Qual é a diferença entre o BitLocker e o EFS (sistema de arquivos com criptografia) no Windows?
O Windows 10, 8.1, 8 e 7 incluem criptografia de unidade de disco BitLocker, mas essa não é a única solução de criptografia oferecida. O Windows também inclui um método de criptografia denominado “sistema de arquivos de criptografia” ou EFS. Veja como isso difere do BitLocker.
Isso está disponível apenas nas edições Professional e Enterprise do Windows. As edições domésticas só podem usar o recurso de "criptografia de dispositivo" mais restrito e somente se for um PC moderno fornecido com criptografia de dispositivo ativada.
O BitLocker é criptografia de disco cheio
O BitLocker é uma solução de criptografia de disco completo que criptografa um volume inteiro. Ao configurar o BitLocker, você estará criptografando uma partição inteira - como a partição do sistema Windows, outra partição em uma unidade interna ou até mesmo uma partição em uma unidade flash USB ou outra mídia externa.
É possível criptografar apenas alguns arquivos com o BitLocker criando um arquivo de contêiner criptografado. No entanto, esse arquivo contêiner é essencialmente uma imagem de disco virtual, e o BitLocker funciona tratando-o como uma unidade e criptografando a coisa inteira.
Se você for criptografar seu disco rígido para impedir que dados confidenciais caiam nas mãos erradas, especialmente se o seu laptop for roubado, o BitLocker é o caminho certo. Ele irá criptografar toda a unidade e você não terá que pensar sobre quais arquivos estão criptografados e quais não estão. Todo o sistema será criptografado.
Isso não depende de contas de usuário. Quando um administrador habilita o BitLocker, cada conta de usuário no PC terá seus arquivos criptografados. O BitLocker usa o hardware do módulo de plataforma confiável - ou TPM - do computador.
Embora a “criptografia de unidade” seja mais limitada no Windows 10 e 8.1, ela funciona de maneira semelhante nos PCs em que ela está disponível. Ele criptografa a unidade inteira em vez de arquivos individuais.
O EFS criptografa arquivos individuais
EFS - o “sistema de arquivos criptografados” - funciona de maneira diferente. Em vez de criptografar toda a sua unidade, você usa o EFS para criptografar arquivos e diretórios individuais, um por um. Onde o BitLocker é um sistema “configure e esqueça”, o EFS requer que você selecione manualmente os arquivos que deseja criptografar e altere essa configuração.
Você faz isso na janela do Explorador de Arquivos. Selecione uma pasta ou arquivos individuais, abra a janela Propriedades, clique no botão "Avançado" em Atributos e ative a opção "Criptografar o conteúdo para proteger os dados".
Essa criptografia é por usuário. Os arquivos criptografados só podem ser acessados pela conta de usuário específica que os criptografou. A criptografia é transparente. Se a conta de usuário que criptografou os arquivos estiver conectada, eles poderão acessar os arquivos sem nenhuma autenticação adicional. Se outra conta de usuário estiver conectada, os arquivos não estarão acessíveis.
A chave de criptografia é armazenada no próprio sistema operacional em vez de usar o hardware TPM de um computador, e é possível que um invasor possa extraí-lo. Não há criptografia de unidade completa protegendo esses arquivos de sistema em particular, a menos que você também ative o BitLocker.
Também é possível que os arquivos criptografados possam “vazar” para áreas não criptografadas. Por exemplo, se um programa criar um arquivo de cache temporário após abrir um documento criptografado com EFS com informações financeiras confidenciais, esse arquivo de cache e seus dados confidenciais serão armazenados sem criptografia em uma pasta diferente..
Onde o BitLocker é essencialmente um recurso do Windows que pode criptografar uma unidade inteira, o EFS aproveita os recursos do próprio sistema de arquivos NTFS.
Por que você deve usar o BitLocker e não o EFS
Na verdade, é possível usar o BitLocker e o EFS de uma só vez, já que são camadas diferentes de criptografia. Você pode criptografar toda a sua unidade e, mesmo depois disso, os usuários do Windows poderão ativar o atributo "Criptografar" para arquivos e pastas. No entanto, não há realmente muita razão para fazê-lo.
Se você quiser criptografia, é melhor ir para a criptografia de disco completo na forma de BitLocker. Não é apenas uma solução “configure e esqueça” que você pode ativar uma vez e esquecer, também é mais seguro.
Tendemos a encobrir o EFS ao escrever sobre criptografia no Windows e, muitas vezes, mencionar apenas o BitLocker como a solução da Microsoft para criptografia no Windows. Há uma razão para isso. A criptografia de disco completo do BitLocker é superior ao EFS, e você deve usar o BitLocker se precisar de criptografia.
Então, por que o EFS existe mesmo? Um dos motivos é que é um recurso antigo do Windows. O BitLocker foi apresentado junto com o Windows Vista. O EFS foi introduzido no Windows 2000.
Em determinado momento, o BitLocker pode ter diminuído o desempenho geral do sistema operacional, enquanto o EFS teria sido um pouco mais leve. Mas, com hardware razoavelmente moderno, esse não deveria ser o caso.
Basta usar o BitLocker e esquecer que o Windows oferece o EFS. É menos complicado de usar e é mais seguro.