Come proteggere file con EFS in Windows

Tutte le edizioni di Windows ad eccezione della Home mettono a disposizione strumenti che permettono di proteggere file personali e riservati usando la crittografia.
Il più famoso è senza dubbio BitLocker che però consente di proteggere intere unità di memorizzazione compresa quella dove è installato Windows.

Con BitLocker è possibile fare in modo che tutti i dati siano illeggibili da parte degli utenti non autorizzati e che all’accensione del PC venga richiesto l’inserimento di un PIN: BitLocker, come proteggere i dati su hard disk e SSD e chiedere una password all’avvio per avviare il sistema operativo e accedere ai dati.

Si può anche creare un contenitore crittografato in formato VHDX e proteggerlo con BitLocker. In questo modo la protezione dei file in esso conservati sarà assicurata.

Con BitLocker To Go (anche in Windows 10 Home) si può invece proteggere il contenuto di unità esterne come chiavette USB, hard disk e SSD rimovibili: Chiavetta USB protetta con BitLocker To Go: come funziona.

Ma come fare per proteggere file in Windows senza ricorrere a soluzioni di terze parti?

Proteggere file in Windows con EFS

EFS (Encrypted File System) è un’estensione del file system NTFS (NTFS, trucchi e segreti del file system più usato con Windows) che utilizza la password collegata all’account utente Microsoft o a quello locale per proteggere i file. Per accedere alla cartella l’utente dovrà conoscere le credenziali di accesso usate per accedere al PC.

Per proteggere i file contenuti in una cartella basta aprire una finestra di Esplora file, cliccare sulla cartella con il tasto destro del mouse e scegliere Proprietà. Fare quindi clic sul pulsante Avanzate.

Nella finestra che apparirà, si dovrà selezionare Crittografa contenuto per la protezione dei dati.

Windows suggerirà quindi di creare una copia della chiave crittografica e del certificato digitale utilizzati da EFS per proteggere il contenuto della cartella. È bene procedere in tal senso Esegui il backup adesso.

Alla comparsa della finestra riprodotta in figura si dovrà fare clic su Avanti e indicare una password complessa a protezione di chiave e certificato.

Dopo aver spuntato la casella Password e inserito una password sufficientemente lunga e complessa, si dovrà scegliere AES256-SHA256 in corrispondenza del menu a tendina Crittografia.

Il file con estensione .pfx dovrà essere gelosamente conservato e non sullo stesso PC dove si sta proteggendo la cartella: servirà per recuperarne il contenuto in caso di difficoltà.

Proteggendo una cartella con EFS un utente che non conoscesse la password non potrebbe in alcun modo accedere ai file altrui né da un altro account né, ad esempio, usando un supporto di avvio né, ancora, forzando il cambio della password (ad esempio col trucco visto nell’articolo Password dimenticata Windows 10: esclusivo, come accedere al sistema).

Altri strumenti per proteggere i file sono illustrati nell’articolo Come proteggere file con password in Windows.
Un’ottima alternativa resta infatti la protezione di un insieme di file con l’utilità 7-Zip: basterà selezionarli in Esplora file, cliccarvi con il tasto destro, scegliere 7-Zip, Aggiungi all’archivio, selezionare il formato di compressione 7z, specificare una password sufficientemente lunga e complessa in basso a destra e AES-256 come metodo crittografico.

Attivando anche Crittografa i nomi dei files, con un doppio clic sul file compresso e crittografato soggetti terzi non potranno neppure rendersi conto del contenuto.