63. Шифрование данных с помощью efs

Encrypting File System (EFS) - система шифрования данных, реализующая шифрование на уровне файлов в операционных системах Microsoft Windows NT(начиная с Windows 2000 и выше), за исключением "домашних" версий (Windows XP Home Edition, Windows Vista Basic и Windows Vista Home Premium). Данная система предоставляет возможность "прозрачного шифрования" данных хранящихся на разделах с файловой системой NTFS для защиты потенциально конфиденциальных от несанкционированного доступа при физическом доступе к компьютеру и дискам.

Аутентификация пользователя и права доступа к ресурсам имеющие место в NT работают когда операционная система загружена, но при физическом доступе к системе возможно загрузить другую ОС чтобы обойти эти ограничения. EFS использует симметричное шифрование для защиты файлов, а также шифрование основанное на паре открытый/закрытый ключ для защиты случайно-сгенерированного ключа шифрования для каждого файла. По умолчанию закрытый ключ пользователя защищён с помощью шифрования пользовательским паролем и защищённость данных зависит от стойкости пароля пользователя.

Описание работы

EFS работает шифруя каждый файл с помощью алгоритма симметричного шифрования зависящего от версии операционной системы и настроек (начиная с Windows XP доступна теоретическая возможность использования сторонних библиотек для шифрования данных), при этом используется случайно-сгенерированный ключ для каждого файла, называемый File Encryption Key (FEK), выбор симметричного шифрования на данном этапе объясняется его скоростью и большей надёжностью по отношению к асимметричному шифрованию.

FEK (случайный для каждого файла ключ симметричного шифрования) защищается путём ассиметричного шифрования использующим открытый ключ пользователя шифрующего файл и алгоритм RSA (теоретически возможно использование других алгаритмов ассиметричного шифрования). Зашифрованный таким образом ключ FEK сохраняется в альтернативном потоке $EFS файловой системы NTFS. Для расшифрования данных драйвер шифрованной файловой системы прозрачно для пользователя расшифровывает FEK используя закрытый ключ пользователя, а затем и необходимый файл с помощью расшифрованного файлового ключа.

Поскольку шифрование/дешифрование файлов происходит с помощью драйвера файловой системы (по сути надстройки над NTFS), оно происходит прозрачно для пользователя и приложений.

Работа с EFS пользователем

Для работы с EFS у пользователя есть возможность использовать графический интерфейс проводника или утилиту командной строки.

64. Утилита дефрагментации дисков

Операционная система не всегда располагает информацию файлов и папок в одном непрерывном пространстве. Фрагменты данных могут находиться в различных кластерах жесткого диска. В результате при удалении файлов освобождающееся дисковое пространство также становится фрагментированным. Чем выше степень фрагментации жесткого диска, тем ниже производительность файловой системы. Для решения этой проблемы в состав операционных систем Windows XP и Windows Server 2003 включена оснастка Disk Defragmenter (Дефрагментация диска) (рис. 8.8).

Рис. 8.8. Окно оснастки Disk Defragmenter

В процессе дефрагментации кластеры диска организуются таким образом, чтобы файлы, папки и свободное пространство по возможности располагались непрерывно. В результате значительно повышается производительность файловой системы, поскольку сокращается количество операций ввода/вывода, необходимое для чтения определенного объема информации. Следует отметить, что при дефрагментации свободное пространство не объединяется в одну непрерывную область, а располагается в нескольких областях. Это значительно сокращает время выполнения дефрагментации и практически не уменьшает производительность файловой систему, получаемую после дефрагментации.

Поскольку операционная система Windows Server 2003 резервирует в начале жесткого диска пространство для системных файлов, оснастка Disk Defragmenter не помещает файлы в зарезервированную область жесткого диска, а переносит их за ее пределы.

Оснастка Disk Defragmenter работает с томами жесткого диска, сформатированными для файловых систем FAT, FAT32 и NTFS. Она осуществляет выполнение двух отдельных операций — анализ и дефрагментацию. В процессе анализа на томе жесткого диска не выполняются никакие изменения. Все необходимые перемещения информации производятся при дефрагментации. В определенный момент времени дефрагментации может быть подвергнут только один том.

В Windows Server 2003 улучшены возможности дефрагментации томов NTFS.

Можно работать с томами, имеющими кластеры любого размера (в Windows 2000 кластеры не должны превышать 4 Кбайт).

Обрабатываются файлы, занимающие любое количество кластеров.

Возможна дефрагментация Master File Table (MFT, главная таблица файлов).