Шифрованные файловые системы. Шифрующая файловая система (EFS)

Страница 1 из 5

Шифрующая файловая система это тесно интегрированная с NTFS служба, располагающаяся в ядре Windows 2000. Ее назначение: защита данных, хранящихся на диске, от несанкционированного доступа путем их шифрования. Появление этой службы не случайно, и ожидалось давно. Дело в том, что существующие на сегодняшний день файловые системы не обеспечивают необходимую защиту данных от несанкционированного доступа. Внимательный читатель может возразить мне: а как же Windows NT с ее NTFS? Ведь NTFS обеспечивает разграничение доступа и защиту данных от несанкционированного доступа! Да, это правда. Но как быть в том случае, когда доступ к разделу NTFS осуществляется не с помощью средств операционной системы Windows NT, а напрямую, на физическом уровне? Ведь это сравнительно легко реализовать, например, загрузившись с дискеты и запустив специальную программу: например, весьма распространенную ntfsdos. В качестве более изощренного примера можно указать продукт NTFS98, который можно скачать

(незарегистрированная версия позволяет читать тома NTFS из под Windows98, зарегистрированная версия позволяет к тому же производить запись на такие тома). Конечно, можно предусмотреть такую возможность, и задать пароль на запуск системы, однако практика показывает, что такая защита малоэффективна, особенно в том случае, когда за одним компьютером работают сразу несколько пользователей. А если злоумышленник может извлечь жесткий диск из компьютера, то здесь уже не помогут никакие пароли. Подключив диск к другому компьютеру, его содержимое можно будет прочитать с такой же легкостью, что и эту статью. Таким образом, злоумышленник свободно может овладеть конфиденциальной информацией, которая хранится на жестком диске.

Единственный способ защиты от физического чтения данных это шифрование файлов. Простейший случай такого шифрования - архивирование файла с паролем. Однако здесь есть ряд серьезных недостатков. Во-первых, пользователю требуется каждый раз вручную шифровать и дешифровать (то есть, в нашем случае архивировать и разархивировать) данные перед началом и после окончания работы, что уже само по себе уменьшает защищенность данных. Пользователь может забыть зашифровать (заархивировать) файл после окончания работы, или (еще более банально) просто оставить на диске копию файла. Во-вторых, пароли, придуманные пользователем, как правило, легко угадываются. В любом случае, существует достаточное количество утилит, позволяющих распаковывать архивы, защищенные паролем. Как правило, такие утилиты осуществляют подбор пароля путем перебора слов, записанных в словаре.

Система EFS была разработана с целью преодоления этих недостатков. Ниже мы рассмотрим более подробно детали технологии шифрования, взаимодействие EFS с пользователем и способы восстановления данных, познакомимся с теорией и реализацией EFS в Windows 2000, а также рассмотрим пример шифрования каталога при помощи EFS.

Технология шифрования

EFS использует архитектуру Windows CryptoAPI. В ее основе лежит технология шифрования с открытым ключом. Для шифрования каждого файла случайным образом генерируется ключ шифрования файла. При этом для шифрования файла может применяться любой симметричный алгоритм шифрования. В настоящее же время в EFS используется один алгоритм, это DESX, являющийся специальной модификацией широко распространенного стандарта DES.

Ключи шифрования EFS хранятся в резидентном пуле памяти (сама EFS расположена в ядре Windows 2000), что исключает несанкционированный доступ к ним через файл подкачки.

Взаимодействие с пользователем

По умолчанию EFS сконфигурирована таким образом, что пользователь может сразу начать использовать шифрование файлов. Операция шифрования и обратная поддерживаются для файлов и каталогов. В том случае, если шифруется каталог, автоматически шифруются все файлы и подкаталоги этого каталога. Необходимо отметить, что если зашифрованный файл перемещается или переименовывается из зашифрованного каталога в незашифрованный, то он все равно остается зашифрованным. Операции шифрования/дешифрования можно выполнить двумя различными способами - используя Windows Explorer или консольную утилиту Cipher.

Для того чтобы зашифровать каталог из Windows Explorer, пользователю нужно просто выбрать один или несколько каталогов и установить флажок шифрования в окне расширенных свойств каталога. Все создаваемые позже файлы и подкаталоги в этом каталоге будут также зашифрованы. Таким образом, зашифровать файл можно, просто скопировав (или перенеся) его в "зашифрованный" каталог.

Зашифрованные файлы хранятся на диске в зашифрованном виде. При чтении файла данные автоматически расшифровываются, а при записи - автоматически шифруются. Пользователь может работать с зашифрованными файлами так же, как и с обычными файлами, то есть открывать и редактировать в текстовом редакторе Microsoft Word документы, редактировать рисунки в Adobe Photoshop или графическом редакторе Paint, и так далее.

Необходимо отметить, что ни в коем случае нельзя шифровать файлы, которые используются при запуске системы - в это время личный ключ пользователя, при помощи которого производится дешифровка, еще недоступен. Это может привести к невозможности запуска системы! В EFS предусмотрена простая защита от таких ситуаций: файлы с атрибутом "системный" не шифруются. Однако будьте внимательны: это может создать "дыру" в системе безопасности! Проверяйте, не установлен ли атрибут файла "системный" для того, чтобы убедиться, что файл действительно будет зашифрован.

Важно также помнить о том, что зашифрованные файлы не могут быть сжаты средствами Windows 2000 и наоборот. Иными словами, если каталог сжат, его содержимое не может быть зашифровано, а если содержимое каталога зашифровано, то он не может быть сжат.

В том случае, если потребуется дешифровка данных, необходимо просто снять флажки шифрования у выбранных каталогов в Windows Explorer, и файлы и подкаталоги автоматически будут дешифрованы. Следует отметить, что эта операция обычно не требуется, так как EFS обеспечивает "прозрачную" работу с зашифрованными данными для пользователя.

Encrypting File System

Шифрующая файловая система - это тесно интегрированная с NTFS служба, располагающаяся в ядре Windows 2000. Ее назначение: защита данных, хранящихся на диске, от несанкционированного доступа путем их шифрования. Появление этой службы не случайно и ожидалось давно. дело в том, что существующие на сегодняшний день файловые системы не обеспечивают необходимую защиту данных от несанкционированного доступа.

Хотя и NTFS обеспечивает разграничение доступа и защиту данных от несанкционированного доступа, но как быть в том случае, когда доступ к разделу NTFS осуществляется не с помощью средств операционной системы Windows NТ, а напрямую, на физическом уровне? Ведь это сравнительно легко реализовать, например, загрузившись с дискеты и запустив специальную программу: например, весьма распространенную Конечно, можно предусмотреть такую возможность, и задать пароль на запуск системы, однако практика показывает, что такая защита малоэффективна, особенно в том случае, когда за одним компьютером работают сразу несколько пользователей. А если злоумышленник может извлечь жесткий диск из компьютера, то здесь уже не помогут никакие пароли. Подключив диск к другому компьютеру, его содержимое можно будет прочитать без особых проблем. Таким образом, злоумышленник свободно может овладеть конфиденциальной информацией, которая хранится на жестком диске. Единственный способ защиты от физического чтения данных - это шифрование файлов. Простейший случай такого шифрования - архивирование файла с паролем. Однако здесь есть ряд серьезных недостатков. Во-первых, пользователю требуется каждый раз вручную шифровать и дешифровать (то есть, в нашем случае архивировать и разархивировать) данные перед началом и после окончания работы, что уже само по себе уменьшает защищенность данных. Пользователь может забыть зашифровать (заархивировать) файл после окончания работы или (еще более банально) просто оставить на диске копию файла. Во-вторых, пароли, придуманные пользователем, как правило, легко угадываются. В любом случае, существует достаточное количество утилит, позволяющих распаковывать архивы, защищенные паролем. Как правило, такие утилиты осуществляют подбор пароля путем перебора слов, записанных в словаре. Система EFS была разработана с целью преодоления этих недостатков.

2.1. Технология шифрования

ЕР$ использует архитектуру Windows CryptoAPI. В ее осноне лежит технология шифрования с открытым ключом, для шифрования каждого файла случайным образом генерируется ключ шифрования файла. При этом для шифрования файла может применяться любой симметричный алгоритм шифрования. В настоящее же время в EFS используется один алгоритм - это DESX, являющийся специальной модификацией широко распространенного стандарта DES. Ключи шифрования EFS хранятся в резидентном пуле памяти (сама EFS расположена в ядре Windows 2000), что исключает несанкционированный доступ к ним через файл подкачки.

По умолчанию EFS сконфигурирована таким образом, что пользователь может сразу начать использовать шифрование файлов. Операция шифрования и обратная поддерживаются для файлов и каталогов. В том случае, если шифруется каталог, автоматически шифруются все файлы и подкаталоги этого каталога. Необходимо отметить, что если зашифрованный файл перемещается или переименовывается из зашифрованного каталога в незашифрованный, то он все равно остается зашифрованным. Операции шифрования/дешифрования можно выполнить двумя различными способами - используя Windows Explorer или консольную утилиту Cipher. для того чтобы зашифровать каталог из Windows Explorer, пользователю нужно просто выбрать один или несколько каталогов и установить флажок шифрования в окне расширенных свойств каталога. Все создаваемые позже файлы и подкаталоги в этом каталоге будут также зашифрованы. Таким образом, зашифровать файл можно, просто скопировав (или перенеся) его в «зашифрованный» каталог. Зашифрованные файлы хранятся на диске в зашифрованном виде. При чтении файла данные автоматически расшифровываются, а при записи автоматически шифруются. Пользователь может работать с зашифрованными файлами так же, как и с обычными файлами, то есть открывать и редактировать в текстовом редакторе Microsoft Word документы, редактировать рисунки в Adobe Photoshop или графическом редакторе Paint, и так далее.

Необходимо отметить, что ни в коем случае нельзя шифровать файлы, которые используются при запуске системы в это время личный ключ пользователя, при помощи которого производится дешифровка, еще недоступен. Это может привести к невозможности запуска системы! B EFS предусмотрена простая защита от таких ситуаций: файлы с атрибутом «системный» не шифруются. Однако будьте внимательны: это может создать «дыру» в системе безопасности! Проверяйте, не установлен ли атрибут файла <системный» для того, чтобы убедиться, что файл действительно будет зашифрован.

Важно также помнить о том, что зашифрованные файлы не могут быть сжаты средствами Windows 2000 и наоборот. Иными словами, если каталог сжат, его содержимое не может быть зашифровано, а если содержимое каталога зашифровано, то он не может быть сжат.

В том случае, если потребуется дешифровка данных, необходимо просто снять флажки шифрования у выбранных каталогов в Windows Explorer, и файлы и подкаталоги автоматически будут дешифрованы. Следует отметить, что эта операция обычно не требуется, так как EFS обеспечивает «прозрачную» работу с зашифрованными данными для пользователя.

Encrypting file system

Шифрующая файловая система это тесно интегрированная с NTFS служба, располагающаяся в ядре Windows 2000. Ее назначение: защита данных, хранящихся на диске, от несанкционированного доступа путем их шифрования. Появление этой службы не случайно, и ожидалось давно. Дело в том, что существующие на сегодняшний день файловые системы не обеспечивают необходимую защиту данных от несанкционированного доступа.

Внимательный читатель может возразить мне: а как же Windows NT с ее NTFS? Ведь NTFS обеспечивает разграничение доступа и защиту данных от несанкционированного доступа! Да, это правда. Но как быть в том случае, когда доступ к разделу NTFS осуществляется не с помощью средств операционной системы Windows NT, а напрямую, на физическом уровне? Ведь это сравнительно легко реализовать, например, загрузившись с дискеты и запустив специальную программу: например, весьма распространенную ntfsdos. В качестве более изощренного примера можно указать продукт NTFS98. Конечно, можно предусмотреть такую возможность, и задать пароль на запуск системы, однако практика показывает, что такая защита малоэффективна, особенно в том случае, когда за одним компьютером работают сразу несколько пользователей. А если злоумышленник может извлечь жесткий диск из компьютера, то здесь уже не помогут никакие пароли. Подключив диск к другому компьютеру, его содержимое можно будет прочитать с такой же легкостью, что и эту статью. Таким образом, злоумышленник свободно может овладеть конфиденциальной информацией, которая хранится на жестком диске.

Единственный способ защиты от физического чтения данных это шифрование файлов. Простейший случай такого шифрования - архивирование файла с паролем. Однако здесь есть ряд серьезных недостатков. Во-первых, пользователю требуется каждый раз вручную шифровать и дешифровать (то есть, в нашем случае архивировать и разархивировать) данные перед началом и после окончания работы, что уже само по себе уменьшает защищенность данных. Пользователь может забыть зашифровать (заархивировать) файл после окончания работы, или (еще более банально) просто оставить на диске копию файла. Во-вторых, пароли, придуманные пользователем, как правило, легко угадываются. В любом случае, существует достаточное количество утилит, позволяющих распаковывать архивы, защищенные паролем. Как правило, такие утилиты осуществляют подбор пароля путем перебора слов, записанных в словаре.

Система EFS была разработана с целью преодоления этих недостатков. Ниже мы рассмотрим более подробно детали технологии шифрования, взаимодействие EFS с пользователем и способы восстановления данных, познакомимся с теорией и реализацией EFS в Windows 2000, а также рассмотрим пример шифрования каталога при помощи EFS.

Технология шифрования

EFS использует архитектуру Windows CryptoAPI. В ее основе лежит технология шифрования с открытым ключом. Для шифрования каждого файла случайным образом генерируется ключ шифрования файла. При этом для шифрования файла может применяться любой симметричный алгоритм шифрования. В настоящее же время в EFS используется один алгоритм, это DESX, являющийся специальной модификацией широко распространенного стандарта DES.

Ключи шифрования EFS хранятся в резидентном пуле памяти (сама EFS расположена в ядре Windows 2000), что исключает несанкционированный доступ к ним через файл подкачки.

Взаимодействие с пользователем

По умолчанию EFS сконфигурирована таким образом, что пользователь может сразу начать использовать шифрование файлов. Операция шифрования и обратная поддерживаются для файлов и каталогов. В том случае, если шифруется каталог, автоматически шифруются все файлы и подкаталоги этого каталога. Необходимо отметить, что если зашифрованный файл перемещается или переименовывается из зашифрованного каталога в незашифрованный, то он все равно остается зашифрованным. Операции шифрования/дешифрования можно выполнить двумя различными способами - используя Windows Explorer или консольную утилиту Cipher.

Для того чтобы зашифровать каталог из Windows Explorer, пользователю нужно просто выбрать один или несколько каталогов и установить флажок шифрования в окне расширенных свойств каталога. Все создаваемые позже файлы и подкаталоги в этом каталоге будут также зашифрованы. Таким образом, зашифровать файл можно, просто скопировав (или перенеся) его в «зашифрованный» каталог.

Зашифрованные файлы хранятся на диске в зашифрованном виде. При чтении файла данные автоматически расшифровываются, а при записи - автоматически шифруются. Пользователь может работать с зашифрованными файлами так же, как и с обычными файлами, то есть открывать и редактировать в текстовом редакторе Microsoft Word документы, редактировать рисунки в Adobe Photoshop или графическом редакторе Paint, и так далее.

Необходимо отметить, что ни в коем случае нельзя шифровать файлы, которые используются при запуске системы - в это время личный ключ пользователя, при помощи которого производится дешифровка, еще недоступен. Это может привести к невозможности запуска системы! В EFS предусмотрена простая защита от таких ситуаций: файлы с атрибутом «системный» не шифруются. Однако будьте внимательны: это может создать «дыру» в системе безопасности! Проверяйте, не установлен ли атрибут файла «системный» для того, чтобы убедиться, что файл действительно будет зашифрован.

Важно также помнить о том, что зашифрованные файлы не могут быть сжаты средствами Windows 2000 и наоборот. Иными словами, если каталог сжат, его содержимое не может быть зашифровано, а если содержимое каталога зашифровано, то он не может быть сжат.

В том случае, если потребуется дешифровка данных, необходимо просто снять флажки шифрования у выбранных каталогов в Windows Explorer, и файлы и подкаталоги автоматически будут дешифрованы. Следует отметить, что эта операция обычно не требуется, так как EFS обеспечивает «прозрачную» работу с зашифрованными данными для пользователя.

Восстановление данных

EFS обеспечивает встроенную поддержку восстановления данных на тот случай, если потребуется их расшифровать, но, по каким-либо причинам, это не может быть выполнено обычным. По умолчанию, EFS автоматически сгенерирует ключ восстановления, установит сертификат доступа в учетной записи администратора и сохранит его при первом входе в систему. Таким образом, администратор становится так называемым агентом восстановления, и сможет расшифровать любой файл в системе. Разумеется, политику восстановления данных можно изменить, и назначить в качестве агента восстановления специального человека, ответственного за безопасность данных, или даже несколько таких лиц.

Немного теории

EFS осуществляет шифрование данных, используя схему с общим ключом. Данные шифруются быстрым симметричным алгоритмом при помощи ключа шифрования файла FEK (file encryption key). FEK - это случайным образом сгенерированный ключ определенной длины. Длина ключа в североамериканской версии EFS 128 бит, в международной версии EFS используется уменьшенная длина ключа 40 или 56 бит.

FEK шифруется одним или несколькими общими ключами шифрования, в результате чего получается список зашифрованных ключей FEK. Список зашифрованных ключей FEK хранится в специальном атрибуте EFS, который называется DDF (data decryption field - поле дешифрования данных). Информация, при помощи которой производится шифрование данных, жестко связана с этим файлом. Общие ключи выделяются из пар пользовательских ключей сертификата X509 с дополнительной возможностью использования «File encryption». Личные ключи из этих пар используются при дешифровке данных и FEK. Личная часть ключей хранится либо на смарт-картах, либо в другом надежном месте (например, в памяти, безопасность которой обеспечивается при помощи CryptoAPI).

FEK также шифруется при помощи одного или нескольких ключей восстановления (полученных из сертификатов X509, записанных в политике восстановления зашифрованных данных для данного компьютера, с дополнительной возможностью «File recovery»).

Как и в предыдущем случае, общая часть ключа используется для шифрования списка FEK. Список зашифрованных ключей FEK также хранится вместе с файлом в специальной области EFS, которая называется DRF (data recovery field - поле восстановления данных). Для шифрования списка FEK в DRF используется только общая часть каждой пары ключей. Для нормального осуществления файловых операций необходимы только общие ключи восстановления. Агенты восстановления могут хранить свои личные ключи в безопасном месте вне системы (например, на смарт-картах). На рисунке приведены схемы процессов шифрования, дешифрования и восстановления данных.

Процесс шифрования

Незашифрованный файл пользователя шифруется при помощи случайно сгенерированного ключа FEK. Этот ключ записывается вместе с файлом, файл дешифруется при помощи общего ключа пользователя (записанного в DDF), а также при помощи общего ключа агента восстановления (записанного в DRF).

Процесс дешифрования

Сначала используется личный ключ пользователя для дешифрации FEK - для этого используется зашифрованная версия FEK, которая хранится в DDF. Расшифрованный FEK используется для поблочного дешифрования файла. Если в большом файле блоки считываются не последовательно, то дешифруются только считываемые блоки. Файл при этом остается зашифрованным.

Процесс восстановления

Этот процесс аналогичен дешифрованию с той разницей, что для дешифрования FEK используется личный ключ агента восстановления, а зашифрованная версия FEK берется из DRF.

Реализация в Windows 2000

На рисунке показана архитектура EFS:

EFS состоит из следующих компонентов:

Драйвер EFS

Этот компонент расположен логически на вершине NTFS. Он взаимодействует с сервисом EFS, получает ключи шифрования файлов, поля DDF, DRF и другие данные управления ключами. Драйвер передает эту информацию в FSRTL (file system runtime library, библиотека времени выполнения файловой системы) для прозрачного выполнения различных файловых системных операций (например, открытие файла, чтение, запись, добавление данных в конец файла).

Библиотека времени выполнения EFS (FSRTL)

FSRTL - это модуль внутри драйвера EFS, который осуществляет внешние вызовы NTFS для выполнения различных операций файловой системы, таких как чтение, запись, открытие зашифрованных файлов и каталогов, а также операций шифрования, дешифрования, восстановления данных при записи на диск и чтении с диска. Несмотря на то, что драйвер EFS и FSRTL реализованы в виде одного компонента, они никогда не взаимодействуют напрямую. Для обмена сообщениями между собой они используют механизм вызовов NTFS. Это гарантирует участие NTFS во всех файловых операциях. Операции, реализованные с использованием механизмов управления файлами, включают запись данных в файловые атрибуты EFS (DDF и DRF) и передачу вычисленных в EFS ключей FEK в библиотеку FSRTL, так как эти ключи должны устанавливаться в контексте открытия файла. Такой контекст открытия файла позволяет затем осуществлять незаметное шифрование и дешифрование файлов при записи и считывании файлов с диска.

Служба EFS

Служба EFS является частью подсистемы безопасности. Она использует существующий порт связи LPC между LSA (Local security authority, локальные средства защиты) и работающим в kernel-mode монитором безопасности для связи с драйвером EFS. В режиме пользователя служба EFS взаимодействует с программным интерфейсом CryptoAPI, предоставляя ключи шифрования файлов и обеспечивая генерацию DDF и DRF. Кроме этого, служба EFS осуществляет поддержку интерфейса Win32 API.

Win32 API

Обеспечивает интерфейс программирования для шифрования открытых файлов, дешифрования и восстановления закрытых файлов, приема и передачи закрытых файлов без их предварительной расшифровки. Реализован в виде стандартной системной библиотеки advapi32.dll.

Немного практики

Для того чтобы зашифровать файл или каталог, выполните следующие операции:

  1. Запустите Windows Explorer, нажмите правую кнопку мыши на каталоге, выберите пункт Properties (Свойства).
  2. На закладке General (Общие) нажмите кнопку Advanced.

  1. Отметьте галочкой пункт «Encrypt contents to secure data». Нажмите OK, затем нажмите Apply (применить) в диалоге Properties. Если Вы выбрали шифрование отдельного файла, то дополнительно появится диалоговое окно следующего вида:

Система предлагает зашифровать также и каталог, в котором находится выбранный файл, так как в противном случае шифрование будет автоматически отменено при первой модификации такого файла. Всегда имейте это в виду, когда шифруете отдельные файлы!

На этом процесс шифрования данных можно считать законченным.

Чтобы расшифровать каталоги, просто снимите выделение в пункте «Encrypt contents to secure data». При этом каталоги, а также все содержащиеся в них подкаталоги и файлы будут расшифрованы.

Выводы

  • Система EFS в Windows 2000 предоставляет пользователям возможность зашифровывать каталоги NTFS, используя устойчивую, основанную на общих ключах криптографическую схему, при этом все файлы в закрытых каталогах будут зашифрованы. Шифрование отдельных файлов поддерживается, но не рекомендуется из-за непредсказуемого поведения приложений.
  • Система EFS также поддерживает шифрование удаленных файлов, доступ к которым осуществляется как к совместно используемым ресурсам. Если имеют место пользовательские профили для подключения, используются ключи и сертификаты удаленных профилей. В других случаях генерируются локальные профили и используются локальные ключи.
  • Система EFS предоставляет установить политику восстановления данных таким образом, что зашифрованные данные могут быть восстановлены при помощи EFS, если это потребуется.
  • Политика восстановления данных встроена в общую политику безопасности Windows 2000. Контроль за соблюдением политики восстановления может быть делегирован уполномоченным на это лицам. Для каждого подразделения организации может быть сконфигурирована своя политика восстановления данных.
  • Восстановление данных в EFS - закрытая операция. В процессе восстановления расшифровываются данные, но не ключ пользователя, при помощи которого эти данные были зашифрованы.
  • Работа с зашифрованными файлами в EFS не требует от пользователя каких-либо специальных действий по шифрованию и дешифрованию данных. Дешифрование и шифрование происходят незаметно для пользователя в процессе считывания и записи данных на диск.
  • Система EFS поддерживает резервное копирование и восстановление зашифрованных файлов без их расшифровки. Программа NtBackup поддерживает резервное копирование зашифрованных файлов.
  • Система EFS встроена в операционную систему таким образом, что утечка информации через файлы подкачки невозможна, при этом гарантируется, что все создаваемые копии будут зашифрованы
  • Предусмотрены многочисленные меры предосторожности для обеспечения безопасности восстановления данных, а также защита от утечки и потери данных в случае фатальных сбоев системы.

Шифрованная файловая система (EFS) – это мощная опция для защиты данных, которые хранятся на компьютерах Windows. EFS бесплатна и включается в каждую ОС, начиная с Windows 2000. Повсюду наблюдаются усовершенствования технологии, и EFS в этом смысле не является исключением. С развитием технологии стало значительно проще использовать EFS для большей части среды хранения данных. Однако вам не везде может понадобиться EFS, поэтому вам необходимо сузить границы и контроль до тех рамок, в которых такая файловая система может использоваться. Таким образом, будет отличной идеей воспользоваться преимуществом групповой политики для управления EFS.

Две стадии управления EFS

EFS имеет два уровня настройки. Первый уровень установлен на компьютерном уровне, который определяет, будет ли поддерживаться эта файловая система, и будет ли она доступна. Второй уровень – это уровень папок и файлов, этот уровень выполняет шифрование данных.

Windows 2000 (Server и Professional), Windows XP Professional, Windows Server 2003, Windows Vista и Windows Server 2008 все поддерживают шифрование данных, расположенных на компьютере. По умолчанию все эти компьютеры поддерживают шифрование данных, используя EFS. Конечно, это может быть и отрицательной характеристикой, поскольку некоторые данные или некоторые компьютеры не должны шифровать данные из-за логистики.

Логистика, о которой я говорю здесь, представляет собой разрешение пользователям шифровать данные. Поскольку все компьютеры поддерживают шифрование данных по умолчанию, и каждый пользователь может их зашифровать, данные могут быть зашифрованы на локальном компьютере, равно как и данные, совместно использующиеся в сети. На рисунке 1 показаны опции, при которых данные могут быть зашифрованы на компьютере Windows XP Professional.

Рисунок 1: Шифрование данных – это их свойство

Чтобы получить доступ к опции шифрования, как показано на рисунке 1, вам нужно лишь выбрать свойства файла или папки, которую вы хотите зашифровать путем нажатия правой клавишей и вызова контекстного меню «Свойства» шифруемого объекта. Затем нажать кнопку «Дополнительно» в диалоговом окне свойств, которое в свою очередь покажет диалоговое окно «Дополнительные атрибуты».

Контролирование поддержки EFS для компьютеров домена Active Directory

Когда компьютер присоединяется к домену Active Directory, на нем больше невозможно контролировать опцию поддержки EFS. Вместо этого данную возможность контролирует политика домена по умолчанию, хранящаяся в Active Directory. Все компьютеры, входящие в состав домена Windows Active Directory поддерживают EFS, просто входя в его состав.

Следует учесть, что домены Windows 2000 управляют этой конфигурацией в стандартной политике домена не так, как домены Windows Server 2003 и Windows Server 2008.

Контроль домена Windows 2000 над EFS

Компьютеры Windows 2000 имеют немного другую поддержку EFS, чем более поздние ОС, поэтому настройка для EFS в них отличается в стандартной политике доменов. Для Windows 2000, активация и отключение EFS основывается на сертификате агента EFS восстановления данных, включенном в стандартную политику доменов. По умолчанию, учетная запись администратора имеет такой сертификат и настраивается в качестве агента восстановления данных. Если сертификат восстановления данных отсутствует, EFS не работает.

Чтобы получить доступ к этой настройке в стандартной политике доменов, следуйте указанному пути при редактировании GPO в редакторе групповой политики:

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики публичных ключей\Агенты восстановления зашифрованных данных

В этом месте вы увидите сертификат шифрования файлов EFS для администратора, как показано на рисунке 2.

Рисунок 2: Домены Windows 2000 отображают сертификат шифрования файлов EFS в виде имени пользователя, например «Администратор»

Эта настройка является тем, что предоставляет всем компьютерам возможность шифровать файлы. Чтобы отключить эту возможность, вам нужно просто удалить сертификацию администратора из объекта GPO. Если вы затем решите включить такую возможность на ограниченном количестве компьютеров в Active Directory, вам нужно будет следовать этим шагам:

  1. Создайте новый GPO и свяжите его с организационной единицей, содержащей все компьютеры, которым нужна поддержка шифрования файлов.
  2. Войдите во вкладку «Агенты восстановления зашифрованных файлов» в GPO и добавьте сертификат, который поддерживает EFS восстановление данных.

Это предоставит компьютерам, на которые распространяется GPO, возможность использования EFS для данных, хранящихся на этих компьютерах.

Контроль доменов Windows 2003 и 2008 над EFS

Более новые домены и ОС (все, которые вышли после Windows 2000) поддерживают EFS примерно так же, но имеют свои специфические отличия.

  1. Для шифрования данных на компьютерах позже Windows 2000 не требуется никаких агентов восстановления данных.
  2. EFS не контролируется посредством включения сертификата агента восстановления данных в GPO.
  3. EFS поддерживает доступ нескольких пользователей к зашифрованным файлам.

Таким образом, для доменов Windows 2003 и 2008 вам понадобится другой набор заданий, чтобы контролировать EFS на компьютерах, входящих в такие домены. Однако настройка все еще находится в стандартной политике доменов. Здесь вам понадобится следующий путь:

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики публичных ключей\Шифрованная файловая система

Теперь, вместо преобразования агента восстановления данных, вам нужно правой клавишей нажать по вкладке EFS. Из появившегося меню опций выберите «Свойства». Здесь вы увидите строку на вашем домене Windows 2003, которая гласит "Разрешить пользователям шифровать файлы, используя Encrypting File System (EFS)". Домены Windows Server 2008 радикально поменяли интерфейс, обеспечивая многогранную поддержку EFS на этой странице свойств, как показано на рисунке 3.

Рисунок 3: Windows Server 2008 обеспечивает многогранный контроль над EFS

Обратите внимание, что на вкладке «Общие» есть противоположенная кнопка с названием "Не разрешать". Этот параметр может использоваться для отключения поддержки EFS на всех компьютерах домена. Также обратите внимание на то, что в этом диалоговом окне доступно множество других параметров контролирования EFS.

Вы также можете указывать определенные компьютеры в домене, следуя шагам, описанным выше в разделе о домене Windows 2000.

Заключение

EFS является очень мощной и полезной опцией. Она может шифровать данные, хранящиеся на компьютерах Windows. Шифрование поможет защитить данные от пользователей или хакеров, пытающихся получить к ним доступ, но не имеющих возможности расшифровать эти данные. EFS представляет собой процесс из двух шагов, во-первых EFS необходимо активировать на компьютере. Эта опция может контролироваться с помощью групповой политики, либо когда компьютер включается в домен. Администраторы имеют право активировать или отключить EFS на любом компьютере домена с помощью настройки GPO. При отключении EFS для всех компьютеров и последующем создании и настройке нового объекта GPO только определенные компьютеры смогут использовать EFS.

Начиная с Windows XP во всех операционных системах Microsoft существует встроенная технология шифрования данных EFS (Encrypting File System) . EFS-шифрование основано на возможностях файловой системы NTFS 5.0 и архитектуре CryptoAPI и предназначено для быстрого шифрования файлов на жестком диске компьютера.

Вкратце опишем схему шифрования EFS. Система EFS использует шифрование с открытым и закрытым ключом. Для шифрования в EFS используется личный и публичный ключи пользователя, которые генерируются при первом использовании пользователем функции шифрования. Данные ключи остаются неизменными все время, пока существует его учетная запись. При шифровании файла EFS случайным образом генерирует уникальный номер, так называемый File Encryption Key (FEK) длиной 128 бит, с помощью которого и шифруются файлы. Ключи FEK зашифрованы master-ключом, который зашифрован ключом пользователей системы, имеющего доступ к файлу. Закрытый ключ пользователя защищается хэшем пароля этого самого пользователя.

Таким образом, можно сделать вывод: вся цепочка EFS шифрования по сути жестко завязана на логин и пароль пользователя. Это означает, что защищённость данных в том числе зависит и от стойкости пароля пользователя.

Важно . Данные, зашифрованные с помощью EFS, могут быть расшифрованы только с помощью той же самой учетной записи Windows с тем же паролем, из-под которой было выполнено шифрование. Другие пользователи, в том числе администраторы, расшифровать и открыть эти файлы не смогут. Это означает, что приватные данные останутся в безопасности, даже если любым способом. Но важно понимать и обратную сторону вопроса. При смене учетной записи или ее пароля (если только он не был изменен непосредственно самим пользователем из своей сессии), выходе из строя или переустановке ОС – зашифрованные данные станут недоступны. Именно поэтому крайне важно экспортировать и хранить в безопасном месте сертификаты шифрования (процедура описана ниже).

Примечание . Начиная с Windows Vista в ОС системах MS поддерживается еще одна технология шифрования – BitLocker. BitLocker в отличии от EFS-шифрования:

  • используется для шифрования дискового тома целиком
  • требует наличия аппаратного TPM модуля (в случае его требуется внешнее устройство хранения ключа, например USB флешки или жесткого диска)

Внешне для пользователя работа с зашифрованными с помощью EFS приватными файлами ничем не отличается от работы с обычными файлами – ОС выполняет операции шифрования/дешифрования автоматически (эти функции выполняет драйвер файловой системы).

Как включить EFS шифрование каталога в Windows

Пошагово разберем процедуру шифрования данных в Windows 8 с помощью EFS.

Примечание . Не в коем случае не стоит включать шифрование для системных каталогов и папок. В противнмслучае Windows может просто не загрузится, т.к. система не сможет найти личный ключ пользователя и дешифровать файлы.

В проводник File Explorer выберите каталог или файлы, которые необходимо зашифровать, и, щелкнув ПКМ, перейдите в их свойства (Properties ).

На вкладке General в секции атрибутов найдите и нажмите кнопку Advanced .

В появившемся окне поставьте чекбокс Encrypt contents to secure data (Шифровать содержимое для защиты данных).

Нажмите дважды ОК.

В том случае, если выполняется шифрование каталога, система спросит хотите ли вы зашифровать только каталог или каталог и все вложенные элементы. Выберите желаемое действие, после чего окно свойств каталога закроется.

Зашифрованные каталоги и файлы в проводнике Windows отображаются зеленым цветов (напомним, что синим цветов подсвечены объекты, ). Если выбрано шифрование папки со всем содержимым, все новые объекты внутри зашифрованного каталога также шифруются.

Управлять шифрованием/дешифрованием EFS можно из командной строки с помощью утилиты cipher. Например, зашифровать каталог C:\Secret можно так:

Cipher /e c:\Secret

Список всех файлов в файловой системе, зашифрованных с помощью сертификата текущего пользователя можно вывести с помощью команды:

Cipher /u /n

Резервное копирование ключа шифрование EFS

После того, как пользователь впервые зашифровал свои данные с помощью EFS, в системном трее появится всплывающее окно, сообщающее о необходимости сохранить ключ шифрования.

Back up your file encryption key . This helps you avoid permanently losing access to you encrypted files.

Щелкнув по сообщению, вы запустите мастер резервного копирования сертификатов и ассоциированных с ними закрытых ключей шифрования EFS.

Примечание . Если вы случайно закроете окно, или оно не появится, экспортировать сертификаты EFS можно с помощью функции «Manage file encryption certificates » в панели управления пользователями.

Выберите Back up your file encryption certificate and key

Затем укажите пароль для защиты сертификата (желательно достаточно сложный).

Осталось указать местоположение, куда необходимо сохранить экспортируемый сертификат (в целях безопасности в дальнейшем его необходимо скопировать на внешний жесткий диск /usb флешку и хранить в безопасном месте).