Čo je efs v OS Windows. EFS šifrovanie a správa certifikátov

O objektívoch Canon sa na internete koluje množstvo fám, úprimne sa priznám, sám som si donedávna mýlil rozdiel medzi objektívmi EF a EF-S. V tomto článku som sa o nich pokúsil zhromaždiť niekoľko informácií, ktoré pomôžu rozhodnúť sa v prospech jednej alebo druhej úpravy, ukončiť spory a vyvrátiť niektoré mýty.

Poďme najprv rozlúštiť skratku EF - pochádza z frázy Electro-Focus (“Elektrofocus”). S uchytením EF prichádza systém automatického zaostrovania zabudovaný v optike, t.j. Medzi objektívom a fotoaparátom nie sú žiadne pohyblivé časti, iba kontakty a za zaostrovanie a clonu je zodpovedný elektromotor v objektíve. Mimochodom, prvý objektív série EF sa objavil už v roku 1987.

EF-S je modifikácia držiaka pre fotoaparáty s maticou formátu APS-C, ktorá bola vyvinutá v roku 2003. „S“ znamená krátke zadné ohnisko. Posledný optický prvok v takýchto šošovkách je umiestnený bližšie k matrici ako v šošovkách EF. Pre porovnanie uvediem obrázok dvoch objektívov s rôznymi úpravami bajonetu.

Ľavý objektív EF, pravý EF-S

Ako vidíte, na pravej šošovke sa posledná šošovka nachádza za závitom bajonetu, t.j. pri inštalácii na fotoaparát bude výrazne bližšie k matrici. V skutočnosti je to jediný, ale veľmi dôležitý rozdiel. Faktom je, že optiku EF-S nemožno použiť s full-frame fotoaparátmi. Napriek kompatibilite držiaka môže vyčnievajúca šošovka poškodiť zrkadlo fotoaparátu. Objektívy EF sú navyše kompatibilné a možno ich použiť s akýmkoľvek fotoaparátom Canon EOS (DSLR).

V prípade fotoaparátov formátu APS-C je potrebné upraviť ohniskové vzdialenosti objektívu. Ak chcete vypočítať ohniskovú vzdialenosť ekvivalentnú ohniskovej vzdialenosti získanej na plnoformátovom snímači, musíte vynásobiť hodnoty uvedené na objektíve číslom 1,6. Na internete je rozšírený názor, že pre sériu EF-S to nie je potrebné a skutočné hodnoty sú uvedené na optike, už s prihliadnutím na prepočet. Toto je nesprávne. Ako príklad uvediem popis nového objektívu Canon EF-S 18-55mm f/3.5-5.6 IS II z oficiálnej stránky spoločnosti:

EF-S 18-55 mm f/3,5-5,6 IS II je vysokokvalitný objektív so štandardným zoomom, ktorý osloví fotografov, ktorí radšej cestujú naľahko. S ekvivalentom ohniskovej vzdialenosti 29-88 mm v 35 mm formáte…

Ako vidíte, u týchto objektívov sa používa štandardný prevod ohniskových vzdialeností a 18-55 sa zmení na 29-88mm. Vynára sa úplne logická otázka: prečo sa trápiť s celou touto záhradou? Faktom je, že tento dizajn umožnil vyrobiť ľahšie a menšie šošovky. To je podľa spoločnosti Canon, ale v skutočnosti je celkom možné, že sa to robí preto, aby sa lacné šošovky nepoužívali s drahým plnoformátovým vybavením.

Ďalší zaujímavý dotyk: EF ani EF-S neboli licencované tretím výrobcom optiky, ako sú Sigma alebo Tamron. Napriek tvrdeniam týchto výrobcov o 100% kompatibilite spoločnosť Canon takúto záruku neposkytuje. Preto pri nákupe neznačkových šošoviek ich treba obzvlášť dôkladne otestovať.

Urobme závery o objektívoch Canon:

• ohnisková vzdialenosť na fotoaparátoch APS-C sa prepočítava pre všetky typy objektívov;
• ultraširokouhlý uhol na orezaných fotoaparátoch je k dispozícii iba s objektívom EF-S 10-22 mm;
• Bohužiaľ, rybie oko na orezaných fotoaparátoch nie je vôbec dostupné;
• Objektívy EF sú vhodné pre všetky fotoaparáty Canon;
• Pri inovácii z APS-C fotoaparátu na full frame nemožno použiť objektívy EF-S.

Ak plánujete v budúcnosti prejsť na full frame fotoaparát, zvážte nákup objektívov vopred.

Na ochranu potenciálne citlivých údajov pred neoprávneným prístupom pri fyzickom prístupe k počítaču a diskom.

Autentifikácia používateľa a práva na prístup k prostriedkom v NT fungujú pri zavádzaní operačného systému, ale pri fyzickom prístupe k systému je možné zaviesť iný OS, aby sa tieto obmedzenia obišli. EFS používa symetrické šifrovanie na ochranu súborov, ako aj šifrovanie párom verejného/súkromného kľúča na ochranu náhodne vygenerovaného šifrovacieho kľúča pre každý súbor. V predvolenom nastavení je súkromný kľúč používateľa chránený šifrovaním hesla používateľa a bezpečnosť údajov závisí od sily hesla používateľa.

Popis práce

EFS funguje tak, že každý súbor zašifruje pomocou symetrického šifrovacieho algoritmu v závislosti od verzie operačného systému a nastavení (od Windows XP je teoreticky možné použiť na šifrovanie údajov knižnice tretích strán). Toto používa náhodne vygenerovaný kľúč pre každý súbor, tzv Šifrovací kľúč súboru(FEK), výber symetrického šifrovania v tejto fáze sa vysvetľuje jeho rýchlosťou a vyššou spoľahlivosťou vo vzťahu k asymetrickému šifrovaniu.

FEK (symetrický šifrovací kľúč náhodný pre každý súbor) je chránený asymetrickým šifrovaním pomocou verejného kľúča používateľa šifrujúceho súbor a algoritmu RSA (teoreticky je možné použiť aj iné asymetrické šifrovacie algoritmy). Takto zašifrovaný FEK je uložený v alternatívnom prúde $EFS systému súborov NTFS. Na dešifrovanie údajov ovládač šifrovaného systému súborov transparentne dešifruje FEK pomocou súkromného kľúča používateľa a potom požadovaný súbor pomocou dešifrovaného kľúča súboru.

Keďže šifrovanie/dešifrovanie súborov prebieha pomocou ovládača súborového systému (v podstate doplnku NTFS), pre používateľa a aplikácie prebieha transparentne. Je potrebné poznamenať, že EFS nešifruje súbory prenášané cez sieť, takže na ochranu prenášaných údajov musíte použiť iné protokoly na ochranu údajov (IPSec alebo WebDAV).

Rozhrania pre interakciu s EFS

Na prácu s EFS má užívateľ možnosť využiť GUI prieskumník alebo utilita príkazový riadok.

Používanie GUI

Na zašifrovanie súboru alebo priečinka, ktorý obsahuje súbor, môže používateľ použiť príslušné dialógové okno vlastností súboru alebo priečinka začiarknutím alebo zrušením začiarknutia políčka „šifrovať obsah na ochranu údajov“; pre súbory začínajúce od systému Windows XP môžete pridať verejné kľúče iných používateľov, ktorí budú tiež schopní dešifrovať tento súbor a pracovať s jeho obsahom (s príslušnými povoleniami). Pri šifrovaní priečinka sa zašifrujú všetky súbory v ňom, ako aj tie, ktoré sa doň neskôr umiestnia.

Nadácia Wikimedia. 2010.

Pozrite si, čo je „EFS“ v iných slovníkoch:

EFS- existuje pre: EFS Flug Service, ein deutsches Charterflugunternehmen EFS Hausgeräte, eine Haushaltsgerätefirma Encrypting File System, System für Dateiverschlüssung unter Microsoft Windows EFS Euro Finanz Service Vermittlungs AG (EFS AG), ein… … Deutsch Wikipedia

Efs- existuje pre: EFS Flugservice, ein deutsches Charterflugunternehmen EFS Hausgeräte, eine Haushaltsgerätefirma Encrypting File System, System for Dateiverschlüsung unter Microsoft Windows Error Free Second beim Betrieb von Netzelementen Euro Finanz… … Deutsch Wikipedia

EFS- Systém šifrovania súborov (EFS) obsahuje súbor archívov, systém NTFS, archívny systém a úroveň systému. Je k dispozícii pre Microsoft Windows 2000 a neskoršie verzie. La tecnología… … Wikipedia Español

EFS- môže odkazovať na jednu z nasledujúcich možností: *Elektronický systém evidencie, elektronická platforma singapurského súdnictva *Pohotovostná hasičská služba, teraz Country Fire Service (Austrália) *Emperor of the Fading Suns, ťahová strategická videohra… … Wikipedia

EFS- , ein System zur Verschlüsselung von Dateien and Ordnern under the Betriebssystemen Windows NT and Windows 2000, so dass sie for dem Zugriff unberechtigter Benutzer geschützt… … Universal-Lexikon

EFS- Cette page d'homonymie répertorie les différents sujets et articles partageant un même nom. Sigles d’une seule letter Sigles de deux Lettres > Sigles de trois lettres Sigles de quatre liters … Wikipédia en Français

EFS- ● en sg. m. Systém šifrovania súborov MS GESTFICH. šifrovaný systém súborov, integrovaný pre Microsoft a Windows 2000 a bez možnosti použitia. Voir TCFS. Je ne sais pas il existe un lien avec efs… Slovník frankofónnych informácií

efs- podstatné meno názov písmena F ... Wikislovník

EFS- Systém šifrovania súborov (Výpočet » Bezpečnosť) * Enhance Financial Services Group, Inc. (Obchodné » Symboly NYSE) * Výber umelých vlákien (Rôzne » Oblečenie) * Vyhlásenie o efektívnom financovaní (Obchodné » Účtovníctvo) * Vývojový diagram (EasyFlow) … Slovník skratiek

EFS- najskoršia dokončovacia zmena; stimulácia elektrického poľa; European Fraxiparin Study; event free survival... Lekársky slovník

Predpokladajme, že máte spustený počítač Ovládanie Windows najnovšiu verziu. Hráte na ňom strieľačky, píšete dizertačnú prácu, robíte účtovníctvo jednotlivým podnikateľom v zjednodušenom systéme a vôbec sa zabávate, ako najlepšie viete. Zrazu však úplne bezdôvodne začnete mať pocit, že niečo zvonku ohrozuje bezpečnosť niektorých údajov uložených na vašom osobný počítač. S horúcim pohľadom čítate početné kybernetické fóra a s hrôzou si uvedomujete, že všetky vaše dáta na vašom pevnom disku nie sú nijak chránené. A ak je váš milovaný počítač ukradnutý a riziko krádeže prenosného zariadenia nie je také nízke, útočník sa bude môcť dostať k celému obsahu pevný disk! Ó, moja neoceniteľná dizertačná práca!

Pokúsme sa zistiť, či je naozaj možné získať neoprávnený prístup k súborom, ak je na počítači spustený operačný systém Windows 10. Inžinieri IBM a následne aj Microsoft vynaložili veľa úsilia na implementáciu systému oddelenia práv pre súborový systém NTFS ( keď bola IBM HPFS). A ak na počítači beží Win10, potom je veľmi, veľmi ťažké získať prístup k súborom iných ľudí bez povolenia, a ak je prístup zablokovaný, je to úplne nemožné. Windows bezpečne chráni používateľské súbory.

Ale akonáhle nabootujete do iného operačného systému, napríklad Linux Mint, potom všetko užívateľské súbory bude plne viditeľná. Stiahnite si, čo chcete. A do Mintu môžete zaviesť buď z flash disku alebo z CD-ROM, stačí sa dostať do UEFI (BIOS) a aktivovať bootovanie z vymeniteľných jednotiek, ak predtým nebolo aktivované, alebo použiť boot menu. Za predpokladu, že nastavíte heslo na prihlásenie do UEFI a zakážete výber disku, ktorý sa má spustiť ako trieda, potom sú vaše súbory o niečo lepšie chránené. A útočník môže jednoducho odskrutkovať váš počítač a vytiahnuť ho HDD a pripojte ho k počítaču a potom si stiahnite všetko, čo je potrebné. Dáta vo forme súborov totiž bude mať v rukách ako otvorený zápisník.

IT špecialisti vedia, že údaje vo svojom počítači môžete do istej miery zabezpečiť pomocou technológie BitLocker. BitLocker je dobrá vec, ale umožňuje šifrovať iba celé oddiely na diskoch, či už fyzických alebo virtuálnych. Zároveň je zabezpečená bezpečnosť kľúčov vrátane uloženia v TPM moduloch. Čo je veľmi pohodlné. Nie vždy je však šifrovanie všetkého a všetkých pohodlné, aj keď, samozrejme, použitie plného šifrovania disku dáva určitý zmysel. Ale z nejakého dôvodu každý zabudne na čiastočné šifrovanie súborov a adresárov.

V systéme Windows 10, rovnako ako v jeho predchádzajúcich reinkarnáciách, existuje systém šifrovaných súborov, čo znamená šifrovaný systém súborov (EFS). Táto funkcia je dostupná od edície Pro a vyššej, takže ak máte verziu Windows Home, musíte prejsť aspoň na Pro. Wikipedia napísala veľa o tom, ako a čo sa v EFS šifruje. Len sa pokúsim všetko vysvetliť čo najjednoduchšie a dať čo najviac podrobné pokyny aby ste povolili ochranu vašich súborov.

Okrem toho, že má minimum Profesionálny pohľad redakcie, je potrebné, aby ste pracovali pod užívateľom, ktorý má heslo. Heslo musí byť prítomné, nech je to odkaz na cloudová služba Microsoft alebo úplne samostatné heslo. Či sa do systému prihlásite pomocou PIN kódu alebo vzoru – nezáleží na tom, dôležité je, že váš účtu heslo je pripojené. Okrem hesla v aktívnom účte je potrebné, aby sa chránené súbory a adresáre nachádzali na disku alebo partícii so systémom súborov NTFS. S najväčšou pravdepodobnosťou je to presne to systém súborov a vzťahuje sa na vás.

Šifrovanie údajov prebieha pre používateľov a pre veľkú väčšinu softvérových produktov úplne transparentne, pretože šifrovanie prebieha na úrovni systému súborov NTFS. Môžete šifrovať jeden súbor alebo celý priečinok naraz. Môžete ho zašifrovať ako prázdny priečinok a potom doň pridať nové súbory a budú tiež zašifrované, alebo môžete zašifrovať priečinok so súbormi a adresármi vo vnútri. Všetko je vaša voľba.

Pri práci so šifrovanými priečinkami a súbormi zvážte nasledovné:

1. Súbory sú šifrované, kým sa neprenesú do iného systému súborov ako NTFS. Napríklad skopírujete zašifrovaný súbor na flash disk. Ak je to FAT32 a s najväčšou pravdepodobnosťou tam je, súbor bude dešifrovaný. V desiatom Verzie systému Windows Microsoft napriek tomu implementoval funkciu, pri ktorej súbor zostáva zašifrovaný, aj keď ste ho preniesli na flash disk s FAT, takže by ste mali byť ostražití, ak nejaké súbory prezradíte svojmu priateľovi. Podarí sa mu ich neskôr otvoriť bez nadávok? Ak odošlete súbor cez e-mail- bude dešifrovaný (inak nemá zmysel posielať ho poštou). Pri prenose súboru cez sieť dôjde aj k dešifrovaniu.
2. Pri presúvaní medzi oddielmi NTFS zostáva súbor zašifrovaný. Pri presúvaní súboru z jedného disku NTFS na iný disk NTFS bude súbor zašifrovaný. Keď skopírujete súbor na vymeniteľný pevný disk so systémom súborov NTFS, bude zašifrovaný na novom mieste.
3. Ak je heslo účtu násilne zmenené treťou stranou, napríklad správcom, alebo je násilne zmenené heslo prepojeného doménového účtu alebo cloudovej služby, prístup k súborom bez záložného certifikátu (vygenerovaného počas prvého šifrovania) už nebude byť možné.

Posledný bod je veľmi dôležitý najmä pre ľudí s nespoľahlivou pamäťou, ktorí neustále obnovujú heslá. Tu môže takýto trik vyústiť do trvalo zašifrovaných súborov, pokiaľ, samozrejme, neimportujete uložený certifikát do systému. Ak je však zmena hesla dobrovoľná, napríklad v súlade s politikou zmeny hesla, nedôjde k predčasnej strate šifrovaných súborov.

Skeptici celkom správne poznamenajú, že takáto ochrana, podobne ako BitLocker, nie je super spoľahlivá, hovoria, že hackeri môžu uhádnuť heslo, ak je slabé, a spravodajské služby všetko rozlúštia. V skutočnosti môžu jednoducho uhádnuť vaše heslo, ak je krátke a jednoduché. A na to slúžia spravodajské služby, aby mali technickú schopnosť dostať sa k obsahu súborov príliš podozrivých používateľov. A čo viac, po prihlásení máte okamžite transparentný prístup ku všetkým súborom zašifrovaným systémom EFS. A ak je vo vašom počítači trójsky kôň alebo vírus, získa prístup k vzácnym súborom presne rovnakým spôsobom. Je potrebné prísne dodržiavať hygienu počítača.

Podrobné pokyny na povolenie šifrovania pomocou EFS pod Win10 Pro v priečinku

Nižšie ponúkam podrobný a presný návod, ako zašifrovať priečinok so súbormi v ňom. Jednotlivý súbor je zašifrovaný rovnakým spôsobom.

Krok 1. Vytvorme priečinok. Nech sa volá „Moje obrázky“.

Vytvorenie adresára

Krok 2. Kliknite pravým tlačidlom myši na priečinok a v kontextovej ponuke vyberte položku „Vlastnosti“.

Kliknite pravým tlačidlom myši na priečinok a získajte toto

Krok 3. V ponuke „Vlastnosti“ prejdite na rozšírené atribúty priečinka kliknutím na tlačidlo „Iné...“.

Vlastnosti priečinka

Krok 4. Začiarknite políčko vedľa položky „Šifrovať obsah na ochranu údajov“ a kliknite na tlačidlo OK. Ak potrebujete zrušiť šifrovanie, zrušte začiarknutie toho istého políčka a súbor bude dešifrovaný.

Vo vlastnostiach priečinka rozšírené atribúty

Krok 5. Dokončite pomocou „Vlastnosti“ a kliknite na tlačidlo OK alebo „Použiť“.

Krok 6. V dialógovom okne odpovieme, čo „použiť“ na náš priečinok a celý jeho obsah.

Vyberte požadovanú položku šifrovania

To je všetko, náš priečinok a celý jeho obsah je šifrovaný pomocou EFS. Ak chcete, môžete skontrolovať, či je náš priečinok a všetky súbory v ňom bezpečne uzavreté pred cudzími osobami.

Krok 7. Prejdeme krokmi 1-3 a uvidíme, že začiarkavacie políčko „šifrovať“ je aktívne. A vedľa neho je aktívne tlačidlo „Podrobnosti“. Kliknite na „podrobnosti“.

Kontrola toho, čo je zašifrované

Krok 8. V zobrazenom okne vidíme, že tento súbor má iba jeden certifikát na prístup iba pre jedného používateľa a navyše nie sú nainštalované žiadne certifikáty na obnovenie prístupu.

Priečinok je zašifrovaný jedným certifikátom

Aby si to pochopil konkrétny súbor možno zašifrovať v programe Windows Prieskumník; na súbore sa zobrazí ikona zámku.

Galéria so zašifrovanými obrázkami. Môže ich zobraziť iba vlastník účtu.

Ikona sa zobrazí vo všetkých ostatných zobrazeniach súborov a zobrazeniach Prieskumníka. Je pravda, že na niektorých piktogramoch sú veľmi ťažko viditeľné a musíte sa pozorne pozerať.

Rovnaká galéria, len vo forme tabuľky. Zámky v pravom hornom rohu ikony.

Po zašifrovaní prvých súborov vás systém Windows vyzve na vytvorenie kópie certifikátu. Rovnaký certifikát, ktorý vám umožní dešifrovať súbory, ak sa náhle niečo pokazí vo vašom počítači (preinštalovanie systému, resetovanie hesla, prenesenie disku do iného počítača atď.).

Krok 9. Ak chcete uložiť certifikát obnovy zálohy, kliknite na ikonu archivácie kľúča.

Ikona na paneli s výzvou na archiváciu záložného certifikátu na obnovenie šifrovania

Krok 10. V zobrazenom okne vyberte možnosť „Archivovať teraz“.

Výber času archivácie

Krok 11. V dialógovom okne sprievodcu aktiváciou kliknite na „Ďalej“.

Okno Sprievodca exportom certifikátu

Krok 12. Ak používate iba šifrovanie EFS, môžete ponechať predvolené hodnoty. A kliknite na „Ďalej“.

Nastavenia exportu záložného certifikátu

Krok 13. Exportovaný certifikát má zmysel chrániť heslom. Zadáme heslo, môže to byť čokoľvek, nie nevyhnutne z vášho e-mailu alebo na prihlásenie do systému Windows. A kliknite na „Ďalej“.

Zadajte heslo pre dodatočná ochrana osvedčenie o obnove

Krok 15. Výsledok potvrďte kliknutím na OK.

Dokončenie sprievodcu exportom

A to je všetko. Stiahnutý certifikát treba skopírovať na bezpečné miesto. Napríklad na diskete, flash disku alebo v zabezpečenom cloude. Ponechanie certifikátu na obnovenie v počítači je zlý nápad, takže po jeho uložení na „bezpečnom mieste“ súbor z počítača vymažeme a zároveň vyprázdnime kôš.

Mimochodom, môžete tiež šifrovať adresáre, do ktorých sa synchronizujú cloudové súbory vo vašom počítači, napríklad OneDrive, DropBox, Yandex Disk a mnoho ďalších. Ak chcete takýto priečinok zašifrovať, mali by ste najskôr vypnúť aplikáciu na synchronizáciu v cloude alebo pozastaviť synchronizáciu. Tiež sa oplatí zatvoriť všetky otvorené súbory v adresári, ktoré budú podliehať šifrovaniu, napríklad zatvorenie Wordu, Excelu alebo iných programov. Potom môžete povoliť šifrovanie vo vybranom priečinku. Po dokončení procesu šifrovania môžete synchronizáciu znova povoliť. V opačnom prípade nemusí šifrovanie ovplyvniť všetky súbory v priečinku, pretože Vstavaný systém dokáže šifrovať iba zapisovateľné súbory. Áno, pri synchronizácii do cloudu sa súbory dešifrujú a v cloude už nebudú šifrované.

Pred spustením šifrovania sa musíte odhlásiť z OneDrive.

Teraz je čas otestovať, ako dobre funguje šifrovanie EFS. Vytvoril som súbor s textom v zašifrovanom adresári. A potom som spustil Linux Mint z flash disku. Táto verzia Linux si ľahko poradí s pevnými diskami NTFS, takže dostať sa k obsahu môjho pevného disku bolo jednoduché.

Vytvorte súbor s textom v zašifrovanom priečinku.

Keď som sa však pokúsil otvoriť súbory zo šifrovaného priečinka, bol som sklamaný. Nebolo možné otvoriť ani jeden súbor. Diváci Linux Mint odvážne hlásili, že nemajú prístup k zadaným súborom. Všetky ostatné sa však otvorili bez problémov.

Šifrované súbory vo Win10 sú viditeľné z Mint, ale nedajú sa otvoriť.

"Áno!" - povedali prísni sibírski muži. Ale ak zapíšete šifrovaný súbor na flash disk, pravdepodobne zostane zašifrovaný. A potom to preniesť do iného počítača, pod iným operačným systémom, potom sa to zrazu otvorí? Nie, neotvorí sa. Alebo skôr, otvorí sa, ale jeho obsah bude úplne nečitateľný. Je to zašifrované.

Pokus o otvorenie zašifrovaného textového súboru zaznamenaného na flash disku.

Vo všeobecnosti je možné použiť EFS a v niektorých prípadoch je to dokonca nevyhnutné. Ak teda používate Windows 10 z edície Pro a vyššie, zhodnoťte riziká prístupu cudzích osôb k vášmu počítaču alebo notebooku a či sa im podarí získať vaše dôverné súbory. Možno by sa dnes malo niečo zašifrovať?

Šifrovanie systému súborov

Šifrovací súborový systém je služba úzko integrovaná s NTFS, ktorá sa nachádza v jadre Windows 2000. Jej účelom je chrániť dáta uložené na disku pred neoprávneným prístupom ich šifrovaním. Vzhľad tejto služby nie je náhodný a dlho očakávaný. Faktom je, že systémy súborov, ktoré dnes existujú, neposkytujú potrebnú ochranu údajov pred neoprávneným prístupom.

Pozorný čitateľ mi môže namietať: čo Windows NT s jeho NTFS? NTFS totiž poskytuje kontrolu prístupu a ochranu údajov pred neoprávneným prístupom! Áno, je to pravda. Čo však robiť, ak sa k oddielu NTFS nepristupuje pomocou nástrojov operačného systému? systémy Windows NT, ale priamo, na fyzickej úrovni? To sa napokon dá pomerne jednoducho implementovať napríklad zavedením z diskety a spustením špeciálny program: napríklad veľmi časté ntfsdos. Sofistikovanejším príkladom je produkt NTFS98. Samozrejme, môžete túto možnosť poskytnúť a nastaviť heslo na spustenie systému, ale prax ukazuje, že takáto ochrana je neúčinná, najmä ak na tom istom počítači pracuje niekoľko používateľov. A ak sa útočníkovi podarí odstrániť pevný disk z počítača, žiadne heslá nepomôžu. Po pripojení disku k inému počítaču je možné čítať jeho obsah rovnako ľahko ako tento článok. Útočník sa tak môže voľne zmocniť dôverných informácií uložených na pevnom disku.

Jediným spôsobom ochrany pred fyzickým čítaním údajov je šifrovanie súborov. Najjednoduchším prípadom takéhoto šifrovania je archivácia súboru pomocou hesla. Existuje však niekoľko vážnych nevýhod. Po prvé, používateľ musí dáta pred začatím a po ukončení práce ručne zašifrovať a dešifrovať (čiže v našom prípade archivovať a rozbaliť), čo už samo o sebe znižuje bezpečnosť dát. Používateľ môže po ukončení práce zabudnúť súbor zašifrovať (archivovať), alebo (ešte bežnejšie) jednoducho nechať kópiu súboru na disku. Po druhé, heslá vytvorené používateľmi sa zvyčajne dajú ľahko uhádnuť. V každom prípade existuje dostatočné množstvo utilít, ktoré umožňujú rozbaľovanie archívov chránených heslom. Takéto nástroje spravidla vykonávajú hádanie hesla vyhľadávaním slov napísaných v slovníku.

Systém EFS bol vyvinutý na prekonanie týchto nedostatkov. Nižšie sa pozrieme podrobnejšie na detaily technológie šifrovania, interakciu EFS s používateľom a metódy obnovy dát, zoznámime sa s teóriou a implementáciou EFS vo Windows 2000 a pozrieme sa aj na príklad šifrovania adresára pomocou EFS.

Technológia šifrovania

EFS používa architektúru Windows CryptoAPI. Je založený na technológii šifrovania s verejný kľúč. Na zašifrovanie každého súboru sa náhodne vygeneruje šifrovací kľúč súboru. V tomto prípade je možné na zašifrovanie súboru použiť akýkoľvek symetrický šifrovací algoritmus. V súčasnosti EFS používa jeden algoritmus, DESX, ktorý je špeciálnou modifikáciou široko používaného štandardu DES.

Šifrovacie kľúče EFS sú uložené v rezidentnej pamäťovej oblasti (samotný EFS sa nachádza v jadre Windows 2000), čo zabraňuje neoprávnenému prístupu k nim prostredníctvom súboru stránky.

Interakcia používateľa

V predvolenom nastavení je EFS nakonfigurovaný tak, aby používateľ mohol okamžite začať používať šifrovanie súborov. Pre súbory a adresáre sú podporované šifrovanie a spätné operácie. Ak je adresár zašifrovaný, automaticky sa zašifrujú všetky súbory a podadresáre tohto adresára. Treba si uvedomiť, že ak sa zašifrovaný súbor presunie alebo premenuje zo zašifrovaného adresára do nezašifrovaného, ​​zostane zašifrovaný. Operácie šifrovania/dešifrovania možno vykonávať dvoma spôsobmi: rôzne cesty- pomocou Prieskumníka Windows alebo pomôcky konzoly Cipher.

Ak chcete zašifrovať adresár z Prieskumníka Windows, používateľ jednoducho musí vybrať jeden alebo viac adresárov a začiarknuť políčko šifrovania v okne rozšírených vlastností adresára. Všetky súbory a podadresáre vytvorené neskôr v tomto adresári budú tiež šifrované. Súbor teda môžete zašifrovať jednoduchým skopírovaním (alebo presunutím) do „šifrovaného“ adresára.

Zašifrované súbory sú uložené na disku v zašifrovanej podobe. Pri čítaní súboru sa dáta automaticky dešifrujú a pri zápise sa automaticky zašifrujú. Používateľ môže pracovať so zašifrovanými súbormi rovnakým spôsobom ako s bežnými súbormi, teda otvárať a upravovať v textový editor Microsoft Word dokumenty, upravovať výkresy v Adobe Photoshop alebo grafický editor Maľovať a tak ďalej.

Je potrebné poznamenať, že za žiadnych okolností by ste nemali šifrovať súbory, ktoré sa používajú pri spustení systému - v súčasnosti ešte nie je k dispozícii osobný kľúč používateľa, pomocou ktorého sa vykonáva dešifrovanie. Môže to znemožniť spustenie systému! EFS poskytuje jednoduchú ochranu proti takýmto situáciám: súbory s atribútom „system“ nie sú šifrované. Buďte však opatrní: môže to spôsobiť bezpečnostnú dieru! Skontrolujte, či je atribút súboru nastavený na „systém“, aby ste sa uistili, že súbor bude skutočne zašifrovaný.

Je tiež dôležité si uvedomiť, že šifrované súbory nie je možné komprimovať pomocou systému Windows 2000 a naopak. Inými slovami, ak je adresár komprimovaný, jeho obsah sa nedá zašifrovať a ak je obsah adresára zašifrovaný, nedá sa skomprimovať.

V prípade, že je potrebné dešifrovanie údajov, stačí v Prieskumníkovi Windows zrušiť začiarknutie políčok šifrovania pre vybrané adresáre a súbory a podadresáre budú automaticky dešifrované. Je potrebné poznamenať, že táto operácia sa zvyčajne nevyžaduje, pretože EFS poskytuje používateľovi „transparentnú“ skúsenosť so šifrovanými údajmi.

Obnova dát

EFS poskytuje vstavanú podporu pre obnovu dát v prípade, že ich potrebujete dešifrovať, no z nejakého dôvodu sa to nedá urobiť normálne. V predvolenom nastavení EFS automaticky vygeneruje kľúč na obnovenie, nainštaluje prístupový certifikát do účtu správcu a uloží ho pri prvom prihlásení. Správca sa tak stane takzvaným agentom obnovy a bude môcť dešifrovať akýkoľvek súbor v systéme. Samozrejme, politika obnovy dát sa dá zmeniť a ako agent obnovy môže byť určená špeciálna osoba zodpovedná za bezpečnosť dát, prípadne aj niekoľko takýchto osôb.

Trochu teórie

EFS šifruje údaje pomocou schémy zdieľaného kľúča. Údaje sú šifrované rýchlym symetrickým algoritmom pomocou FEK (šifrovací kľúč súboru). FEK je náhodne vygenerovaný kľúč určitej dĺžky. Dĺžka kľúča v severoamerickej verzii EFS je 128 bitov, medzinárodná verzia EFS používa skrátenú dĺžku kľúča 40 alebo 56 bitov.

FEK je zašifrovaný jedným alebo viacerými zdieľanými šifrovacími kľúčmi, výsledkom čoho je zoznam zašifrovaných kľúčov FEK. Zoznam zašifrovaných kľúčov FEK je uložený v špeciálnom atribúte EFS s názvom DDF (pole na dešifrovanie údajov). Informácie používané na šifrovanie údajov sú úzko prepojené s týmto súborom. Verejné kľúče sa extrahujú z párov používateľských kľúčov certifikátu X509 s dodatočná príležitosť pomocou "Šifrovanie súborov". Súkromné ​​kľúče z týchto párov sa používajú pri dešifrovaní údajov a FEK. Privátna časť kľúčov je uložená buď na čipových kartách alebo na inom zabezpečenom mieste (napríklad v pamäti, ktorej bezpečnosť je zabezpečená pomocou CryptoAPI).

FEK je tiež šifrovaný pomocou jedného alebo viacerých kľúčov na obnovenie (odvodených z certifikátov X509 zaznamenaných v politike obnovy šifrovaných údajov pre tohto počítača, s dodatočnou možnosťou „Obnova súboru“).

Rovnako ako v predchádzajúcom prípade sa verejná časť kľúča používa na šifrovanie zoznamu FEK. Zoznam zašifrovaných kľúčov FEK je tiež uložený so súborom v špeciálnej oblasti EFS nazývanej DRF (pole obnovy údajov). DRF používa iba spoločnú časť každého páru kľúčov na šifrovanie zoznamu FEK. Na bežné operácie so súbormi sú potrebné iba zdieľané kľúče na obnovenie. Agenti obnovy môžu uchovávať svoje súkromné ​​kľúče na bezpečnom mieste mimo systému (napríklad na čipových kartách). Na obrázku sú znázornené schémy procesov šifrovania, dešifrovania a obnovy dát.

Proces šifrovania

Nešifrovaný súbor používateľa je zašifrovaný pomocou náhodne vygenerovaného FEK. Tento kľúč sa zapíše so súborom a súbor sa dešifruje pomocou verejného kľúča používateľa (uloženého v DDF), ako aj verejného kľúča agenta obnovy (uloženého v DRF).

Proces dešifrovania

Najprv sa na dešifrovanie FEK použije súkromný kľúč používateľa – to sa deje pomocou zašifrovanej verzie FEK, ktorá je uložená v DDF. Dešifrovaný FEK sa používa na dešifrovanie súboru blok po bloku. Ak v veľký súbor bloky sa nečítajú postupne, potom sa dešifrujú iba čitateľné bloky. Súbor zostane zašifrovaný.

Proces obnovy

Tento proces je podobný dešifrovaniu s tým rozdielom, že na dešifrovanie FEK sa používa súkromný kľúč agenta obnovy a šifrovaná verzia FEK sa preberá z DRF.

Implementácia v systéme Windows 2000

Obrázok ukazuje architektúru EFS:

EFS pozostáva z nasledujúcich komponentov:

Ovládač EFS

Tento komponent je umiestnený logicky nad NTFS. Spolupracuje so službou EFS, prijíma kľúče na šifrovanie súborov, polia DDF, DRF a ďalšie údaje na správu kľúčov. Ovládač odovzdá tieto informácie FSRTL (knižnica za chodu súborového systému), aby transparentne vykonala rôzne operácie súborového systému (napríklad otvorenie súboru, čítanie, zápis, pripojenie údajov na koniec súboru).

EFS Runtime Library (FSRTL)

FSRTL je modul vo vnútri ovládača EFS, ktorý vykonáva externé volania na NTFS na vykonávanie rôznych operácií súborového systému, ako je čítanie, zápis, otváranie zašifrovaných súborov a adresárov, ako aj šifrovanie, dešifrovanie, operácie obnovy dát pri zápise na disk a čítaní z disku. . Aj keď sú ovládač EFS a FSRTL implementované ako jeden komponent, nikdy nekomunikujú priamo. Na výmenu správ medzi sebou používajú mechanizmus volania NTFS. To zaisťuje, že NTFS je zapojený do všetkých operácií so súbormi. Operácie implementované pomocou mechanizmov správy súborov zahŕňajú zapisovanie údajov do atribútov súborov EFS (DDF a DRF) a odovzdávanie FEK vypočítaných EFS do knižnice FSRTL, pretože tieto kľúče musia byť nastavené v kontexte otvoreného súboru. Tento kontext otvoreného súboru potom umožňuje diskrétne šifrovanie a dešifrovanie súborov pri zapisovaní a čítaní súborov z disku.

Služba EFS

Služba EFS je súčasťou bezpečnostného podsystému. Na komunikáciu s ovládačom EFS využíva existujúci komunikačný port LPC medzi LSA (Local security Authority) a bezpečnostným monitorom v režime jadra. V užívateľskom režime služba EFS interaguje s CryptoAPI, aby poskytla kľúče na šifrovanie súborov a poskytla generovanie DDF a DRF. Okrem toho služba EFS podporuje Win32 API.

Win32 API

Poskytuje programovacie rozhranie pre šifrovanie otvorené súbory, dešifrovanie a obnova uzavretých súborov, príjem a prenos uzavretých súborov bez ich predchádzajúceho dešifrovania. Implementovaná ako štandardná systémová knižnica advapi32.dll.

Trochu praxe

Ak chcete zašifrovať súbor alebo adresár, postupujte takto:

1. Spustite Prieskumníka Windows, kliknite pravým tlačidlom myši na adresár a vyberte Vlastnosti.
2. Na karte Všeobecné kliknite na tlačidlo Rozšírené.

1. Začiarknite políčko vedľa položky „Šifrovať obsah na zabezpečenie údajov“. Kliknite na tlačidlo OK a potom kliknite na tlačidlo Použiť v dialógovom okne Vlastnosti. Ak ste sa rozhodli zašifrovať jednotlivý súbor, zobrazí sa navyše dialógové okno podobné nasledujúcemu:

Systém ponúka zašifrovanie aj adresára, v ktorom sa nachádza vybraný súbor, pretože v opačnom prípade sa šifrovanie automaticky zruší pri prvej úprave takéhoto súboru. Pri šifrovaní jednotlivých súborov na to vždy pamätajte!

V tomto bode možno považovať proces šifrovania údajov za dokončený.

Ak chcete dešifrovať adresáre, jednoducho zrušte začiarknutie možnosti „Zašifrovať obsah na zabezpečenie údajov“. V tomto prípade budú adresáre, ako aj všetky podadresáre a súbory v nich obsiahnuté, dešifrované.

závery

• EFS v systéme Windows 2000 dáva používateľom možnosť šifrovať adresáre NTFS pomocou silnej kryptografickej schémy so zdieľaným kľúčom a všetky súbory v súkromných adresároch budú zašifrované. Šifrovanie jednotlivých súborov je podporované, ale neodporúča sa kvôli nepredvídateľnému správaniu aplikácie.
• EFS podporuje aj šifrovanie odstránené súbory, ku ktorým sa pristupuje ako k zdieľaným zdrojom. Ak existujú užívateľské profily na pripojenie, použijú sa kľúče a certifikáty vzdialených profilov. V iných prípadoch sa generujú lokálne profily a používajú sa lokálne kľúče.
• Systém EFS vám umožňuje nastaviť politiku obnovy údajov tak, aby bolo možné v prípade potreby obnoviť šifrované údaje pomocou EFS.
• Politika obnovy dát je zabudovaná do všeobecnej politiky Zabezpečenie systému Windows 2000. Monitorovanie dodržiavania politiky obnovy môže byť delegované na oprávnené osoby. Každá organizačná jednotka môže mať nakonfigurovanú vlastnú politiku obnovy údajov.
• Obnova dát v EFS je uzavretá operácia. Proces obnovy dešifruje údaje, ale nie používateľský kľúč, ktorým boli údaje zašifrované.
• Práca so zašifrovanými súbormi v systéme EFS nevyžaduje od používateľa žiadne špeciálne kroky na šifrovanie a dešifrovanie údajov. Dešifrovanie a šifrovanie prebieha bez povšimnutia používateľa počas procesu čítania a zápisu údajov na disk.
• EFS podporuje zálohovanie a obnovu zašifrovaných súborov bez ich dešifrovania. NtBackup podporuje zálohovanie šifrovaných súborov.
• EFS je zabudovaný do operačného systému takým spôsobom, že únik informácií cez odkladacie súbory je nemožný, pričom je zaručené, že všetky vytvorené kópie sú šifrované.
• Na zaistenie bezpečnosti obnovy dát, ako aj ochrany pred únikom a stratou dát v prípade fatálnych zlyhaní systému sú poskytnuté mnohé opatrenia.

Počnúc systémom Windows XP vo všetkých operačných systémoch systémy Microsoft existuje vstavaná technológia šifrovania údajov EFS (systém šifrovania súborov). Šifrovanie EFS je založené na možnostiach súborového systému NTFS 5.0 a architektúry CryptoAPI a je určené na rýchle šifrovanie súborov na pevnom disku počítača.

Stručne popíšme schému šifrovania EFS. EFS používa šifrovanie verejným a súkromným kľúčom. Šifrovanie EFS využíva súkromné ​​a verejné kľúče používateľa, ktoré sa generujú pri prvom použití funkcie šifrovania používateľom. Tieto kľúče zostávajú nezmenené, pokiaľ existuje jeho účet. Pri šifrovaní súboru EFS náhodne vygeneruje jedinečné číslo, takzvaný File Encryption Key (FEK) dlhý 128 bitov, pomocou ktorého sú súbory šifrované. Kľúče FEK sú šifrované hlavným kľúčom, ktorý je zašifrovaný kľúčom používateľov systému, ktorí majú prístup k súboru. Súkromný kľúč používateľa je chránený hashom hesla používateľa.

Môžeme teda dospieť k záveru: celý reťazec šifrovania EFS je v podstate prísne viazaný na prihlasovacie meno a heslo používateľa. To znamená, že bezpečnosť údajov závisí aj od sily hesla používateľa.

Dôležité. Údaje zašifrované pomocou EFS je možné dešifrovať iba pomocou rovnakého účtu. Záznamy systému Windows s rovnakým heslom, aké sa používa na šifrovanie. Ostatní používatelia, vrátane správcov, nebudú môcť tieto súbory dešifrovať a otvoriť. To znamená, že súkromné ​​údaje zostanú v bezpečí, a to aj akýmikoľvek prostriedkami. Dôležité je však pochopiť aj druhú stránku problému. Ak dôjde k zmene účtu alebo jeho hesla (pokiaľ ho nezmenil priamo používateľ zo svojej relácie), k pádu systému alebo preinštalovaniu OS, šifrované dáta sa stanú nedostupnými. Preto je mimoriadne dôležité exportovať a uchovávať šifrovacie certifikáty na bezpečnom mieste (postup je popísaný nižšie).

Poznámka. Počnúc Windows Vista Systémy MS OS podporujú ďalšiu technológiu šifrovania – BitLocker. BitLocker na rozdiel od šifrovania EFS:

• používa sa na šifrovanie celého zväzku disku
• vyžaduje hardvérový modul TPM (ak to vyžaduje externé zariadenie na ukladanie kľúčov, ako napríklad USB flash disk alebo pevný disk)

Navonok sa pre používateľa práca so súkromnými súbormi zašifrovanými pomocou EFS nelíši od práce s bežnými súbormi - OS vykonáva operácie šifrovania/dešifrovania automaticky (tieto funkcie vykonáva ovládač systému súborov).

Ako povoliť šifrovanie adresára EFS v systéme Windows

Pozrime sa na postup šifrovania údajov v systéme Windows 8 pomocou EFS krok za krokom.

Poznámka. Za žiadnych okolností by ste nemali povoliť šifrovanie pre systémové adresáre a priečinky. V opačnom prípade sa systém Windows jednoducho nespustí, pretože... systém nebude schopný nájsť súkromný kľúč používateľa a dešifrovať súbory.

V Prieskumníkovi súborov vyberte adresár alebo súbory, ktoré chcete zašifrovať, a kliknutím pravým tlačidlom myši prejdite na ich vlastnosti ( Vlastnosti).

Na karte generál v sekcii atribútov nájdite tlačidlo a kliknite naň Pokročilé.

V zobrazenom okne začiarknite políčko Zašifrujte obsah, aby ste zabezpečili údaje(Zašifrujte obsah na ochranu údajov).

Dvakrát kliknite na tlačidlo OK.

Ak šifrujete adresár, systém sa vás opýta, či chcete šifrovať iba adresár alebo adresár a všetky jeho podprvky. Vyberte požadovanú akciu, po ktorej sa okno vlastností adresára zatvorí.

Zašifrované adresáre a súbory v Prieskumníkovi Windows sú zobrazené zelenou farbou (nezabudnite, že objekty sú zvýraznené modrou farbou). Ak sa rozhodnete zašifrovať priečinok s celým jeho obsahom, zašifrujú sa aj všetky nové položky v zašifrovanom priečinku.

Šifrovanie/dešifrovanie EFS môžete spravovať z príkazového riadka pomocou nástroja na šifrovanie. Adresár C:\Secret môžete zašifrovať napríklad takto:

Šifra /e c:\Secret

Zoznam všetkých súborov v súborovom systéme zašifrovaných pomocou certifikátu aktuálneho používateľa je možné zobraziť pomocou príkazu:

Šifra /u/n

Zálohovanie kľúča EFS šifrovanie

Keď používateľ prvýkrát zašifruje svoje údaje pomocou EFS, na systémovej lište sa zobrazí kontextové okno, ktoré mu povie, aby si uložil šifrovací kľúč.

Zálohujte si šifrovací kľúč súboru. To vám pomôže vyhnúť sa trvalej strate prístupu k zašifrovaným súborom.

Kliknutím na správu sa spustí sprievodca Rezervovať kópiu certifikáty a súvisiace súkromné ​​kľúče EFS šifrovanie.

Poznámka. Ak okno omylom zatvoríte alebo sa nezobrazí, môžete exportovať certifikáty EFS pomocou " Spravujte certifikáty na šifrovanie súborov» na ovládacom paneli používateľa.

Vyberte Zálohujte si certifikát a kľúč na šifrovanie súborov

Potom zadajte heslo na ochranu certifikátu (pokiaľ možno dosť zložité).

Zostáva len uviesť umiestnenie, kam chcete exportovaný certifikát uložiť (z bezpečnostných dôvodov ho treba skopírovať do vonkajší tvrdý disk/ usb flash disk a uložte na bezpečnom mieste).