Шифрованная файловая система efs

Шифрованная файловая система efs

Многие знают о такой встроенной возможности шифрования дисков и флешек в Windows 10, 8.1 и Windows 7 как Bitlocker, доступной в профессиональной и корпоративной редакциях ОС. Меньшему числу известно о другой функции шифрования файлов и папок — Шифрующей файловой системе EFS, которая также встроена в системе.

В этой инструкции о том, как именно работает шифрование EFS, каким образом оно позволяет ограничить доступ к важным файлам и папкам, как восстановить доступ к данным при необходимости и в чем отличия от BitLocker. См. также: Про шифрование дисков и флешек с помощью Bitlocker в Windows, Шифрование файлов, папок, дисков и флешек в VeraCrypt, Как поставить пароль на архив.

Как работает шифрование EFS

EFS позволяет легко выполнить шифрование содержимого выбранных папок или отдельные файлы с помощью средств системы таким образом, что они будут доступны только для пользователя и на том компьютере, где выполнялось шифрование.

Другие пользователи на этом же или другом компьютере будут видеть файлы и их имена на накопителе, но не смогут получить доступ к ним (открыть их), даже если они имеют права администратора.

Этот способ менее безопасен чем шифрование Bitlocker, но если в вашем распоряжении лишь домашняя редакция Windows 10, 8.1 или Windows 7, а единственная задача — не дать пользователям других учетных записей просмотреть содержимое ваших файлов, вполне можно использовать и EFS: это будет удобно и быстро.

Как зашифровать папки и содержащиеся в них файлы с помощью EFS

Шаги для шифрования папки и его содержимого с помощью шифрующей файловой системы EFS в самом простом варианте будут следующими (доступно только для папок на NTFS дисках и флешках):

  1. Откройте свойства нужной папки (правый клик мышью — свойства).
  2. В разделе «Атрибуты» нажмите кнопку «Другие».
  3. В разделе «Атрибуты сжатия и шифрования» в следующем окне отметьте «Шифровать содержимое для защиты данных» и нажмите «Ок».
  4. Нажмите «Ок» в свойствах папки и примените изменения к вложенным файлам и папкам.
  5. Сразу после этого появится системное уведомление, где вам предложат выполнить архивацию ключа шифрования. Нажмите по уведомлению.
  6. Нажмите «Архивировать сейчас» (ключ может потребоваться для восстановления доступа к данным, если вы потеряли свою учетную запись или доступ к этому компьютеру).
  7. Запустится мастер экспорта сертификатов. Нажмите «Далее» и оставьте параметры по умолчанию. Снова нажмите «Далее».
  8. Задайте пароль для вашего сертификата, содержащего ключи шифрования.
  9. Укажите место хранения файла и нажмите «Готово». Этот файл пригодится для восстановления доступа к файлам после сбоев ОС или при необходимости иметь возможность открывать зашифрованные EFS файлы на другом компьютере или под другим пользователем (о том, как это сделать — в следующем разделе инструкции).

На этом процесс завершен — сразу после выполнения процедуры, все файлы в указанной вами папке, как уже имеющиеся там, так и создаваемые вновь приобретут на иконке «замок», сообщающий о том, что файлы зашифрованы.

Они будут без проблем открываться в рамках этой учетной записи, но под другими учетными записями и на других компьютерах открыть их не получится, система будет сообщать об отсутствии доступа к файлам. При этом структура папок и файлов и их имена будут видны.

При желании вы можете, наоборот, начать шифрование с создания и сохранения сертификатов (в том числе и на смарт-карте), а уже затем устанавливать отметку «Шифровать содержимое для защиты данных». Для этого, нажмите клавиши Win+R, введите rekeywiz и нажмите Enter.

После этого выполните все шаги, которые предложит вам мастер настройки сертификатов шифрования файлов шифрующей файловой системы EFS. Также, при необходимости, с помощью rekeywiz вы можете задать использование другого сертификата для другой папки.

Восстановление доступа к зашифрованным файлам, их открытие на другом компьютере или под другой учетной записью Windows

Если по той или иной причине (например, после переустановки Windows) вы потеряли возможность открыть файлы в зашифрованных EFS папках или вам потребовалась возможность открывать их на другом компьютере или под другим пользователем, сделать это легко:

  1. На компьютере в той учетной записи, где нужно иметь доступ к зашифрованным файлам, откройте файл сертификата.
  2. Автоматически откроется мастер импорта сертификатов. Для базового сценария в нем достаточно использовать параметры по умолчанию.
  3. Единственное, что потребуется — ввести пароль для сертификата.
  4. После успешного импорта, о чем вы получите уведомление, ранее зашифрованные файлы будут открываться и на этом компьютере под текущим пользователем.

Отличия шифрующей файловой системы EFS и Bitlocker

Основные отличия, связанные с думая различными возможностями шифрования в Windows 10 — Windows 7

  • Bitlocker шифрует целые диски (в том числе системные) или разделы дисков, в то время как EFS применяется к отдельным файлам и папкам. Впрочем, шифрование Bitlocker можно применить и к виртуальному диску (который на компьютере будет храниться как обычный файл).
  • Сертификаты шифрования EFS привязываются к конкретной учетной записи Windows и хранятся в системе (также ключ можно экспортировать в виде файла на флешке или записать на смарт-карту).
  • Ключи шифрования Bitlocker хранятся либо в аппаратном модуле TPM, либо могут быть сохранены на внешний накопитель. Открытый диск с Bitlocker одинаково доступен всем пользователям системы, более того, если не использовался TPM, такой диск можно легко открыть и на любом другом компьютере или ноутбуке, достаточно будет ввести пароль.
  • Шифрование для папок в случае использования EFS нужно включать вручную (файлы внутри будут в дальнейшем шифроваться автоматически). При использовании Bitlocker всё, что попадает на зашифрованный диск шифруется на лету.
Читайте также:  Не могу войти в ворлд оф танкс

С точки зрения безопасности более эффективно использование Bitlocker. Однако, если требуется всего лишь не дать открыть ваши файлы другим пользователям Windows, а вы используете домашнюю редакцию ОС (где нет Bitlocker) — для этого подойдет и EFS.

Дополнительная информация

Некоторые дополнительные сведения об использовании шифрующей файловой системы EFS в Windows:

  • Зашифрованные EFS файлы не защищены от удаления: удалить их сможет любой пользователь на любом компьютере.
  • В системе присутствует утилита командной строки cipher.exe, которая может включать и отключить шифрование EFS для файлов/папок, работать с сертификатами, а также очищать содержимое зашифрованных папок на жестком диске, перезаписывая информацию случайными байтами.
  • Если вам требуется удалить сертификаты шифрования EFS с компьютера, сделать это можно следующим образом: зайдите в Панель управления — Свойства браузера. На вкладке «Содержание» нажмите кнопку «Сертификаты». Удалите ненужные сертификаты: в их описании внизу окна в поле «Назначение сертификата» будет указано «Шифрующая файловая система (EFS)».
  • В том же разделе управления сертификатами в «Свойствах браузера» можно экспортировать файл сертификата для использования под другим пользователем или на другом компьютере.

А вдруг и это будет интересно:

Почему бы не подписаться?

Рассылка новых, иногда интересных и полезных, материалов сайта remontka.pro. Никакой рекламы и бесплатная компьютерная помощь подписчикам от автора. Другие способы подписки (ВК, Одноклассники, Телеграм, Facebook, Twitter, Youtube, Яндекс.Дзен)

20.05.2019 в 17:41

А у меня «Шифровать содержимое для защиты данных» не активно, что делать?

21.05.2019 в 10:33

А файловая система NTFS? Папку не какую-то системную шифровать планируете? (их нельзя).

01.06.2019 в 17:36

Файловая система NTFS. Папки личные.

02.06.2019 в 14:51

А служба «Шифрованная файловая система» не отключена случайно?

02.06.2019 в 16:38

Нет, запуск вручную стоит. Я её запускал, потом пытался шифровать, не активно.

03.06.2019 в 10:41

Тогда сдаюсь… Не осталось у меня догадок.

21.10.2019 в 02:58

CorelVideoStudio при выводе видео пишет 15033:10:2 The file may be write protected.Что делать?

Примечание: после отправки комментария он не появляется на странице сразу. Всё в порядке — ваше сообщение получено. Ответы на комментарии и их публикация выполняются ежедневно днём, иногда чаще. Возвращайтесь.

Персональные инструменты

EFS (англ. Encrypting File System — Шифрованная файловая система) — это компонент Windows, позволяющий сохранять сведения на жестком диске в зашифрованном формате. Шифрование — это самая сильная защита, которую предоставляет Windows для защиты данных [1] .

Содержание

Общее

Файловая система EFS интегрирована в NTFS, отличается простотой управления и стойкостью к атакам. Пользователи могут выбирать файлы, которые требуется зашифровать, но расшифровывать файлы вручную перед использованием не требуется – можно просто открыть файл и изменить его, как обычно. Зашифрованные файлы будут защищены даже в том случае, если злоумышленник получит физический доступ к компьютеру. Кроме того, даже пользователи, имеющие право на доступ к компьютеру (например, администраторы), не имеют доступа к файлам, зашифрованным с помощью файловой системы EFS другими пользователями. Тем не менее файловая система EFS поддерживает назначенные агенты восстановления. При их правильной настройке можно гарантировать восстановление данных при необходимости.

Некоторые ключевые свойства EFS:

  • Шифрование — простое действие; для его включения достаточно установить флажок в свойствах файла или папки.
  • Можно указать, кому именно разрешается читать эти файлы.
  • Файлы шифруются, когда они закрываются, но при открытии они автоматически готовы к использованию.
  • Если шифровать файл больше нет необходимости, снимите флажок в свойствах файла.

Описание работы

EFS работает, шифруя каждый файл с помощью алгоритма симметричного шифрования, зависящего от версии операционной системы и настроек (начиная с Windows XP доступна теоретическая возможность использования сторонних библиотек для шифрования данных). При этом используется случайно сгенерированный ключ для каждого файла, называемый File Encryption Key (FEK), выбор симметричного шифрования на данном этапе объясняется его скоростью по отношению к асимметричному шифрованию.

FEK (случайный для каждого файла ключ симметричного шифрования) защищается путём асимметричного шифрования, использующего открытый ключ пользователя, шифрующего файл, и алгоритм RSA (теоретически возможно использование других алгоритмов асимметричного шифрования). Зашифрованный таким образом ключ FEK сохраняется в альтернативном потоке $EFS файловой системы NTFS. Для расшифрования данных драйвер шифрованной файловой системы прозрачно для пользователя расшифровывает FEK, используя закрытый ключ пользователя, а затем и необходимый файл с помощью расшифрованного файлового ключа.

Поскольку шифрование/расшифрование файлов происходит с помощью драйвера файловой системы (по сути, надстройки над NTFS), оно происходит прозрачно для пользователя и приложений. Стоит заметить, что EFS не шифрует файлы, передаваемые по сети, поэтому для защиты передаваемых данных необходимо использовать другие протоколы защиты данных (IPSec или WebDAV).

Читайте также:  Почему россия взяла на себя долги ссср

Технология шифрования

EFS использует архитектуру Windows CryptoAPI. В ее основе лежит технология шифрования с открытым ключом. Для шифрования каждого файла случайным образом генерируется ключ шифрования файла. При этом для шифрования файла может применяться любой симметричный алгоритм шифрования. В настоящее же время в EFS используется один алгоритм, это DESX, являющийся специальной модификацией широко распространенного стандарта DES. Ключи шифрования EFS хранятся в резидентном пуле памяти (сама EFS расположена в ядре Windows 2000), что исключает несанкционированный доступ к ним через файл подкачки.

Теория

EFS осуществляет шифрование данных, используя схему с общим ключом. Данные шифруются быстрым симметричным алгоритмом при помощи ключа шифрования файла FEK (file encryption key). FEK — это случайным образом сгенерированный ключ определенной длины. Длина ключа в североамериканской версии EFS 128 бит, в международной версии EFS используется уменьшенная длина ключа 40 или 56 бит.

FEK шифруется одним или несколькими общими ключами шифрования, в результате чего получается список зашифрованных ключей FEK. Список зашифрованных ключей FEK хранится в специальном атрибуте EFS, который называется DDF (data decryption field — поле дешифрования данных). Информация, при помощи которой производится шифрование данных, жестко связана с этим файлом. Общие ключи выделяются из пар пользовательских ключей сертификата X509 с дополнительной возможностью использования «File encryption». Личные ключи из этих пар используются при дешифровке данных и FEK. Личная часть ключей хранится либо на смарт-картах, либо в другом надежном месте (например, в памяти, безопасность которой обеспечивается при помощи CryptoAPI).

FEK также шифруется при помощи одного или нескольких ключей восстановления (полученных из сертификатов X509, записанных в политике восстановления зашифрованных данных для данного компьютера, с дополнительной возможностью «File recovery»).

Как и в предыдущем случае, общая часть ключа используется для шифрования списка FEK. Список зашифрованных ключей FEK также хранится вместе с файлом в специальной области EFS, которая называется DRF (data recovery field — поле восстановления данных). Для шифрования списка FEK в DRF используется только общая часть каждой пары ключей. Для нормального осуществления файловых операций необходимы только общие ключи восстановления. Агенты восстановления могут хранить свои личные ключи в безопасном месте вне системы (например, на смарт-картах). На рисунке приведены схемы процессов шифрования, дешифрования и восстановления данных.

Процесс шифрования

Незашифрованный файл пользователя шифруется при помощи случайно сгенерированного ключа FEK. Этот ключ записывается вместе с файлом, файл дешифруется при помощи общего ключа пользователя (записанного в DDF), а также при помощи общего ключа агента восстановления (записанного в DRF).

Процесс дешифрования

Сначала используется личный ключ пользователя для дешифрации FEK — для этого используется зашифрованная версия FEK, которая хранится в DDF. Расшифрованный FEK используется для поблочного дешифрования файла. Если в большом файле блоки считываются не последовательно, то дешифруются только считываемые блоки. Файл при этом остается зашифрованным.

Посетителей: 18511 | Просмотров: 25002 (сегодня 0) Шрифт:

EFS (Encrypting File System) — это шифрованная файловая система являющаяся частью NTFS. Шифрованная файловая система позволяет пользователям хранить данные на диске в зашифрованном формате. Файл зашифрованный одним пользователем не может быть открыт другим пользователем, если ему не назначены соответствующие разрешения. После того как файл был зашифрован, он автоматически остается зашифрованным в любом месте хранения на диске. Пользователь, имеющий права на открытие файла. работает с ним как с любым другим, а остальные пользователи при попытке открыть такой файл, получают сообщение "Отказано в доступе". Шифрованию могут подвергаться любые файлы, в том числе исполняемые.

Перед использованием возможностей шифрования EFS следует определиться будет ли использоваться Агент восстановления данных . Агентом восстановления называется пользователь, уполномоченный расшифровывать данные, зашифрованные другим пользователем, если пользователь утратил закрытые ключи сертификата шифрования или учетная запись пользователя удалена и требуется восстановить зашифрованные данные. Как правило, Агентом восстановления указывается Администратор, но может быть назначен и другой пользователь. Может быть создано несколько Агентов восстановления. Чтобы назначить пользователя Агентом восстановления, необходимо сначала создать сертификаты Агента восстановления, для этого откройте консоль командной строки (Пуск — Выполнить — cmd.exe) и наберите команду
Cipher /R: filename где filename — путь и имя создаваемых сертификатов без расширения.
После этого Вам будет предложено ввести пароль для защиты закрытого ключа и подтвердить его (при вводе пароля он не будет отображаться в консоли). После этого в указанном при вводе команды пути будет создано два файла с указанным именем — *.cer и *.pfx , содержащие соответственно открытый и закрытый ключи сертификата. Теперь необходимо добавить сертификат в личное хранилище пользователя, назначаемого Агентом Восстановления (можно пропустить этот шаг, тогда Агент восстановления может проделать это позже, когда будет необходимо использовать функции восстановления) импортировав файл *.pfx (для запуска Мастера импорта сертификатов достаточно дважды щелкнуть по значку файла). После этого необходимо от имени администратора открыть оснастку "Локальные параметры безопасности" (Пуск — Выполнить — secpol.msc), выделить пункт "Политики открытого ключа — Файловая система EFS" и в меню "Действие" выбрать "Добавить агент восстановления данных". Откроется "Мастер добавления агента восстановления", на второй странице которого необходимо нажать кнопку "Обзор папок" и указать файл *.cer, созданный программой cipher ранее.

Читайте также:  Лучший инфракрасный обогреватель для квартиры

При первом использовании возможностей EFS система создает цифровое удостоверение, которое использует для работы с зашифрованными файлами. По умолчанию (если иное не установлено администратором) такое удостоверение имеет имя пользователя и помещается в хранилище "Личные сертификаты". Отличить этот сертификат можно по полю "Назначение — файловая система EFS или по хешу (отпечатку) сертификата — в реестре создается ключ с отпечатком сертификата, используемого для шифрования:

[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionEFSCurrentKeys] "CertificateHash"=hex:хх,хх,хх,хх,хх,хх,хх,хх,хх,хх,хх,хх,хх,хх,хх,хх,хх,хх,хх,хх

В целях восстановления доступа к зашифрованным файлам после переустановки системы или вследствие утраты закрытого ключа следует сохранить в надежном месте закрытые ключи Агентов восстановления или (если они не назначены), закрытые ключи всех пользователей, использующих EFS, экспортировав их из хранилища "Личные" оснастки "Сертификаты" (certmgr.msc). Стоит заметить, что если для локального пользователя администратор попытается удалить пароль учетной записи, то пользователь потеряет все личные сертификаты, а соответственно и доступ к зашифрованным EFS файлам (при такой попытке будет выдано соответствующее предупреждение)

Шифрование и дешифрование файлов осуществляется с помощью интерфейса Windows, кроме того существует программа командной строки cipher.exe для работы с объектами EFS, которая предоставляет более широкие возможности (подробнее об использовании программы cipher смотрите в справочнике по командной строке — наберите из меню "Выполнить" команду hh ntcmds.chm ).

Для того чтобы зашифровать файл, необходимо выбрать в контекстном меню файла "Свойства — Другие", отметить "Шифровать содержимое для защиты данных" и нажать "ОК". В следующем окне также необходимо нажать "ОК". После этого в свойствах файла появится новая доступная кнопка — "Свойства — Другие — Подробно". В открывшемся меню в нижней части можно видеть пользователей, являющихся Агентами восстановления, а в верхней — пользователей, которым разрешен доступ к файлу — сюда можно добавить пользователя, которому также разрешено использовать файл. Но добавлен может быть только пользователь, имеющий действительный сертификат EFS — такие пользователи отображаются при нажатии кнопки "Добавить".

Шифровать можно как отдельные файлы, так и целые папки, при этом если шифруется папка уже содержащая файлы, то есть возможность выбора, шифровать только папку или папку и вложенные файлы. Шифрование папки не означает что другие пользователи не смогут просматривать содержимое папки — они лишь не смогут открывать зашифрованные файлы. Все новые файлы, сохраненные в зашифрованной папке или скопированные в нее будут автоматически зашифрованы. Шифровать папки более удобно, и кроме того безопасно, поскольку EFS имеет схему восстановления после аварийного сбоя (например если во время операции шифрования произошла критическая ошибка) которая предусматривает создание незашифрованной архивной копии исходного файла — при успешном завершении операции шифрования архивная копия удаляется, но может быть восстановлена специальными программами восстановления удаленных данных (см. рассылку №17), что создает потенциальную угрозу информационной безопасности (такие временные файлы Вы можете обнаружить используя программы типа Easy Recovery — на диске они отображены как EFS0.tmp ). А при сохранении файла в зашифрованной папке шифрование происходит без создания такой резервной копии. Если все же шифровались одиночные файлы, то есть возможность перезаписать кластеры, оставшиеся после изменения или удаления файлов на томах NTFS случайными значениями — для этого может быть использована команда cipher /w:путь запущенная из командной строки (подробнее об использовании этой команды смотрите в справочнике по командной строке) или программы сторонних разработчиков.

Можно включить возможность шифрования и дешифрования в контекстное меню Проводника. Для этого необходимо в разделе

[HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionExplorerAdvanced] создать параметр "EncryptionContextMenu"=dword:00000001

После внесения изменений в контекстном меню для файла или папки появится пункт "Зашифровать" (или "Расшифровать" , если объект уже зашифрован). Те кто не имеет достаточного опыта работы с реестром, могут воспользоваться для внесения изменений reg файлами из этого архива — regefscontext.zip, 1 Кб, один из файлов включает шифрование в контекстное меню, другой отключает.

Windows XP позволяет выделять зашифрованные файлы и папки среди других — чтобы воспользоваться этой возможностью, выберите в меню проводника "Сервис — Свойства папки — Вид" и отметьте пункт "Отображать сжатые или зашифрованные файлы NTFS другим цветом". Зашифрованные файлы и папки будут выделены зеленым цветом.

  • папки и файлы имеющие атрибут "системный" а также указанные в переменной %systemroot% (как правило это C:Windows) не могут быть зашифрованы. файлы и папки сжатые средствами файловой системы не могут быть зашифрованы. Если шифрование выполняется для сжатого файла или папки, файл или папка преобразуются к состоянию без сжатия. при перемещении и копировании зашифрованных файлов и папок на том, не являющийся томом NTFS , будет выдано предупреждение о потере шифрования при такой операции. Пользователь не имеющий прав доступа EFS к зашифрованным файлам не может копировать или перемещать зашифрованные файлы.
  • любой пользователь имеющий права на удаление может удалять зашифрованные папки и файлы, поэтому целесообразно совмещать шифрование с ограничением доступа, предоставляемым NTFS.
Ссылка на основную публикацию
Adblock detector