ECSS - Modulo 11
Protecao de dados com NTFS, EFS, BitLocker e backup
O aluno vai classificar dados, aplicar permissoes, criptografar arquivos e proteger um disco virtual pequeno com BitLocker. O lab evita maquinas extras para reduzir custo.
Resumo
- Duracao
- 45 a 60 min
- VM principal
- Windows 11
- Opcional
- Windows Server
- Disco virtual
- 1 GB dinamico
- Custo extra
- Nenhum
Objetivos do lab
- Classificar arquivos por sensibilidade.
- Visualizar e alterar permissoes NTFS de uma pasta de teste.
- Aplicar EFS em arquivos confidenciais.
- Criar um VHDX pequeno e protege-lo com BitLocker.
- Gerar backup compactado e restaurar os arquivos.
- Discutir risco de perda de chaves, senhas fracas e backup sem protecao.
Importante
Execute tudo somente em C:\ECSS-M11. Nao aplique comandos de permissao em pastas do sistema,
perfil do usuario ou diretorios do dominio. Para BitLocker, use PowerShell como administrador.
1. Criar estrutura e classificar os dados
Crie uma estrutura simples separando arquivos publicos, internos e confidenciais.
New-Item -ItemType Directory -Path C:\ECSS-M11\Publico,C:\ECSS-M11\Interno,C:\ECSS-M11\Confidencial,C:\ECSS-M11\Backup -Force | Out-Null
"Informacao publica" | Out-File C:\ECSS-M11\Publico\readme.txt -Encoding utf8
"Procedimento interno" | Out-File C:\ECSS-M11\Interno\procedimento.txt -Encoding utf8
"Dados confidenciais do laboratorio" | Out-File C:\ECSS-M11\Confidencial\dados.txt -Encoding utf8
Get-ChildItem C:\ECSS-M11 -Recurse2. Examinar permissoes NTFS atuais
Antes de alterar qualquer permissao, veja a ACL da pasta confidencial.
Get-Acl C:\ECSS-M11\Confidencial | Format-List
icacls C:\ECSS-M11\ConfidencialAnote: quais usuarios ou grupos aparecem com permissao na pasta?
3. Restringir acesso a pasta confidencial
Remova heranca e permita acesso total apenas ao usuario atual e aos administradores locais.
$currentUser = "$env:USERDOMAIN\$env:USERNAME"
icacls C:\ECSS-M11\Confidencial /inheritance:r
icacls C:\ECSS-M11\Confidencial /grant:r "${currentUser}:(OI)(CI)F" "Administrators:(OI)(CI)F"
icacls C:\ECSS-M11\ConfidencialResultado esperado: a pasta confidencial deixa de herdar permissoes amplas.
4. Ativar EFS na pasta confidencial
Use EFS para criptografar os arquivos da pasta confidencial com a identidade do usuario atual.
cipher /E C:\ECSS-M11\Confidencial
cipher /C C:\ECSS-M11\Confidencial\dados.txtSe o ambiente bloquear EFS por politica, registre a mensagem de erro. Isso tambem e uma evidencia de controle.
Opcional: para listar certificados EFS do usuario, execute:
Get-ChildItem Cert:\CurrentUser\My | Where-Object { $_.EnhancedKeyUsageList.FriendlyName -contains "Encrypting File System" } | Select-Object Subject,Thumbprint,NotAfter5. Criar um disco virtual pequeno para simular midia removivel
Crie um VHDX dinamico de 1 GB e monte-o como unidade S:.
'create vdisk file=C:\ECSS-M11\bitlocker-lab.vhdx maximum=1024 type=expandable' | Set-Content C:\ECSS-M11\create-vhd.txt -Encoding ASCII
'select vdisk file=C:\ECSS-M11\bitlocker-lab.vhdx' | Add-Content C:\ECSS-M11\create-vhd.txt -Encoding ASCII
'attach vdisk' | Add-Content C:\ECSS-M11\create-vhd.txt -Encoding ASCII
'create partition primary' | Add-Content C:\ECSS-M11\create-vhd.txt -Encoding ASCII
'format fs=ntfs quick label=ECSSDATA' | Add-Content C:\ECSS-M11\create-vhd.txt -Encoding ASCII
'assign letter=S' | Add-Content C:\ECSS-M11\create-vhd.txt -Encoding ASCII
'exit' | Add-Content C:\ECSS-M11\create-vhd.txt -Encoding ASCII
diskpart /s C:\ECSS-M11\create-vhd.txt
Get-Volume -DriveLetter SSe a letra S: ja estiver em uso, altere para outra letra livre no arquivo create-vhd.txt.
6. Proteger o disco virtual com BitLocker
Ative BitLocker na unidade S: usando senha de laboratorio.
Enable-BitLocker -MountPoint "S:" -EncryptionMethod XtsAes128 -PasswordProtector -Password (ConvertTo-SecureString 'Pa$$w0rd' -AsPlainText -Force) -UsedSpaceOnly
Get-BitLockerVolume -MountPoint "S:"
manage-bde -status S:Resultado esperado: a unidade aparece protegida ou em processo de criptografia. Em producao, use senha forte e armazene a chave de recuperacao com controle adequado.
7. Copiar dados protegidos para o disco BitLocker
Copie uma evidencia confidencial para a unidade protegida.
Copy-Item C:\ECSS-M11\Confidencial\dados.txt S:\dados-protegidos.txt
Get-ChildItem S:\
Get-FileHash S:\dados-protegidos.txt -Algorithm SHA256Anote: o hash do arquivo copiado para o volume protegido.
8. Criar backup e restaurar arquivo
Simule perda de arquivo e recupere a partir de um backup compactado.
Compress-Archive -Path C:\ECSS-M11\Confidencial -DestinationPath C:\ECSS-M11\Backup\confidencial-backup.zip -Force
Remove-Item C:\ECSS-M11\Confidencial\dados.txt
Expand-Archive C:\ECSS-M11\Backup\confidencial-backup.zip -DestinationPath C:\ECSS-M11\Restore -Force
Get-ChildItem C:\ECSS-M11\Restore -RecurseResultado esperado: o arquivo removido aparece dentro da pasta de restauracao.
9. Encerrar o disco virtual
Ao final, bloqueie e desconecte o VHDX.
manage-bde -lock S: -ForceDismount
'select vdisk file=C:\ECSS-M11\bitlocker-lab.vhdx' | Set-Content C:\ECSS-M11\detach-vhd.txt -Encoding ASCII
'detach vdisk' | Add-Content C:\ECSS-M11\detach-vhd.txt -Encoding ASCII
'exit' | Add-Content C:\ECSS-M11\detach-vhd.txt -Encoding ASCII
diskpart /s C:\ECSS-M11\detach-vhd.txt10. Evidencias para entregar
- Print ou saida do
icaclsda pasta confidencial. - Resultado do
cipher /Cou mensagem de politica que bloqueou EFS. - Status do BitLocker em
S:. - Arquivo restaurado a partir do backup.
- Resposta curta: qual e o risco de perder a chave de recuperacao?
Perguntas de revisao
- Qual e a diferenca entre permissao NTFS e criptografia EFS?
- Por que BitLocker protege melhor midias perdidas ou roubadas?
- Por que backup sem controle de acesso pode virar vazamento de dados?
- Quando a organizacao deve usar criptografia de arquivo, disco inteiro ou ambos?