Począwszy od systemu Windows XP, wszystkie systemy operacyjne Microsoft mają wbudowaną technologię szyfrowania danych. EFS (system szyfrowania plików). Szyfrowanie EFS opiera się na możliwościach systemu plików NTFS 5.0 i architekturze CryptoAPI i ma na celu szybkie szyfrowanie plików na dysku twardym komputera .
Krótko opisujemy schemat szyfrowania EFS. System EFS wykorzystuje szyfrowanie kluczem publicznym i prywatnym. Do szyfrowania EFS wykorzystuje klucze prywatne i publiczne użytkownika, które są generowane, gdy użytkownik po raz pierwszy korzysta z funkcji szyfrowania. Klucze te pozostają niezmienione, dopóki istnieje jego konto. Podczas szyfrowania pliku EFS losowo generuje unikalny numer, tak zwany 128-bitowy klucz szyfrowania pliku (FEK), za pomocą którego pliki są szyfrowane. Klucze FEK są szyfrowane kluczem głównym, który jest szyfrowany kluczem użytkowników systemu, który ma dostęp do pliku. Klucz prywatny użytkownika jest chroniony skrótem hasła tego użytkownika.
Możemy zatem stwierdzić: cały łańcuch szyfrowania EFS jest zasadniczo ściśle powiązany z nazwą użytkownika i hasłem użytkownika. Oznacza to, że bezpieczeństwo danych zależy również od siły hasła użytkownika..
Jest ważne. Dane zaszyfrowane przy użyciu EFS można odszyfrować tylko przy użyciu tego samego konta Windows z tym samym hasłem, pod którym szyfrowanie zostało wykonane. Inni użytkownicy, w tym administratorzy, nie mogą odszyfrować i otworzyć tych plików. Oznacza to, że prywatne dane pozostaną bezpieczne, nawet jeśli hasło użytkownika zostanie zresetowane w jakikolwiek sposób. Ale ważne jest, aby zrozumieć odwrotną stronę tego problemu. Po zmianie konta lub hasła (chyba że użytkownik zmienił go bezpośrednio z sesji), wystąpi błąd lub ponowna instalacja systemu operacyjnego - zaszyfrowane dane staną się niedostępne. Dlatego niezwykle ważne jest eksportowanie i przechowywanie certyfikatów szyfrujących w bezpiecznym miejscu (procedura jest opisana poniżej).Uwaga. Począwszy od systemu Windows Vista, inna technologia szyfrowania, BitLocker, jest obsługiwana w systemach MS. BitLocker, w przeciwieństwie do szyfrowania EFS:- Służy do szyfrowania całego woluminu dysku
- wymaga sprzętowego modułu TPM (w przypadku, gdy wymaga zewnętrznego urządzenia do przechowywania klucza, takiego jak dysk flash USB lub dysk twardy)
Zewnętrznie dla użytkownika praca z prywatnymi plikami zaszyfrowanymi przy użyciu EFS nie różni się od pracy ze zwykłymi plikami - system operacyjny wykonuje operacje szyfrowania / deszyfrowania automatycznie (sterownik systemu plików wykonuje te funkcje).
Treść
Treść
- Jak włączyć szyfrowanie katalogu EFS w systemie Windows
- Kopia zapasowa klucza szyfrowania EFS
Jak włączyć szyfrowanie katalogu EFS w systemie Windows
Krok po kroku, jak szyfrować dane w systemie Windows 8 za pomocą EFS.
Uwaga. W żadnym wypadku nie należy włączać szyfrowania katalogów i folderów systemowych. W przeciwieństwie do tego system Windows może się nie uruchomić, ponieważ system nie może znaleźć klucza prywatnego użytkownika i odszyfrować plików.W Eksploratorze plików wybierz katalog lub pliki, które chcesz zaszyfrować, i klikając RMB przejdź do ich właściwości (Właściwości).
Tab Ogólne w sekcji atrybutów znajdź i kliknij przycisk Zaawansowane.
W wyświetlonym oknie zaznacz pole Szyfruj zawartość, aby zabezpieczyć dane (Szyfruj zawartość, aby chronić dane).
Kliknij dwukrotnie ok.
Jeśli szyfrowanie katalogu jest wykonywane, system zapyta, czy chcesz zaszyfrować tylko katalog lub katalog i wszystkie zagnieżdżone elementy. Wybierz żądaną akcję, po której okno właściwości katalogu zostanie zamknięte.
Zaszyfrowane katalogi i pliki w Eksploratorze Windows są wyświetlane na zielono (pamiętaj, że obiekty skompresowane na poziomie NTFS są podświetlone na niebiesko). Jeśli wybrano szyfrowanie folderu z całą zawartością, wszystkie nowe obiekty w zaszyfrowanym katalogu są również szyfrowane..
Szyfrowanie / deszyfrowanie EFS może być kontrolowane z wiersza poleceń za pomocą narzędzia szyfrującego. Na przykład możesz zaszyfrować katalog C: \ Secret w następujący sposób:
cipher / e c: \ Secret
Listę wszystkich plików w systemie plików zaszyfrowanych przy użyciu certyfikatu bieżącego użytkownika można wyświetlić za pomocą polecenia:
szyfr / u / n
Kopia zapasowa klucza szyfrowania EFS
Po pierwszym zaszyfrowaniu danych przez użytkownika za pomocą EFS w zasobniku systemowym pojawi się wyskakujące okienko z informacją o konieczności zapisania klucza szyfrowania.
Utwórz kopię zapasową klucza szyfrowania pliku. Pomaga to uniknąć trwałej utraty dostępu do zaszyfrowanych plików.Kliknięcie wiadomości spowoduje uruchomienie kreatora kopii zapasowej certyfikatów i powiązanych z nimi kluczy prywatnych szyfrowania EFS.
Uwaga. Jeśli przypadkowo zamkniesz okno lub okno się nie pojawi, możesz wyeksportować certyfikaty EFS, używając „Zarządzaj certyfikatami szyfrowania plików”w panelu sterowania użytkownika.Wybierz Utwórz kopię zapasową certyfikatu i klucza szyfrowania plików
Następnie uruchamia się Kreator eksportu certyfikatów. Wszystkie ustawienia eksportu można pozostawić standardowe (formatWymiana danych osobowych - PKCS # 12 .Pfx)
Następnie wprowadź hasło, aby chronić certyfikat (najlepiej dość skomplikowany).
Pozostaje określić lokalizację, w której chcesz zapisać wyeksportowany certyfikat (ze względów bezpieczeństwa, w przyszłości należy go skopiować na zewnętrzny dysk twardy / dysk flash USB i przechowywać w bezpiecznym miejscu).
To kończy eksport certyfikatu szyfrowania EFS i, jeśli to konieczne, zawsze można go użyć do odszyfrowania danych (szczegółowe informacje można znaleźć w temacie Deszyfrowanie danych EFS za pomocą certyfikatu użytkownika..