- EFS шифрује NTFS датотеке и фасцикле повезујући их са корисником комбинацијом симетричне и асиметричне криптографије.
- Права безбедност EFS-а зависи од заштите налога, EFS сертификата и прављења резервне копије кључа.
- EFS допуњује, али не замењује, потпуна шифровања диска као што су решења типа BitLocker или VeraCrypt.
El EFS шифровање (Шифровани фајл систем) То је једна од оних Windows функција које многи људи имају пред собом, а једва да их користе. Међутим, када се ради са осетљивим подацима на дељеном или умреженом рачунару, на пример, када монтирајте мрежне дискове као локалне дисковеТо може направити разлику између тога да ли ћете своје податке чувати безбедним или да их потпуно откријете.
Са EFS-ом можете заштитите појединачне датотеке и фасцикле Брз је и прилично транспарентан. Дизајниран за NTFS дискове, повезан је са корисником, а не са рачунаром. То значи да више корисника на истом рачунару или мрежи може истовремено да шифрује своје податке, спречавајући друге да им приступе чак и ако имају дозволе за дељени фолдер.
Шта је тачно EFS и како се разликује од других метода шифровања?
Шифровани систем датотека То је технологија шифровања датотека интегрисана у професионалне верзије оперативног система Windows (као што је Windows 10 Pro) ради заштите података сачуваних на дисковима са NTFS системом датотека. Њена сврха је да спречи кориснике или апликације без исправног кључа да читају садржај датотека, чак и ако су копиране на други рачунар.
За разлику од алата као што су BitLocker или VeraCrypt, који се фокусирају на шифрујте целе јединице или контејнереЕФС је фокусиран на заштиту одређене датотеке и фасцикле унутар NTFS тома. Ово омогућава детаљнију контролу: можете шифровати само оно што је заиста осетљиво, а остало оставити без додатне заштите.
Кључна карактеристика је да је EFS повезан са корисничким налогомДок сте пријављени са тим корисником, приступ шифрованим подацима је беспрекоран: отварате, уређујете и чувате датотеке као и обично, без уноса додатних лозинки. Ако други корисник система или неко ко украде диск покуша да приступи тим датотекама без исправног кључа, видеће неразумљиве податке или ће добити грешке при приступу.
Овакво понашање чини EFS веома практичним за свакодневну употребу, али такође значи да ако нападач успе да га компромитује, приступ вашем корисничком налогу (На пример, коришћењем ваше лозинке или искоришћавањем откључане сесије), моћи ће да отворе шифроване датотеке без икаквих проблема. Ово је важна ствар коју треба узети у обзир када се упоређује са решењима попут БитЛокера, који штити од других врста напада.
Како EFS функционише интерно: шема шифровања
Језгро EFS-а је засновано на комбинацији Симетрична и асиметрична криптографијаОва мешавина тежи да уравнотежи перформансе и безбедност, користећи најбоље од сваког приступа.
Да бисте шифровали садржај датотека, а симетрични алгоритамИсторијски познат као DESX, ово је појачана варијанта класичног DES-а (стандард за шифровање података). Ове врсте алгоритама су веома брзе и погодне за руковање великим количинама података, што је неопходно приликом шифровања великих датотека или више фасцикли одједном.
У EFS-у, свака шифрована датотека или фасцикла је заштићена специфичним симетричним кључем који се назива FEK (Кључ за шифровање датотека)Овај кључ се заправо користи за трансформацију читљивих података у шифроване податке унутар датотеке. FEK се генерише насумично када изаберете да шифрујете ставку.
Проблем са симетричним кључевима је како их чувати и заштитити. Да би се то решило, EFS комбинује ову шему са криптографија са јавним кључем (асиметрично), користећи RSA алгоритам. Уместо да чува FEK у обичном тексту, Windows га шифрује јавним кључем повезаним са EFS сертификатом корисника, а затим тај резултат чува у заглављу датотеке или фасцикле.
На овај начин, шифровани FEK Уграђен је заједно са метаподацима датотеке. Само кориснички налог који поседује одговарајући RSA приватни кључ (или овлашћени агент за опоравак) може дешифровати тај FEK, опоравити симетрични кључ, а затим прочитати податке датотеке. Ово комбинује брзину симетричног шифровања са безбедношћу асиметричног шифровања за управљање кључевима.
Разлог за коришћење два алгоритма је тај што Асиметрични алгоритми су много спорији него симетричне методе, приближно хиљадама пута. Не би имало смисла шифровати гигабајте података помоћу RSA. Зато се RSA користи само за заштиту FEK-а (малог кључа), а брзи симетрични алгоритам је резервисан за стварни садржај датотеке.
Предности и ограничења EFS шифровања
Једна од најупечатљивијих ствари код тестирања EFS-а је да је енкрипција потпуно транспарентан овлашћеном корисникуКада шифрујете датотеку или фасциклу, све док се пријавите са налогом који ју је шифровао, можете да отварате, мењате и чувате те датотеке баш као и било које друге.
Међу главним предностима EFS-а је то што Не морате да памтите додатне лозинке за сваку датотеку. Систем се ослања на ваш кориснички сертификат и приватни кључ, интегришући се са вашим подацима за пријаву на Windows. Вама све делује „нормално“; шифровање се дешава у позадини, на нивоу система датотека.
Још једна предност је то што, када означите датотеку или фасциклу као шифровану, Windows аутоматски одржава то стање.Не морате да памтите да поново шифрујете датотеку сваки пут када је измените: свака операција читања или писања пролази кроз EFS механизам, који шифрује и дешифрује у ходу.
Овај приступ је посебно занимљив у пословно окружењеПравилним конфигурисањем дозвола и политика опоравка, шифровани подаци могу остати доступни организацији чак и након што запослени напусти компанију, користећи агенте за опоравак или сертификате компаније конфигурисане за ову сврху.
Међутим, ДРИ такође има слабости које треба напоменути. Прва је да Безбедност у великој мери зависи од корисничког налогаАко неко успе да приступи вашој сесији (јер сте оставили рачунар откључан или зато што вам је лозинка украдена), моћи ће да отвори датотеке шифроване помоћу EFS-а без икаквих проблема, јер се дешифровање врши аутоматски када радите под тим налогом.
Штавише, кључ за шифровање се чува на самом уређају. оперативни системне на хардверском TPM чипу као код BitLocker-а. Ово олакшава нападачу са довољним знањем и приступом систему да издвоји тај кључ и дешифрује датотеке.
Такође треба напоменути да садржај шифрованих датотека може оставити трагове у привременим датотекама или у меморији, на пример путем привремених Windows датотека или међукопија. Стога, иако EFS додаје веома користан слој заштите, он није чаробни штапић против сваког замисливог напада. Да би се ризици свели на минимум, препоручљиво је безбедно брисање података и управљати привременим датотекама.
Због свих ових разлога, обично се препоручује комбиновање EFS-а са другим механизмима као што су БитЛоцкер (за шифровање целих дискова, укључујући системске дискове) или алате трећих страна као што су ВераЦрипт За шифроване контејнере, посебно ако рукујете изузетно осетљивим информацијама или ако је опрема преносива и може бити украдена; штавише, корисно је знати како лоцирати и блокирати украдени лаптоп.
Такође треба напоменути да садржај шифрованих датотека може оставити трагове у привременим датотекама или у меморији, на пример путем привремених Windows датотека или међукопија. Стога, иако EFS додаје веома користан слој заштите, он није чаробни штапић против сваког замисливог напада.
Због свих ових разлога, обично се препоручује комбиновање EFS-а са другим механизмима као што су БитЛоцкер (за шифровање целих дискова, укључујући системске дискове) или алате трећих страна као што су ВераЦрипт за шифроване контејнере, посебно ако рукујете изузетно осетљивим информацијама или ако је опрема преносива и може бити украдена.
Захтеви за EFS и активација у систему Windows 10
Да бисте користили EFS, прво вам је потребан Windows издање које га подржаваОбично је доступан у оперативном систему Windows 10 Pro и новијим издањима. У Home издањима, ова функционалност је обично ограничена или онемогућена.
Ако приликом покушаја шифровања датотеке видите да је опција „Шифрујте садржај да бисте заштитили податке“ Ако се у прозору напредних својстава појављује сиво, веома је вероватно да је NTFS шифровање датотека онемогућено на нивоу система. У том случају, прво би требало да проверите одговарајућа подешавања.
Основни корак укључује проверу да ли се Windows сервис под називом Шифрујући систем датотека (ЕФС) Мора бити покренут и конфигурисан да се аутоматски покреће. Без активне услуге, функционалност шифровања не може правилно да ради на NTFS томовима.
Поред тога, постоји кључ регистра који контролише да ли је дозвољено NTFS шифровање. Да бисте то проверили, можете проверите атрибуте датотека и шифровање И, у уређивачу регистра (regedit), морате да одете до путање ХКЕИ_ЛОЦАЛ_МАЦХИНЕ\СИСТЕМ\ЦуррентЦонтролСет\Цонтрол\ФилеСистем и пронађите DWORD вредност под називом NtfsDisableEncryption.
Ако је NtfsDisableEncryption подешено на 1То значи да је NTFS шифровање датотека онемогућено. Да бисте га омогућили, потребно је да измените ту вредност и промените је у 0Кликните на OK, затворите уређивач регистра и поново покрените рачунар. Након поновног покретања, опција шифровања у својствима датотеке требало би да буде доступна.
У неким случајевима може бити вредно извршити провера оперативног система Ако сумњате да су датотеке оштећене или да постоје интерни проблеми који утичу на EFS, отворите командну линију (cmd) као администратор и покрените команде попут sfc /scannow и неколико DISM команди једну по једну, на пример:
- сфц / сцаннов
- ДИСМ.еке / Онлине / Цлеануп-имаге / Сцанхеалтх
- Dism.exe /Online /Cleanup-Image /CheckHealth
- ДИСМ.еке / Онлине / Цлеануп-имаге / Ресторехеалтх
- Дисм.еке /Онлине /Цлеануп-Имаге /СтартЦомпонентЦлеануп
Након што их завршите и поново покренете рачунар, препоручује се да проверите да ли је NTFS шифровање датотека Ради нормално и сада можете означити датотеке и фасцикле да бисте их заштитили.
Како шифровати датотеке и фасцикле помоћу EFS-а корак по корак
Практични поступак шифровања датотеке или фасцикле помоћу EFS-а у оперативном систему Windows 10 је прилично једноставан и не захтева инсталирање било чега додатног; можете користити и команду ципхер.еке Да бисте управљали шифровањем из командне линије, прво што треба разумети је... Коју датотеку или фасциклу желите да заштитите?Идеално, осетљив садржај као што су лични документи, извештаји о раду или интерне базе података.
Отворите Филе Екплорер Идите до ставке коју желите да шифрујете. Кликните десним тастером миша на датотеку или фасциклу и изаберите „Својства“ из контекстног менија. Отвориће се прозор са својствима, обично на картици „Опште“.
У оквиру картице Опште, кликните на дугме „Напредне опције…“У новом прозору који се појави видећете одељак посвећен атрибутима компресије или шифровања. Означите поље „Шифрирај садржај ради заштите података“ и потврдите са OK.
Када се вратите у главни прозор са својствима, кликните на ПримениАко шифрујете фасциклу која садржи подфасцикле и датотеке, Windows ће вас питати да ли желите да шифрујете само основну фасциклу или сав њен садржај. Изаберите опцију која најбоље одговара вашим потребама (обично укључује подфасцикле и датотеке) и потврдите са OK.
Када се процес заврши, шифроване датотеке обично приказују неку врсту визуелни индикатор (на пример, икона катанца или промена боје имена) у зависности од конфигурације и верзије оперативног система Windows. Од тог тренутка, само ваш налог (и они који су експлицитно овлашћени) моћи ће да приступе тим подацима у обичном тексту.
Сваки пут када отворите једну од тих датотека као овлашћени корисник, шифровање и дешифровање ће се извршити аутоматски. За било ког другог корисника на систему или за некога ко копира шифровану датотеку на други рачунар без одговарајућег сертификата, садржај ће остати нечитљив.
Направите и сачувајте резервну копију EFS кључа
Критичан корак који многи корисници превиђају јесте резервна копија EFS сертификата и кључаАко изгубите тај сертификат (на пример, форматирањем рачунара без претходног извоза) и није подешен агент за опоравак, могли бисте изгубити приступ свим својим шифрованим датотекама.
Након првог шифровања помоћу EFS-а, Windows обично приказује обавештење У области траке задатака појавиће се порука која препоручује да направите резервну копију кључа за шифровање. Кликните на ту поруку да бисте отворили одговарајући чаробњак.
Најбоља опција је да изаберете „Направи резервну копију сада“Овим ће се покренути чаробњак за извоз сертификата, који ће вас корак по корак водити кроз креирање датотеке која садржи ваш EFS сертификат и његов приватни кључ. Ова датотека ће вам бити потребна у будућности да бисте вратили приступ својим подацима ако нешто крене наопако.
Током чаробњака, биће вам приказан формат у коме ће копија бити генерисана. Подразумевано, Windows предлаже неке препоручене безбедносне опције који су обично погодни за већину корисника, тако да можете наставити без икаквих промена ако немате посебне потребе.
Затим, мораћете да успоставите лозинку Да бисте заштитили извоз сертификата, означите одговарајуће поље, унесите јаку лозинку и поновите је да бисте потврдили. Можете оставити изабрани подразумевани метод шифровања или, ако знате шта радите, изабрати алтернативу.
Следећи корак је да изаберете име и локацију из резервне датотеке. Идеално би било да је сачувате на екстерном уређају, као што је лични УСБ флеш диск, који не делите са другима. Изаберите путању помоћу дугмета Прегледај, унесите препознатљиво име и кликните на Даље.
Асистент ће вам показати резиме операцијеАко је све исправно, кликните на Заврши. Ако све прође у реду, појавиће се порука која показује да је извоз успешан. Проверите да ли је датотека креирана на изабраној локацији.
Важно је да овај уређај са резервном копијом вашег EFS кључа буде Чувати на сигурном местуЧувајте га даље од неовлашћеног приступа и, ако је могуће, направите другу резервну копију на другој физичкој локацији. Запамтите да вам овај кључ омогућава да дешифрујете датотеке: ако га изгубите и немате други метод опоравка, шифровани подаци ће бити недоступни.
Онемогућите или омогућите NTFS шифровање и друга подешавања
Могуће је да је на вашем систему омогућено NTFS шифровање датотека. онемогућено политикомОво је или због корпоративне одлуке или унапред конфигурисаног подешавања. Као што смо видели, ово је у великој мери контролисано вредношћу NtfsDisableEncryption у Windows регистру.
Поред уређивања регистра, постоје и друге методе за омогућавање или онемогућавање EFS-аОво се може урадити путем одређених команди или групних политика, посебно у окружењима домена Active Directory. Код куће су обично довољне измене регистра и провера EFS сервиса.
Ако требате потпуно онемогућити EFS на рачунару (на пример, да бисте спречили кориснике да шифрују податке без контроле), можете подесити вредност NtfsDisableEncryption на 1 и осигурајте да нема активних EFS сертификата повезаних са локалним налозима, с обзиром на утицај који ово може имати на датотеке које су већ шифроване.
У сваком случају, пре него што се направе ове врсте измена, топло се препоручује документ који фајлови су шифровани и направите резервне копије у обичном тексту или вратите приступ на контролисан начин, како не бисте изгубили информације због лошег планирања.
EFS наспрам BitLocker-а и других решења за шифровање
Када се говори о заштити података у оперативном систему Windows, неизбежно је упоредити EFS са БитЛоцкера такође и са алатима трећих страна попут VeraCrypt-а. Сваки има своју нишу и предности, тако да није толико битно изабрати један или други, већ знати шта сваки од њих нуди.
ЕФС је идеалан за заштитите појединачне датотеке на рачунарима којима више корисника има приступ или у дељеним мрежним фасциклама. Његово повезивање са корисничким налогом чини га веома практичним: свака особа штити своје податке без потребе да управља целим томовима.
БитЛокер је, са своје стране, дизајниран да шифровање читавих јединица, укључујући системску партицију и екстерне дискове. Интегрише се са хардверски TPM модул када је доступан, што пружа веома робустан слој безбедности од напада који укључују уклањање диска и његово читање са другог рачунара.
Са становишта безбедности, БитЛокер се често сматра робуснији од EFS-а Зато што штити од сценарија као што су физичка крађа диска или приступ без покретања система Windows. EFS, будући да је повезан са корисничким налогом, не штити ако се нападач пријави са вашим акредитивима или искористи постојећу сесију.
Алати попут ВераЦрипт Омогућавају вам да креирате шифроване контејнере или шифрујете целе дискове и партиције, делујући слично БитЛокеру, али са вишеплатформским приступом и усмереним ка корисницима који желе веома фину контролу над криптографским параметрима.
Многе организације усвајају комбинацију решења: БитЛоцкер или VeraCrypt за заштиту дискова, посебно у лаптоповима и преносивим уређајима, и ЕФС да бисте додали додатни слој безбедности одређеним датотекама и фасциклама унутар тих већ шифрованих дискова.
Често постављана питања о EFS и NTFS шифровању датотека
Често постављано питање је шта је тачно NTFS шифровање датотека у оперативном систему Windows 10. То је једноставно практична имплементација EFS-а на NTFS дисковима: уграђена функција која вам омогућава да шифрујете и заштитите одређене датотеке и фасцикле без потребе за спољним софтвером.
Да бисте омогућили NTFS шифровање датотека, једноставно изаберите датотеку или фасциклуОтворите Својства, идите на одељак Напредно и означите поље „Шифрирај садржај ради заштите података“, као што је објашњено. Ако је опција доступна, Windows ће генерисати потребне кључеве и повезати шифровање са вашим налогом.
Ако било кога желите дешифровати датотеку или фасциклу Ако је ставка претходно била заштићена помоћу EFS-а, поступак је сличан, али обрнутим редоследом. Кликните десним тастером миша на ставку, идите на Својства, кликните на дугме Напредно и опозовите избор у пољу за шифровање. Windows ће вас питати да ли желите да примените дешифровање само на ту ставку или и на подфасцикле и датотеке које се у њој налазе.
Што се тиче стварне безбедности, датотеке шифроване помоћу NTFS-а су прилично отпоран на директне нападе Без одговарајућег кључа или сертификата, посебно ако су лозинке налога јаке и систем ажуриран. Међутим, ниједан метод шифровања се не може сматрати апсолутно непробојним: рањивости се могу појавити у софтверу, хардверу или чак у самом управљању лозинкама.
Да би се ојачала заштита, неопходно је користити јаке и јединствене лозинкеИзбегавајте да их записујете у обичном тексту или на видљивим местима, ограничите ко има физички приступ опреми и чувајте резервне копије података и EFS сертификата на безбедним локацијама.
На крају крајева, EFS је веома користан алат за заштиту осетљивих података у Windows окружењима са NTFS дисковима, под условом да је Добро разумејте своје границе и комбинује се са добрим безбедносним праксама: добро заштићеним налозима, резервним копијама сертификата, коришћењем BitLocker-а или сличних решења за потпуно шифровање диска када је то потребно и разумним управљањем физичким приступом рачунарима.
Овај цео скуп мера чини EFS шифровање веома практичном опцијом за заштиту осетљивих информација на нивоу датотеке, нудећи занимљив баланс између практичности и безбедности који, када се правилно конфигурише и допуни другим технологијама, може се беспрекорно уклопити и у кућно и у пословно окружење.
Страствени писац о свету бајтова и технологије уопште. Волим да делим своје знање кроз писање, и то је оно што ћу радити на овом блогу, показивати вам све најзанимљивије ствари о гаџетима, софтверу, хардверу, технолошким трендовима и још много тога. Мој циљ је да вам помогнем да се крећете у дигиталном свету на једноставан и забаван начин.