di esportazione e seleziona Includi tutti i certificati nel percorso di certificazione, se possibile

• Quindi, crea una password per il file .PFX, in modo da proteggerlo in caso di smarrimento

• Digita o sfoglia il nome del file per il certificato esportato

• Fai clic su Fine per completare il processo

Importa il certificato e la chiave privata sull’account utente e sul dispositivo di destinazione utilizzando i seguenti passaggi:

• Fai doppio clic sul certificato esportato dai passaggi precedenti
• Seleziona il percorso archivio come utente corrente

• Conferma il nome del file del certificato da importare
• Ineserisci la password del certificato esportato, come impostato nei passaggi precedenti

• Lascia attivata l’opzione per la selezione automatica dell’archivio dei certificati, completa la procedura guidata e termina il processo di importazione

Quindi, è necessario verificare che sia possibile decifrare un file di esempio che è stato crittografato con EFS dall’utente originale. Puoi aprire il file o utilizzare il comando cipher /c encrypted_file_path per confermare i certificati che possono essere utilizzati per decifrare.

Fase 3: Esportazione/backup della chiave dell’agente di recupero (se applicabile)

Se sei in un ambiente aziendale, considera la creazione di un DRA per le future attività di ripristino EFS. Se il DRA è locale al dispositivo che utilizza EFS, esporta le sue chiavi al posto dei proprietari o in aggiunta ad essi. Assicurati che le chiavi DRA siano protette: conservale in un luogo sicuro e non trasferirle in chiaro.

Fase 4: Trasferire i dati in modo sicuro

Per ripristinare o spostare con successo i file protetti da EFS, è necessario utilizzare un metodo di copia dei file che supporti EFS. RoboCopy è un’opzione popolare per questo scopo.

Se il trasferimento avviene verso una destinazione non NTFS, potrebbe essere necessario decifrare prima i dati usando il comando cipher /d /s:directory_path e ricifrarli usando una soluzione compatibile una volta trasferita la copia decifrata. Devi proteggere i dati in transito e a riposo, soprattutto se vengono decifrati in qualsiasi fase.

Fase 5: Fissare la proprietà e l’accesso

Ora che il certificato/chiave privata e i file crittografati con EFS sono stati trasferiti e i file sono accessibili sulla destinazione, puoi ridefinire i controlli di accesso, se necessario, per garantire che solo gli utenti autorizzati possano accedere ai dati ripristinati.

Passo 6: Convalidare la funzionalità e l’indicizzazione

Una volta ripristinati con successo i dati crittografati con EFS in una nuova posizione, verifica che gli utenti previsti possano accedere a tutti i file. Di solito è sufficiente un controllo a campione. Puoi anche usare il comando cipher /c per mostrare il thumbprint del certificato previsto per un file e verificare che il certificato corretto abbia accesso.

Se i file devono essere ricercabili (e questo rientra nella conformità e nei criteri), seleziona la casella Consenti ai file di questa cartella di avere il contenuto indicizzato nelle proprietà del file.

Passo 7: Pulire e documentare per dimostrare la conformità

Una volta completato il recupero, il ripristino o lo spostamento dei file crittografati con EFS, assicurati di ripulire tutti i certificati esportati o altri file di staging non più necessari. Se necessario ai fini della conformità, registra quali dati sono stati spostati e quali account/certificati utente sono stati autorizzati ad accedere alla nuova posizione dei file. Puoi registrare facoltativamente l’impronta digitale per confermare il certificato specifico utilizzato.

Questi dettagli possono essere memorizzati nella piattaforma di documentazione.

NinjaOne fornisce una supervisione end-to-end delle misure di protezione dei dati e ne centralizza la gestione

La protezione dei dati sensibili – per la continuità aziendale, per mantenere i dati proprietari all’interno dell’azienda e per rimanere conformi alle leggi sulla privacy – è un ruolo chiave per gli amministratori IT e i fornitori di servizi gestiti (MSP), dove un fallimento può avere gravi ripercussioni sull’azienda.

NinjaOne offre una suite unificata di strumenti di amministrazione e gestione IT, tra cui monitoraggio e gestione remota (RMM), gestione dei dispositivi mobili (MDM), backup, accesso remoto, helpdesk e altro ancora. Tutti questi strumenti sono strettamente integrati e automatizzabili e possono aiutarti a garantire la crittografia end-to-end di dispositivi e dati. Se richiedi EFS, puoi eseguire lo scripting dei flussi di lavoro per ripristinare, convalidare e spostare i dati in modo sicuro, applicare ACL e generare report per le verifiche di conformità. NinjaOne supporta Windows, macOS e Linux, per cui puoi distribuire strumenti di protezione dei dati multipiattaforma e applicare i criteri in tutti gli ambienti.