Szyfrowany system plików ef s. Szyfrowanie danych w systemie Windows przy użyciu technologii EFS. Zobacz, co oznacza „EFS” w innych słownikach

Jedną z mało znanych funkcji systemu Windows jest system szyfrowania. Szyfrowanie systemu plików(EFS). Umożliwia szybkie szyfrowanie i zabezpieczanie hasłem plików i folderów w systemie Windows przy użyciu własnego konta użytkownika. Ponieważ pliki lub foldery zostały zaszyfrowane przy użyciu hasła do konta użytkownika systemu Windows, inni użytkownicy systemu, w tym administrator, nie mogą otwierać, zmieniać ani przenosić folderów lub plików. EFS jest przydatny, jeśli nie chcesz, aby inni użytkownicy przeglądali Twoje pliki i foldery. W tym przewodniku przyjrzymy się, jak umieścić hasło do folderu i plików za pomocą wbudowanych narzędzi systemu Windows, bez programów innych firm.

System szyfrowania plików i funkcja BitLocker to zupełnie różne systemy szyfrowania. EFS jest mniej bezpieczny niż funkcja BitLocker. Każdy, kto zna hasło do Twojego konta, może z łatwością uzyskać do nich dostęp. Nie będziesz w stanie zaszyfrować całych partycji dysku, EFS działa tylko z plikami i folderami, a BitLocker, wręcz przeciwnie, działa tylko z dyskami i dyskami flash.

Jak umieścić hasło do folderu i plików

Wszystko, co musisz zrobić, to zaznaczyć to pole i utworzyć kopię zapasową certyfikatu bezpieczeństwa. Aby rozpocząć, wybierz folder z plikami, dla których chcesz ustawić hasło za pomocą EFS, kliknij go prawym przyciskiem myszy i wybierz „ nieruchomości".

W zakładce „ogólne” kliknij Inny atrybuty.

W oknie atrybutów dodatkowych zaznacz pole Szyfruj zawartość, aby chronić dane.

Jeżeli w folderze znajdują się pliki, pojawi się poniższe okno. Kliknij Zastosuj do wszystkich podfolderów i plików.

Na pasku zadań pojawi się folder z wykrzyknikiem; kliknij go, aby kontynuować konfigurację.

Utwórz kopię klucza, wybierz opcję „Archiwizuj teraz”.

Ustaw ustawienia jak na obrazku.

Zaznacz pole wyboru „Hasło” i utwórz hasło do swojego folderu i plików.

Nadaj dowolną nazwę swojemu certyfikatowi bezpieczeństwa i wybierz dowolną ścieżkę do jego przechowywania.

Wybrałem pulpit do przechowywania certyfikatu i z kolei ukryłem go we właściwościach folderu.

W Internecie krąży mnóstwo plotek na temat obiektywów Canona, przyznam szczerze, że do niedawna sam myliłem się co do różnicy pomiędzy obiektywami EF i EF-S. W tym artykule starałem się zebrać o nich trochę informacji, które pomogą dokonać wyboru na korzyść tej czy innej modyfikacji, zakończyć spory i rozwiać niektóre mity.

Najpierw rozszyfrujmy skrót EF - pochodzi on od wyrażenia Electro-Focus („Electrofocus”). Wraz z mocowaniem EF dostępny jest system automatycznego ustawiania ostrości wbudowany w optykę, tj. Pomiędzy obiektywem a aparatem nie ma żadnych ruchomych części, jedynie styki, a za ostrość i przysłonę odpowiada silnik elektryczny w obiektywie. Nawiasem mówiąc, pierwszy obiektyw serii EF pojawił się już w 1987 roku.

EF-S to modyfikacja mocowania do aparatów z matrycą formatu APS-C, która została opracowana w 2003 roku. Litera „S” oznacza krótkie ogniskowanie z tyłu. Ostatni element optyczny w takich obiektywach znajduje się bliżej matrycy niż w obiektywach EF. Dla porównania dam zdjęcie dwóch obiektywów z różnymi modyfikacjami mocowania.

Lewy obiektyw EF, prawy EF-S

Jak widać, w prawym obiektywie ostatnia soczewka znajduje się za gwintem bagnetu, czyli tzw. po zamontowaniu na aparacie będzie zauważalnie bliżej matrycy. Tak naprawdę to jedyna, ale bardzo istotna różnica. Faktem jest, że optyki EF-S nie da się zastosować w aparatach pełnoklatkowych. Pomimo kompatybilności mocowania, wystający obiektyw może uszkodzić lustro aparatu. Co więcej, obiektywy EF są kompatybilne i można ich używać z dowolnymi aparatami Canon EOS (DSLR).

W przypadku aparatów w formacie APS-C należy dostosować ogniskową obiektywu. Aby obliczyć ogniskową odpowiadającą ogniskowej uzyskanej na pełnoformatowym sensorze, należy pomnożyć wartości wskazane na obiektywie przez 1,6. W Internecie panuje powszechna opinia, że dla serii EF-S nie jest to konieczne i na optyce podane są rzeczywiste wartości, już po uwzględnieniu przeliczeń. To jest źle. Jako przykład podam opis nowego obiektywu Canon EF-S 18-55mm f/3.5-5.6 IS II z oficjalnej strony firmy:

EF-S 18-55mm f/3.5-5.6 IS II to wysokiej jakości standardowy obiektyw zmiennoogniskowy, który przypadnie do gustu fotografom, którzy wolą podróżować z niewielkim bagażem. Przy ogniskowej odpowiadającej 29–88 mm w formacie 35 mm…

Jak widać, w przypadku tych obiektywów stosowana jest standardowa konwersja ogniskowych i 18-55 zamienia się na 29-88mm. Powstaje całkowicie logiczne pytanie: po co zawracać sobie głowę tym całym ogrodem? Faktem jest, że taka konstrukcja umożliwiła wykonanie lżejszych, mniejszych soczewek. Tak twierdzi Canon, ale faktycznie całkiem możliwe, że dzieje się tak po to, aby niedrogie obiektywy nie były używane z drogim sprzętem pełnoklatkowym.

Kolejny ciekawy akcent: ani EF, ani EF-S nie były licencjonowane przez zewnętrznych producentów optyki, takich jak Sigma czy Tamron. Pomimo zapewnień producentów o 100% kompatybilności, firma Canon nie udziela takiej gwarancji. Dlatego przy zakupie soczewek niemarkowych należy je szczególnie dokładnie przetestować.

Wyciągnijmy wnioski na temat obiektywów Canon:

ogniskowa w aparatach APS-C jest przeliczana dla wszystkich typów obiektywów;
ultraszerokokątny kąt w przyciętych aparatach jest dostępny tylko z obiektywem EF-S 10–22 mm;
Niestety, rybie oko w przyciętych aparatach nie jest w ogóle dostępne;
Obiektywy EF pasują do wszystkich aparatów Canon;
Podczas zmiany aparatu APS-C na pełnoklatkowy nie można używać obiektywów EF-S.

Jeśli w przyszłości planujesz przejście na aparat pełnoklatkowy, rozważ zakup obiektywu z wyprzedzeniem.

Microsoft Windows XP i system szyfrowania plików (EFS) umożliwiają przechowywanie danych na dysku w formacie zaszyfrowanym, jednak w przypadku ponownej instalacji systemu lub usunięcia konta użytkownika zaszyfrowane dane zostaną bezpowrotnie utracone, jeśli nie zostaną podjęte odpowiednie środki ostrożności zapisz certyfikat i klucze i utwórz konto agenta odzyskiwania.

System plików szyfrujący EFS służy do przechowywania zaszyfrowanych plików na woluminach systemu plików NTFS 5.0. Po zaszyfrowaniu pliku lub folderu możesz pracować z nim w taki sam sposób, jak z innymi plikami lub folderami, tj. szyfrowanie jest niewidoczne dla użytkownika, który zaszyfrował plik. Oznacza to, że plik nie musi być odszyfrowywany przed użyciem. Możesz otworzyć plik w zwykły sposób i edytować go.

Praca z systemem EFS jest podobna do korzystania z uprawnień do plików i folderów. Celem obu metod jest ograniczenie dostępu do danych. Jednak uprawnienia do plików i folderów nie chronią Cię, jeśli osoba atakująca uzyska fizyczny dostęp do Twoich danych, na przykład podłączając dysk twardy do innego komputera lub uruchamiając inny system operacyjny, który ma dostęp do woluminów NTFS. Gdy spróbuje otworzyć lub skopiować zaszyfrowany plik lub folder, otrzyma kompleksową odpowiedź: „Brak dostępu”.

Szyfrowanie i deszyfrowanie plików odbywa się poprzez ustawienie atrybutu pliku lub folderu Właściwości folderu lub pliku > Ogólne > Inne > Szyfruj zawartość, aby chronić dane(ryc. 1).

Gdy tylko zaszyfrujemy folder lub plik, Windows utworzy dla nas certyfikat i powiązaną z nim parę kluczy (klucz publiczny i prywatny), na podstawie których pliki zostaną zaszyfrowane i odszyfrowane. Certyfikat to cyfrowy dokument służący do weryfikacji autentyczności i bezpiecznego przesyłania danych w sieciach publicznych (Internet, Intranet, Extranet), wiąże klucz publiczny z obiektem zawierającym odpowiadający mu klucz prywatny.

Naszym zadaniem jest wykonanie kopii zapasowej kluczy. Można to zrobić za pomocą przystawki Konsola zarządzająca Certyfikaty. Domyślnie podczas instalacji systemu go nie ma, dlatego dodamy go w kilku krokach.

Naciśnij przycisk Początek wybierz polecenie Wykonać, Wchodzić mmc i naciśnij przycisk OK. W menu Konsola Wybierz drużynę Dodaj lub usuń przystawkę i naciśnij przycisk Dodać. W polu Sprzęt podwójne kliknięcie Certyfikaty. Następnie zaznacz pole Moje konto użytkownika i naciśnij przycisk Gotowy. W menu Konsola > Opcje ustaw tryb konsoli Niestandardowe - ogr. dostęp, jedno okno kliknij Zastosuj. Konsola jest teraz gotowa do użycia (rys. 2).

Jeśli już zaszyfrowałeś plik lub folder, to Katalog główny konsoli > Certyfikaty - bieżący użytkownik > Osobiste > Certyfikaty powinieneś zobaczyć certyfikat powiązany z kluczem prywatnym, który musimy wyeksportować do pliku. Przejdźmy do tego i wywołajmy menu kontekstowe, wybierz Wszystkie zadania, i wtedy Eksport. W ofercie Wyeksportuj klucz prywatny wraz z certyfikatem odpowie « Tak", pozostawiamy format pliku bez zmian, wpisujemy hasło, którego znajomość będzie nam potrzebna do procedury odwrotnej - importu certyfikatu. Powstały plik z rozszerzeniem .pfx musi być ukryty, ponieważ każdy użytkownik, który zaimportuje ten certyfikat na swoje konto, uzyska dostęp do Twoich plików oczywiście, jeśli pozna lub odgadnie hasło wymagane do zaimportowania certyfikatu.

Zaleca się stosowanie szyfrowania na poziomie folderu. Jeśli folder jest zaszyfrowany, wszystkie pliki i podfoldery utworzone w zaszyfrowanym katalogu są automatycznie szyfrowane. Procedura ta umożliwia utworzenie zaszyfrowanych plików, których dane nigdy nie pojawią się na dysku w postaci zwykłego tekstu – nawet pliki tymczasowe utworzone przez programy w procesie edycji również zostaną zaszyfrowane.

Podczas pracy z zaszyfrowanymi plikami i folderami należy wziąć pod uwagę wiele rzeczy.

Szyfrowane mogą być tylko pliki i foldery znajdujące się na woluminach NTFS. Skompresowanych plików i folderów nie można szyfrować. Jeśli szyfrowanie odbywa się na skompresowanym pliku lub folderze, plik lub folder jest konwertowany do stanu nieskompresowanego.

Zaszyfrowane pliki mogą zostać odszyfrowane, jeśli zostaną skopiowane lub przeniesione na wolumin inny niż wolumin NTFS. Gdy przeniesiesz niezaszyfrowane pliki do zaszyfrowanego folderu, zostaną one automatycznie zaszyfrowane w nowym folderze, ale operacja odwrotna nie spowoduje automatycznego odszyfrowania plików; pliki muszą zostać jawnie odszyfrowane. Pliki z atrybutem System oraz pliki w katalogu systemowym nie mogą być szyfrowane. Szyfrowanie folderu lub pliku nie chroni go przed usunięciem — każdy użytkownik posiadający uprawnienia do usuwania może usuwać zaszyfrowane foldery lub pliki. Z tego powodu zalecane jest używanie systemu EFS w połączeniu z uprawnieniami systemu NTFS. Pliki i foldery na komputerze zdalnym, na którym włączono szyfrowanie zdalne, można szyfrować lub odszyfrowywać. Jeśli jednak zaszyfrowany plik zostanie otwarty w sieci, dane przesyłane przez sieć nie zostaną zaszyfrowane. Do szyfrowania danych przesyłanych przez sieć należy używać innych protokołów, takich jak SSL/TLS lub IPSec.

Przyjrzyjmy się teraz procesowi szyfrowania w systemie Microsoft Windows XP na niższym poziomie, aby uchronić się przed kosztami szyfrowania, a mianowicie utratą danych.

Na początek przypomnijmy sobie dwa główne systemy kryptograficzne. Najprostsze jest szyfrowanie przy użyciu tajnego (symetrycznego) klucza, tj. Ten sam klucz służy do szyfrowania i deszyfrowania danych. Zalety: duża prędkość szyfrowania; wady: problem przekazania tajnego klucza, a mianowicie możliwość jego przechwycenia. Przedstawiciele: DES, 3DES, DESX, AES. Różnica pomiędzy szyfrowaniem kluczem publicznym (szyfrowaniem asymetrycznym) polega na tym, że dane są szyfrowane jednym kluczem i odszyfrowywane innym; przy użyciu tego samego klucza nie można przeprowadzić transformacji odwrotnej. Ta technologia szyfrowania zakłada, że każdy użytkownik ma do dyspozycji parę kluczy – klucz publiczny i klucz prywatny. W ten sposób, swobodnie dystrybuując swój klucz publiczny, dajesz innym użytkownikom możliwość szyfrowania przesyłanych do Ciebie wiadomości, które tylko Ty możesz odszyfrować. Jeśli klucz publiczny dostanie się w niepowołane ręce, nie umożliwi ustalenia tajnego klucza i odszyfrowania danych. Stąd główna zaleta systemów klucza publicznego: nie ma konieczności przesyłania tajnego klucza, ale jest też wada – niska prędkość szyfrowania. Przedstawiciele: RSA, algorytm ElGamala, algorytm Diffiego-Hellmana.

EFS wykorzystuje do szyfrowania wszystkie zalety powyższych systemów. Dane szyfrowane są algorytmem symetrycznym z wykorzystaniem klucza szyfrującego plik (File Encryption Key, FEK). FEK to losowo generowany klucz przez EFS. W następnym kroku FEK jest szyfrowany przy użyciu klucza publicznego użytkownika i przechowywany w atrybucie zwanym polem deszyfrowania danych (DDF) bezpośrednio w samym pliku. Ponadto EFS szyfruje FEK przy użyciu klucza publicznego agenta odzyskiwania i umieszcza go w atrybucie Pole odzyskiwania danych - DRF. Plik DRF może zawierać dane dla wielu agentów odzyskiwania.

Kim jest ten tajemniczy agent odzyskiwania? Data Recovery Agent (DRA) to użytkownik mający dostęp do wszystkich zaszyfrowanych danych innych użytkowników. Ma to znaczenie w przypadku utraty kluczy przez użytkowników lub innych nieprzewidzianych sytuacji. Administrator jest zwykle wyznaczany jako agent odzyskiwania danych. Aby utworzyć agenta odzyskiwania, należy najpierw utworzyć certyfikat odzyskiwania danych i zdefiniować zasady odzyskiwania, a następnie wyznaczyć jednego z użytkowników jako agenta. Polityka odzyskiwania odgrywa ważną rolę w systemie szyfrowania systemu Windows XP, definiuje agentów odzyskiwania, a ich brak lub usunięcie polityki uniemożliwia użytkownikom korzystanie z szyfrowania.

Aby skonfigurować politykę odzyskiwania, musisz uruchomić konsolę Start > Ustawienia > Panel sterowania > Narzędzia administracyjne > Zasady zabezpieczeń lokalnych, w którym przejdź do rzeczy Zasady kluczy publicznych > Systemy plików EFS(ryc. 3). Domyślnie zasady odzyskiwania są takie, że administrator ma uprawnienia do agenta odzyskiwania. Jeśli domyślny certyfikat agenta odzyskiwania zostanie usunięty, a w zasadach nie będzie żadnego innego agenta, na komputerze będą obowiązywać puste zasady odzyskiwania. Pusta strategia odzyskiwania oznacza, że nie ma agenta odzyskiwania. Wyłącza to system EFS, uniemożliwiając użytkownikom szyfrowanie plików na tym komputerze. Możemy utworzyć konto administratora za pomocą agenta odzyskiwania i wyeksportować jego klucz dla niezawodności lub możemy utworzyć nowy certyfikat odzyskiwania i przypisać innego użytkownika jako agenta.

Aby utworzyć certyfikat odzyskiwania, należy skorzystać z narzędzia wiersza poleceń cipher, które służy do zarządzania szyfrowaniem (szczegółowe informacje na temat tego narzędzia można znaleźć w pomocy systemu operacyjnego). Musisz zalogować się z uprawnieniami administratora i wpisać w wierszu poleceń:

cipher /R: nazwa pliku certyfikatu

Następnie wprowadź hasło, które będzie potrzebne w przypadku importu. Pliki certyfikatów mają rozszerzenie . pff(zawiera certyfikat i powiązany z nim klucz publiczny i prywatny) lub. cer(certyfikat i powiązany klucz publiczny) oraz podaną nazwę. Pliki te pozwalają każdemu użytkownikowi systemu zostać agentem odzyskiwania, dlatego naszym zadaniem jest przechowywanie ich w bezpiecznym miejscu, a co najważniejsze nie zapomnij dodać certyfikatu agenta odzyskiwania do polityki klucza publicznego.

Aby utworzyć tego agenta należy wykonać następujące kroki: zalogować się na konto, które ma stać się agentem odzyskiwania danych; w konsoli Certyfikaty przejdź do sekcji Certyfikaty — bieżący użytkownik > Osobiste > Certyfikaty; Dalej Akcja >Wszystkie zadania > Importuj, aby uruchomić Kreatora importu certyfikatów, a następnie zaimportuj certyfikat odzyskiwania. Uwaga: aby odszyfrować pliki należy zaimportować klucz prywatny, dlatego przy wyborze pliku do importu skorzystaj z pliku .pfx.

Za wadę szyfrowania przy użyciu EFS często uważa się brak możliwości transportu zaszyfrowanych danych, tj. Nie będzie możliwe zapisanie danych w pustym miejscu bez utraty ich tajemnicy. Ale to nie do końca prawda - rzeczywiście nie można ich po prostu zapisać, ale można skorzystać z programu do archiwizacji dla systemu Windows XP - Kopia zapasowa NTB w takim przypadku dane zostaną skopiowane na określony nośnik bez odszyfrowywania, a nośnik może nie obsługiwać systemu plików NTFS 5.0. Po odzyskaniu zaszyfrowane dane pozostają zaszyfrowane.

I jeszcze kilka wskazówek. Zawsze włączaj szyfrowanie folderów, ponieważ chroni to pliki tymczasowe. Wyeksportuj klucz prywatny konta agenta odzyskiwania, przechowuj go w bezpiecznym miejscu, a następnie usuń z komputera. Zmieniając zasady odzyskiwania, nie spiesz się z usuwaniem starych certyfikatów, dopóki nie będziesz mieć pewności, że wszystkie pliki zaszyfrowane tymi certyfikatami nie zostaną zaktualizowane.

Pamiętaj: „złe” szyfrowanie może wyrządzić więcej szkody niż pożytku!

Strona 1 z 5

Szyfrujący system plików to usługa ściśle zintegrowana z systemem NTFS, zlokalizowana w jądrze systemu Windows 2000. Jej zadaniem jest ochrona danych przechowywanych na dysku przed nieuprawnionym dostępem poprzez ich szyfrowanie. Pojawienie się tej usługi nie jest przypadkowe i było oczekiwane od dawna. Faktem jest, że istniejące obecnie systemy plików nie zapewniają niezbędnej ochrony danych przed nieuprawnionym dostępem. Uważny czytelnik może się mi sprzeciwić: co z Windows NT i jego NTFS? W końcu NTFS zapewnia kontrolę dostępu i ochronę danych przed nieautoryzowanym dostępem! Tak, to prawda. Co jednak w sytuacji, gdy dostęp do partycji NTFS odbywa się nie za pomocą systemu operacyjnego Windows NT, ale bezpośrednio, na poziomie fizycznym? Przecież jest to stosunkowo łatwe do wdrożenia, na przykład poprzez uruchomienie systemu z dyskietki i uruchomienie specjalnego programu: na przykład bardzo popularnego ntfsdos. Bardziej wyrafinowanym przykładem jest produkt NTFS98, który można pobrać

(wersja niezarejestrowana umożliwia odczyt woluminów NTFS z systemu Windows 98, wersja zarejestrowana umożliwia także zapis na takich woluminach). Można oczywiście przewidzieć taką możliwość i ustawić hasło uruchamiające system, jednak praktyka pokazuje, że takie zabezpieczenie jest nieskuteczne, zwłaszcza gdy na tym samym komputerze pracuje kilku użytkowników. A jeśli atakujący może usunąć dysk twardy z komputera, żadne hasła nie pomogą. Podłączając dysk do innego komputera, jego zawartość można odczytać z taką samą łatwością, jak w tym artykule. W ten sposób osoba atakująca może swobodnie przejąć w posiadanie poufne informacje przechowywane na dysku twardym.

Jedynym sposobem ochrony przed fizycznym odczytem danych jest szyfrowanie plików. Najprostszym przypadkiem takiego szyfrowania jest archiwizacja pliku z hasłem. Istnieje jednak wiele poważnych wad. Po pierwsze, użytkownik musi ręcznie zaszyfrować i odszyfrować (czyli w naszym przypadku zarchiwizować i zdearchiwizować) dane każdorazowo przed rozpoczęciem i po zakończeniu pracy, co samo w sobie zmniejsza bezpieczeństwo danych. Użytkownik może zapomnieć o zaszyfrowaniu (zarchiwizowaniu) pliku po zakończeniu pracy lub (co jeszcze bardziej powszechne) po prostu zostawić kopię pliku na dysku. Po drugie, hasła utworzone przez użytkowników są zazwyczaj łatwe do odgadnięcia. W każdym razie istnieje wystarczająca liczba narzędzi, które pozwalają rozpakować archiwa chronione hasłem. Z reguły takie narzędzia zgadują hasła, przeszukując słowa zapisane w słowniku.

Aby przezwyciężyć te niedociągnięcia, opracowano system EFS. Poniżej przyjrzymy się bardziej szczegółowo szczegółom technologii szyfrowania, interakcji EFS z użytkownikiem i metodom odzyskiwania danych, zapoznamy się z teorią i implementacją EFS w Windows 2000, a także przyjrzymy się przykładowi szyfrowania katalogu za pomocą EFS.

Technologia szyfrowania

EFS wykorzystuje architekturę Windows CryptoAPI. Opiera się na technologii szyfrowania kluczem publicznym. Aby zaszyfrować każdy plik, generowany jest losowo klucz szyfrowania pliku. W takim przypadku do zaszyfrowania pliku można zastosować dowolny algorytm szyfrowania symetrycznego. Obecnie EFS wykorzystuje jeden algorytm DESX, który jest specjalną modyfikacją powszechnie stosowanego standardu DES.

Klucze szyfrujące EFS są przechowywane w puli pamięci rezydentnej (sam EFS znajduje się w jądrze systemu Windows 2000), co zapobiega nieautoryzowanemu dostępowi do nich poprzez plik strony.

Interakcja z użytkownikiem

Domyślnie system EFS jest skonfigurowany w taki sposób, że użytkownik może od razu rozpocząć szyfrowanie plików. W przypadku plików i katalogów obsługiwane jest szyfrowanie i operacje odwrotne. Jeśli katalog jest zaszyfrowany, wszystkie pliki i podkatalogi tego katalogu są automatycznie szyfrowane. Należy zauważyć, że jeśli zaszyfrowany plik zostanie przeniesiony lub zmieniona jego nazwa z zaszyfrowanego katalogu na niezaszyfrowany, nadal pozostanie zaszyfrowany. Operacje szyfrowania/deszyfrowania można wykonać na dwa różne sposoby — za pomocą Eksploratora Windows lub narzędzia konsoli Cipher.

Aby zaszyfrować katalog w Eksploratorze Windows, użytkownik musi po prostu wybrać jeden lub więcej katalogów i zaznaczyć pole szyfrowania w oknie zaawansowanych właściwości katalogu. Wszystkie pliki i podkatalogi utworzone później w tym katalogu również zostaną zaszyfrowane. W ten sposób możesz zaszyfrować plik, po prostu kopiując (lub przenosząc) go do „zaszyfrowanego” katalogu.

Zaszyfrowane pliki są przechowywane na dysku w postaci zaszyfrowanej. Podczas odczytu pliku dane są automatycznie odszyfrowywane, a podczas zapisywania są automatycznie szyfrowane. Użytkownik może pracować z zaszyfrowanymi plikami w taki sam sposób, jak ze zwykłymi plikami, czyli otwierać i edytować dokumenty w edytorze tekstu Microsoft Word, edytować rysunki w edytorze graficznym Adobe Photoshop lub Paint i tak dalej.

Należy zauważyć, że w żadnym wypadku nie należy szyfrować plików używanych podczas uruchamiania systemu - w tym momencie osobisty klucz użytkownika, za pomocą którego przeprowadzane jest odszyfrowanie, nie jest jeszcze dostępny. Może to uniemożliwić uruchomienie systemu! EFS zapewnia prostą ochronę przed takimi sytuacjami: pliki z atrybutem „system” nie są szyfrowane. Jednak bądź ostrożny: może to spowodować lukę w zabezpieczeniach! Sprawdź, czy atrybut pliku jest ustawiony na „system”, aby mieć pewność, że plik zostanie rzeczywiście zaszyfrowany.

Należy także pamiętać, że zaszyfrowanych plików nie można kompresować w systemie Windows 2000 i odwrotnie. Innymi słowy, jeśli katalog jest skompresowany, jego zawartość nie może zostać zaszyfrowana, a jeśli zawartość katalogu jest zaszyfrowana, nie można go skompresować.

Jeśli wymagane jest odszyfrowanie danych, wystarczy odznaczyć pola szyfrowania dla wybranych katalogów w Eksploratorze Windows, a pliki i podkatalogi zostaną automatycznie odszyfrowane. Należy zauważyć, że ta operacja zwykle nie jest wymagana, ponieważ EFS zapewnia użytkownikowi „przejrzyste” doświadczenie z zaszyfrowanymi danymi.

System szyfrowania plików (EFS) to zaawansowana opcja ochrony danych przechowywanych na komputerach z systemem Windows. EFS jest bezpłatny i jest dostępny w każdym systemie operacyjnym od Windows 2000. Wszędzie następuje udoskonalanie technologii i EFS nie jest wyjątkiem. Wraz z rozwojem technologii korzystanie z systemu EFS w większości środowisk pamięci masowej stało się znacznie łatwiejsze. Jednak system EFS może nie być potrzebny wszędzie, dlatego należy zawęzić zakres i kontrolę do zakresu, w którym można używać takiego systemu plików. Dlatego świetnym pomysłem będzie wykorzystanie zasad grupy do zarządzania EFS.

Dwa etapy zarządzania EFS

EFS ma dwa poziomy konfiguracji. Pierwszy poziom jest ustawiany na poziomie komputera, który określa, czy ten system plików będzie obsługiwany i dostępny. Drugi poziom to poziom folderów i plików; ten poziom wykonuje szyfrowanie danych.

Systemy Windows 2000 (Server i Professional), Windows XP Professional, Windows Server 2003, Windows Vista i Windows Server 2008 obsługują szyfrowanie danych znajdujących się na komputerze. Domyślnie wszystkie te komputery obsługują szyfrowanie danych przy użyciu systemu EFS. Oczywiście może to być również cecha negatywna, ponieważ niektóre dane lub niektóre komputery nie powinny szyfrować danych ze względów logistycznych.

Logistyka, o której tu mówię, polega na umożliwieniu użytkownikom szyfrowania danych. Ponieważ wszystkie komputery domyślnie obsługują szyfrowanie danych i każdy użytkownik może je zaszyfrować, dane na komputerze lokalnym mogą być szyfrowane, podobnie jak dane udostępniane w sieci. Rysunek 1 przedstawia opcje szyfrowania danych na komputerze z systemem Windows XP Professional.

Rysunek 1: Szyfrowanie danych jest właściwością

Aby uzyskać dostęp do opcji szyfrowania, jak pokazano na rysunku 1, wystarczy wybrać właściwości pliku lub folderu, który chcesz zaszyfrować, klikając prawym przyciskiem myszy i wywołując menu kontekstowe Właściwości szyfrowanego obiektu. Następnie kliknij przycisk „Zaawansowane” w oknie dialogowym właściwości, co z kolei wyświetli okno dialogowe „Atrybuty zaawansowane”.

Kontrolowanie obsługi EFS dla komputerów w domenie Active Directory

Gdy komputer przyłącza się do domeny Active Directory, nie można już kontrolować opcji obsługi systemu EFS na tym komputerze. Zamiast tego funkcja ta jest kontrolowana przez domyślne zasady domeny przechowywane w usłudze Active Directory. Wszystkie komputery należące do domeny Windows Active Directory obsługują EFS po prostu dołączając do niej.

Należy pamiętać, że domeny systemu Windows 2000 zarządzają tą konfiguracją w standardowych zasadach domeny inaczej niż domeny systemów Windows Server 2003 i Windows Server 2008.

Kontrola domeny systemu Windows 2000 za pośrednictwem systemu EFS

Komputery z systemem Windows 2000 obsługują nieco inny system EFS niż nowsze systemy operacyjne, więc ustawienie systemu EFS na nich jest inne w standardowych zasadach domeny. W systemie Windows 2000 włączanie i wyłączanie systemu EFS opiera się na certyfikacie agenta odzyskiwania danych EFS zawartym w standardowych zasadach domeny. Domyślnie konto administratora posiada taki certyfikat i jest skonfigurowane jako agent odzyskiwania danych. Jeśli brakuje certyfikatu odzyskiwania danych, system EFS nie będzie działać.

Aby uzyskać dostęp do tego ustawienia w standardowych zasadach domeny, postępuj zgodnie z następującą ścieżką podczas edytowania obiektu GPO w Edytorze zasad grupy:

Konfiguracja komputera\Ustawienia systemu Windows\Opcje zabezpieczeń\Zasady kluczy publicznych\Agenci odzyskiwania zaszyfrowanych danych

W tej lokalizacji zobaczysz certyfikat szyfrowania pliku EFS dla administratora, jak pokazano na rysunku 2.

Rysunek 2: Domeny systemu Windows 2000 wyświetlają certyfikat szyfrowania plików EFS jako nazwę użytkownika, np. „Administrator”

To ustawienie umożliwia wszystkim komputerom szyfrowanie plików. Aby wyłączyć tę funkcję, wystarczy usunąć certyfikat administratora z obiektu GPO. Jeśli następnie zdecydujesz się włączyć tę funkcję na ograniczonej liczbie komputerów w usłudze Active Directory, będziesz musiał wykonać następujące kroki:

Utwórz nowy obiekt GPO i powiąż go z jednostką organizacyjną zawierającą wszystkie komputery wymagające obsługi szyfrowania plików.
Przejdź do zakładki Agenci odzyskiwania zaszyfrowanych plików w obiekcie GPO i dodaj certyfikat obsługujący odzyskiwanie danych EFS.

Dzięki temu komputery objęte obiektem zasad grupy będą mogły korzystać z systemu EFS w przypadku danych przechowywanych na tych komputerach.

Kontroluj domeny Windows 2003 i 2008 za pośrednictwem EFS

Nowsze domeny i systemy operacyjne (wszystkie wydane po Windows 2000) obsługują EFS w podobny sposób, ale mają swoje specyficzne różnice.

Do szyfrowania danych na komputerach z systemem nowszym niż Windows 2000 nie są wymagane żadne agenty odzyskiwania danych.
System EFS nie jest kontrolowany poprzez dołączenie certyfikatu agenta odzyskiwania danych do obiektu GPO.
EFS obsługuje dostęp wielu użytkowników do zaszyfrowanych plików.

Dlatego w przypadku domen systemów Windows 2003 i 2008 potrzebny będzie inny zestaw zadań do monitorowania systemu EFS na komputerach należących do tych domen. Jednak ustawienie to nadal znajduje się w standardowej polityce domeny. Tutaj będziesz potrzebować następującej ścieżki:

Konfiguracja komputera\Ustawienia systemu Windows\Opcje zabezpieczeń\Zasady kluczy publicznych\System szyfrowania plików

Teraz zamiast konwertować agenta odzyskiwania danych, kliknij prawym przyciskiem myszy zakładkę EFS. Z wyświetlonego menu opcji wybierz Właściwości. Tutaj zobaczysz wiersz w domenie Windows 2003 z informacją „Zezwalaj użytkownikom na szyfrowanie plików przy użyciu systemu szyfrowania plików (EFS)”. Domeny systemu Windows Server 2008 mają radykalnie inny interfejs, zapewniający bogatą obsługę EFS na tej stronie właściwości, jak pokazano na rysunku 3.

Rysunek 3: Windows Server 2008 zapewnia bogatą kontrolę nad systemem EFS

Należy pamiętać, że w zakładce „Ogólne” znajduje się przeciwny przycisk o nazwie „Nie zezwalaj”. Tego ustawienia można użyć do wyłączenia obsługi systemu EFS na wszystkich komputerach w domenie. Należy również pamiętać, że w tym oknie dialogowym dostępnych jest wiele innych opcji monitorowania EFS.

Można także określić określone komputery w domenie, wykonując czynności opisane w powyższej sekcji dotyczącej domeny systemu Windows 2000.

Wniosek

EFS to bardzo potężna i użyteczna opcja. Może szyfrować dane przechowywane na komputerach z systemem Windows. Szyfrowanie pomoże chronić dane przed użytkownikami lub hakerami, którzy próbują uzyskać do nich dostęp, ale nie są w stanie ich odszyfrować. EFS jest procesem dwuetapowym. Najpierw należy aktywować EFS na komputerze. Tą opcją można sterować za pomocą zasad grupy lub gdy komputer jest przyłączony do domeny. Administratorzy mają prawo włączyć lub wyłączyć EFS na dowolnym komputerze w domenie poprzez ustawienie obiektu GPO. Jeśli wyłączysz system EFS dla wszystkich komputerów, a następnie utworzysz i skonfigurujesz nowy obiekt GPO, tylko niektóre komputery będą mogły korzystać z systemu EFS.