Какво е efs в Windows OS. EFS криптиране и управление на сертификати

Има много слухове за обективите на Canon в интернет, признавам си честно, доскоро самият аз се заблуждавах за разликата между обективите EF и EF-S. В тази статия се опитах да събера малко информация за тях, която ще помогне да се направи избор в полза на една или друга модификация, да сложи край на споровете и да разсее някои митове.

Нека първо дешифрираме съкращението EF - идва от фразата Electro-Focus („Електрофокус“). С байонета EF идва система за автоматично фокусиране, вградена в оптиката, т.е. Между обектива и камерата няма движещи се части, а само контакти, а електрическият мотор в обектива отговаря за фокусирането и диафрагмата. Между другото, първият обектив от серия EF се появи през 1987 г.

EF-S е модификация на стойката за камери с APS-C формат матрица, която е разработена през 2003 г. „S“ означава къс заден фокус. Последният оптичен елемент в такива лещи е разположен по-близо до матрицата, отколкото в EF лещите. За сравнение ще дам снимка на два обектива с различни модификации на байонета.

Ляв обектив EF, десен EF-S

Както можете да видите, на дясната леща последната леща се намира след резбата за монтаж, т.е. когато се инсталира на камерата, той ще бъде забележимо по-близо до матрицата. Всъщност това е единствената, но много важна разлика. Факт е, че EF-S оптиката не може да се използва с full-frame камери. Въпреки съвместимостта на байонета, изпъкнал обектив може да повреди огледалото на камерата. Освен това EF обективите са съвместими и могат да се използват с всякакви фотоапарати Canon EOS (DSLR).

За камери с формат APS-C трябва да се регулират фокусните разстояния на обектива. За да изчислите фокусното разстояние, еквивалентно на това, получено на пълноформатен сензор, трябва да умножите стойностите, посочени на обектива, по 1,6. В интернет има широко разпространено мнение, че за серията EF-S това не е необходимо и реалните стойности са посочени на оптиката, като вече се взема предвид преизчисляването. Това е грешно. Като пример ще дам описание на новия обектив Canon EF-S 18-55mm f/3.5-5.6 IS II от официалния сайт на компанията:

EF-S 18-55mm f/3.5-5.6 IS II е висококачествен стандартен вариообектив, който ще се хареса на фотографи, които предпочитат да пътуват леко. С еквивалент на фокусно разстояние от 29-88 мм в 35 мм формат...

Както можете да видите, за тези обективи се използва стандартното преобразуване на фокусни разстояния и 18-55 се превръща в 29-88 мм. Възниква напълно логичен въпрос: защо да се занимаваме с цялата тази градина? Факт е, че този дизайн направи възможно създаването на по-леки, по-малки лещи. Това е според Canon, но всъщност е напълно възможно това да се прави, за да не се използват евтини обективи със скъпо full-frame оборудване.

Друго интересно докосване: нито EF, нито EF-S са били лицензирани за трети страни производители на оптика като Sigma или Tamron. Въпреки твърденията на производителите за 100% съвместимост, Canon не предоставя такава гаранция. Ето защо, когато купувате немаркови лещи, те трябва да бъдат тествани особено внимателно.

Нека направим изводи за обективите на Canon:

• фокусното разстояние на APS-C фотоапаратите се преизчислява за всички видове обективи;
• ултраширок ъгъл при изрязани камери е наличен само с обектив EF-S 10-22 mm;
• За съжаление, рибешко око на изрязани камери изобщо не е налично;
• EF обективите са подходящи за всякакви фотоапарати на Canon;
• При надграждане от APS-C фотоапарат към пълен кадър, EF-S обективи не могат да се използват.

Ако планирате да преминете към камера с пълен кадър в бъдеще, помислете за закупуване на обективи предварително.

За защита на потенциално чувствителни данни от неоторизиран достъп при физически достъп до компютъра и дисковете.

Удостоверяването на потребителя и правата за достъп до ресурси в NT работят, когато операционната система е заредена, но при физически достъп до системата е възможно да се зареди друга операционна система, за да се заобиколят тези ограничения. EFS използва симетрично криптиране за защита на файлове, както и криптиране на чифт публичен/частен ключ за защита на произволно генериран ключ за криптиране за всеки файл. По подразбиране личният ключ на потребителя е защитен чрез шифроване на потребителска парола и сигурността на данните зависи от силата на паролата на потребителя.

Описание на работата

EFS работи, като криптира всеки файл с помощта на симетричен алгоритъм за криптиране, в зависимост от версията и настройките на операционната система (започвайки с Windows XP, теоретично е възможно да се използват библиотеки на трети страни за криптиране на данни). Това използва произволно генериран ключ за всеки файл, наречен Ключ за шифроване на файлове(FEK), изборът на симетрично криптиране на този етап се обяснява с неговата скорост и по-голяма надеждност по отношение на асиметричното криптиране.

FEK (ключ за симетрично криптиране, случаен за всеки файл) е защитен чрез асиметрично криптиране, използвайки публичния ключ на потребителя, който криптира файла, и алгоритъма RSA (теоретично е възможно да се използват други алгоритми за асиметрично криптиране). Криптираният по този начин FEK се съхранява в алтернативния поток $EFS на файловата система NTFS. За да декриптира данните, драйверът на шифрованата файлова система прозрачно декриптира FEK с помощта на личния ключ на потребителя и след това желания файл с помощта на декриптирания файлов ключ.

Тъй като шифроването/декриптирането на файлове се извършва с помощта на драйвера на файловата система (по същество добавка към NTFS), това се случва прозрачно за потребителя и приложенията. Струва си да се отбележи, че EFS не криптира файлове, прехвърлени по мрежата, така че за да защитите прехвърлените данни, трябва да използвате други протоколи за защита на данните (IPSec или WebDAV).

Интерфейси за взаимодействие с EFS

За да работи с EFS, потребителят има възможност да използва GUIизследовател или помощна програма командна линия.

Използване на GUI

За да шифрова файл или папка, съдържаща файл, потребителят може да използва диалоговия прозорец със свойствата на съответния файл или папка, като постави или премахне отметката от квадратчето „шифроване на съдържанието за защита на данните“; за файлове, започващи от Windows XP, можете да добавите публични ключове на други потребители, които също ще могат да дешифрират този файли работа с неговото съдържание (предмет на съответните разрешения). При криптиране на папка се криптират всички файлове в нея, както и тези, които ще бъдат поставени в нея по-късно.

Фондация Уикимедия. 2010 г.

Вижте какво е "EFS" в други речници:

EFS- steht für: EFS Flug Service, ein deutsches Charterflugunternehmen EFS Hausgeräte, eine Haushaltsgerätefirma Encrypting File System, System für Dateiverschlüssung unter Microsoft Windows EFS Euro Finanz Service Vermittlungs AG (EFS AG), ein… … Deutsch Wikipedia

Еф- steht für: EFS Flugservice, ein deutsches Charterflugunternehmen EFS Hausgeräte, eine Haushaltsgerätefirma Encrypting File System, System für Dateiverschlüssung unter Microsoft Windows Error Free Second beim Betrieb von Netzelementen Euro Finanz… … Deutsch Wikipedia

EFS- Стартиране на навигация, работа с файлова система за шифроване (EFS) е архивна система, работеща с NTFS, цифра за архиви на ниво система. Предлага се за Microsoft Windows 2000 и по-стари версии. La tecnología… … Wikipedia Español

EFS- може да се отнася за едно от следните: *Electronic Filing System, електронна платформа от съдебната система на Сингапур *Emergency Fire Service, сега Country Fire Service (Австралия) *Emperor of the Fading Suns, походова стратегическа видео игра… … Wikipedia

EFS- , ein System zur Verschlüsselung von Dateien und Ordnern unter den Betriebssystemen Windows NT и Windows 2000, so dass sie vor dem Zugriff unberechtigter Benutzer geschützt… … Universal-Lexikon

EFS- Cette page d'homonymie répertorie les différents sujets et articles partageant un même nom. Sigles d’une seule lettre Sigles de deux lettres > Sigles de trois lettres Sigles de quatre lettres … Wikipédia en Français

EFS- ● en sg. м. Шифроваща файлова система MS GESTFICH. криптирана система за архивиране, интегрирана с Microsoft в Windows 2000 и не е опция за използване. Вижте TCFS. Je ne sais pas il existe un lien avec efs... Франкофонски информационен речник

efs- съществително името на буквата F ... Уикиречник

EFS- Шифроваща файлова система (Компютри » Сигурност) * Enhance Financial Services Group, Inc. (Бизнес » Символи на NYSE) * Избор на проектирани влакна (Разни » Дрехи) * Ефективна финансова декларация (Бизнес » Счетоводство) * Блок-схема (EasyFlow) … Речник на съкращенията

EFS- най-ранна приключваща смяна; стимулация на електрическо поле; European Fraxiparin Study; оцеляване без събитие … Медицински речник

Да приемем, че имате работещ компютър Windows контролнай-новата версия. Играете игри за стрелба на него, пишете дисертацията си, правите счетоводство за индивидуални предприемачи, използвайки опростена система, и като цяло се забавлявайте възможно най-добре. Но изведнъж, напълно неразумно, започвате да чувствате, че нещо отвън застрашава сигурността на някои от данните, които се съхраняват на вашия персонален компютър. Вие, с горещ поглед, четете множество киберфоруми и осъзнавате с ужас, че всичките ви данни на вашия твърд диск не са защитени по никакъв начин. И ако вашият любим компютър бъде откраднат и рискът от кражба за преносимо оборудване не е толкова нисък, тогава нападателят ще може да стигне до цялото съдържание харддиск! О, моята безценна дисертация!

Нека се опитаме да разберем дали наистина е възможно да получите неоторизиран достъп до файлове, ако компютърът работи с операционна система Windows 10. Инженерите на IBM, а впоследствие и на Microsoft, положиха много усилия за внедряване на система за разделяне на правата за файловата система NTFS ( когато IBM беше HPFS). И ако Win10 работи на компютър, тогава е много, много трудно да получите достъп до файлове на други хора без разрешение и ако достъпът е блокиран, това е напълно невъзможно. Windows сигурно защитава потребителските файлове.

Но веднага щом стартирате друга операционна система, например Linux Mint, тогава всичко потребителски файловеще бъде в пълен изглед. Изтеглете каквото искате. И можете да заредите Mint или от флаш устройство, или от CD-ROM, просто трябва да стигнете до UEFI (BIOS) и да активирате зареждане от сменяеми устройства, ако не е било активирано преди това, или да използвате менюто за зареждане. Ако приемем, че сте задали парола за влизане в UEFI и сте деактивирали избора на устройство за зареждане като клас, вашите файлове са малко по-защитени. А нападателят може просто да развие компютъра ви, да го извади HDDи го свържете към вашия компютър и след това изтеглете всичко, което е необходимо. В крайна сметка данните под формата на файлове ще бъдат в ръцете му като отворена тетрадка.

ИТ специалистите знаят, че можете до известна степен да защитите данните на вашия компютър с помощта на технологията BitLocker. BitLocker е добро нещо, но ви позволява само да криптирате цели дялове на дискове, физически или виртуални. В същото време е осигурена безопасността на ключовете, включително съхранение в TPM модули. Което е много удобно. Въпреки това, криптирането на всичко и всички не винаги е удобно, въпреки че, разбира се, използването на пълно дисково криптиране има известен смисъл. Но по някаква причина всички забравят за частичното криптиране на файлове и директории.

В Windows 10, както и в предишните му превъплъщения, има Encrypted File System, което означава Encrypted File System (EFS). Тази функция е достъпна от изданието Pro и по-нови версии, така че ако имате версията на Windows Home, трябва да надстроите поне до Pro. Уикипедия е писала много за това как и какво се криптира в EFS. Просто ще се опитам да обясня всичко възможно най-просто и да дам най-доброто подробни инструкцииза да активирате защитата на вашите файлове.

Освен че има минимум Професионален изгледредактори, е необходимо да работите под потребител, който има парола. Паролата трябва да присъства, нека е линк към облачна услуга Microsoft или напълно самостоятелна парола. Дали ще влезете в системата с ПИН код или с модел - няма значение, важното е, че вашият сметкапаролата е приложена. Освен парола в активния акаунт е необходимо защитените файлове и директории да се намират на диск или дял с файлова система NTFS. Най-вероятно това е точно това файлова системаи се отнася за вас.

Криптирането на данни се извършва абсолютно прозрачно за потребителите и за по-голямата част от софтуерните продукти, т.к криптирането се извършва на ниво файлова система NTFS. Можете да шифровате един файл или цяла папка наведнъж. Можете да я шифровате като празна папка и след това да добавите нови файлове към нея и те също ще бъдат шифровани, или можете да шифровате папка с файлове и директории вътре. Всичко е ваш избор.

Когато работите с криптирани папки и файлове, имайте предвид следното:

1. Файловете се криптират, докато не бъдат прехвърлени към друга файлова система, различна от NTFS. Например копирате шифрован файл на флаш устройство. Ако е FAT32 и най-вероятно е там, тогава файлът ще бъде дешифриран.В десетата Windows версииВъпреки това Microsoft е внедрила функция, при която файлът остава криптиран, дори ако сте го прехвърлили на флаш устройство с FAT, така че трябва да сте бдителни, ако изтекат файлове на ваш приятел. Ще успее ли да ги отвори по-късно, без да псува? Ако изпратите файл чрез електронна поща- ще бъде дешифриран (в противен случай няма смисъл да го изпращате по пощата). При прехвърляне на файл по мрежата също ще се извърши декриптиране.
2. При преместване между NTFS дялове, файлът остава криптиран. Когато премествате файл от един NTFS диск на друг NTFS диск, файлът ще бъде шифрован. Когато копирате файл на преносим твърд диск с файлова система NTFS, той ще бъде шифрован на ново място.
3. Ако паролата на акаунта е принудително променена от трета страна, например администратор, или паролата на акаунт на свързан домейн или облачна услуга бъде принудително променена, достъпът до файлове без сертификат за архивиране (генериран по време на първото криптиране) вече няма да бъде възможно.

Последната точка е много важна, особено за хора с ненадеждна памет, които постоянно нулират пароли. Тук такъв трик може да доведе до постоянно криптирани файлове, освен ако, разбира се, не импортирате записания сертификат в системата. Въпреки това, когато промяната на паролата е доброволна, като например в съответствие с политика за промяна на паролата, няма да настъпи преждевременна загуба на криптирани файлове.

Скептиците съвсем правилно ще отбележат, че такава защита, обаче, като BitLocker, не е супер надеждна, казват те, хакерите могат да отгатнат паролата, ако е слаба, а разузнавателните служби ще дешифрират всичко. Всъщност те могат просто да познаят паролата ви, ако е кратка и проста. И точно за това служат разузнавателните служби, за да имат техническата възможност да стигнат до съдържанието на файловете на прекалено подозрителни потребители. Нещо повече, след като влезете, вие незабавно имате прозрачен достъп до всички ваши EFS-шифровани файлове. И ако на вашия компютър има троянски кон или вирус, той ще получи достъп до ценни файлове по абсолютно същия начин. Компютърната хигиена трябва да се спазва стриктно.

Подробни инструкции за активиране на криптиране с помощта на EFS под Win10 Pro в папка

По-долу предлагам стъпка по стъпка, точни инструкции как да шифровате папка с файлове в нея. Отделният файл се криптира по същия начин.

Етап 1. Нека създадем папка. Нека се казва „Моите снимки“.

Създаване на директория

Стъпка 2. Щракнете с десния бутон върху папката и изберете „Свойства“ от контекстното меню.

Щракнете с десния бутон върху папката и вземете това

Стъпка 3. В менюто „Свойства“ отидете до разширените атрибути на папката, като щракнете върху бутона „Други...“.

Свойства на папката

Стъпка 4. Поставете отметка в квадратчето до „Шифроване на съдържание за защита на данните“ и щракнете върху OK. Ако трябва да отмените криптирането, премахнете отметката от същото квадратче и файлът ще бъде декриптиран.

В свойствата на папката разширени атрибути

Стъпка 5. Завършете с „Свойства“ и щракнете върху OK или „Приложи“.

Стъпка 6. Отговаряме в диалоговия прозорец какво да „приложим“ към нашата папка и цялото й съдържание.

Изберете желания елемент за криптиране

Това е всичко, нашата папка и цялото й съдържание са криптирани с помощта на EFS. Ако желаете, можете да проверите дали нашата папка и всички файлове в нея са надеждно затворени от външни лица.

Стъпка 7. Преминаваме през стъпки 1-3 и виждаме, че квадратчето за отметка „шифроване“ е активно. А до него е активен бутонът „Подробности“. Кликнете върху „подробности“.

Проверява се какво е шифровано

Стъпка 8. В прозореца, който се появява, виждаме, че този файл има само един сертификат за достъп само от един потребител, плюс няма инсталирани сертификати за възстановяване на достъпа.

Папката е криптирана с един сертификат

За да разберем това конкретен файлможе да бъде шифрован в Windows Explorer; върху файла се появява икона за заключване.

Галерия с криптирани снимки. Само собственикът на акаунта може да ги види.

Иконата се появява във всички други изгледи на файлове и изгледи на Explorer. Вярно е, че на някои пиктограми те се виждат много трудно и трябва да се вгледате внимателно.

Същата галерия, само под формата на таблица. Заключва се в горния десен ъгъл на иконата.

След като първите файлове са шифровани, Windows ви подканва да направите копие на сертификата. Същият сертификат, който ще ви позволи да дешифрирате файлове, ако внезапно нещо се обърка с вашия компютър (преинсталиране на системата, нулиране на паролата, прехвърляне на диска на друг компютър и т.н.).

Стъпка 9. За да запазите сертификата за възстановяване на резервно копие, щракнете върху иконата за архивиране на ключа.

Икона в панела, извикваща архивиране на архивния сертификат за възстановяване на криптирането

Стъпка 10. В прозореца, който се показва, изберете „Архивиране сега“.

Избор кога да се архивира

Стъпка 11. В диалоговия прозорец на съветника за активиране щракнете върху „Напред“.

Прозорец на съветника за експортиране на сертификати

Стъпка 12. Ако използвате само EFS криптиране, можете да оставите стойностите по подразбиране. И щракнете върху „Напред“.

Настройки за експортиране на архивен сертификат

Стъпка 13. Има смисъл да защитите експортирания сертификат с парола. Въвеждаме парола, тя може да бъде всякаква, не е задължително от вашия имейл или за влизане в Windows. И щракнете върху „Напред“.

Въведете паролата за допълнителна защитасертификат за възстановяване

Стъпка 15. Потвърдете резултата, като щракнете върху OK.

Завършване на съветника за експортиране

И това е всичко. Изтегленият сертификат трябва да се копира на безопасно място. Например на дискета, флаш устройство или в защитен облак. Оставянето на сертификат за възстановяване на вашия компютър е лоша идея, така че след като го запазим на „сигурно място“, изтриваме файла от компютъра и в същото време изпразваме кошчето.

Между другото, можете също да шифровате директории, в които се синхронизират облачни файлове на вашия компютър, например OneDrive, DropBox, Yandex Disk и много други. Ако искате да шифровате такава папка, първо трябва да изключите приложението за облачна синхронизация или да поставите на пауза синхронизацията. Също така си струва да затворите всички отворени файлове в директорията, които ще бъдат обект на криптиране, например затваряне на Word, Excel или други програми. След това можете да активирате криптиране на избраната папка. Когато процедурата за шифроване приключи, можете да активирате синхронизирането отново. В противен случай криптирането може да не засегне всички файлове в папката, т.к Вградената система може да криптира само записваеми файлове. Да, при синхронизиране с облака файловете ще бъдат декриптирани и в облака вече няма да бъдат криптирани.

Трябва да излезете от OneDrive, преди да може да започне шифроването.

Сега е моментът да тествате колко добре работи EFS криптирането. Създадох файл с текст в криптирана директория. И тогава стартирах Linux Mint от флашка. Тази версия Linux може лесно да обработва NTFS твърди дискове, така че достигането до съдържанието на моя твърд диск беше лесно.

Създайте файл с текст в шифрована папка.

Въпреки това, когато се опитах да отворя файлове от шифрована папка, бях разочарован. Нито един файл не може да бъде отворен. Потребителите на Linux Mint смело съобщиха, че нямат достъп до посочените файлове. Но всички останали се отвориха без проблеми.

Шифрованите файлове в Win10 са видими от Mint, но не могат да бъдат отворени.

"Да!" - казаха суровите сибирски мъже. Но ако запишете криптиран файл на флаш устройство, той вероятно ще остане криптиран. И след това го прехвърлете на друг компютър, под различна операционна система, тогава внезапно ще се отвори? Не, няма да се отвори. Или по-скоро ще се отвори, но съдържанието му ще бъде напълно нечетливо. Криптирано е.

Опит за отваряне на криптиран текстов файл, записан на флашка.

По принцип е възможно да се използва EFS, а в някои случаи дори е необходимо. Ето защо, ако използвате Windows 10 от изданието Pro и по-високо, преценете рисковете от достъп на непознати до вашия компютър или лаптоп и дали те ще могат да получат вашите поверителни файлове. Може би нещо трябва да бъде криптирано днес?

Шифроваща файлова система

Криптиращата файлова система е услуга, тясно интегрирана с NTFS, разположена в ядрото на Windows 2000. Целта й е да защити данните, съхранявани на диска, от неоторизиран достъп, като ги криптира. Появата на тази услуга не е случайна и се очакваше отдавна. Факт е, че файловите системи, които съществуват днес, не осигуряват необходимата защита на данните от неоторизиран достъп.

Внимателният читател може да ми възрази: какво да кажем за Windows NT с неговата NTFS? Все пак NTFS осигурява контрол на достъпа и защита на данните от неоторизиран достъп! Да, това е вярно. Но какво ще стане, ако NTFS дялът не е достъпен с помощта на инструменти на операционната система? Windows системи NT, но директно, на физическо ниво? В края на краищата, това е относително лесно за изпълнение, например чрез зареждане от флопи диск и стартиране специална програма: например, много често срещаният ntfsdos. По-сложен пример е продуктът NTFS98. Разбира се, можете да предвидите тази възможност и да зададете парола за стартиране на системата, но практиката показва, че такава защита е неефективна, особено когато няколко потребители работят на един и същ компютър. И ако нападателят може да премахне твърдия диск от компютъра, тогава никакви пароли няма да помогнат. Чрез свързване на устройството към друг компютър съдържанието му може да се чете със същата лекота, както тази статия. По този начин нападателят може свободно да завладее поверителна информация, съхранявана на твърдия диск.

Единственият начин за защита срещу физическо четене на данни е шифроване на файлове. Най-простият случай на такова криптиране е архивирането на файл с парола. Има обаче редица сериозни недостатъци. Първо, потребителят трябва ръчно да криптира и декриптира (т.е. в нашия случай да архивира и деархивира) данните всеки път преди започване и след приключване на работа, което само по себе си намалява сигурността на данните. Потребителят може да забрави да шифрова (архивира) файла след приключване на работата или (дори по-обикновено) просто да остави копие на файла на диска. Второ, паролите, създадени от потребителя, обикновено са лесни за отгатване. Във всеки случай има достатъчен брой помощни програми, които ви позволяват да разопаковате архиви, защитени с парола. По правило такива помощни програми извършват отгатване на парола, като търсят думи, написани в речника.

Системата EFS е разработена, за да преодолее тези недостатъци. По-долу ще разгледаме по-подробно подробностите за технологията за криптиране, взаимодействието на EFS с потребителя и методите за възстановяване на данни, ще се запознаем с теорията и внедряването на EFS в Windows 2000, а също така ще разгледаме пример за криптиране на директория с помощта на EFS.

Технология за криптиране

EFS използва Windows CryptoAPI архитектурата. Базиран е на технология за криптиране с публичен ключ. За шифроване на всеки файл произволно се генерира ключ за шифроване на файл. В този случай всеки алгоритъм за симетрично криптиране може да се използва за криптиране на файла. В момента EFS използва един алгоритъм, DESX, който е специална модификация на широко използвания стандарт DES.

Ключовете за криптиране на EFS се съхраняват в резидентен пул памет (самият EFS се намира в ядрото на Windows 2000), което предотвратява неоторизиран достъп до тях чрез файла на страницата.

Взаимодействие с потребителя

По подразбиране EFS е конфигуриран така, че потребителят да може да започне да използва криптиране на файлове веднага. Поддържат се криптиране и обратни операции за файлове и директории. Ако една директория е криптирана, всички файлове и поддиректории на тази директория се криптират автоматично. Трябва да се отбележи, че ако шифрован файл бъде преместен или преименуван от шифрована директория в нешифрована, той пак ще остане шифрован. Операциите по криптиране/декриптиране могат да се извършват по два начина: различни начини- с помощта на Windows Explorer или конзолната програма Cipher.

За да шифрова директория от Windows Explorer, потребителят просто трябва да избере една или повече директории и да постави отметка в квадратчето за шифроване в прозореца с разширени свойства на директорията. Всички файлове и поддиректории, създадени по-късно в тази директория, също ще бъдат шифровани. По този начин можете да шифровате файл, като просто го копирате (или преместите) в „криптирана“ директория.

Шифрованите файлове се съхраняват на диска в криптирана форма. При четене на файл данните се дешифрират автоматично, а при запис автоматично се криптират. Потребителят може да работи с криптирани файлове по същия начин, както с обикновени файлове, тоест да отваря и редактира текстов редактор Майкрософт Уърддокументи, редактиране на чертежи в Адобе Фотошопили графичен редакторБоя и т.н.

Трябва да се отбележи, че при никакви обстоятелства не трябва да шифровате файлове, които се използват при стартиране на системата - в този момент личният ключ на потребителя, с който се извършва дешифрирането, все още не е наличен. Това може да направи невъзможно стартирането на системата! EFS осигурява проста защита срещу такива ситуации: файловете с атрибута „система“ не са криптирани. Все пак бъдете внимателни: това може да създаде дупка в сигурността! Проверете дали файловият атрибут е зададен на "система", за да сте сигурни, че файлът действително ще бъде шифрован.

Също така е важно да запомните, че криптираните файлове не могат да бъдат компресирани използвайки Windows 2000 г. и обратно. С други думи, ако една директория е компресирана, нейното съдържание не може да бъде криптирано, а ако съдържанието на директорията е криптирано, то не може да бъде компресирано.

В случай, че е необходимо декриптиране на данни, просто трябва да премахнете отметките от квадратчетата за криптиране за избраните директории в Windows Explorer и файловете и поддиректориите ще бъдат автоматично декриптирани. Трябва да се отбележи, че тази операция обикновено не се изисква, тъй като EFS предоставя „прозрачно“ изживяване с криптирани данни на потребителя.

Възстановяване на данни

EFS предоставя вградена поддръжка за възстановяване на данни, в случай че трябва да ги дешифрирате, но по някаква причина това не може да се направи нормално. По подразбиране EFS автоматично ще генерира ключ за възстановяване, ще инсталира сертификат за достъп в администраторския акаунт и ще го запази при първото ви влизане. Така администраторът се превръща в така наречения агент за възстановяване и ще може да дешифрира всеки файл в системата. Разбира се, политиката за възстановяване на данни може да бъде променена и специално лице, отговорно за сигурността на данните, или дори няколко такива лица, могат да бъдат назначени като агент по възстановяване.

Малко теория

EFS криптира данните с помощта на споделена ключова схема. Данните се криптират с бърз симетричен алгоритъм с помощта на FEK (ключ за криптиране на файлове). FEK е произволно генериран ключ с определена дължина. Дължината на ключа в северноамериканската версия на EFS е 128 бита; международната версия на EFS използва намалена дължина на ключа от 40 или 56 бита.

FEK е шифрован с един или повече споделени ключове за шифроване, което води до списък с шифровани FEK ключове. Списъкът с криптирани FEK ключове се съхранява в специален EFS атрибут, наречен DDF (поле за декриптиране на данни). Информацията, използвана за криптиране на данни, е тясно свързана с този файл. Публичните ключове се извличат от двойки потребителски ключове на сертификат X509 с допълнителна възможностс помощта на „Шифроване на файлове“. Частните ключове от тези двойки се използват при дешифриране на данни и FEK. Личната част от ключовете се съхранява или на смарт карти, или на друго защитено място (например в памет, чиято сигурност се гарантира с помощта на CryptoAPI).

FEK също е шифрован с помощта на един или повече ключове за възстановяване (извлечени от сертификатите X509, записани в правилата за възстановяване на шифровани данни за на този компютър, с допълнителна опция „Възстановяване на файл“).

Както в предишния случай, публичната част на ключа се използва за криптиране на FEK списъка. Списък с криптирани FEK ключове също се съхранява с файла в специална област на EFS, наречена DRF (поле за възстановяване на данни). DRF използва само общата част на всяка двойка ключове, за да шифрова FEK списъка. За нормални файлови операции са необходими само споделени ключове за възстановяване. Агентите за възстановяване могат да съхраняват личните си ключове на сигурно място извън системата (например на смарт карти). Фигурата показва диаграми на процесите на криптиране, декриптиране и възстановяване на данни.

Процес на криптиране

Некриптираният файл на потребителя се криптира с помощта на произволно генериран FEK. Този ключ се записва с файла и файлът се дешифрира с помощта на публичния ключ на потребителя (съхранен в DDF), както и публичния ключ на агента за възстановяване (съхранен в DRF).

Процес на дешифриране

Първо, личният ключ на потребителя се използва за декриптиране на FEK - това се прави с помощта на шифрованата версия на FEK, която се съхранява в DDF. Дешифрираният FEK се използва за дешифриране на файла блок по блок. Ако в голям файлблоковете не се четат последователно, тогава само четливите блокове се дешифрират. Файлът остава шифрован.

Процес на възстановяване

Този процес е подобен на дешифрирането, с тази разлика, че личният ключ на агента за възстановяване се използва за дешифриране на FEK, а шифрованата версия на FEK се взема от DRF.

Внедряване в Windows 2000

Фигурата показва EFS архитектурата:

EFS се състои от следните компоненти:

EFS драйвер

Този компонент се намира логически върху NTFS. Той взаимодейства с услугата EFS, получава ключове за криптиране на файлове, DDF, DRF полета и други данни за управление на ключове. Драйверът предава тази информация на FSRTL (библиотека за изпълнение на файловата система), за да изпълнява прозрачно различни операции на файловата система (например отваряне на файл, четене, запис, добавяне на данни в края на файла).

EFS Runtime Library (FSRTL)

FSRTL е модул в EFS драйвера, който прави външни извиквания към NTFS за извършване на различни операции на файловата система като четене, запис, отваряне на криптирани файлове и директории, както и криптиране, декриптиране, операции за възстановяване на данни при запис на диск и четене от диск . Въпреки че EFS драйверът и FSRTL са внедрени като един компонент, те никога не комуникират директно. Те използват механизма за повикване на NTFS, за да обменят съобщения помежду си. Това гарантира, че NTFS участва във всички файлови операции. Операциите, реализирани с помощта на механизми за управление на файлове, включват запис на данни в атрибути на EFS файл (DDF и DRF) и предаване на FEK, изчислени от EFS, към библиотеката FSRTL, тъй като тези ключове трябва да бъдат зададени в контекста на отворения файл. След това този отворен контекст на файла позволява дискретно шифроване и декриптиране на файлове, докато файловете се записват и четат от диска.

EFS услуга

Услугата EFS е част от подсистемата за сигурност. Той използва съществуващия LPC комуникационен порт между LSA (локален орган за сигурност) и монитора за сигурност в режим на ядрото, за да комуникира с EFS драйвера. В потребителски режим услугата EFS взаимодейства с CryptoAPI, за да предостави ключове за шифроване на файлове и да осигури генериране на DDF и DRF. Освен това услугата EFS поддържа Win32 API.

Win32 API

Осигурява програмен интерфейс за криптиране отворени файлове, декриптиране и възстановяване на затворени файлове, приемане и предаване на затворени файлове без предварително декриптиране. Внедрена като стандартна системна библиотека advapi32.dll.

Малко практика

За да шифровате файл или директория, изпълнете следните стъпки:

1. Стартирайте Windows Explorer, щракнете с десния бутон върху директорията, изберете Properties.
2. В раздела Общи щракнете върху бутона Разширени.

1. Поставете отметка в квадратчето до „Шифроване на съдържанието за защита на данните“. Щракнете върху OK, след което щракнете върху Приложи в диалоговия прозорец Свойства. Ако сте избрали да шифровате отделен файл, допълнително ще се появи диалогов прозорец, подобен на следния:

Системата предлага също да криптира директорията, в която се намира избраният файл, тъй като в противен случай криптирането ще бъде автоматично отменено при първата промяна на такъв файл. Винаги имайте това предвид, когато шифровате отделни файлове!

В този момент процесът на криптиране на данни може да се счита за завършен.

За да декриптирате директории, просто премахнете отметката от опцията „Шифроване на съдържанието за защита на данните“. В този случай директориите, както и всички поддиректории и файлове, съдържащи се в тях, ще бъдат декриптирани.

заключения

• EFS в Windows 2000 дава на потребителите възможността да криптират NTFS директории, като използват силна криптографска схема със споделен ключ и всички файлове в частни директории ще бъдат криптирани. Поддържа се шифроване на отделни файлове, но не се препоръчва поради непредвидимо поведение на приложението.
• EFS също поддържа криптиране изтрити файлове, които са достъпни като споделени ресурси. Ако има потребителски профили за връзка, се използват ключовете и сертификатите на отдалечените профили. В други случаи се генерират локални профили и се използват локални ключове.
• Системата EFS ви позволява да зададете политика за възстановяване на данни, така че шифрованите данни да могат да бъдат възстановени с помощта на EFS, ако е необходимо.
• Политиката за възстановяване на данни е вградена в общата политика Защита на Windows 2000 г. Мониторингът на спазването на политиката за възстановяване може да бъде делегиран на упълномощени лица. Всяка организационна единица може да има собствена конфигурирана политика за възстановяване на данни.
• Възстановяването на данни в EFS е затворена операция. Процесът на възстановяване дешифрира данните, но не и потребителския ключ, с който данните са били шифровани.
• Работата с криптирани файлове в EFS не изисква от потребителя да предприема специални стъпки за криптиране и декриптиране на данни. Дешифрирането и криптирането се извършват незабелязано от потребителя по време на процеса на четене и запис на данни на диска.
• EFS поддържа архивиране и възстановяване на криптирани файлове, без да ги дешифрира. NtBackup поддържа архивиране на криптирани файлове.
• EFS е вграден в операционната система по такъв начин, че изтичането на информация чрез суап файлове е невъзможно, като същевременно се гарантира, че всички създадени копия са криптирани
• Предвидени са множество предпазни мерки, за да се гарантира безопасността на възстановяването на данни, както и защита срещу изтичане и загуба на данни в случай на фатални системни повреди.

Започвайки с Windows XP във всички операционни системи системи на Microsoftима вградена технология за криптиране на данни EFS (шифрована файлова система). EFS криптирането се основава на възможностите на файловата система NTFS 5.0 и архитектурата CryptoAPI и е предназначено за бързо криптиране на файлове на твърдия диск на компютъра.

Нека опишем накратко схемата за криптиране на EFS. EFS използва криптиране с публичен и частен ключ. EFS криптирането използва личните и публичните ключове на потребителя, които се генерират при първото използване на функцията за криптиране. Тези ключове остават непроменени, докато акаунтът му съществува. При криптиране на файл EFS произволно генерира уникален номер, т.нар. File Encryption Key (FEK) с дължина 128 бита, с който се криптират файловете. FEK ключовете са криптирани с главен ключ, който е криптиран с ключа на системните потребители, които имат достъп до файла. Личният ключ на потребителя е защитен от хеш на паролата на потребителя.

Така можем да заключим: цялата верига за криптиране на EFS по същество е строго обвързана с потребителското име и парола. Това означава, че сигурността на данните също зависи от силата на паролата на потребителя.

важно. Данните, шифровани с помощта на EFS, могат да бъдат декриптирани само с помощта на същия акаунт. Windows записисъс същата парола, използвана за криптиране. Други потребители, включително администратори, няма да могат да дешифрират и отварят тези файлове. Това означава, че личните данни ще останат в безопасност, дори по всякакъв начин. Но е важно да се разбере и другата страна на въпроса. Ако акаунтът или паролата му бъдат променени (освен ако не са променени директно от самия потребител от неговата сесия), системата се срине или операционната система бъде преинсталирана, криптираните данни ще станат недостъпни. Ето защо е изключително важно да експортирате и съхранявате сертификатите за криптиране на безопасно място (процедурата е описана по-долу).

Забележка. Започвайки с Windows Vista MS OS системите поддържат друга технология за криптиране – BitLocker. BitLocker за разлика от EFS криптиране:

• използва се за криптиране на цял дисков том
• изисква хардуерен TPM модул (ако това изисква външно устройство за съхранение на ключове, като USB флаш устройство или твърд диск)

Външно за потребителя работата с частни файлове, криптирани с помощта на EFS, не се различава от работата с обикновени файлове - операционната система извършва автоматично операции за криптиране/декриптиране (тези функции се изпълняват от драйвера на файловата система).

Как да активирате криптирането на EFS директория в Windows

Нека разгледаме стъпка по стъпка процедурата за криптиране на данни в Windows 8 с помощта на EFS.

Забележка. При никакви обстоятелства не трябва да активирате криптиране за системни директории и папки. В противен случай Windows може просто да не стартира, защото... системата няма да може да намери частния ключ на потребителя и да дешифрира файловете.

Във File Explorer изберете директорията или файловете, които искате да шифровате, и като щракнете с десния бутон, отидете на техните свойства ( Имоти).

В раздела Общв секцията атрибути намерете и щракнете върху бутона Разширено.

В прозореца, който се показва, поставете отметка в квадратчето Шифровайте съдържанието, за да защитите данните(Шифроване на съдържание за защита на данните).

Кликнете върху OK два пъти.

Ако шифровате директория, системата ще ви попита дали искате да шифровате само директорията или директорията и всички нейни поделементи. Изберете желаното действие, след което прозорецът със свойства на директорията ще се затвори.

Шифрованите директории и файлове в Windows Explorer се показват в зелено (не забравяйте, че обектите са маркирани в синьо). Ако изберете да шифровате папка с цялото й съдържание, всички нови елементи в шифрованата папка също ще бъдат шифровани.

Можете да управлявате EFS криптиране/декриптиране от командния ред, като използвате помощната програма за шифроване. Например, можете да шифровате директорията C:\Secret по този начин:

Шифър /e c:\Secret

Списък на всички файлове във файловата система, криптирани с помощта на сертификата на текущия потребител, може да бъде показан с помощта на командата:

Шифър /u/n

Ключово архивиране на EFS криптиране

След като потребителят шифрова данните си с помощта на EFS за първи път, в системната област ще се появи изскачащ прозорец, който му казва да запише ключа за шифроване.

Архивирайте вашия ключ за шифроване на файлове. Това ви помага да избегнете трайна загуба на достъп до вашите шифровани файлове.

Щракването върху съобщението ще стартира съветника Резервно копиесертификати и свързаните с тях частни ключове EFS криптиране.

Забележка. Ако случайно затворите прозореца или той не се появи, можете да експортирате EFS сертификати с помощта на " Управление на сертификати за шифроване на файлове» в потребителския контролен панел.

Изберете Архивирайте вашия сертификат за шифроване на файлове и ключ

След това въведете парола за защита на сертификата (за предпочитане доста сложна).

Остава само да посочите мястото, където искате да запазите експортирания сертификат (от съображения за сигурност той трябва да бъде копиран на външен твърддиск/ флашкаи съхранявайте на сигурно място).