Окно «Дополнительных атрибутов» (свойства объекта ФС)
23
Шифрование файлов (папок)
•Впервые реализовала в NTFS 5.0 (Windows 2000). В Windows Server 2003 и Windows XP функциональность и набор компонентов EFS были расширены.
•Использовать EFS для шифрования содержимого файлов и папок сравнительно просто:
–пользователям Windows достаточно установить флажок «Шифровать содержимое для защиты данных» окна «Дополнительные свойства файла»;
–выбрать команду Шифровать из контекстного меню файла или папки.(Команда Зашифровать/Дешифровать контекстного меню — малоизвестная функция, по умолчанию отключенная. Чтобы ее активизировать, необходимо добавить параметр EncryptionContext Menu со значением 1 типа REG_DWORD в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\ Explorer\Advanced).
24
EFS
•Если атрибут шифрования установлен на уровне папки NTFS, то вновь создаваемые файлы в папке будут шифроваться автоматически.
•Если при запросе установить переключатель - «Применить эти атрибуты только к этой папке или также ко всем вложенным файлам и папкам» в положение: «Только к этой папке», то файлы, находившиеся в папке до установки атрибута шифрования, шифроваться не будут. То же относится и к дешифрации.
•С помощью инструмента Cipher.exe компании Microsoft можно автоматизировать шифрование и управлять им из командной строки.
25
26
EFS
•Внутренний механизм EFS — отличный пример гибридного решения шифрования, в котором объединены возможности симметричного и асимметричного шифрования.
•Асимметричные шифры труднее взломать, но для их обработки требуется больше времени, чем для
симметричных шифров.
•EFS использует симметричный шифр Advanced Encryption Standard (AES) для шифрования данных и асимметричный шифр RSA — для надежного хранения ключа шифрования данных.
•Ключ шифрования данных EFS известен как FEK (File Encryption Key — ключ шифрования файлов)
27
EFS
•При копировании зашифрованных данных из ФС NTFS в ФС FAT шифрование будет утеряно.
•Главная болевая точка EFS — потеря данных из-за того, что пользователи не знают или просто забывают, как важно делать резервные копии закрытого ключа EFS.
•Если пользователи устанавливают новую операционную систему Windows или копируют и восстанавливают защищенные EFS данные между различными компьютерами (между ФС NTFS), не принадлежащими одному домену, но при этом не копируют старый закрытый ключ EFS с предыдущего компьютера или операционной системы, чтобы импортировать его в новую среду, то доступ к данным, ранее зашифрованным с применением EFS, будет потерян.
•В автономных системах, начиная с версии Vista, операционная система автоматически приглашает пользователя сделать резервную копию закрытого ключа EFS.
28
EFS
•Управление секретными ключами осуществляется с помощью оснастки «Сертификаты».
•Сертификат - это документ с цифровой подписью, связывающий значение открытого ключа с удостоверением пользователя, устройства или службы, которым принадлежит соответствующий закрытый ключ. Большинство широко используемых сертификатов базируются на стандарте сертификата X.509v3.
•(Vista/7) Пользователь может в любое время запустить мастер резервного копирования ключа вручную из утилиты Учетные записи пользователей панели управления, используя задачу Управление сертификатами шифрования файлов и выбрав режим Копировать в файл.
29
Управление
сертификатами
Окно оснастки «Сертификаты»
31
Шифрование
•EFS дополняет другие технологии защиты и шифрования данных — BitLocker Drive Encryption (BDE) и Windows Rights Management Services (RMS), уже применяемые в продуктах Microsoft.
32