- •2. Домашние задания и методические указания по их выполнению
- •2.1. Первое домашнее задание
- •Шифрация
- •Дешифрация
- •2.2 Второе домашнее задание Использование агента восстановления
- •4. Лабораторные задания и методические указания по их выполнению
- •4.1. Лабораторные задания
- •Шифрование и расшифрование файлов.
- •Упражнение 1. Шифрование файлов
- •Упражнение 2. Проверка зашифрованного файла Проверка шифрации файла
- •Попытка отмены шифрации
- •Упражнение 3. Расшифровка файлов и папок
- •5. Указания по выполнению отчета.
- •6. Контрольные вопросы по выполненной работе.
Шифрация
Рекомендуемый метод шифрации файлов предполагает создание папки на томе NTFS и последующую ее шифрацию. Чтобы зашифровать папку, следует открыть окно Свойства (Properties) для папки и щелкнуть вкладку Общие (General), а на ней — кнопку Другие (Advanced) и установить флажок Шифровать содержимое для защиты данных (Encrypt Contents To Secure Data). Все файлы, размещенные в папке, будут зашифрованы и сама папка будет помечена как зашифрованная. Папка, помеченная как зашифрованная, в действительности не шифруется; шифруются только файлы, размещенные в этой папке.
Примечание Сжатые файлы NTFS не могут быть зашифрованы, а зашифрованные файлы не могут быть сжаты с использованием сжатия NTFS.
После того как папка зашифрована, сохраняемые в ней файлы будут шифроваться с использованием ключа шифрования, представляющего собой симметричный ключ для шифрации. Файл шифруется блоками с использованием различных ключей шифрации для каждого блока. Все ключи шифрации файла затем зашифровываются с помощью открытого ключа пользователя и в зашифрованном виде помещаются в поля Data Decryption Field (DDF) и Data Recovery Field (DRF) в заголовке файла.
Возможности файловой системы Microsoft Encrypting File System Таблица 1
Функция |
Описание |
Прозрачная шифрация |
Используя EFS, владельцу файла при работе с ним не надо расшифровывать его каждый раз, а затем зашифровывать снова. Дешифрация и шифрация файла производятся незаметно для пользователя при чтении файла и записи файла на диск |
Интегрированная система восстановления данных |
Если закрытый ключ владельца недоступен, агент восстановления может открыть файл, используя собственный закрытый ключ. Может быть несколько агентов восстановления, каждый со своим открытым ключом, но для шифрации файла в системе должен быть по крайней мере один агент восстановления. |
Защита ключей шифрования |
Шифрация с открытым ключом защищает данные от всех методов атак, кроме самых сложных. Поэтому в EFS в качестве ключа шифрации используется открытый ключ из сертификата пользователя. (Обратите внимание, что Windows XP Professional и Windows 2000 используют сертификаты Х.509 v3.) Список ключей, используемых для шифрации файла, хранится вместе с ним и уникален для этого файла. Для дешифрации файла владелец предоставляет закрытый ключ, имеющийся только у него |
Защита временных файлов |
Многие приложения создают временные и файлов подкачки копии файлов во время редактирования документов, и эти временные файлы сохраняются на диске в незашифрованном виде. На компьютерах под управлением Windows XP Professional система EFS применяется на уровне папок, благодаря чему любые временные копии зашифрованных файлов также шифруются, при условии, что все файлы располагаются на томах NTFS. EFS располагается в ядре операционной системы Windows и использует невыгружаемый пул для хранения ключей шифрации файлов, что гарантирует отсутствие копий этих ключей в файле подкачки |
Вы работаете с зашифрованным файлом точно так же, как и с любым другим, поскольку шифрация прозрачна для пользователя. Расшифровывать файл перед его использованием не требуется. Когда вы открываете зашифрованный файл, ваш закрытый ключ применяется к полю DDF для разблокирования списка ключей шифрации, позволяющих преобразовать содержимое файла в обычный вид. EFS автоматически определяет зашифрованные файлы, местоположение пользовательских сертификатов и закрытый ключ. Вы открываете файл, вносите в него изменения и закрываете его точно так же, как при работе с любым другим файлом. Однако, если кто-либо еще попытается открыть ваш зашифрованный файл, он не сможет этого сделать и получит сообщение, что доступ к файлу запрещен.
Осторожно! Если администратор удаляет пароль учетной записи пользователя, то данный пользователь теряет все свои зашифрованные файлы EFS, личные сертификаты и сохраненные пароли для Web-сайтов и сетевых ресурсов. Для предотвращения такой ситуации каждый пользователь должен создать дискету восстановления паролей. Для этого следует открыть окно Учетные записи пользователей (User Accounts) и в разделе Связанные задачи (Related Tasks) щелкнуть пункт Предотвратить потерю паролей (Prevent A Forgotten Password). Мастер сохранения паролей (Forgotten Password Wizard) поможет создать диск восстановления паролей.