Microsoft windows xp і шифрована файлова система (efs)

Microsoft Windows XP і шифрована файлова система (EFS) дає можливість зберігати дані на диску в зашифрованому форматі, однак при перевстановлення системи або видалення облікового запису користувача його зашифровані дані будуть безповоротно втрачені, якщо не подбати про збереження сертифіката і ключів, створенні облікового запису агента відновлення.

Шифрована файлова система EFS використовується для зберігання шифрованих файлів на томах файлової системи NTFS 5.0. Після того як файл або папка зашифровані, з ними можна працювати так само, як і з іншими файлами або папками, тобто шифрування прозоро для користувача, зашифрувала файл. Це означає, що перед використанням файл не потрібно розшифровувати. Можна, звісно ж, відкрити файл і змінити його.

Робота з EFS аналогічна використанню дозволів для файлів і папок. Завдання обох методів - обмеження доступу до даних. Однак дозволу для файлів і папок не захистять вас, якщо зловмисник отримає фізичний доступ до ваших даних, наприклад, підключить ваш жорсткий диск до іншого комп`ютера або завантажиться з допомогою іншої операційної системи, що має доступ до томів NTFS. При спробі ж відкрити або скопіювати зашифрований файл або папку він отримає вичерпну відповідь: «Ні доступу».

Відео: Шифрування файлів - EFS

Шифрування і розшифрування файлів виконується шляхом установки атрибута файлу або папки Властивості папки або файлу gt; загальні gt; інші gt; Шифрувати вміст для захисту даних (Рис. 1).

Як тільки ми зашіфруем якусь папку або файл, Windows створить для нас сертифікат і пов`язану з ним пару ключів (відкритий і секретний ключ), на підставі яких буде відбуватися шифрування і дешифрування файлів. Сертифікат - цифровий документ, який використовується для перевірки автентичності та безпечної передачі даних в загальнодоступних мережах (Інтернет, Інтранет, Екстранет), він пов`язує відкритий ключ з об`єктом, що містить відповідний закритий ключ.

Наше завдання - провести резервне копіювання ключів. Це можна зробити за допомогою оснащення консолі управління сертифікати. За замовчуванням при установці системи вона відсутня, тому ми її додамо, виконавши ряд кроків.

Відео: Поглиблений урок про NTFS і про шифрування файлів - EFS

Натисніть кнопку Пуск, виберіть команду виконати, введіть mmc і натисніть кнопку OK. В меню консоль виберіть команду Додати або видалити оснастку і натисніть кнопку Додати. В полі Оснащення двічі клацніть сертифікати. Далі встановіть прапорець Моїй облікового запису користувача і натисніть кнопку Готово. В меню консоль gt; параметри встановіть режим консолі Призначений для користувача - огр. доступ, одне вікно, натисніть Застосувати. Тепер консоль готова до роботи (рис. 2).

Якщо ви вже зашифрували який-небудь файл або папку, то в корінь консолі gt; Сертифікати-поточний користувач gt; особисті gt; Сертифікати ви повинні побачити сертифікат, який пов`язаний з секретним ключем і який нам потрібно експортувати в файл. Перейдемо до нього і викличемо контекстне меню, виберемо всі завдання, а потім експорт. на пропозицію Експортувати закритий ключ разом із сертифікатом відповімо «Так», Формат файлу залишимо без змін, введемо пароль, знання якої нам буде потрібно для зворотного процедури - імпорту сертифіката. Отриманий файл з розширенням .pfx необхідно заховати, так як будь-який користувач, який імпортує даний сертифікат для свого облікового запису, отримає доступ до ваших файлів, звичайно, якщо дізнається або вгадає пароль, необхідний для імпорту сертифіката.

Рекомендується використовувати шифрування на рівні папки. Якщо шифрується папка, всі файли і папки, створені в зашифрованою директорії, автоматично шифруються. Ця процедура дозволяє створювати зашифровані файли, дані яких ніколи не з`являться на диску у вигляді звичайного тексту - навіть тимчасові файли, створювані програмами в процесі редагування, також будуть зашифровані.

При роботі з зашифрованими файлами і папками слід враховувати ряд моментів.

Можуть бути зашифровані тільки файли і папки, що знаходяться на томах NTFS. Стислі файли і папки не можуть бути зашифровані. Якщо шифрування виконується для стисненого файлу або папки, файл або папка перетворюються до стану без стиснення.

Зашифровані файли можуть стати розшифрованими, якщо файл копіюється або переміщається на те, що не є томом NTFS. При переміщенні незашифрованих файлів в зашифровану папку вони автоматично шифруються в новій папці, проте зворотна операція не призведе до автоматичної розшифровки файлів, файли необхідно явно розшифрувати. Не можуть бути зашифровані файли з атрибутом Системний і файли в системному каталозі. Шифрування папки або файлу не захищає їх від видалення - будь-який користувач, який має права на видалення, може видалити зашифровані папки або файли. З цієї причини рекомендується використання EFS в комбінації з дозволами системи NTFS. Можуть бути зашифровані або розшифровані файли і папки на віддаленому комп`ютері, для якого дозволено віддалене шифрування. Однак якщо зашифрований файл відкривається по мережі, що передаються при цьому по мережі дані не будуть зашифровані. Для шифрування даних, що передаються по мережі, повинні використовуватися інші протоколи, наприклад SSL / TLS або IPSec.

Тепер давайте розглянемо процес шифрування в Microsoft Windows XP на більш низькому рівні, щоб убезпечити себе від витрат шифрування, а саме - втрати даних.

Відео: 25. Implementing EFS File Sharing | Реалізація EFS загального доступу до файлів

Для початку згадаємо дві основні криптографічні системи. Найбільш проста - шифрування з використанням секретного (симетричного) ключа, тобто для шифровки і розшифровування даних використовується один і той же ключ. Переваги: ​​висока швидкість шіфрованія- недоліки: проблема передачі секретного ключа, а саме можливість його перехоплення. Представники: DES, 3DES, DESX, AES. Відмінність шифрування з відкритим ключем (асиметричне шифрування) полягає в тому, що дані шифруються одним ключем, а розшифровуються іншим, за допомогою одного і того ж ключа можна здійснити зворотне перетворення. Ця технологія шифрування передбачає, що кожен користувач має в своєму розпорядженні пару ключів - відкритий ключ (public key) і особистий або закритий ключ (private key). Таким чином, вільно поширюючи відкритий ключ, ви надаєте іншим користувачам можливість шифрувати свої повідомлення, спрямовані вам, які зможете розшифрувати тільки ви. Якщо відкритий ключ і потрапить в «погані руки», то він не дасть можливості визначити секретний ключ і розшифрувати дані. Звідси і основна перевага систем з відкритим ключем: не потрібно передавати особистий ключ, проте є і недолік - низька швидкість шифрування. Представники: RSA, алгоритм Ель-Гамаля, алгоритм Діффі-Хелмана.

У EFS для шифрування використовуються всі переваги перерахованих вище систем. Дані шифруються за допомогою симетричного алгоритму із застосуванням ключа шифрування файлу (File Encryption Key, FEK). FEK - згенерований EFS випадковим чином ключ. На наступному етапі FEK шифрується за допомогою відкритого ключа користувача і зберігається в межах атрибута, званого полем розшифровки даних (Data Decryption Field, DDF) безпосередньо всередині самого файлу. Крім того, EFS шифрує FEK, використовуючи відкритий ключ агента відновлення, і поміщає його в атрибут Data Recovery Field - DRF. DRF може містити дані для безлічі агентів відновлення.

Хто ж такий цей загадковий агент відновлення? Агент відновлення даних (Data Recovery Agent, DRA) - користувач, який має доступ до всіх зашифрованих даних інших користувачів. Це актуально в разі втрати користувачами ключів або інших непередбачених ситуаціях. Агентом відновлення даних призначається зазвичай адміністратор. Для створення агента відновлення потрібно спочатку створити сертифікат відновлення даних і визначити політику відновлення, а потім призначити одного з користувачів таким агентом. Політика відновлення грає важливу роль в системі шифрування Windows XP, вона визначає агентів відновлення, а їх відсутність або видалення політики взагалі забороняє використання користувачами шифрування.

Щоб налаштувати політику відновлення, необхідно запустити консоль Пуск gt; Налаштування gt; Панель управління gt; адміністрування gt; Локальна політика безпеки, в якій перейти до пункту Політики відкритого ключа gt; Файлові системи EFS (Рис. 3). За замовчуванням політика відновлення така, що права агента відновлення належать адміністратору. Якщо сертифікат агента відновлення за замовчуванням видалений, а іншого агента в політиці немає, комп`ютер буде мати порожню політику відновлення. Пуста політика відновлення означає, що агента відновлення не існує. Це відключає EFS, отже, забороняє користувачам шифрувати файли на цьому комп`ютері. Ми можемо створити обліковий запис адміністратора за допомогою агента відновлення і провести для надійності операцію експорту його ключа, а можемо створити новий сертифікат відновлення і призначити іншого користувача в якості агента.

Щоб створити сертифікат відновлення, необхідно скористатися утилітою командного рядка cipher, яка призначена для управління шифруванням (детальну інформацію про цю утиліту можна прочитати в довідці операційної системи). Потрібно увійти в систему з правами адміністратора, ввести в командному рядку:

cipher / R: ім`я файлу сертифікату

Далі введіть пароль, який знадобиться у разі імпортування. Файли сертифіката мають розширення.pfx (Містить сертифікат і пов`язаний з ним відкритий і закритий ключ) або.cer (Сертифікат і пов`язаний з ним відкритий ключ) і вказане вами ім`я. Ці файли дозволяють будь-якому користувачеві системи стати агентом відновлення, тому наше завдання - зберегти їх в надійному місці, а головне, не забути додати сертифікат агента відновлення в політику відкритого ключа.

Щоб створити цього самого агента, необхідно виконати наступні кроки: увійти в систему під обліковим записом, яка повинна стати агентом відновлення даних-в консолі сертифікати перейдіть в розділ Сертифікати - Поточний користувач gt; особисті gt; сертифікати- далі Дія gt; Всі завдання gt; Імпорт для запуску майстра імпорту сертифікатів, потім проведіть імпорт сертифіката відновлення. Причому врахуйте: щоб розшифровувати файли, необхідно імпортувати закритий ключ, тому при виборі файлу для імпорту використовуйте файл .pfx.

Часто недоліком шифрування за допомогою EFS вважають неможливість транспортування зашифрованих даних, тобто записати дані на «болванку», не втративши їх секретність, не вдасться. Але це не зовсім так - дійсно, просто записати їх не можна, але можна скористатися програмою архівації для Windows XP - NTBackup, в цьому випадку дані будуть скопійовані на вказаний носій без дешифрування, причому носій може не підтримувати NTFS 5.0. Після відновлення зашифровані дані залишаються в зашифрованому вигляді.

І ще кілька порад. Завжди включайте шифрування для папок, так як це захистить тимчасові файли. Експортуйте закритий ключ облікового запису агента відновлення, збережіть його в надійному місці, після чого видаліть з комп`ютера. При зміні політик відновлення не поспішайте видаляти старі сертифікати, поки не будете впевнені, що всі файли, зашифровані за допомогою цих сертифікатів, які не будуть оновлені.

Пам`ятайте: «неправильне» шифрування може принести більше шкоди, ніж користі!