Išsami EFS šifravimo „Windows 10“ pamoka

El EFS šifravimas (failų šifravimo sistema) Tai viena iš tų „Windows“ funkcijų, kurias daugelis žmonių turi tiesiog priešais save ir beveik niekada nenaudoja. Tačiau dirbant su slaptais duomenimis bendrai naudojamame arba tinkle esančiame kompiuteryje, pavyzdžiui, kai prijungti tinklo diskus kaip vietinius diskusTai gali lemti skirtumą tarp to, ar jūsų informacija bus saugi, ar visiškai atskleista.

Su EFS galite apsaugoti atskirus failus ir aplankus Tai greita ir gana skaidru. Sukurta NTFS tomams, ji susieta su vartotoju, o ne su kompiuteriu. Tai reiškia, kad keli to paties kompiuterio ar tinklo vartotojai gali vienu metu užšifruoti savo duomenis, neleisdami kitiems jų pasiekti, net jei jie turi teises į bendrinamą aplanką.

Kas tiksliai yra EFS ir kuo jis skiriasi nuo kitų šifravimo metodų?

Failų sistemos šifravimas Tai failų šifravimo technologija, integruota į profesionalias „Windows“ versijas (pvz., „Windows 10 Pro“), skirta apsaugoti duomenis, saugomus diskuose su NTFS failų sistema. Jos tikslas – neleisti vartotojams ar programoms, neturinčioms tinkamo rakto, nuskaityti failų turinio, net jei jie nukopijuojami į kitą kompiuterį.

Kitaip nei tokie įrankiai kaip „BitLocker“ ar „VeraCrypt“, kurie skirti užšifruoti ištisus vienetus ar konteineriusEFS daugiausia dėmesio skiria apsaugai konkrečius failus ir aplankus NTFS tome. Tai leidžia detaliau valdyti: galite užšifruoti tik tai, kas iš tiesų jautru, o likusią dalį palikti be papildomos apsaugos.

Svarbiausia EFS savybė yra ta, kad ji yra susieta su vartotojo paskyraPrisijungus prie to vartotojo paskyros, prieiga prie užšifruotų duomenų yra sklandi: failus atidarote, redaguojate ir išsaugote kaip įprasta, neįvesdami jokių papildomų slaptažodžių. Jei kitas sistemos vartotojas arba diską pavogęs asmuo bandys pasiekti šiuos failus neturėdamas teisingo rakto, jis matys nesuprantamus duomenis arba gaus prieigos klaidas.

Dėl tokio elgesio EFS yra labai patogus kasdieniam naudojimui, tačiau tai taip pat reiškia, kad jei užpuolikui pavyksta jį pažeisti, pasiekti savo vartotojo paskyrą (Pavyzdžiui, naudodami jūsų slaptažodį arba pasinaudodami neužrakinta sesija), jie galės be jokių problemų atidaryti užšifruotus failus. Tai svarbu apsvarstyti lyginant su tokiais sprendimais kaip „BitLocker“, kurie apsaugo nuo kitų tipų atakų.

Kaip EFS veikia viduje: šifravimo schema

EFS pagrindas pagrįstas šių elementų deriniu: Simetrinė ir asimetrinė kriptografijaŠis derinys siekia subalansuoti našumą ir saugumą, išnaudojant geriausias kiekvieno metodo savybes.

Norint užšifruoti failų turinį, reikia simetrinis algoritmasIstoriškai žinomas kaip DESX, tai yra patobulinta klasikinio DES (duomenų šifravimo standarto) versija. Šio tipo algoritmai yra labai greiti ir tinkami dideliems duomenų kiekiams apdoroti, o tai labai svarbu šifruojant didelius failus ar daug aplankų vienu metu.

EFS sistemoje kiekvienas užšifruotas failas ar aplankas yra apsaugotas specialiu simetriniu raktu, vadinamu FEK (failų šifravimo raktas)Šis raktas iš tikrųjų naudojamas skaitomiems duomenims faile paversti užšifruotais. FEK raktas generuojamas atsitiktinai, kai pasirenkate užšifruoti elementą.

Simetrinių raktų problema yra tai, kaip juos saugoti ir apsaugoti. Norėdami tai išspręsti, EFS sujungia šią schemą su viešojo rakto kriptografija (asimetrinis), naudojant RSA algoritmą. Užuot saugojusi FEK paprasto teksto formatu, „Windows“ jį užšifruoja viešuoju raktu, susietu su vartotojo EFS sertifikatu, ir tada išsaugo gautą rezultatą failo arba aplanko antraštėje.

Tokiu būdu užšifruotas FEK Jis įterpiamas kartu su failo metaduomenimis. Tik vartotojo paskyra, turinti atitinkamą RSA privatųjį raktą (arba įgaliotas atkūrimo agentas), gali iššifruoti tą FEK, atkurti simetrinį raktą ir nuskaityti failo duomenis. Tai sujungia simetrinio šifravimo greitį su asimetrinio šifravimo saugumu raktų valdymui.

Dviejų algoritmų naudojimo priežastis yra ta, kad Asimetriniai algoritmai yra daug lėtesni nei simetriniai metodai, maždaug tūkstančius kartų. Nebūtų prasmės šifruoti gigabaitų duomenų naudojant RSA. Štai kodėl RSA naudojama tik FEK (mažam raktui) apsaugoti, o greitasis simetrinis algoritmas skirtas tik pačiam failo turiniui.

EFS šifravimo privalumai ir trūkumai

Vienas ryškiausių dalykų, susijusių su EFS testavimu, yra tai, kad šifravimas yra visiškai skaidrus įgaliotam vartotojuiUžšifravę failą ar aplanką, prisijungę prie paskyros, kuri jį užšifravo, galėsite atidaryti, modifikuoti ir išsaugoti šiuos failus kaip ir bet kuriuos kitus.

Vienas iš pagrindinių EFS privalumų yra tai, kad Jums nereikia atsiminti papildomų slaptažodžių kiekvienam failui. Sistema naudoja jūsų vartotojo sertifikatą ir privatųjį raktą, integruodamasi su jūsų „Windows“ prisijungimu. Jums viskas atrodo „normalu“; šifravimas vyksta fone, failų sistemos lygmeniu.

Dar vienas privalumas yra tas, kad pažymėjus failą ar aplanką kaip užšifruotą, „Windows“ automatiškai palaiko šią būseną.Jums nereikia prisiminti iš naujo šifruoti failo kiekvieną kartą jį modifikuojant: kiekviena skaitymo ar rašymo operacija atliekama EFS modulio, kuris užšifruoja ir iššifruoja operatyviai.

Šis požiūris yra ypač įdomus tuo, verslo aplinkąTinkamai sukonfigūravus leidimus ir atkūrimo politiką, užšifruoti duomenys gali likti prieinami organizacijai net ir darbuotojui išėjus iš įmonės, naudojant atkūrimo agentus arba šiam tikslui sukonfigūruotus įmonės sertifikatus.

Tačiau AAI taip pat turi trūkumų, į kuriuos reikėtų atkreipti dėmesį. Pirma, kad Saugumas labai priklauso nuo vartotojo paskyrosJei kam nors pavyks pasiekti jūsų sesiją (nes palikote kompiuterį neužrakintą arba jūsų slaptažodis buvo pavogtas), jie galės be jokių problemų atidaryti EFS užšifruotus failus, nes iššifravimas atliekamas automatiškai, kai dirbate su ta paskyra.

Be to, šifravimo raktas saugomas pačiame įrenginyje. Operacinės sistemosne aparatinės įrangos TPM luste, kaip naudojant „BitLocker“. Tai leidžia užpuolikui, turinčiam pakankamai žinių ir prieigą prie sistemos, lengviau išgauti tą raktą ir iššifruoti failus.

Taip pat reikėtų atkreipti dėmesį, kad užšifruotų failų turinys gali palikti pėdsakus laikinuosiuose failuose arba atmintyje, pavyzdžiui, per laikinuosius „Windows“ failus arba tarpines kopijas. Todėl, nors EFS prideda labai naudingą apsaugos sluoksnį, tai nėra stebuklinga priemonė nuo kiekvienos įsivaizduojamos atakos. Siekiant sumažinti riziką, patartina saugiai ištrinti duomenis ir tvarkyti laikinus failus.

Dėl visų šių priežasčių paprastai rekomenduojama derinti EFS su kitais mechanizmais, tokiais kaip "BitLocker" (norint užšifruoti ištisus diskus, įskaitant sistemos diskus) arba trečiųjų šalių įrankius, pvz., VeraCrypt Užšifruotų konteinerių atveju, ypač jei tvarkote itin slaptą informaciją arba jei įranga yra nešiojama ir gali būti pavogta; be to, naudinga žinoti, kaip surasti ir užblokuoti pavogtą nešiojamąjį kompiuterį.

Taip pat reikėtų atkreipti dėmesį, kad užšifruotų failų turinys gali palikti pėdsakus laikinuosiuose failuose arba atmintyje, pavyzdžiui, laikinuose „Windows“ failuose arba tarpinėse kopijose. Todėl, nors EFS prideda labai naudingą apsaugos sluoksnį, tai nėra stebuklinga priemonė nuo kiekvienos įsivaizduojamos atakos.

Dėl visų šių priežasčių paprastai rekomenduojama derinti EFS su kitais mechanizmais, tokiais kaip "BitLocker" (norint užšifruoti ištisus diskus, įskaitant sistemos diskus) arba trečiųjų šalių įrankius, pvz., VeraCrypt užšifruotiems konteineriams, ypač jei tvarkote itin slaptą informaciją arba jei įranga yra nešiojama ir gali būti pavogta.

EFS reikalavimai ir aktyvinimas sistemoje „Windows 10“

Norint naudoti EFS, pirmiausia reikia „Windows“ leidimas, kuris jį palaikoPaprastai tai galima naudoti „Windows 10 Pro“ ir naujesnėse versijose. „Home“ leidimuose ši funkcija paprastai yra ribota arba išjungta.

Jei bandant užšifruoti failą matote parinktį „Šifruokite turinį, kad apsaugotumėte duomenis“ Jei išplėstinių ypatybių lange jis rodomas pilkai, labai tikėtina, kad NTFS failų šifravimas yra išjungtas sistemos lygmeniu. Tokiu atveju pirmiausia turėtumėte patikrinti atitinkamus nustatymus.

Pagrindinis žingsnis yra patikrinti, ar „Windows“ paslauga, vadinama Šifravimo failų sistema (EFS) Jis turi būti paleistas ir sukonfigūruotas taip, kad būtų paleidžiamas automatiškai. Be šios paslaugos aktyvavimo šifravimo funkcija negali tinkamai veikti NTFS tomuose.

Be to, yra registro raktas, kuris kontroliuoja, ar leidžiamas NTFS šifravimas. Norėdami tai patikrinti, galite patikrinkite failo atributus ir šifravimą Ir registro rengyklėje („regedit“) turite pereiti į kelią HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ failų sistema ir suraskite DWORD reikšmę, vadinamą NtfsDisableEncryption.

Jei „NtfsDisableEncryption“ nustatytas kaip 1Tai reiškia, kad NTFS failų šifravimas yra išjungtas. Norėdami jį įjungti, turite redaguoti šią reikšmę ir pakeisti ją į 0Spustelėkite Gerai, uždarykite registro rengyklę ir paleiskite kompiuterį iš naujo. Paleidus iš naujo, failo ypatybėse turėtų būti galima pasirinkti šifravimo parinktį.

Kai kuriais atvejais gali būti verta atlikti operacinės sistemos patikrinimas Jei įtariate sugadintus failus arba vidines problemas, turinčias įtakos EFS, atidarykite komandų eilutę (cmd) kaip administratorius ir paleiskite tokias komandas kaip sfc /scannow ir kelias DISM komandas po vieną, pavyzdžiui:

• SFC / scannow
• DISM.exe / Online / Cleanup-image / Scanhealth
• Dism.exe / Internetinis / Valymo vaizdas / Patikrinkite sveikatos patikrinimą
• DISM.exe / Online / Cleanup-image / Restorehealth
• Dism.exe /Online /Cleanup-Image /StartComponentCleanup

Baigus juos ir paleidus kompiuterį iš naujo, rekomenduojama patikrinti, ar NTFS failų šifravimas Jis veikia normaliai ir dabar galite pažymėti failus ir aplankus, kad juos apsaugotumėte.

Kaip žingsnis po žingsnio užšifruoti failus ir aplankus naudojant EFS

Praktinis failo ar aplanko šifravimo naudojant EFS procesas sistemoje „Windows 10“ yra gana paprastas ir nereikalauja nieko papildomo diegti; taip pat galite naudoti komandą Cipher.exe Norint valdyti šifravimą iš komandinės eilutės, pirmiausia reikia suprasti... Kurį failą ar aplanką norite apsaugoti?Idealiu atveju, jautrus turinys, pavyzdžiui, asmeniniai dokumentai, darbo ataskaitos arba vidinės duomenų bazės.

Atidarykite „File Explorer“ Eikite į elementą, kurį norite užšifruoti. Dešiniuoju pelės mygtuku spustelėkite failą arba aplanką ir kontekstiniame meniu pasirinkite „Ypatybės“. Atsidarys ypatybių langas, paprastai skirtuke „Bendra“.

Skirtuke „Bendra“ spustelėkite mygtuką „Išplėstinės parinktys…“Naujai atsidariusiame lange matysite skyrių, skirtą glaudinimo arba šifravimo atributams. Pažymėkite langelį „Užšifruoti turinį, kad apsaugotumėte duomenis“ ir patvirtinkite paspausdami „Gerai“.

Grįžę į pagrindinį ypatybių langą, spustelėkite aplicarJei šifruojate aplanką, kuriame yra poaplankiai ir failai, „Windows“ paklaus, ar norite šifruoti tik šakninį aplanką, ar visą jo turinį. Pasirinkite parinktį, kuri geriausiai atitinka jūsų poreikius (paprastai įskaitant poaplankius ir failus) ir patvirtinkite paspausdami Gerai.

Kai procesas bus baigtas, užšifruotuose failuose paprastai bus rodomas kažkoks vizualinis indikatorius (pavyzdžiui, spynos piktograma arba pavadinimo spalvos pakeitimas), priklausomai nuo „Windows“ konfigūracijos ir versijos. Nuo to momento tik jūsų paskyra (ir tie, kuriems tai aiškiai leidžiama) galės pasiekti šiuos duomenis paprasto teksto formatu.

Kiekvieną kartą atidarius vieną iš šių failų kaip įgaliotas vartotojas, šifravimas ir iššifravimas bus atliekami automatiškai. Bet kuriam kitam sistemos vartotojui arba asmeniui, kuris nukopijuoja užšifruotą failą į kitą kompiuterį neturėdamas tinkamo sertifikato, turinys liks neįskaitomas.

Sukurkite ir išsaugokite EFS rakto atsarginę kopiją

Svarbus žingsnis, kurį daugelis vartotojų nepastebi, yra EFS sertifikato ir rakto atsarginę kopijąJei prarasite tą sertifikatą (pavyzdžiui, formatuodami kompiuterį jo pirmiausia neeksportavę) ir nenustatytas atkūrimo agentas, galite prarasti prieigą prie visų užšifruotų failų.

Pirmą kartą užšifravus naudojant EFS, „Windows“ paprastai rodo pranešimas Užduočių juostoje pasirodys pranešimas, rekomenduojamas sukurti šifravimo rakto atsarginę kopiją. Spustelėkite tą pranešimą, kad atidarytumėte atitinkamą vedlį.

Geriausias variantas yra pasirinkti „Atgal dabar“Tai paleis sertifikatų eksportavimo vedlį, kuris žingsnis po žingsnio padės jums sukurti failą su jūsų EFS sertifikatu ir jo privačiuoju raktu. Šio failo jums reikės ateityje, kad atkurtumėte prieigą prie savo duomenų, jei kas nors nutiks ne taip.

Vedlio metu bus rodomas formatas, kuriuo bus sugeneruota kopija. Pagal numatytuosius nustatymus „Windows“ siūlo keletą rekomenduojamos saugumo parinktys kurie paprastai tinka daugumai vartotojų, todėl galite judėti toliau nieko nekeisdami, jei neturite specialiųjų poreikių.

Toliau turėsite nustatyti slaptažodis Norėdami apsaugoti sertifikato eksportą, pažymėkite atitinkamą langelį, įveskite stiprų slaptažodį ir pakartokite, kad patvirtintumėte. Galite palikti pasirinktą numatytąjį šifravimo metodą arba, jei žinote, ką darote, pasirinkti alternatyvų.

Kitas žingsnis yra pasirinkti pavadinimas ir vieta iš atsarginės kopijos failo. Idealiu atveju išsaugokite jį išoriniame įrenginyje, pvz., asmeninėje USB atmintinėje, kuria nesidalijate su kitais. Pasirinkite kelią naudodami mygtuką „Naršyti“, įveskite atpažįstamą pavadinimą ir spustelėkite „Toliau“.

Asistentas jums parodys operacijos santraukaJei viskas teisingai, spustelėkite „Baigti“. Jei viskas gerai, pasirodys pranešimas, rodantis, kad eksportavimas sėkmingas. Patikrinkite, ar failas sukurtas pasirinktoje vietoje.

Svarbu, kad šis įrenginys su jūsų EFS rakto atsargine kopija būtų Laikyti saugioje vietojeSaugokite jį nuo neteisėtos prieigos ir, jei įmanoma, pasidarykite antrą atsarginę kopiją kitoje fizinėje vietoje. Atminkite, kad šis raktas leidžia iššifruoti failus: jei jį pamesite ir neturėsite kito atkūrimo būdo, užšifruoti duomenys bus nepasiekiami.

Išjunkite arba įjunkite NTFS šifravimą ir kitus nustatymus

Gali būti, kad jūsų sistemoje įjungtas NTFS failų šifravimas. išjungta pagal politikąTai lemia įmonės sprendimas arba iš anksto sukonfigūruotas nustatymas. Kaip matėme, tai daugiausia kontroliuoja „NtfsDisableEncryption“ reikšmė „Windows“ registre.

Be registro redagavimo, taip pat yra Kiti EFS įjungimo arba išjungimo būdaiTai galima padaryti naudojant specialias komandas arba grupių strategijas, ypač „Active Directory“ domeno aplinkose. Namuose paprastai pakanka pakeisti registrą ir patikrinti EFS paslaugą.

Jei kompiuteryje reikia visiškai išjungti EFS (pavyzdžiui, kad vartotojai negalėtų šifruoti duomenų be kontrolės), galite nustatyti reikšmę NtfsDisableEncryption į 1 ir įsitikinkite, kad nėra su vietinėmis paskyromis susietų aktyvių EFS sertifikatų, atsižvelgiant į tai, kokį poveikį tai gali turėti jau užšifruotiems failams.

Bet kokiu atveju, prieš atliekant tokio tipo pakeitimus, labai rekomenduojama dokumentas, kurie failai yra užšifruoti ir kurkite atsargines kopijas paprasto teksto formatu arba atkurkite prieigą kontroliuojamu būdu, kad neprarastumėte informacijos dėl prasto planavimo.

EFS, palyginti su „BitLocker“ ir kitais šifravimo sprendimais

Aptariant duomenų apsaugą sistemoje „Windows“, neišvengiamai reikia lyginti EFS su "BitLocker"taip pat su trečiųjų šalių įrankiais, tokiais kaip „VeraCrypt“. Kiekvienas turi savo nišą ir stipriąsias puses, todėl svarbu ne tiek pasirinkti vieną ar kitą, kiek žinoti, ką kiekvienas siūlo.

EFS idealiai tinka apsaugoti atskirus failus kompiuteriuose, prie kurių prieigą turi keli vartotojai, arba bendrinamuose tinklo aplankuose. Susiejimas su vartotojo paskyra yra labai praktiškas: kiekvienas asmuo apsaugo savo informaciją, nereikalaudamas valdyti ištisų tomų.

Savo ruožtu „BitLocker“ yra sukurta tam, kad užšifruoti ištisus vienetus, įskaitant sistemos skaidinį ir išorinius diskus. Jis integruojasi su aparatinės įrangos TPM modulis kai įmanoma, tai suteikia labai patikimą apsaugos lygį nuo atakų, kurių metu išimamas diskas ir nuskaitomas iš kito kompiuterio.

Saugumo požiūriu „BitLocker“ dažnai laikoma tvirtesnis nei EFS Kadangi EFS apsaugo nuo tokių scenarijų kaip fizinė disko vagystė arba prieiga nepaleidus „Windows“, ji neapsaugo, jei užpuolikas prisijungia naudodamas jūsų prisijungimo duomenis arba pasinaudoja esama sesija.

Įrankiai kaip VeraCrypt Jie leidžia kurti užšifruotus konteinerius arba užšifruoti ištisus diskus ir skaidinius, veikdami panašiai kaip „BitLocker“, tačiau naudodami kelių platformų metodą ir yra skirti vartotojams, norintiems labai tiksliai valdyti kriptografinius parametrus.

Daugelis organizacijų taiko sprendimų derinius: "BitLocker" arba „VeraCrypt“, kad apsaugotumėte diskus, ypač nešiojamuosiuose kompiuteriuose ir išimamuosiuose įrenginiuose, ir EFS kad būtų pridėtas papildomas saugumo sluoksnis konkretiems failams ir aplankams tuose jau užšifruotuose diskuose.

Dažnai užduodami klausimai apie EFS ir NTFS failų šifravimą

Dažnas klausimas – kas tiksliai yra NTFS failų šifravimas „Windows 10“. Tai tiesiog praktinis EFS įgyvendinimas NTFS tomuose: integruota funkcija, leidžianti užšifruoti ir apsaugoti konkrečius failus ir aplankus nereikalaujant išorinės programinės įrangos.

Norėdami įjungti NTFS failų šifravimą, tiesiog pasirinkite failą arba aplankąAtidarykite „Ypatybės“, eikite į skyrių „Išplėstiniai nustatymai“ ir pažymėkite langelį „Šifruoti turinį, kad apsaugotumėte duomenis“, kaip paaiškinta. Jei ši parinktis yra, „Windows“ sugeneruos reikiamus raktus ir susies šifravimą su jūsų paskyra.

Jei kada norite iššifruoti failą arba aplanką Jei elementas anksčiau buvo apsaugotas naudojant EFS, procesas yra panašus, bet atvirkštinis. Dešiniuoju pelės mygtuku spustelėkite elementą, eikite į Ypatybės, spustelėkite mygtuką Išplėstiniai ir panaikinkite šifravimo langelio žymėjimą. „Windows“ paklaus, ar norite iššifruoti tik tą elementą, ar ir poaplankius bei jame esančius failus.

Kalbant apie faktinį saugumą, NTFS užšifruoti failai yra gana atsparus tiesioginiams išpuoliams Neturint tinkamo rakto ar sertifikato, ypač jei paskyrų slaptažodžiai yra stiprūs, o sistema atnaujinta. Tačiau joks šifravimo metodas negali būti laikomas absoliučiai neįveikiamu: pažeidžiamumų gali būti programinėje įrangoje, aparatinėje įrangoje ar net pačioje slaptažodžių valdymo sistemoje.

Norint sustiprinti apsaugą, būtina naudoti stiprūs ir unikalūs slaptažodžiaiVenkite jų rašyti paprastu tekstu ar akivaizdžiose vietose, apribokite fizinę prieigą prie įrangos ir saugokite duomenų bei EFS sertifikatų atsargines kopijas saugiose vietose.

Galiausiai, EFS yra labai naudinga priemonė jautrių duomenų apsaugai „Windows“ aplinkoje su NTFS diskais, jei ji Gerai supraskite savo ribas ir tai derinama su gera saugumo praktika: gerai apsaugotomis paskyromis, sertifikatų atsarginėmis kopijomis, „BitLocker“ ar panašių sprendimų naudojimu visam disko šifravimui, kai to reikia, ir protingu fizinės prieigos prie kompiuterių valdymu.

Visas šis priemonių rinkinys EFS šifravimą paverčia labai praktišku pasirinkimu norint apsaugoti neskelbtiną informaciją failų lygmeniu, siūlant įdomų patogumo ir saugumo balansą, kuris, tinkamai sukonfigūruotas ir papildytas kitomis technologijomis, gali sklandžiai tilpti tiek namų, tiek verslo aplinkoje.