Ef s шифрованные. Разница между объективами Canon EF и EF-S. Как включить EFS шифрование каталога в Windows

Предположим, что у вас есть компьютер под управлением Windows самой распоследней версии. Вы на нем играете в игры–стрелялки, пишите свою диссертацию, ведете бухгалтерию ИП по упрощенной системе, да и вообще, развлекаетесь, как можете. Но, вдруг, совершенно необоснованно вы начинаете чувствовать, что что-то извне угрожает безопасности некоторых данных, что хранятся на вашем персональном компьютере. Вы, с горячим взглядом, читаете многочисленные кибер-форумы и с ужасом понимаете, что все ваши данные на жестком диске никак не защищены. И если ваш любимый компьютер похитят, а риск хищения для портативной техники не такой уж и низкий, то злоумышленник сможет добраться до всего содержимого жесткого диска! О, моя бесценная диссертация!

Давайте попробуем разобраться, действительно ли можно получить несанкционированный доступ к файлам, если на компьютере работает операционная система Windows 10. Инженеры IBM, а впоследствии и Microsoft, потратили немало усилий на реализацию системы разделения прав для файловой системы NTFS (в бытность IBM это была HPFS). И если Win10 запущена на компьютере, то получить без разрешения доступ к чужим файлам очень и очень сложно, а в случае блокировки доступа и вовсе нельзя. Windows надежно охраняет файлы пользователей.

Но стоит только загрузиться в другую операционную систему, например, в Linux Mint , то все пользовательские файлы будут как на ладони. Качай что хочешь. А загрузиться в Mint можно хоть с флешки, хоть с CD-ROM, нужно только добраться до UEFI (BIOS) и активировать загрузку со съемных накопителей, если она не была активирована ранее, либо воспользоваться меню загрузки. Предположим, что вы поставили пароль на вход в UEFI и отключили выбор накопителя для загрузки как класс, тогда ваши файлы защищены немного сильнее. А злоумышленник может просто развинтить ваш компьютер, вытащить жесткий диск и подключить его к своему компьютеру, а затем скачать, все, что требуется. Ведь данные в виде файлов будут у него как открытая тетрадь на руках.

Специалисты от IT, знают, что несколько обезопасить данные в своем компьютере можно при помощи технологии BitLocker . BitLocker - штука хорошая, но позволяет шифровать только целиком разделы на дисках, либо физические, либо виртуальные. При этом обеспечивается сохранность ключей, в том числе и с хранением в модулях TPM . Что весьма удобно. Однако, шифрование целиком всего и вся, далеко не всегда удобно, хотя, безусловно, применение полного шифрования диска имеет определенный смысл. А вот про частичное шифрование файлов и каталогов, почему-то все забывают.

В Windows 10, как и в предыдущих ее реинкарнациях, присутствует Шифрованная Файловая Система, что в переводе означает Encrypted File System (EFS). Данная функция доступна начиная с редакции Pro и выше, поэтому если у вас версия Windows Home, то необходимо проапгрейдиться как минимум до Pro. В Wikipedia много написано о том, как и что, шифруется в EFS. Я лишь постараюсь объяснить все как можно проще и приведу самую подробную инструкцию по включению защиты ваших файлов.

Помимо наличия минимума в виде Pro редакции, необходимо чтобы вы работали под пользователем, у которого есть пароль. Пароль должен присутствовать обязательно, пусть это будет привязка к облачному сервису Microsoft, либо же полностью автономный пароль. Входите ли вы в систему по PIN-коду или же с применением рисунка - не важно, важно, что к вашей учетной записи привязан пароль. Помимо наличия пароля в активной учетной записи, необходимо чтобы защищаемые файлы и каталоги размещались на диске или его разделе с файловой системой NTFS. Скорее всего, именно такая файловая система и применяется у вас.

Шифрование данных происходит абсолютно прозрачно для пользователей и для подавляющего большинства программных продуктов, т.к. шифрование происходит на уровне файловой системы NTFS. Зашифровать можно как один файл, так и целую папку сразу. Зашифровать можно как пустую папку, а затем добавить в нее новые файлы и они тоже зашифруются, а можно зашифровать папку уже с файлами и каталогами внутри. Все на ваш выбор.

При работе с зашифрованными папками и файлами стоит учитывать следующее:

1. Файлы зашифрованы до тех пор, пока они не будут перенесены на любую другую файловую системы отличную от NTFS. Например, вы копируете зашифрованный файл на «флешку». Если там FAT32, а скорее всего там именно он, то файл расшифруется. В десятой версии Windows Microsoft все же реализовал функцию, когда файл остается зашифрованным даже если вы его перенесли на флешку с FAT, так что стоит быть бдительным если сливаете какие-то файлы своему другу. Сможет ли он их потом открыть без мата? Если вы отправляете файл по электронной почте - он расшифруется (иначе пропадает смысл его отправке по почте). При передаче файла по сети также произойдет расшифровка.
2. При перемещении между NTFS разделами файл остается зашифрованным. При перемещении файла с одного NTFS диска на другой NTFS диск, файл будет зашифрованным. При копировании файла на жесткий сменный диск с файловой системой NTFS он будет зашифрованным и в новом месте.
3. При насильственной смене пароля учетной записи третьим лицом, например, администратором, либо же насильственная смена пароля привязанной учетной записи домена, либо облачной службы - доступ к файлам без резервного сертификата (формируется при первом шифровании) будет уже невозможен.

Последний пункт весьма важен, особенно лицам с ненадежной памятью, которые постоянно сбрасывают пароли. Тут такой фокус может обернуться навсегда зашифрованными файлами, если, конечно, не импортировать в систему сохраненный сертификат. Тем не менее, когда смена пароля происходит добровольно, например, в соответствии с политикой смены пароля, то безвременная потеря зашифрованных файлов не произойдет.

Скептики вполне справедливо заметят, что подобная защита, впрочем, как и BitLocker, не является супернадежной, дескать, хакеры могут подобрать пароль, если он слабый, да и спецслужбы все расшифруют. Действительно, ваш пароль могут банально подобрать, если он короток, да прост. А спецслужбы на то они и спецслужбы, чтобы иметь техническую возможность добраться до содержимого файлов слишком уж мнительных пользователей. Более того, когда вы вошли в систему, вы сразу же получаете прозрачный доступ ко всем вашим зашифрованным при помощи EFS файлам. И если на вашем компьютере завелся троян или вирус, то он совершенно аналогично получит доступ к драгоценным файликам. Компьютерную гигиену стоит соблюдать неукоснительно.

Подробная инструкция по включению шифрования при помощи EFS под Win10 Pro на папке

Ниже я предлагаю пошаговую, точную инструкцию, как зашифровать папку с файлами в ней. Отдельный файл шифруется аналогичным образом.

Шаг 1 . Создаем папку. Пусть она называется «Мои картинки».

Создаем каталог

Шаг 2 . Нажимаем на папке правой кнопкой мышки и в контекстном меню выбираем «Свойства».

Правой кнопкой нажимаем на папке и получаем вот это

Шаг 3 . В меню «Свойства» переходим в расширенные атрибуты папки посредством нажатия кнопки «Другие…».

Свойства папки

Шаг 4 . Ставим галочку в пункте «Шифровать содержимое для защиты данных» и жмем ОК. Если потребуется отменить шифрование, то отжимаем эту же галочку и файл расшифровывается.

В расширенных атрибутах свойств папки

Шаг 5 . Завершаем работу со «Свойства», нажимаем ОК или «Применить».

Шаг 6 . Отвечаем в диалоговом окне, что «применить» к нашей папке и всему ее содержимому.

Выбираем нужный пункт шифрования

На этом наша папка и все ее содержимое зашифровано при помощи EFS. При желании можно проверить, что наша папка и все файлы в ней надежно закрыты от посторонних.

Шаг 7 . Проходим по шагам 1-3 и видим, что галочка «шифровать» активна. А рядом активна кнопка «Подробно». Нажимаем на «подробно».

Проверка того, что зашифровалось

Шаг 8 . В появившемся окне видим, что данный файл имеет всего один сертификат для доступа только одного пользователя, плюс никакие сертификаты по восстановлению доступа не установлены.

Папка зашифрована одним сертификатом

Понять, что конкретный файл зашифрован можно и в Проводнике Windows, на файле появляется значок замочка.

Галерея с зашифрованными картинками. Просмотреть их может только владелец учетной записи.

Значок отображается и на всех других видах файлов и в представлениях проводника. Правда, на некоторых пиктограммах их очень плохо видно и приходится присматриваться.

Та же галерея, только в виде таблицы. Замочки в правом верхнем углу пиктограммы.

После того, как были зашифрованы первые файлы, Windows предлагает сделать копию сертификата. Того самого сертификата, который позволит расшифровать файлы, если вдруг, что-то пойдет не так с вашим компьютером (переустановили систему, сбросили пароль, перекинули диск на другой компьютер и т.п.).

Шаг 9 . Для сохранения резервного сертификата восстановления следует нажать на пиктограмму архивации ключа.

Значок в трее призывающий к архивации резервного сертификата для восстановления шифрования

Шаг 10 . В появившемся окне выбрать «Архивировать сейчас».

Выбор когда архивировать

Шаг 11 . В диалоговом окне мастера активации нажать «Далее».

Окно мастера экспорта сертификатов

Шаг 12 . Если вы используете только шифрование EFS, то можно оставить значения по умолчанию. И нажать на «Далее».

Настройки экспорта резервного сертификата

Шаг 13 . Экспортируемый сертификат имеет смысл защитить паролем. Вводим пароль, может быть любым, не обязательно от вашей почты или для входа в Windows. И жмем «Далее».

Вводим пароль для дополнительной защиты сертификата восстановления

Шаг 15 . Подтверждаем результат нажатием на ОК.

Завершаем работу мастера экспорта

И собственно на этом все. Выгруженный сертификат стоит переписать в надежное место. Например, на дискету, флешку, в защищенное облако. Оставлять сертификат восстановления на компьютере - плохая затея, поэтому после сохранения его в «надежном месте» файл с компьютера удаляем, а заодно очищаем корзину.

Кстати, шифровать можно и каталоги, в которые синхронизируются облачные файлы на вашем компьютере, например, OneDrive, DropBox, Yandex Disk и многие другие. Если требуется зашифровать такую папку, то для начала следует выключить приложение синхронизации с облаком, либо поставить синхронизацию на паузу. Так же стоит закрыть все открытые файлы в каталоге, который будет подвержен шифрованию, например, закрыть Word, Excel или другие программы. После этого можно включить шифрование на выбранной папке. Когда процедура шифрования завершится, позволительно включить синхронизацию заново. В противном случае, шифрование может затронуть не все файлы в папке, т.к. встроенная система может зашифровать только файлы, доступные на запись. Да, при синхронизации в облако файлы будут расшифровываться и в облаке они будут уже незашифрованными.

Перед началом шифрования необходимо выйти из OneDrive

Настало время проверить, насколько хорошо работает шифрование EFS. Я создал файл с текстом в зашифрованном каталоге. А затем загрузился в Linux Mint с флешки. Данная версия Linux может спокойно работать с жесткими дисками в формате NTFS, поэтому добраться до содержимого моего жесткого диска не составило труда.

Создаем файл с текстом в зашифрованной папке.

Однако при попытке открыть файлы с зашифрованной папки меня ждало разочарование. Ни один файл так и не удалось открыть. Просмотрщики Linux Mint с отвагой сообщали, что доступа к указанным файлам у них нет. А вот все остальные открывались без сучка и задоринки.

Зашифрованные файлы в Win10 из Mint видно, но открыть их нельзя.

«Ага!» - сказали суровые сибирские мужики. А ведь если записать на флешку файлик зашифрованный, то он останется зашифрованным, наверное. А затем перенести его на другой компьютер, под другую операционную систему, то вдруг он откроется? Нет, не откроется. Вернее откроется, но его содержимое будет полностью нечитабельным. Зашифровано же.

Попытка открыть зашифрованный файл с текстом, записанный на флешку.

В целом, пользоваться EFS можно, а в некоторых случаях даже нужно. Поэтому если вы работаете под Windows 10 начиная с редакции Pro и выше, оцените риски доступа к вашему ПК или ноутбуку посторонних и смогут ли они получить ваши конфиденциальные файлы. Может быть, что-то стоит уже зашифровать сегодня?

Microsoft Windows XP и шифрованная файловая система (EFS) дает возможность хранить данные на диске в зашифрованном формате, однако при переустановке системы или удалении учетной записи пользователя его зашифрованные данные будут безвозвратно утеряны, если не позаботиться о сохранении сертификата и ключей, создании учетной записи агента восстановления .

Шифрованная файловая система EFS используется для хранения шифрованных файлов на томах файловой системы NTFS 5.0. После того как файл или папка зашифрованы, с ними можно работать так же, как и с другими файлами или папками, т.е. шифрование прозрачно для пользователя, зашифровавшего файл. Это означает, что перед использованием файл не нужно расшифровывать. Можно, как обычно, открыть файл и изменить его.

Работа с EFS аналогична использованию разрешений для файлов и папок. Задача обоих методов — ограничение доступа к данным. Однако разрешения для файлов и папок не защитят вас, если злоумышленник получит физический доступ к вашим данным, например, подключит ваш жесткий диск к другому компьютеру или загрузится с помощью другой операционной системы, имеющей доступ к томам NTFS. При попытке же открыть или скопировать зашифрованный файл или папку он получит исчерпывающий ответ: «Нет доступа».

Шифрование и расшифровывание файлов выполняется путем установки атрибута файла или папки Свойства папки или файла > Общие > Другие > Шифровать содержимое для защиты данных (рис. 1).

Как только мы зашифруем какую-нибудь папку или файл, Windows создаст для нас сертификат и связанную с ним пару ключей (открытый и секретный ключ), на основании которых будет происходить шифрование и дешифрование файлов. Сертификат — цифровой документ, используемый для проверки подлинности и безопасной передачи данных в общедоступных сетях (Интернет, Интранет, Экстранет), он связывает открытый ключ с объектом, содержащим соответствующий закрытый ключ.

Наша задача — провести резервное копирование ключей. Это можно сделать с помощью оснастки консоли управления Сертификаты . По умолчанию при установке системы она отсутствует, поэтому мы ее добавим, проделав ряд шагов.

Нажмите кнопку Пуск , выберите команду Выполнить , введите mmc и нажмите кнопку OK . В меню Консоль выберите команду Добавить или удалить оснастку и нажмите кнопку Добавить. В поле Оснастка дважды щелкните Сертификаты . Далее установите флажок Моей учетной записи пользователя и нажмите кнопку Готово . В меню Консоль > Параметры установите режим консоли Пользовательский — огр. доступ, одно окно , нажмите Применить. Теперь консоль готова к работе (рис. 2).

Если вы уже зашифровали какой-нибудь файл или папку, то в Корень консоли > Сертификаты-текущий пользователь > Личные >Сертификаты вы должны увидеть сертификат, который связан с секретным ключом и который нам нужно экспортировать в файл. Перейдем к нему и вызовем контекстное меню, выберем Все задачи , а потом Экспорт . На предложение Экспортировать закрытый ключ вместе с сертификатом ответим «Да », формат файла оставим без изменений, введем пароль, знание которого нам будет нужно для обратной процедуры — импорта сертификата. Полученный файл с расширением.pfx необходимо спрятать, так как любой пользователь, который импортирует данный сертификат для своей учетной записи, получит доступ к вашим файлам, конечно, если узнает или угадает пароль, необходимый для импорта сертификата.

Рекомендуется использовать шифрование на уровне папки. Если шифруется папка, все файлы и подпапки, созданные в зашифрованной директории, автоматически шифруются. Эта процедура позволяет создавать зашифрованные файлы, данные которых никогда не появятся на диске в виде обычного текста — даже временные файлы, создаваемые программами в процессе редактирования, также будут зашифрованы.

При работе с зашифрованными файлами и папками следует учитывать ряд моментов.

Могут быть зашифрованы только файлы и папки, находящиеся на томах NTFS. Сжатые файлы и папки не могут быть зашифрованы. Если шифрование выполняется для сжатого файла или папки, файл или папка преобразуются к состоянию без сжатия.

Зашифрованные файлы могут стать расшифрованными, если файл копируется или перемещается на том, не являющийся томом NTFS. При перемещении незашифрованных файлов в зашифрованную папку они автоматически шифруются в новой папке, однако обратная операция не приведет к автоматической расшифровке файлов, файлы необходимо явно расшифровать. Не могут быть зашифрованы файлы с атрибутом Системный и файлы в системном каталоге. Шифрование папки или файла не защищает их от удаления — любой пользователь, имеющий права на удаление, может удалить зашифрованные папки или файлы. По этой причине рекомендуется использование EFS в комбинации с разрешениями системы NTFS. Могут быть зашифрованы или расшифрованы файлы и папки на удаленном компьютере, для которого разрешено удаленное шифрование. Однако если зашифрованный файл открывается по сети, передаваемые при этом по сети данные не будут зашифрованы. Для шифрования данных, передаваемых по сети, должны использоваться другие протоколы, например SSL/TLS или IPSec.

Теперь давайте рассмотрим процесс шифрования в Microsoft Windows XP на более низком уровне, чтобы обезопасить себя от издержек шифрования, а именно — потери данных.

Для начала вспомним две основные криптографические системы. Наиболее простая — шифрование с использованием секретного (симметричного) ключа, т.е. для шифровки и расшифровки данных используется один и тот же ключ. Преимущества: высокая скорость шифрования; недостатки: проблема передачи секретного ключа, а именно возможность его перехвата. Представители: DES, 3DES, DESX, AES. Отличие шифрования с открытым ключом (асимметричное шифрование) заключается в том, что данные шифруются одним ключом, а расшифровываются другим, с помощью одного и того же ключа нельзя осуществить обратное преобразование. Эта технология шифрования предполагает, что каждый пользователь имеет в своем распоряжении пару ключей — открытый ключ (public key) и личный или закрытый ключ (private key). Таким образом, свободно распространяя открытый ключ, вы предоставляете другим пользователям возможность шифровать свои сообщения, направленные вам, которые сможете расшифровать только вы. Если открытый ключ и попадет в «плохие руки», то он не даст возможности определить секретный ключ и расшифровать данные. Отсюда и основное преимущество систем с открытым ключом: не нужно передавать секретный ключ, однако есть и недостаток — низкая скорость шифрования. Представители: RSA, алгоритм Эль-Гамаля, алгоритм Диффи-Хелмана.

В EFS для шифрования используются все преимущества вышеперечисленных систем. Данные шифруются с помощью симметричного алгоритма с применением ключа шифрования файла (File Encryption Key, FEK). FEK — сгенерированный EFS случайным образом ключ. На следующем этапе FEK шифруется с помощью открытого ключа пользователя и сохраняется в пределах атрибута, называемого полем расшифровки данных (Data Decryption Field, DDF) непосредственно внутри самого файла. Кроме того, EFS шифрует FEK, используя открытый ключ агента восстановления, и помещает его в атрибут Data Recovery Field — DRF. DRF может содержать данные для множества агентов восстановления.

Кто же такой этот загадочный агент восстановления? Агент восстановления данных (Data Recovery Agent, DRA) — пользователь, который имеет доступ ко всем зашифрованным данным других пользователей. Это актуально в случае утраты пользователями ключей или других непредвиденных ситуациях. Агентом восстановления данных назначается обычно администратор. Для создания агента восстановления нужно сначала создать сертификат восстановления данных и определить политику восстановления, а затем назначить одного из пользователей таким агентом. Политика восстановления играет важную роль в системе шифрования Windows XP, она определяет агентов восстановления, а их отсутствие или удаление политики вообще запрещает использование пользователями шифрования.

Чтобы настроить политику восстановления, необходимо запустить консоль Пуск > Настройка > Панель управления > Администрирование >Локальная политика безопасности , в которой перейти к пункту Политики открытого ключа > Файловые системы EFS (рис. 3). По умолчанию политика восстановления такова, что права агента восстановления принадлежат администратору. Если сертификат агента восстановления по умолчанию удален, а другого агента в политике нет, компьютер будет иметь пустую политику восстановления. Пустая политика восстановления означает, что агента восстановления не существует. Это отключает EFS, следовательно, запрещает пользователям шифровать файлы на этом компьютере. Мы можем создать учетную запись администратора с помощью агента восстановления и провести для надежности операцию экспорта его ключа, а можем создать новый сертификат восстановления и назначить другого пользователя в качестве агента.

Чтобы создать сертификат восстановления, необходимо воспользоваться утилитой командной строки cipher, которая предназначена для управления шифрованием (подробную информацию об этой утилите можно прочитать в справке операционной системы). Нужно войти в систему с полномочиями администратора, ввести в командной строке:

cipher /R: имя файла сертификата

Далее введите пароль, который понадобится в случае импортирования. Файлы сертификата имеют расширение.pfx (содержит сертификат и связанный с ним открытый и закрытый ключ) или.cer (сертификат и связанный с ним открытый ключ) и указанное вами имя. Эти файлы позволяют любому пользователю системы стать агентом восстановления, поэтому наша задача — сохранить их в надежном месте, а главное, не забыть добавить сертификат агента восстановления в политику открытого ключа.

Чтобы создать этого самого агента, необходимо проделать следующие шаги: войти в систему под учетной записью, которая должна стать агентом восстановления данных; в консоли Сертификаты перейдите в раздел Сертификаты - Текущий пользователь > Личные > Сертификаты ; далее Действие >Все задачи > Импорт для запуска мастера импорта сертификатов , затем проведите импорт сертификата восстановления. Причем учтите: чтобы расшифровывать файлы, необходимо импортировать закрытый ключ, поэтому при выборе файла для импорта используйте файл .pfx .

Часто недостатком шифрования с помощью EFS считают невозможность транспортировки зашифрованных данных, т.е. записать данные на «болванку», не потеряв их секретность, не удастся. Но это не совсем так — действительно, просто записать их нельзя, но можно воспользоваться программой архивации для Windows XP — NTBackup , в этом случае данные будут скопированы на указанный носитель без дешифрования, причем носитель может не поддерживать NTFS 5.0. После восстановления зашифрованные данные остаются в зашифрованном виде.

И еще несколько советов. Всегда включайте шифрование для папок, так как это защитит временные файлы. Экспортируйте закрытый ключ учетной записи агента восстановления, сохраните его в надежном месте, после чего удалите с компьютера. При смене политик восстановления не спешите удалять старые сертификаты, пока не будете уверены, что все файлы, зашифрованные с помощью этих сертификатов, не будут обновлены.

Помните: «неправильное» шифрование может принести больше вреда, чем пользы!

Шифрованная файловая система (EFS) – это мощная опция для защиты данных, которые хранятся на компьютерах Windows. EFS бесплатна и включается в каждую ОС, начиная с Windows 2000. Повсюду наблюдаются усовершенствования технологии, и EFS в этом смысле не является исключением. С развитием технологии стало значительно проще использовать EFS для большей части среды хранения данных. Однако вам не везде может понадобиться EFS, поэтому вам необходимо сузить границы и контроль до тех рамок, в которых такая файловая система может использоваться. Таким образом, будет отличной идеей воспользоваться преимуществом групповой политики для управления EFS.

Две стадии управления EFS

EFS имеет два уровня настройки. Первый уровень установлен на компьютерном уровне, который определяет, будет ли поддерживаться эта файловая система, и будет ли она доступна. Второй уровень – это уровень папок и файлов, этот уровень выполняет шифрование данных.

Windows 2000 (Server и Professional), Windows XP Professional, Windows Server 2003, Windows Vista и Windows Server 2008 все поддерживают шифрование данных, расположенных на компьютере. По умолчанию все эти компьютеры поддерживают шифрование данных, используя EFS. Конечно, это может быть и отрицательной характеристикой, поскольку некоторые данные или некоторые компьютеры не должны шифровать данные из-за логистики.

Логистика, о которой я говорю здесь, представляет собой разрешение пользователям шифровать данные. Поскольку все компьютеры поддерживают шифрование данных по умолчанию, и каждый пользователь может их зашифровать, данные могут быть зашифрованы на локальном компьютере, равно как и данные, совместно использующиеся в сети. На рисунке 1 показаны опции, при которых данные могут быть зашифрованы на компьютере Windows XP Professional.

Рисунок 1: Шифрование данных – это их свойство

Чтобы получить доступ к опции шифрования, как показано на рисунке 1, вам нужно лишь выбрать свойства файла или папки, которую вы хотите зашифровать путем нажатия правой клавишей и вызова контекстного меню «Свойства» шифруемого объекта. Затем нажать кнопку «Дополнительно» в диалоговом окне свойств, которое в свою очередь покажет диалоговое окно «Дополнительные атрибуты».

Контролирование поддержки EFS для компьютеров домена Active Directory

Когда компьютер присоединяется к домену Active Directory, на нем больше невозможно контролировать опцию поддержки EFS. Вместо этого данную возможность контролирует политика домена по умолчанию, хранящаяся в Active Directory. Все компьютеры, входящие в состав домена Windows Active Directory поддерживают EFS, просто входя в его состав.

Следует учесть, что домены Windows 2000 управляют этой конфигурацией в стандартной политике домена не так, как домены Windows Server 2003 и Windows Server 2008.

Контроль домена Windows 2000 над EFS

Компьютеры Windows 2000 имеют немного другую поддержку EFS, чем более поздние ОС, поэтому настройка для EFS в них отличается в стандартной политике доменов. Для Windows 2000, активация и отключение EFS основывается на сертификате агента EFS восстановления данных, включенном в стандартную политику доменов. По умолчанию, учетная запись администратора имеет такой сертификат и настраивается в качестве агента восстановления данных. Если сертификат восстановления данных отсутствует, EFS не работает.

Чтобы получить доступ к этой настройке в стандартной политике доменов, следуйте указанному пути при редактировании GPO в редакторе групповой политики:

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики публичных ключей\Агенты восстановления зашифрованных данных

В этом месте вы увидите сертификат шифрования файлов EFS для администратора, как показано на рисунке 2.

Рисунок 2: Домены Windows 2000 отображают сертификат шифрования файлов EFS в виде имени пользователя, например «Администратор»

Эта настройка является тем, что предоставляет всем компьютерам возможность шифровать файлы. Чтобы отключить эту возможность, вам нужно просто удалить сертификацию администратора из объекта GPO. Если вы затем решите включить такую возможность на ограниченном количестве компьютеров в Active Directory, вам нужно будет следовать этим шагам:

1. Создайте новый GPO и свяжите его с организационной единицей, содержащей все компьютеры, которым нужна поддержка шифрования файлов.
2. Войдите во вкладку «Агенты восстановления зашифрованных файлов» в GPO и добавьте сертификат, который поддерживает EFS восстановление данных.

Это предоставит компьютерам, на которые распространяется GPO, возможность использования EFS для данных, хранящихся на этих компьютерах.

Контроль доменов Windows 2003 и 2008 над EFS

Более новые домены и ОС (все, которые вышли после Windows 2000) поддерживают EFS примерно так же, но имеют свои специфические отличия.

1. Для шифрования данных на компьютерах позже Windows 2000 не требуется никаких агентов восстановления данных.
2. EFS не контролируется посредством включения сертификата агента восстановления данных в GPO.
3. EFS поддерживает доступ нескольких пользователей к зашифрованным файлам.

Таким образом, для доменов Windows 2003 и 2008 вам понадобится другой набор заданий, чтобы контролировать EFS на компьютерах, входящих в такие домены. Однако настройка все еще находится в стандартной политике доменов. Здесь вам понадобится следующий путь:

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики публичных ключей\Шифрованная файловая система

Теперь, вместо преобразования агента восстановления данных, вам нужно правой клавишей нажать по вкладке EFS. Из появившегося меню опций выберите «Свойства». Здесь вы увидите строку на вашем домене Windows 2003, которая гласит "Разрешить пользователям шифровать файлы, используя Encrypting File System (EFS)". Домены Windows Server 2008 радикально поменяли интерфейс, обеспечивая многогранную поддержку EFS на этой странице свойств, как показано на рисунке 3.

Рисунок 3: Windows Server 2008 обеспечивает многогранный контроль над EFS

Обратите внимание, что на вкладке «Общие» есть противоположенная кнопка с названием "Не разрешать". Этот параметр может использоваться для отключения поддержки EFS на всех компьютерах домена. Также обратите внимание на то, что в этом диалоговом окне доступно множество других параметров контролирования EFS.

Вы также можете указывать определенные компьютеры в домене, следуя шагам, описанным выше в разделе о домене Windows 2000.

Заключение

EFS является очень мощной и полезной опцией. Она может шифровать данные, хранящиеся на компьютерах Windows. Шифрование поможет защитить данные от пользователей или хакеров, пытающихся получить к ним доступ, но не имеющих возможности расшифровать эти данные. EFS представляет собой процесс из двух шагов, во-первых EFS необходимо активировать на компьютере. Эта опция может контролироваться с помощью групповой политики, либо когда компьютер включается в домен. Администраторы имеют право активировать или отключить EFS на любом компьютере домена с помощью настройки GPO. При отключении EFS для всех компьютеров и последующем создании и настройке нового объекта GPO только определенные компьютеры смогут использовать EFS.

Лабораторная работа

Информатика, кибернетика и программирование

Мои документы которую требуется зашифровать нажмите правую кнопку мыши и выберите в контекстном меню команду Свойства. В появившемся окне свойств на вкладке Общие нажмите кнопку Другие. В группе Атрибуты сжатия и шифрования установите флажок Шифровать содержимое для защиты данных и нажмите кнопку ОК. Нажмите кнопку ОК в окне свойств зашифровываемого файла или папки в появившемся окне диалога укажите режим шифрования: Только к этой папке или К этой папке и всем вложенным папкам и файлам.

Лабораторная работа № 5

Шифрующая файловая система EFS и управление се р тификатами

Цели

• Ознакомиться с возможностями шифрующей файловой системы EFS операционной системы Windows 2000 (ХР) .
• Изучить последовательность операций по шифрованию и расшифровке файлов с помощью шифрующей файловой системы EFS операционной системы Windows 2000 (ХР).
• Приобрести практические навыки по защите информации от несанкционированного доступа.

Краткие теоретические сведения

Шифрующая файловая система EFS позволяет пользователям хранить данные на диске в зашифрованном виде.

Шифрование — это процесс преобразования данных в формат, недоступный для чтения другим пользователям. После того как файл был зашифрован, он автоматически остается зашифрованным в любом месте хранения на диске.

Расшифровка — это процесс преобразования данных из зашифрованной формы в его исходный формат.

При работе шифрующей файловой системой EFS следует учитывать следующие сведения и рекомендации.

1. Могут быть зашифрованы только файлы и папки, находящиеся на томах NTFS.
2. Сжатые файлы и папки не могут быть зашифрованы. Если шифрование выполняется для сжатого файла или папки, файл или папка преобразуются к состоянию без сжатия.
3. Зашифрованные файлы могут стать расшифрованными, если файл копируется или перемещается на том, не являющийся томом NTFS.
4. При перемещении незашифрованных файлов в зашифрованную папку они автоматически шифруются в новой папке. Однако, обратная операция не приведет к автоматической расшифровке файлов. Файлы необходимо явно расшифровать.
5. Не могут быть зашифрованы файлы с атрибутом «Системный» и файлы в структуре папок системный корневой каталог .
6. Шифрование папки или файла не защищает их от удаления. Любой пользователь, имеющий права на удаление, может удалить зашифрованные папки или файлы.
7. Процесс шифрование является прозрачным для пользователя.

Примечание. Прозрачное шифрование означает, что перед использованием файл не нужно расшифровывать. Можно, как обычно, открыть файл и изменить его. В системах прозрачного шифрования (шифрования «на лету») криптографические преобразования осуществляются в режиме реального времени, незаметно для пользователя. Например, пользователь записывает подготовленный в текстовом редакторе документ на защищаемый диск, а система защиты в процессе записи выполняет его шифрование.

Использование EFS сходно с использованием разрешений для файлов и папок. Оба метода используются для ограничения доступа к данным. Но злоумышленник, получивший несанкционированный физический доступ к зашифрованным файлам и папкам, не сможет их прочитать. При его попытке открыть или скопировать зашифрованный файл или папку появиться сообщение, что доступа нет.

Шифрование и расшифровывание файлов выполняется установкой свойств шифрования для папок и файлов, как устанавливаются и другие атрибуты, например «только чтение», «сжатый» или «скрытый». Если шифруется папка, все файлы и подпапки, созданные в зашифрованной папке, автоматически шифруются. Рекомендуется использовать шифрование на уровне папки. Шифрующая файловая система автоматически создает пару ключей шифрования для пользователя, если она отсутствует. Шифрующая файловая система использует алгоритм шифрования Data Encryption Standard (DESX).

Задание:

Включить и отключить шифрование файлов шифрующей файловой системой EFS . Экспортировать сертификат с ключами для расшифровки файлов на другом компьютере.

Алгоритм выполнения работы.

А) Для включения режима шифрования выполните следующие действия.

1. Укажите файл или папку (например, создайте файл шифр. doc в папке Мои документы ), которую требуется зашифровать, нажмите правую кнопку мыши и выберите в контекстном меню команду Свойства.

2. В появившемся окне свойств на вкладке Общие нажмите кнопку Другие . Появится окно диалога Дополнительные атрибуты.

3. В группе установите флажок Шифровать содержимое для защиты данных и нажмите кнопку «ОК».

4. Нажмите кнопку ОК в окне свойств зашифровываемого файла или папки, в появившемся окне диалога укажите режим шифрования:

• Только к этой папке

или

• К этой папке и всем вложенным папкам и файлам.

Внимание! После выполнения этих действий файл с Вашей информацией будет автоматически зашифровываться. Просмотр его на другой ПЭВМ будет невозможен.

Б) Для выключения режима шифрования выполните следующие действия.

1. Выделите файл шифр. doc в папке Мои документы.
   1. Нажмите правую клавишу Мыши и выберите пункт Свойства.
      1. На вкладке Общие нажмите кнопку Другие.
      2. В открывшемся окне диалога в группе Атрибуты сжатия и шифрования сбросьте флажок Шифровать содержимое для защиты данных.

Внимание! После выполнения этих действий файл с Вашей информацией не будет зашифровываться.

В) Создание резервной копии Сертификата средствами Windows 2000 (ХР0.

Резервная копия сертификата необходима для расшифровки данных после переустановки операционной системы или для просмотра заши ф рованной информации на другой ПЭВМ.

Внимание! Перед переустановкой операционной системы обязательно создайте копии Сертификатов, т.к. после п е реустановки Вы не сможете расшифровать инфо р мацию.

Для создания резервной копии сертификата выполните следующие действия:

1. Выберите кнопку Пуск в панели задач.
   1. Перейдите к пункту Выполнить.
      1. В открывшемся окне в поле ввода введите команду mmc.
      2. в результате откроется консоль управления mmc.

Примечание. Консоль MMC - это средство для создания, сохранения и открытия наборов средств администрирования, называемых консолями. Консоли содержат такие элементы как оснастки , расширения оснасток, элементы управления, задачи, мастера и документация, необходимая для управления многими аппаратными, программными и сетевыми компонентами системы Windows. Можно добавлять элементы в существующую консоль MMC, а можно создавать новые консоли и настраивать их для управления конкретными компонентами системы.

1. В меню Консоль выберите команду Добавить или удалить оснастку (Рисунок 1) и нажмите кнопку Добавить .

Рисунок 1

1. В поле Оснастка дважды щелкните Сертификаты (Рисунок 2), установите переключатель в положение учетной записи компьютера и нажмите кнопку Далее .

Рисунок 2

1. Выполните одно из следующих действий.
   • Чтобы управлять сертификатами локального компьютера, установите переключатель в положение локальным компьютером и нажмите кнопку Готово .
     • Чтобы управлять сертификатами удаленного компьютера, установите переключатель в положение другим компьютером и введите имя компьютера или нажмите кнопку Обзор для выбора компьютера, затем нажмите кнопку Готово .
     1. Нажмите кнопку Закрыть .
     2. В списке выбранных оснасток для новой консоли появится элемент Сертификаты (имя_компьютера).
     3. Если на консоль не нужно добавлять другие оснастки, нажмите кнопку OK.
     4. Чтобы сохранить эту консоль, в меню Консоль выберите команду Сохранить и укажите имя оснастки Сертификаты .
     5. Закройте окно Консоли и выберите команду Пуск и далее Все программы .
     6. Найдите пункт Администрирование и выберите подпункт Сертификаты (т еперь оснастка с Сертификатами доступна в меню Пуск).
     7. В левом подокне оснастки Сертификаты откройте папку Доверенные корневые сертификаты , а затем папку Сертификаты. В правом подокне появится список сертификатов.
     8. Укажите переносимый сертификат (например, первый в списке, Рисунок 3) и щелкните правой кнопкой мыши. В появившемся контекстном меню выберите команду Все задачи и далее выберите команду Экспорт .

Рисунок 3

1. В результате запустится Мастер экспорта сертификатов.
   1. Нажмите кнопку Далее.
      1. В следующем окне мастера выберите опцию Да, экспортировать закрытый ключ .
      2. Затем нажмите кнопку Далее.
      3. В следующем окне мастера доступен только один формат (PFX ), предназначенный для персонального обмена информацией. Нажмите кнопку Далее.
      4. В следующих окнах сообщите пароль (например, 11 ), защищающий данные файла сертификат. pfx , а также путь сохранения файла (запишите путь к папке в которой Вы сохранили копию Сертификата) сертификат . pfx .
      5. Нажмите кнопку Далее.
      6. Отобразится список экспортируемых сертификатов и ключей. Нажмите кнопку Готово.
      7. Завершите работу мастера экспорта сертификата нажатием кнопки ОК в окне диалога, сообщающем об успешном выполнении процедуры экспорта.

В результате сертификат и секретный ключ будут экспортированы в файл с расширением сертификат.pfx, который может быть скопирован на гибкий диск и перенесен на другой компьютер или использован после переустановки операционной системы.

Для восстановления сертификата из резервной копии выполните следующие действия.

1. Перенесите созданный на предыдущем этапе файл с расширением сертификат.pfx на компьютер (Вам необходимо вспомнить путь к копии Сертификата ).
   1. Запустите оснастку Сертификаты, для этого выберите кнопку Пуск панели задач и далее Все п рогра м мы/Администрирование/ Сертификаты.
      1. В окне структуры оснастки Сертификаты откройте папку Доверенные корневые сертификаты, затем папку Сертификаты. В правом подокне появится список ваших сертификатов.
         1. Щелкните правой кнопкой мыши на пустом месте правого подокна.
         2. В появившемся контекстном меню выберите команду Все задачи.
         3. В ее подменю выберите команду Импорт (Import ).
         4. Запустится Мастер импорта сертификатов.
         5. Следуйте указаниям мастера — укажите местоположение файла сертификат. pfx и сообщите пароль защиты данного файла.
         6. Для начала операции импорта нажмите кнопки Готово и ОК.
         7. После завершения процедуры импорта нажмите кнопку ОК и закройте окно мастера импорта;

В результате Ваших действий текущий пользователь или Вы сами получите возможность работать с зашифрованными данными на этом компьютере.

Задания для самостоятельной работы

1. Экспортируйте сертификат №2 из папки Промежуточные центры сертификации Root Agency (сохраните иллюстрации для отчета преподавателю).
2. Импортируйте экспортированный сертификат в папку Личные (сохраните иллюстрации для отчета преподавателю).

Контрольные вопросы

1. Что входит в криптосистему?
2. Сравните методы шифрования с открытым и закрытым ключом (асимметричное и симметричное шифрование).
3. Что такое mmc ?
4. Что позволяет EFS .

Описание формы отчета

Выполненное задание для самостоятельной работы и ответы на контрольные вопросы необходимо выслать для проверки преподавателю.

А также другие работы, которые могут Вас заинтересовать
38728.		Ключевые понятия интеллигентности	169.5 KB
	Лишь постепенно выясняется, насколько содержательным, объемным, сложным, многогранным и интересным оказывается явление интеллигентности. Все попытки ее определения и описания сопровождаются использованием понятий, свойственных носителям интеллигентности или как-то их характеризующих. Но есть понятия, интеллигентность обусловливающие. От того, насколько глубоко мы способны их осознать, зависит очень многое в нашем жизни.
38731.		Создание мобильного пространства школьного музея	4.31 MB
	Учебно-методическом пособии: «Музей-пространство образования» выпуск 1 «Педагогический музей: от традиций к новациям» отражена концепция музейно-педагогического комплекса как образовательного поля-особой развивающей среды, в которой:
38732.		Моделирование механизма изменения светимости красного гиганта, инициированного гравитационным взаимодействием в кратных системах	473.5 KB
	Исследование в основе своей опирается на методы математического моделирования. В качестве основного методологического подхода для построения исходной модели изучаемой системы использовался один из вариационных принципов механики – принцип Гамильтона (принцип наименьшего действия)
38733.		Протокол LLC уровня управления логическим каналом. Типы протоколов и их структуры	289 KB
	Локальной вычислительной сетью принято называть сеть, все элементы которой располагаются на сравнительно небольшой территории. Такая сеть обычно предназначена для сбора, передачи и распределённой обработки информации в пределах одного предприятия или организации.
38734.		Основы менеджмента	874.5 KB
	Менеджмент и деловая активность организации. Место и роль менеджмента в системе деловой активности организации. Менеджмент и деловая активность организации 1. Сущность объект и предмет теории управления Для достижения целей организации необходима скоординированность ее задач.
38736.		Исследование динамики поступательно-вращательного движения твердого тела	159.5 KB
	На вертикальной стойке 1 нанесена миллиметровая шкала по которой определяется ход маятника. Фотодатчик предназначен для выдачи электрических сигналов на секундомер 10 в момент пересечения светового луча диском маятника. Теоретические сведения Маятник Максвелла массой m поднятый на высоту h путем намотки нитей подвеса на стержень маятника имеет потенциальную энергию mgh.

В различных списках рассылки, посвященных безопасности в Internet, часто встречаются вопросы администраторов о безопасных и простых в применении продуктах шифрования файлов для Windows. Столь же часто менеджеры интересуются способами, с помощью которых можно помешать системным администраторам заглядывать в конфиденциальные файлы компании. Когда я предлагаю использовать собственную файловую систему с шифрованием (Encrypting File System, EFS) Windows, большинство собеседников отвечают, что им нужно что-то более надежное и безопасное.

Но вопреки распространенному мнению, EFS - действительно надежное, простое в эксплуатации и безопасное решение для шифрования, и с его помощью можно осадить даже самого любопытного сетевого администратора. EFS - отличное средство защиты конфиденциальных файлов в сети и на портативных компьютерах, которые часто становятся объектами кражи. К сожалению, репутация EFS незаслуженно страдает из-за отказа пользователей объективно оценить любое средство обеспечения безопасности от Microsoft. В действительности EFS - один из лучших продуктов безопасности, когда-либо выпущенных Microsoft, но для его применения необходимы соответствующие знания. В данной статье рассказывается об основах EFS, ее назначении и функциональности, базовых административных операциях и возможных ошибках.

Принципы EFS

Компания Microsoft выпустила EFS вместе с Windows 2000 и постоянно совершенствовала версии продукта для Windows XP и Windows Server 2003. Пользователи EFS могут зашифровать любой файл или папку, на которую у них есть разрешения Read и Write. После шифрования ресурс расшифровывается «на ходу» при любом обращении к нему законного владельца. Пользователи, которые попытаются обратиться к защищенному файлу или папке без соответствующих разрешений EFS, увидят имя файла или папки, но не смогут открыть, изменить, скопировать, распечатать, отправить по электронной почте и переместить файл или папку. Любопытно, что пользователи, имеющие разрешение NTFS для удаления EFS-защищенного файла, могут удалить его, даже если не имеют права прочитать. Как и большинство продуктов шифрования, EFS предназначена для защиты конфиденциальности, но не предотвращает потери данных. Задача EFS считается успешно выполненной, если несанкционированный пользователь не может увидеть данные ни в какой форме. Некоторые пользователи утверждают, что даже возможность увидеть имя защищенного файла или папки - непростительный недостаток Windows.

Кроме того, необязательно быть владельцем или иметь разрешения Full Control для файла или папки, чтобы зашифровать их. Для этого достаточно разрешений Read и Write - тех самых, которые необходимы для доступа к ресурсу. Доступ к файлу или папке имеет только пользователь, зашифровавший их (и другие лица, с которыми первый пользователь согласится разделить ресурс). Единственное общее исключение - агент восстановления данных (data recovery agent, DRA). По умолчанию (в большинстве случаев) Windows назначает агентом DRA администратора, чтобы тот мог обратиться к любому файлу или папке, зашифрованным EFS. В доменной среде DRA - администратор домена; в недоменной среде DRA - локальный администратор.

Функция шифрования файлов и папок активна по умолчанию, но пользователь должен выбрать каждый файл или папку отдельно (или косвенно через обычные правила наследования). Для EFS необходимо, чтобы файл или папка располагались на разделе диска NTFS. Затем, чтобы защитить файл или папку, достаточно щелкнуть правой кнопкой мыши на ресурсе в Windows Explorer, выбрать пункт Properties, а затем щелкнуть на кнопке Advanced во вкладке General. (Примечание: не следует щелкать на кнопке Advanced во вкладке Security.) Наконец, требуется установить флажок Encrypt contents to secure data.

Если выделить один или несколько файлов (в отличие от папки), то EFS спрашивает, следует ли зашифровать только файл(ы) или родительскую папку и текущий(е) файл(ы). Если выбрано второе, EFS отмечает папку как зашифрованную. Все файлы, которые будут добавляться в папку, будут шифроваться по умолчанию, хотя любые файлы, находившиеся в папке, но не выбранные во время операции шифрования EFS, останутся незашифрованными. Во многих случаях предпочтительно шифровать всю папку вместо отдельных файлов, особенно потому что ряд программ (например, Microsoft Word) создают временные файлы в той же папке, в которой находится открытый файл. После завершения работы программы (например, в случае аварийной перезагрузки) временные файлы часто остаются неудаленными и представлены в чисто текстовом формате, доступном для восстановления посторонним лицом.

По умолчанию в версиях XP Professional и более поздних EFS выделяет зашифрованные файлы зеленым цветом, но выделение можно отменить, выбрав пункт Folder Options из меню Tools в Windows Explorer, а затем сбросив флажок Show encrypted or compressed NTFS files in color на вкладке View. В представлении Details проводника Windows у сжатых файлов в столбце Attributes наряду с обычным атрибутом Archive (A) содержится атрибут E. В результате набор атрибутов будет иметь вид AE. Следует отметить, что встроенные механизмы Windows нельзя использовать для одновременного шифрования и сжатия файлов, хотя можно сжать файл с помощью утилиты независимого поставщика, такого как WinZip или PKZIP, а затем зашифровать сжатый файл.

Надежный шифр

EFS обеспечивает надежное шифрование - настолько надежное, что при потере частного ключа EFS (используемого для восстановления файлов, защищенных шифром EFS), весьма вероятно, прочитать данные уже не удастся. Если параметры EFS настроены корректно, то даже администратор не может обратиться к зашифрованному файлу или папке, если только он не назначен агентом DRA.

В настоящее время в продаже имеется по крайней мере один продукт - Advanced EFS Data Recovery (AEFSDR) компании ElcomSoft, авторы которого заявляют о возможности восстановления EFS-защищенных файлов. В действительности программа восстанавливает пароль локального администратора (простой процесс, если конфигурация Windows настроена неудачно), с помощью которого затем можно извлечь частный ключ EFS администратора. Пользователь, который располагает инструментом для разгадывания пароля администратора, может совершать любые действия в системе. Обращение такого пользователя к EFS-защищенным файлам будет самой мелкой из грозящих предприятию неприятностей. Риск несанкционированного восстановления частного ключа EFS снижает то, что в домене роль DRA назначается учетной записи администратора домена, а не учетной записи локального администратора, пароль которого можно разгадать с помощью почти любого средства взлома. В XP появилась новая политика, которая затрудняет проведение атак подобного типа. Если инструмент восстановления не может извлечь текущий - и правильный - пароль администратора (многие инструменты не восстанавливают, а сбрасывают пароль), то защита EFS по-прежнему действует.

Как работает EFS?

В EFS используется комбинация симметричного и асимметричного шифрования. При использовании симметричного метода файл шифруется и восстанавливается с помощью одного ключа. Асимметричный метод заключается в использовании открытого ключа для шифрования и второго, но связанного с ним частного ключа для восстановления данных. Если пользователь, которому предоставляется право восстановления данных, никому не раскрывает частный ключ, защищенному ресурсу ничего не грозит.

EFS активизируется по умолчанию на всех системах Windows 2000 и более поздних. Если кто-то впервые использует EFS для защиты файла или папки, то Windows проверяет доступность сервера PKI (public key infrastructure - инфраструктура открытых ключей), способного генерировать цифровые сертификаты EFS. Службы Certificate Services в Windows 2003 и Windows 2000 могут генерировать сертификаты EFS, как и некоторые PKI-продукты других фирм. Если Windows не обнаруживает приемлемого PKI-провайдера, то операционная система генерирует и самостоятельно подписывает сертификат EFS для пользователя (экран 1). Срок годности самостоятельно подписанных сертификатов EFS - 100 лет, намного больше, чем время их эксплуатации кем-либо из пользователей.

Если Windows обнаруживает сервер Certificate Services, тот автоматически генерирует и передает пользователю двухлетний сертификат. Вероятно, это сделано из-за того, что, если организация располагает внутренней службой PKI, PKI-сервер может легко выдавать и возобновлять EFS-сертификаты по истечении срока действия оригинала. В любом случае сертификаты EFS можно просмотреть, дополнив консоль Microsoft Management Console (MMC) оснасткой Certificates и заглянув в контейнер Personal.

Частный ключ EFS-пользователя (который открывает EFS-защищенные файлы) шифруется мастер-ключом пользователя и хранится в профиле пользователя в разделе Documents and Settings, Application Data, Microsoft, Crypto, RSA. Если используется перемещаемый профиль, то частный ключ находится в папке RSA на контроллере домена (DC) и загружается в пользовательский компьютер в процессе регистрации. Для генерации мастер-ключа применяется текущий пароль пользователя и 56-, 128- или 512-разрядный алгоритм RC4. Вероятно, главное, что необходимо знать о EFS, - частный ключ EFS-пользователя находится в его профиле и защищен мастер-ключом, полученным на основе текущего пароля пользователя. Следует обратить внимание, что надежность шифрования EFS определяется надежностью пароля пользователя. Если злоумышленник разгадает пароль пользователя EFS или зарегистрируется от лица законного пользователя, то в защите EFS появится трещина.

Если пароль пользователя утерян или сброшен (но не изменен самим пользователем), то можно лишиться доступа ко всем EFS-защищенным файлам. По этой причине копии частного ключа EFS-пользователя следует обязательно хранить в двух или нескольких безопасных удаленных хранилищах либо назначить одного или нескольких агентов DRA (а их частные ключи экспортировать и сделать резервные копии в двух или нескольких отдельных и безопасных удаленных хранилищах). Несоблюдение этих правил может привести к потере данных.

Если файл или папка зашифрованы впервые, то Windows генерирует случайный симметричный ключ с использованием 128-разрядного алгоритма Data Encryption Standard X (DESX - применяется по умолчанию в XP и Windows 2000) или 256-разрядного алгоритма Advanced Encryption Standard (AES - в Windows 2003 XP Pro Service Pack 1). Оба алгоритма - общепризнанные правительственные стандарты, хотя второй из них более современный и рекомендуемый к применению. Можно активизировать и старый правительственный стандарт симметричного шифрования, 168-разрядный Triple DES (3DES), если его использование предусмотрено правилами организации. Более подробная информация приведена в статье Microsoft «Encrypting File System (EFS) files appear corrupted when you open them» (http://support.microsoft.com/default.aspx?scid=kb;en-us;329741&sd=tech ). Случайно генерируемый симметричный ключ известен как ключ шифрования файлов (file encryption key, FEK). Этот ключ - единственный используемый Windows для шифрования файлов и папок, независимо от количества людей, которые обращаются к защищенному EFS ресурсу.

После всего Windows шифрует FEK с помощью 1024-разрядного открытого EFS-ключа RSA и сохраняет FEK в расширенных атрибутах файла. Если назначены агенты DRA, то операционная система сохраняет другую, зашифрованную копию FEK с открытым EFS-ключом агента DRA. Затем Windows сохраняет зашифрованный экземпляр FEK в файле. В XP и более поздних версиях EFS-доступ к конкретному файлу или папке может иметь несколько пользователей. Каждый авторизованный пользователь будет иметь собственный FEK, зашифрованный уникальным открытым ключом EFS. В Windows 2000 можно назначить лишь одного агента DRA.

Если авторизованный пользователь обращается к защищенному файлу, то Windows восстанавливает его экземпляр зашифрованного FEK с помощью частного EFS-ключа, связанного с пользователем. Затем с помощью FEK зашифрованный файл будет разблокирован. В отличие от первых версий EFS в Windows 2000, в настоящее время EFS безопасно управляет всеми зашифрованными файлами и папками в памяти, поэтому на диске не остается чисто текстовых фрагментов, которые можно было бы незаконно восстановить.

Совместное использование файлов EFS

В Windows 2000 только один пользователь может одновременно защитить файл с помощью EFS, но в XP Pro и более поздних версиях уже несколько пользователей могут совместно работать с защищенным EFS-файлом. При совместной работе первый пользователь, который защитил файл или папку, управляет доступом остальных. Выполнив первоначальную процедуру защиты файла или папки, пользователь может указать дополнительных пользователей, щелкнув на кнопке Details (экран 2). Число добавляемых пользователей не ограничено. Каждый пользователь имеет собственный экземпляр FEK, зашифрованного с помощью его EFS-ключа. Это новшество XP очень удобно для совместной работы с EFS-защищенными файлами групп пользователей. К сожалению, организовать совместную работу можно только на уровне отдельных файлов, но не папок. Пользователь должен зашифровать один файл или папку либо получить сертификат EFS, прежде чем его можно будет назначить дополнительным пользователям.

Агент DRA

Удалить профиль пользователя очень легко, а администраторы часто сбрасывают пользовательские пароли, поэтому сетевые администраторы должны сделать резервные копии ключей EFS или назначить одного или нескольких агентов DRA. Получить резервную копию частного ключа EFS пользователя можно, обратившись к цифровому сертификату EFS в консоли Certificates и установив флажок Copy to file на вкладке Details. В XP Pro и более поздних версиях можно воспользоваться также кнопкой Backup Keys, которая находится под кнопкой Details в разделе совместного использования файлов EFS. Любители командной строки могут применить команду

Cipher.exe /x

чтобы получить резервные копии EFS-ключей в Windows 2003, а также в XP Pro SP1 и более поздних версиях. Отвечая на последующие приглашения, можно сделать копии и/или экспортировать соответствующий частный ключ. Никогда не следует удалять частный ключ EFS-пользователя, как Windows предлагает сделать при экспорте, так как после этого пользователь не сможет расшифровать свои защищенные файлы. После экспорта частного ключа следует сохранить ключ в двух отдельных автономных хранилищах. Процедура резервного копирования частных ключей EFS отдельных пользователей отличается трудоемкостью. Начиная с Windows 2000 Microsoft позволяет выбрать агента DRA. Каждый раз, когда кто-то шифрует файл или папку, DRA автоматически получает экземпляр FEK. В Windows 2000 (режим рабочей группы или домена), XP (только режим домена) и Windows 2003 (режим рабочей группы или домена) агентом DRA по умолчанию назначается администратор, хотя он может изменить учетную запись пользователя, назначенного на роль DRA. К сожалению, в режиме рабочей группы XP агент DRA не определен. Это решение было принято в ответ на критику относительно уязвимости EFS-защищенных файлов в случае взлома пароля администратора. К сожалению, многие системы XP Pro функционируют в режиме рабочей группы, и достаточно сбросить пароль или повредить профиль, чтобы все пользователи EFS потеряли свои файлы. Используя EFS (нельзя забывать, что механизм активен по умолчанию и доступен пользователям), следует убедиться, что пользователи EFS сделали копии частных ключей либо назначены один или несколько агентов DRA.

Если роль DRA планируется поручить пользовательской учетной записи, отличной от выбираемой по умолчанию учетной записи администратора, то сменщик должен обладать сертификатом EFS Recovery Agent. Сертификат EFS Recovery Agent можно запросить в службе Certificate Services или установить из другого стороннего продукта PKI. Если развернута служба Windows 2003 Certificate Services, то вместо DRA можно реализовать агентов Key Recovery Agent. В конечном итоге агенты Key Recovery Agent восстановят потерянный ключ вместо прямого восстановления файла.

В отличие от частных ключей обычных пользователей EFS, частные EFS-ключи агентов DRA следует экспортировать и удалять из компьютеров. Если частные ключи агентов DRA похищены, то все файлы с FEK, защищенными открытым ключом DRA, могут стать уязвимыми. Поэтому ключи следует экспортировать и надежно сохранить в двух удаленных хранилищах. Если нужны ключи для восстановления зашифрованных файлов, то можно легко импортировать и использовать частные ключи.

Хотя по умолчанию администратор часто назначается агентом DRA, следует специально подготовить одну или две пользовательские учетные записи, вероятность удаления которых при любых обстоятельствах невелика. Открытый ключ DRA также копирует и защищает каждый FEK, поэтому при случайном удалении пользовательской учетной записи DRA или сбросе пароля трудно восстановить DRA-защищенный FEK. Если пользовательские учетные записи, имеющие статус DRA, изменены, то может оказаться, что EFS-защищенные файлы имеют ключи FEK, которые защищены старыми ключами DRA. Когда Windows обращается к файлам, DRA-защищенные FEK обновляются новейшими ключами DRA; однако можно использовать команду Cipher для принудительного массового обновления всех ключей FEK с применением текущих ключей DRA. Независимо от того, будет ли экспортирован и удален из системы частный ключ DRA, очень важно сохранить копии сертификата восстановления DRA в двух или нескольких безопасных удаленных хранилищах.

Дополнительные замечания

EFS не защищает файлы, копируемые по сети. Windows копирует все файлы, открытые на сетевом ресурсе, в чисто текстовом формате. Если необходимо шифровать в реальном времени файлы, хранящиеся на диске и копируемые через сеть, следует использовать другой метод защиты, IP Security (IPsec), Secure Sockets Layer (SSL) или WWW Distributed Authoring and Versioning (WebDAV). Кроме того, в XP и более поздних версиях можно активизировать защиту EFS для автономных файлов.

EFS - механизм локальной защиты. Он был разработан для шифрования файлов на локальных дисках. Чтобы применить EFS для защиты файлов, сохраненных на дисках удаленных компьютеров, между этими машинами должны существовать доверительные отношения для делегирования полномочий. Пользователи ноутбуков часто применяют EFS для ресурсов файл-сервера. Чтобы применить EFS на сервере, необходимо установить флажок Trust this computer for delegation to any service (Kerberos only) или Trust this computer for delegation to specified services only в учетной записи computer сервера (экран 3).

Можно запретить пользователям применять EFS, заблокировав ее с помощью Group Policy. Следует выбрать контейнер Computer Configuration, щелкнуть правой кнопкой мыши на Windows Settings и выбрать Security Settings, Public Key Policies, Encrypting File System. Затем можно сбросить флажок Allow users to encrypt files using EFS. Активизировать или блокировать EFS можно в отдельных организационных единицах (OU).

Перед использованием EFS необходимо убедиться в совместимости приложений с EFS и EFS API. Если приложения несовместимы, то EFS-защищенные файлы могут быть испорчены или, хуже того, не защищены без соответствующей авторизации. Например, если сохранять и изменять EFS-защищенный файл программой edit.com (16-разрядный исполняемый файл) из состава Windows, то все дополнительные пользователи потеряют доступ к этому файлу. Большинство приложений Microsoft (в том числе Microsoft Office, Notepad и Wordpad) полностью совместимы с EFS.

Если уполномоченный пользователь копирует EFS-защищенные файлы на раздел FAT, то защита EFS будет снята. Неавторизованный пользователь не должен иметь права перемещать или копировать файлы на любые разделы Windows. Неавторизованный пользователь может загрузиться, помимо системы разрешений Windows NTFS, с помощью загрузочного гибкого диска или программы с компакт-диска, которая позволяет монтировать общий каталог NTFS (например, Knoppix, NTFSDOS, загрузочный гибкий диск Peter Nordahl-Hagen). В результате ему удастся скопировать или переместить файл, но если у него нет EFS-ключа авторизованного пользователя, то файл останется зашифрованным.

Оптимальные приемы

Ниже перечислены оптимальные приемы для работы с EFS.

1. Определить число и идентифицировать учетные записи DRA.
2. Генерировать сертификаты DRA для учетных записей DRA.
3. Импортировать сертификаты DRA в Active Directory (AD).
4. Экспортировать и удалить частные ключи DRA, сохранив их в двух отдельных, безопасных автономных хранилищах.
5. Познакомить конечных пользователей с методами применения и особенностями EFS.
6. Периодически тестировать восстановление файлов DRA.
7. При необходимости периодически запускать команду Cipher с параметром /u, чтобы обновить ключи FEK для добавленных или удаленных DRA.

EFS - надежный и безопасный метод шифрования файлов и папок в системах Windows 2000 и более поздних. Сетевым администраторам следует построить и активизировать политику DRA и рассказать конечным пользователям о достоинствах и ограничениях EFS.

Роджер Граймз - Редактор Windows IT Pro и консультант по проблемам безопасности. Имеет сертификаты CPA, CISSP, CEH, CHFI, TICSA, MCT, MCSE: Security и Security+.