Однією з мало відомих можливостей Windows є шифрована система Encrypting File System(EFS). Вона дозволяє швидко зашифрувати та поставити пароль на ваші файли та папки у системі windows, використовуючи власний обліковий запис користувача. Оскільки файли або папки були зашифровані за допомогою пароля облікового запису користувача windows, інші користувачі на вашій системі, включаючи адміністратора, не можуть відкрити, змінити або перемістити папки або файли. Система EFS є корисною, якщо ви не хочете, щоб інші користувачі переглядали ваші файли та папки. Розглянемо в цьому посібнику, як поставити пароль на папку та фали вбудованими засобами windowsбез сторонніх програм.
Encrypting File System та BitLocker це абсолютно різні системи для шифрування. EFS є менш безпечним, ніж BitLocker. Будь-яка людина знаючий парольвід вашого облікового запису, може легко отримати доступ до них. Ви не зможете шифрувати цілі розділи диска, EFS працює тільки з файлами та папками, а BitLocker навпаки, тільки з дисками та флешками.
Як поставити пароль на папку та файли
Все, що вам потрібно зробити, це встановити прапорець і створити резервну копію сертифіката безпеки. Для початку виберіть папку з файлами, на яку хочете поставити пароль за допомогою EFS, клацніть правою кнопкою миші по ній і виберіть " властивості".
- У кладці "загальні", натисніть Іншіатрибути.
- У додатковому вікні атрибутів поставте галочку Шифрувати вміст для захисту даних.
- Якщо в папці є файли, вам вискочить наступне вікно. Натисніть застосувати до всіх вкладених папок та файлів.
- У вас в треї з'явиться папка зі знаком оклику, натисніть на неї для подальшої настройки.
- Створіть копію ключа, виберіть "Архівувати зараз".
- Виставте налаштування, як на зображенні.
- Виділіть галочкою "Пароль" і придумайте пароль для вашої папки та файлів.
- Придумайте будь-яке ім'я сертифіката безпеки та виберіть будь-який шлях для його зберігання.
- Для зберігання сертифіката я вибрав робочий стіл, у свою чергу зробив його прихованим через властивості папки.
Шифрована файлова система (EFS) – це потужна опція захисту даних, які зберігаються на комп'ютерах Windows. EFS безкоштовна і включається в кожну ОС, починаючи з Windows 2000. Усюди спостерігаються вдосконалення технології, і EFS у цьому сенсі не є винятком. З розвитком технології стало значно простіше використовувати EFS для більшої частини збереження даних. Однак вам не скрізь може знадобитися EFS, тому вам необхідно звузити межі та контроль до тих рамок, в яких файлова система може використовуватися. Таким чином, буде чудовою ідеєю скористатися перевагою групової політикидля керування EFS.
Дві стадії керування EFS
EFS має два рівні налаштування. Перший рівень встановлено на комп'ютерному рівні, який визначає, чи підтримуватиметься ця файлова система, і чи буде вона доступна. Другий рівень – це рівень папок та файлів, цей рівень виконує шифрування даних.
Windows 2000 (Server та Professional), Windows XP Professional, Windows Server 2003, Windows Vista та Windows Server 2008 усі підтримують шифрування даних, розміщених на комп'ютері. За промовчанням всі ці комп'ютери підтримують шифрування даних за допомогою EFS. Звичайно, це може бути і негативною характеристикою, оскільки деякі дані або деякі комп'ютери не повинні шифрувати дані через логістику.
Логістика, про яку я говорю тут, є дозвіл користувачам шифрувати дані. Оскільки всі комп'ютери підтримують шифрування даних за замовчуванням, і кожен користувач може зашифрувати їх, дані можуть бути зашифровані на локальному комп'ютері, так само як і дані, що спільно використовуються в мережі. На малюнку 1 показано опції, за яких дані можуть бути зашифровані на комп'ютері Windows XP Professional.
Рисунок 1: Шифрування даних – це їхня властивість
Щоб отримати доступ до опції шифрування, як показано на малюнку 1, потрібно лише вибрати властивості файлу або папки, яку ви хочете зашифрувати шляхом натискання правою клавішею і виклику контекстного меню«Властивості» об'єкта, що шифрується. Потім натиснути кнопку «Додатково» у діалоговому вікні властивостей, яке покаже діалогове вікно «Додаткові атрибути».
Контролювання підтримки EFS для комп'ютерів домену Active Directory
Коли комп'ютер приєднується до домену Active Directory, на ньому більше не можна контролювати опцію підтримки EFS. Натомість цю можливість контролює політика домену за промовчанням, що зберігається в Active Directory. Всі комп'ютери, що входять до складу домену Windows Active Directory, підтримують EFS, просто входячи до його складу.
Варто врахувати, що домени Windows 2000 керують цією конфігурацією в стандартній політиці домену не так, як домени Windows Server 2003 та Windows Server 2008.
Контроль домену Windows 2000 над EFS
Комп'ютери Windows 2000 мають трохи іншу підтримку EFS, ніж пізніші ОС, тому налаштування для EFS в них відрізняється стандартною політикою доменів. Для Windows 2000 активація та вимкнення EFS базується на сертифікаті агента EFS відновлення даних, включеному до стандартної політики доменів. За умовчанням обліковий запис адміністратора має такий сертифікат і налаштовується як агент відновлення даних. Якщо сертифікат відновлення даних відсутній, EFS не працює.
Щоб отримати доступ до цієї настройки в стандартній політиці доменів, дотримуйтесь зазначеного шляху при редагуванні GPO у редакторі групової політики:
Конфігурація комп'ютера\Параметри Windows\Параметри безпеки\Політики публічних ключів\Агенти відновлення зашифрованих даних
У цьому місці ви побачите сертифікат шифрування файлів EFS для адміністратора, як показано на малюнку 2.
Рисунок 2: Домени Windows 2000 відображають сертифікат шифрування файлів EFS у вигляді імені користувача, наприклад «Адміністратор»
Це налаштування є тим, що надає всім комп'ютерам можливість шифрувати файли. Щоб вимкнути цю можливість, потрібно просто видалити сертифікацію адміністратора з об'єкта GPO. Якщо ви вирішите включити таку можливість на обмеженій кількості комп'ютерів в Active Directory, вам потрібно буде виконати такі кроки:
- Створіть новий GPO та зв'яжіть його з організаційною одиницею, що містить усі комп'ютери, яким потрібна підтримка шифрування файлів.
- Увійдіть у вкладку «Агенти відновлення зашифрованих файлів» у GPO та додайте сертифікат, який підтримує EFS відновлення даних.
Це надасть комп'ютерам, на які поширюється GPO, можливість використання EFS для даних, що зберігаються на цих комп'ютерах.
Контроль доменів Windows 2003 та 2008 над EFS
Нові домени та ОС (усі, які вийшли після Windows 2000) підтримують EFS приблизно так само, але мають свої специфічні відмінності.
- Для шифрування даних на комп'ютерах пізніше Windows 2000 не потрібно жодних агентів відновлення даних.
- EFS не контролюється за допомогою включення сертифіката агента відновлення даних GPO.
- EFS підтримує доступ кількох користувачів до зашифрованих файлів.
Таким чином, для доменів Windows 2003 та 2008 вам знадобиться інший набір завдань, щоб контролювати EFS на комп'ютерах, що входять до таких доменів. Однак налаштування все ще перебуває у стандартній політиці доменів. Тут вам знадобиться наступний шлях:
Конфігурація комп'ютера\Параметри Windows\Параметри безпеки\Політики публічних ключів\Шифрована файлова система
Тепер, замість перетворення агента відновлення даних, потрібно правою клавішею натиснути на вкладці EFS. З меню опцій виберіть «Властивості». Тут ви побачите рядок на вашому домені Windows 2003, який говорить "Дозволити користувачам шифрувати файли, використовуючи Encrypting File System (EFS)". Домени Windows Server 2008 радикально змінили інтерфейс, забезпечуючи багатогранну підтримку EFS на цій сторінці властивостей, як показано на малюнку 3.
Рисунок 3: Windows Server 2008 забезпечує багатогранний контроль над EFS
Зауважте, що на вкладці «Загальні» є протилежна кнопка з назвою "Не дозволяти". Цей параметр можна використовувати для вимкнення підтримки EFS на всіх комп'ютерах домену. Також зверніть увагу на те, що в цьому діалоговому вікні є безліч інших параметрів контролю EFS.
Ви також можете вказувати певні комп'ютери в домені, виконуючи кроки, описані вище в розділі про домен Windows 2000.
Висновок
EFS є дуже потужною та корисною опцією. Вона може шифрувати дані, які зберігаються на комп'ютерах Windows. Шифрування допоможе захистити дані від користувачів або хакерів, які намагаються отримати доступ до них, але не мають можливості розшифрувати ці дані. EFS є процесом з двох кроків, по-перше, EFS необхідно активувати на комп'ютері. Ця опція може контролюватись за допомогою групової політики, або коли комп'ютер включається до домену. Адміністратори мають право активувати або вимкнути EFS на будь-якому комп'ютері домену за допомогою налаштування GPO. У разі відключення EFS для всіх комп'ютерів і подальшого створення та налаштування нового об'єкта GPO лише певні комп'ютери зможуть використовувати EFS.
У різних списках розсилки, присвячених безпеці в Internet, часто зустрічаються питання адміністраторів про безпечні та прості у застосуванні продукти шифрування файлів для Windows. Так само часто менеджери цікавляться способами, за допомогою яких можна перешкодити системним адміністраторам заглядати в конфіденційні файли компанії. Коли я пропоную використовувати власну файлову систему із шифруванням (Encrypting File System, EFS) Windows, більшість співрозмовників відповідають, що їм потрібно щось надійніше та безпечніше.
Але всупереч поширеній думці, EFS - справді надійне, просте в експлуатації та безпечне рішення для шифрування, і з його допомогою можна осадити навіть найцікавішого мережевого адміністратора. EFS - чудовий засіб захисту конфіденційних файлів у мережі та на портативних комп'ютерах, які часто стають об'єктами крадіжки. На жаль, репутація EFS незаслужено страждає через відмову користувачів об'єктивно оцінити будь-який засіб безпеки від Microsoft. Насправді EFS - один із найкращих продуктів безпеки, коли-небудь випущених Microsoft, але для його застосування потрібні відповідні знання. У цій статті розповідається про основи EFS, її призначення та функціональність, базові адміністративні операції та можливі помилки.
Принципи EFS
Компанія Microsoft випустила EFS разом з Windows 2000 і постійно вдосконалювала версії продукту для Windows XP та Windows Server 2003. Користувачі EFS можуть зашифрувати будь-який файл або папку, на яку вони мають дозволи Read і Write. Після шифрування ресурс розшифровується «на ходу» за будь-якого звернення до нього законного власника. Користувачі, які спробують звернутися до захищеного файлу або папки без відповідних дозволів EFS, побачать ім'я файлу або папки, але не зможуть відкрити, змінити, скопіювати, роздрукувати, надіслати електронній поштіта перемістити файл або папку. Цікаво, що користувачі мають дозвіл NTFSдля видалення EFS-захищеного файлу можуть видалити його, навіть якщо не мають права прочитати. Як і більшість продуктів шифрування, EFS призначена для захисту конфіденційності, але не запобігає втраті даних. Завдання EFS вважається успішним, якщо несанкціонований користувач не може побачити дані в жодній формі. Деякі користувачі стверджують, що навіть можливість побачити ім'я захищеного файлу чи папки – непробачний недолік Windows.
Крім того, необов'язково бути власником або мати дозвіл Full Control для файлу або папки, щоб зашифрувати їх. Для цього достатньо дозволів Read і Write - тих, які необхідні для доступу до ресурсу. Доступ до файлу або папки має лише користувач, який зашифрував їх (та інші особи, з якими перший користувач погодиться розділити ресурс). Єдиний загальний виняток – агент відновлення даних (data recovery agent, DRA). За умовчанням (у більшості випадків) Windows призначає агентом DRA адміністратора, щоб той міг звернутися до будь-якого файлу або папки, зашифрованих EFS. У доменному середовищі DRA – адміністратор домену; у недоменному середовищі DRA – локальний адміністратор.
Функція шифрування файлів та папок активна за замовчуванням, але користувач повинен вибрати кожен файл або папку окремо (або опосередковано через звичайні правила успадкування). Для EFS необхідно, щоб файл або папка розташовувалися на розділі NTFS. Потім, щоб захистити файл або папку, достатньо клацнути правою кнопкою миші на ресурсі у Windows Explorer, вибрати пункт Properties, а потім клацнути на кнопці Advanced у вкладці General. (Примітка: не клацніть на кнопці Advanced у вкладці Security.) Нарешті, потрібно встановити прапорець Encrypt contents to secure data.
Якщо виділити один або кілька файлів (на відміну від папки), EFS запитує, чи слід зашифрувати лише файл(и) або батьківську папку та поточний(і) файл(и). Якщо вибрано друге, EFS позначає папку як зашифровану. Усі файли, які будуть додаватися до папки, будуть шифруватися за замовчуванням, хоча будь-які файли, які перебувають у папці, але не вибрані під час операції шифрування EFS, залишаться незашифрованими. У багатьох випадках краще шифрувати всю папку замість окремих файлів, особливо тому, що ряд програм (наприклад, Microsoft Word) Створюють тимчасові файли в тій же папці, в якій знаходиться відкритий файл. Після завершення роботи програми (наприклад, у разі аварійного перезавантаження) тимчасові файли часто залишаються невидаленими і представлені у чисто текстовому форматі, доступному для відновлення сторонньою особою.
За промовчанням у версіях XP Professional та пізніших EFS виділяє зашифровані файли зеленим кольором, але виділення можна скасувати, вибравши пункт Folder Options з меню Tools у Windows Explorer, а потім скинувши прапорець Show encrypted or compressed NTFS files in color на вкладці View. У поданні Details провідника Windowsу стислих файліву стовпці Attributes поряд із звичайним атрибутом Archive (A) міститься атрибут E. У результаті набір атрибутів матиме вигляд AE. Слід зазначити, що вбудовані механізми Windows не можна використовувати для одночасного шифрування та стиснення файлів, хоча можна стиснути файл за допомогою утиліти незалежного постачальника, такого як WinZip або PKZIP, а потім зашифрувати стислий файл.
Надійний шифр
EFS забезпечує надійне шифрування - настільки надійне, що при втраті приватного ключа EFS (використовується для відновлення файлів, захищених шифром EFS), ймовірно, прочитати дані вже не вдасться. Якщо параметри EFS налаштовані коректно, навіть адміністратор не може звернутися до зашифрованого файлу або папки, якщо тільки він не призначений агентом DRA.
В даний час у продажу є принаймні один продукт – Advanced EFS Data Recovery (AEFSDR) компанії ElcomSoft, автори якого заявляють про можливість відновлення EFS-захищених файлів. Насправді програма відновлює пароль локального адміністратора (простий процес, якщо конфігурація Windows налаштована невдало), за допомогою якого можна вилучити приватний ключ EFS адміністратора. Користувач, який має інструмент для розгадування пароля адміністратора, може здійснювати будь-які дії в системі. Звернення такого користувача до EFS-захищених файлів буде найдрібнішою з неприємностей, що загрожують підприємству. Ризик несанкціонованого відновлення приватного ключа EFS знижує те, що в домені роль DRA призначається облікового запису адміністратора домену, а не облікового запису локального адміністратора, пароль якого можна розгадати за допомогою майже будь-якого засобу злому. У XP з'явилася нова політика, яка ускладнює проведення атак такого типу. Якщо інструмент відновлення не може отримати поточний - і правильний - пароль адміністратора (багато інструментів не відновлюють, а скидають пароль), то захист EFS, як і раніше, діє.
Як працює EFS?
У EFS використовується комбінація симетричного та асиметричного шифрування. При використанні симетричного методу файл шифрується та відновлюється за допомогою одного ключа. Асиметричний метод полягає у використанні відкритого ключа для шифрування та другого, але пов'язаного з ним приватного ключа для відновлення даних. Якщо користувач, якому надається право відновлення даних, нікому не розкриває приватного ключа, захищеному ресурсу нічого не загрожує.
EFS активізується за замовчуванням на всіх системах Windows 2000 та пізніших. Якщо хтось вперше використовує EFS для захисту файлу чи папки, Windows перевіряє доступність сервера PKI (public key infrastructure - інфраструктура відкритих ключів), здатного генерувати цифрові сертифікати EFS. Служби Certificate Services у Windows 2003 та Windows 2000 можуть генерувати сертифікати EFS, як і деякі PKI продукти інших фірм. Якщо Windows не виявляє прийнятного PKI-провайдера, то операційна система генерує та самостійно підписує сертифікат EFS для користувача (екран 1). Термін придатності самостійно підписаних сертифікатів EFS – 100 років, набагато більший, ніж час їх експлуатації будь-ким із користувачів.
Якщо Windows виявляє сервер Certificate Services, той автоматично генерує та передає користувачеві дворічний сертифікат. Ймовірно, це зроблено через те, що якщо організація має внутрішню службу PKI, PKI-сервер може легко видавати та відновлювати EFS-сертифікати після закінчення терміну дії оригіналу. У будь-якому випадку сертифікати EFS можна переглянути, доповнивши консоль Microsoft Management Console (MMC) оснащенням Certificates і зазирнувши в контейнер Personal.
Приватний ключ EFS-користувача (який відкриває EFS-захищені файли) шифрується майстер-ключом користувача та зберігається у профілі користувача в розділі Documents and Settings, Application Data, Microsoft, Crypto, RSA. Якщо використовується профіль, що переміщується, то приватний ключ знаходиться в папці RSA на контролері домену (DC) і завантажується в комп'ютер в процесі реєстрації. Для генерації майстер-ключа застосовується поточний пароль користувача та 56-, 128- або 512-розрядний алгоритм RC4. Ймовірно, головне, що необхідно знати про EFS - приватний ключ EFS-користувача знаходиться в його профілі і захищений майстер-ключом, отриманим на основі поточного пароля користувача. Слід звернути увагу на те, що надійність шифрування EFS визначається надійністю пароля користувача. Якщо зловмисник розгадає пароль користувача EFS або зареєструється від імені законного користувача, у захисті EFS з'явиться тріщина.
Якщо пароль користувача втрачений або скинутий (але не змінений самим користувачем), можна втратити доступ до всіх EFS-захищених файлів. Тому копії приватного ключа EFS-користувача слід обов'язково зберігати в двох або декількох безпечних віддалених сховищах або призначити одного або декількох агентів DRA (а їх приватні ключі експортувати і зробити резервні копіїу двох або кількох окремих та безпечних віддалених сховищах). Недотримання цих правил може призвести до втрати даних.
Якщо файл або папка зашифровані вперше, то Windows генерує випадковий симетричний ключ з використанням 128-розрядного алгоритму Data Encryption Standard X (DESX - застосовується за умовчанням у XP та Windows 2000) або 256-розрядного алгоритму Advanced Encryption Standard (AES - у Windows 20 Pro Service Pack 1). Обидва алгоритми - загальновизнані урядові стандарти, хоча другий більш сучасний і рекомендований до застосування. Можна активізувати старий урядовий стандарт симетричного шифрування, 168-розрядний Triple DES (3DES), якщо його використання передбачено правилами організації. Більше Детальна інформаціянаведено у статті Microsoft «Encrypting File System (EFS) files appear corrupted when you open them» ( http://support.microsoft.com/default.aspx?scid=kb;en-us;329741&sd=tech). Симетричний ключ, що випадково генерується, відомий як ключ шифрування файлів (file encryption key, FEK). Цей ключ - єдиний Windows, що використовується для шифрування файлів і папок, незалежно від кількості людей, які звертаються до захищеного EFS ресурсу.
Після всього Windows шифрує FEK за допомогою 1024-розрядного відкритого EFS-ключ RSA і зберігає FEK в розширених атрибутах файлу. Якщо призначені агенти DRA, то операційна система зберігає іншу зашифровану копію FEK з відкритим EFS-ключом агента DRA. Потім Windows зберігає зашифрований екземпляр FEK у файлі. У XP і більше пізніх версіях EFS-доступ до певного файлу або папки може мати кілька користувачів. Кожен авторизований користувач матиме власний FEK, зашифрований унікальним відкритим ключем EFS. У Windows 2000 можна призначити лише одного агента DRA.
Якщо авторизований користувач звертається до захищеного файлу, Windows відновлює його екземпляр зашифрованого FEK за допомогою приватного EFS-ключа, пов'язаного з користувачем. Потім за допомогою FEK зашифрований файл буде розблоковано. На відміну від перших версій EFS у Windows 2000, в даний час EFS безпечно керує всіма зашифрованими файлами та папками в пам'яті, тому на диску не залишається чисто текстових фрагментів, які можна було б незаконно відновити.
Спільне використання файлів EFS
У Windows 2000 лише один користувач може одночасно захистити файл за допомогою EFS, але в XP Pro та пізніших версіях вже кілька користувачів можуть спільно працювати із захищеним EFS-файлом. При спільній роботі перший користувач, який захистив файл або папку, керує доступом до інших. Виконавши початкову процедуру захисту файлу або папки, користувач може вказати додаткових користувачів, натиснувши кнопку Details (екран 2). Кількість користувачів, що додаються, не обмежена. Кожен користувач має власний екземпляр FEK, зашифрований за допомогою його EFS-ключа. Ця новація XP дуже зручна для спільної роботи з EFS-захищеними файлами груп користувачів. На жаль, організувати спільну роботу можна лише на рівні окремих файлів, але не папок. Користувач повинен зашифрувати один файл або папку або отримати сертифікат EFS, перш ніж можна буде призначити додатковим користувачам.
Агент DRA
Видалити профіль користувача дуже легко, а адміністратори часто скидають паролі користувача, тому мережні адміністратори повинні зробити резервні копії ключів EFS або призначити одного або декількох агентів DRA. Отримати резервну копію приватного ключа EFS користувача можна, звернувшись до цифрового сертифіката EFS у консолі Certificates та встановивши прапорець Copy to file на вкладці Details. У XP Pro та пізніших версіях можна скористатися також кнопкою Backup Keys, яка знаходиться під кнопкою Details у розділі спільного використанняфайлів EFS. Любителі командного рядкаможуть застосувати команду
Cipher.exe /x
щоб отримати резервні копії EFS-ключів у Windows 2003, а також у XP Pro SP1 та пізніших версіях. Відповідаючи на наступні запрошення, можна зробити копії та/або експортувати відповідний приватний ключ. Ніколи не слід видаляти приватний ключ користувача EFS, як Windows пропонує зробити при експорті, тому що після цього користувач не зможе розшифрувати свої захищені файли. Після експорту приватного ключа слід зберегти ключ у двох окремих автономних сховищах. Процедура резервного копіювання окремих ключів EFS окремих користувачів відрізняється трудомісткістю. Починаючи з Windows 2000, Microsoft дозволяє вибрати агента DRA. Щоразу, коли хтось шифрує файл чи папку, DRA автоматично отримує екземпляр FEK. У Windows 2000 (режим робочої групиабо домену), XP (тільки режим домену) та Windows 2003 (режим робочої групи або домену) агентом DRA за умовчанням призначається адміністратор, хоча він може змінити обліковий запис користувача, призначеного на роль DRA. На жаль, у режимі робочої групи XP агент DRA не визначено. Це рішення було прийнято у відповідь на критику щодо вразливості EFS-захищених файлів у разі злому пароля адміністратора. На жаль, багато систем XP Pro функціонують у режимі робочої групи, і достатньо скинути пароль або пошкодити профіль, щоб усі користувачі EFS втратили свої файли. Використовуючи EFS (не можна забувати, що механізм активний за замовчуванням і доступний користувачам), слід переконатися, що користувачі EFS зробили копії приватних ключів або призначено одного або кількох агентів DRA.
Якщо роль DRA планується доручити облікового запису користувача, відмінного від облікового запису адміністратора, що вибирається за замовчуванням, то змінник повинен мати сертифікат EFS Recovery Agent. Сертифікат EFS Recovery Agent можна запросити до служби Certificate Services або інсталювати з іншого стороннього продукту PKI. Якщо розгорнуто служба Windows 2003 Certificate Services, замість DRA можна реалізувати агентів Key Recovery Agent. Зрештою, агенти Key Recovery Agent відновлять втрачений ключ замість прямого відновлення файлу.
На відміну від приватних ключів звичайних користувачів EFS, приватні EFS-ключі агентів DRA слід експортувати та видаляти з комп'ютерів. Якщо приватні ключі агентів DRA викрадені, всі файли з FEK, захищеними відкритим ключем DRA, можуть стати вразливими. Тому ключі слід експортувати та надійно зберегти у двох віддалених сховищах. Якщо потрібні ключі для відновлення зашифрованих файлів, можна легко імпортувати та використовувати приватні ключі.
Хоча за умовчанням адміністратор часто призначається агентом DRA, слід спеціально підготувати одну або дві користувацькі облікові записи, Імовірність видалення яких за будь-яких обставин невелика. Відкритий ключ DRA також копіює та захищає кожен FEK, тому при випадковому видаленні облікового запису користувача DRA або скиданні пароля важко відновити DRA-захищений FEK. Якщо облікові записи користувача, що мають статус DRA, змінені, то може виявитися, що EFS-захищені файли мають ключі FEK, які захищені старими ключами DRA. Коли Windows звертається до файлів, DRA-захищені FEK оновлюються новітніми ключами DRA; однак можна використовувати Cipher для примусового масового оновлення всіх ключів FEK із застосуванням поточних ключів DRA. Незалежно від того, чи буде експортований та видалений із системи приватний ключ DRA, дуже важливо зберегти копії сертифіката відновлення DRA у двох або кількох безпечних віддалених сховищах.
Додаткові зауваження
EFS не захищає файли, що копіюються через мережу. Windows копіює всі файли, відкриті на мережному ресурсі, у текстовому форматі. Якщо потрібно шифрувати в реальному часі файли, що зберігаються на диску і копіюються через мережу, слід використовувати інший метод захисту, IP Security (IPsec), Secure Sockets Layer (SSL) або WWW Distributed Authoring and Versioning (WebDAV). Крім того, у XP та пізніших версіях можна активізувати захист EFS для автономних файлів.
EFS – механізм локального захисту. Він розроблений для шифрування файлів на локальних дисках. Щоб застосувати EFS для захисту файлів, збережених на дисках віддалених комп'ютерівміж цими машинами повинні існувати довірчі відносини для делегування повноважень. Користувачі ноутбуків часто використовують EFS для ресурсів файл-сервера. Щоб застосувати EFS на сервері, необхідно встановити прапорець Trust this computer for delegation to any service (Kerberos only) або Trust this computer for delegation to specified services only в обліковому записі computer сервера (екран 3).
Можна заборонити користувачам використовувати EFS, заблокувавши її за допомогою Group Policy. Слід вибрати контейнер Computer Configuration, клацнути правою кнопкою миші на Windows Settings і вибрати Security Settings, Public Key Policies, Encrypting File System. Потім можна скинути прапорець Allow users to encrypt files using EFS. Активізувати або блокувати EFS можна окремими організаційними одиницями (OU).
Перед використанням EFS необхідно переконатися у сумісності програм з EFS та EFS API. Якщо програми несумісні, EFS-захищені файли можуть бути зіпсовані або, гірше, не захищені без відповідної авторизації. Наприклад, якщо зберігати та змінювати EFS-захищений файл програмою edit.com (16-розрядний файл) зі складу Windows, то всі додаткові користувачі втратять доступ до цього файлу. Більшість програм Microsoft (зокрема Microsoft Office, Notepad та Wordpad) повністю сумісні з EFS.
Якщо уповноважений користувач копіює EFS-захищені файли на розділ FAT, захист EFS буде знято. Неавторизований користувач не повинен мати права переміщати чи копіювати файли на будь-які розділи Windows. Неавторизований користувач може завантажитися, крім системи дозволів Windows NTFS, за допомогою гнучкого завантажувального диска або програми з компакт-диска, яка дозволяє монтувати загальний каталог NTFS (наприклад, Knoppix, NTFSDOS, завантажувальний гнучкий диск Peter Nordahl-Hagen). В результаті йому вдасться скопіювати або перемістити файл, але якщо у нього немає EFS-ключа авторизованого користувача, файл залишиться зашифрованим.
Оптимальні прийоми
Нижче наведено оптимальні прийоми для роботи з EFS.
- Визначити кількість та ідентифікувати облікові записи DRA.
- Генерувати сертифікати DRA для облікових записів DRA.
- Імпортувати сертифікати DRA в Active Directory (AD).
- Експортувати та видаляти приватні ключі DRA, зберігши їх у двох окремих, безпечних автономних сховищах.
- Ознайомити кінцевих користувачів з методами застосування та особливостями EFS.
- Періодично тестувати відновлення файлів DRA.
- При необхідності періодично запускати команду Cipher із параметром /u, щоб оновити ключі FEK для доданих або віддалених DRA.
EFS – надійний та безпечний метод шифрування файлів та папок у системах Windows 2000 та пізніших. Мережевим адміністраторам слід побудувати та активізувати політику DRA та розповісти кінцевим користувачам про переваги та обмеження EFS.
Роджер Граймз - Редактор Windows IT Pro та консультант з проблем безпеки. Має сертифікати CPA, CISSP, CEH, CHFI, TICSA, MCT, MCSE: Security та Security+.
Для захисту потенційно конфіденційних даних від несанкціонованого доступу при фізичному доступі до комп'ютера та дисків.
Аутентифікація користувача та права доступу до ресурсів, що мають місце в NT, працюють, коли операційна система завантажена, але при фізичному доступі до системи можливо завантажити іншу ОС, щоб обійти ці обмеження. EFS використовує симетричне шифрування для захисту файлів, а також шифрування засноване на парі відкритий/ закритий ключдля захисту випадково згенерованого ключа шифрування кожного файла. За замовчуванням закритий ключ користувача захищений за допомогою шифрування паролем користувача, і захищеність даних залежить від стійкості пароля користувача.
Опис роботи
EFS працює, шифруючи кожен файл за допомогою алгоритму симетричного шифрування, що залежить від версії операційної системита налаштувань (починаючи з Windows XP доступна теоретична можливість використання сторонніх бібліотек для шифрування даних). При цьому використовується випадково згенерований ключ для кожного файлу, званий File Encryption Key(FEK), вибір симетричного шифрування на даному етапі пояснюється його швидкістю та більшою надійністю по відношенню до асиметричного шифрування.
FEK (випадковий для кожного файлу ключ симетричного шифрування) захищається шляхом асиметричного шифрування, що використовує відкритий ключ користувача файлу, що шифрує, і алгоритм RSA (теоретично можливе використання інших алгоритмів асиметричного шифрування). Зашифрований таким чином, ключ FEK зберігається в альтернативному потоці $EFS файлової системи NTFS. Для розшифрування даних драйвер шифрованої файлової системи прозоро для користувача розшифровує FEK, використовуючи закритий ключ користувача, а потім і необхідний файл за допомогою розшифрованого файлового ключа.
Оскільки шифрування/розшифрування файлів відбувається за допомогою драйвера файлової системи (насправді надбудови над NTFS), воно відбувається прозоро для користувача і програм. Варто зауважити, що EFS не шифрує файли, що передаються по мережі, тому для захисту даних, що передаються, необхідно використовувати інші протоколи захисту даних (IPSec або WebDAV).
Інтерфейси взаємодії з EFS
Для роботи з EFS користувач може використовувати графічний інтерфейс провідника або утиліту командного рядка.
Використання графічного інтерфейсу
Для того щоб зашифрувати файл або папку, що містить файл, користувач може скористатися відповідним вікном діалогу властивості файлу або папки, встановивши або знявши прапорець «шифрувати вміст для захисту даних», при цьому для файлів починаючи з Windows XP можна додати відкриті ключі інших користувачів, які теж будуть мати можливість розшифрувати даний файлта працювати з його вмістом (за наявності відповідних дозволів). При шифруванні папки шифруються всі файли в ній, а також ті, які будуть поміщені в неї пізніше.
Wikimedia Foundation. 2010 .
Дивитись що таке "EFS" в інших словниках:
EFS- steht für: EFS Flug Service, ein deutsches Charterflugunternehmen EFS Hausgeräte, eine Haushaltsgerätefirma Encrypting File System, System für Dateiverschlüssung unter Microsoft Windows EFS Euro Finanz Service Vermittlungs AG (EFS AG), ein… … Deutsch Wikipedia
Efs- steht für: EFS Flugservice, ein deutsches Charterflugunternehmen EFS Hausgeräte, eine Haushaltsgerätefirma Encrypting File System, System für Dateiverschlüssung unter Microsoft Windows Error Free Second beim Betrieb von Netzelementen Euro Finanz… … Deutsch Wikipedia
EFS- Saltar a navegación, búsqueda El Encrypting File System (EFS) es un sistema de archivos que, trabajando sobre NTFS, permite cifrado de archivos a nivel de sistema. Доступно для Microsoft Windows 2000 y posteriores. La tecnología… … Wikipedia Español
EFS- може відповісти на одну з наступних: *Електронна Фільм System, електрична платформа в Singapore Judiciary *Emergency Fire Service, зараз Country Fire Service (Australia) *Emperor of Fading Suns, turn based, stratégia video game…
EFS- , ein System zur Verschlüsselung von Dateien und Ordnern unter den Betriebssystemen Windows NT und Windows 2000, so dass sie vor dem Zugriff unberechtigter Benutzer geschützt… … Universal-Lexikon
EFS- Cette page d’homonymie répertorie les différents sujets et articles partageant un même nom. Sigles d’une seule lettre Sigles de deux lettres > Sigles de trois lettres
EFS- ● en sg. m. MS GESTFICH Encrypting File System. système de fichiers crypté, intégré par Microsoft dans Windows 2000, et dont l usage est optionnel. Voir TCFS. Існує не тільки для ефс … Dictionnaire d'informatique francophone
efs- noun the name of the letter F … Вікно
EFS- Encrypting File System (Computing » Security) * Enhance Financial Services Group, Inc. (Business » NYSE Symbols) * Engineered Fiber Selection (Miscellaneous » Clothes) * Effective Financing Statement (Business » Accounting) * Flowchart (EasyFlow) …
EFS- earliest finishing shift; electric field stimulation; European Fraxiparin Study; event free survival …
