Починаючи з Windows XP у всіх операційних системах Microsoft існує вбудована технологія шифрування даних EFS (Encrypting File System). EFS-шифрування засноване на можливостях файлової системи NTFS 5.0 і архітектурі CryptoAPI і призначене для швидкого шифрування файлів на жорсткому диску комп'ютера .
Коротенько опишемо схему шифрування EFS. Система EFS використовує шифрування з відкритим і закритим ключем. Для шифрування в EFS використовується особистий і публічний ключі користувача, які генеруються при першому використанні користувачем функції шифрування. Дані ключі залишаються незмінними весь час, поки існує його обліковий запис. При шифрування файлу EFS випадковим чином генерує унікальний номер, так званий File Encryption Key (FEK) довжиною 128 біт, за допомогою якого і шифруються файли. Ключі FEK зашифровані master-ключем, який зашифрований ключем користувачів системи, що має доступ до файлу. Закритий ключ користувача захищається хешем пароля цього самого користувача.
Таким чином, можна зробити висновок: весь ланцюжок EFS шифрування по суті жорстко зав'язана на логін і пароль користувача. Це означає, що захищеність даних в тому числі залежить і від стійкості пароля користувача.
важливо. Дані, зашифровані за допомогою EFS, можуть бути розшифровані тільки за допомогою тієї ж самої облікового запису Windows з тим же паролем, з-під якої було виконано шифрування. Інші користувачі, в тому числі адміністратори, розшифрувати і відкрити ці файли не зможуть. Це означає, що приватні дані залишаться в безпеці, навіть якщо пароль користувача буде скинутий будь-яким способом. Але важливо розуміти і зворотний бік питання. При зміні облікової записи або її пароля (якщо тільки він не був змінений безпосередньо самим користувачем з цих нарад), вихід з ладу або перевстановлення ОС - зашифровані дані стануть недоступними. Саме тому вкрай важливо експортувати і зберігати в безпечному місці сертифікати шифрування (процедура описана нижче).Примітка. Починаючи з Windows Vista в ОС системах MS підтримується ще одна технологія шифрування - BitLocker. BitLocker на відміну від EFS-шифрування:- використовується для шифрування дискового тому цілком
- вимагає наявності апаратного TPM модуля (в разі його потрібно зовнішній пристрій зберігання ключа, наприклад USB флешки або жорсткого диска)
Зовні для користувача робота з зашифрованими за допомогою EFS приватними файлами нічим не відрізняється від роботи зі звичайними файлами - ОС виконує операції шифрування / дешифрування автоматично (ці функції виконує драйвер файлової системи).
зміст:
зміст:
- Як включити EFS шифрування каталогу в Windows
- Резервне копіювання ключа шифрування EFS
Як включити EFS шифрування каталогу в Windows
Покроково розберемо процедуру шифрування даних в Windows 8 за допомогою EFS.
Примітка. Не в якому разі не варто включати шифрування для системних каталогів і папок. У протівнмслучае Windows може просто не завантажиться, тому що система не зможе знайти особистий ключ користувача і дешифрувати файли.В провідник File Explorer виберіть каталог або файли, які необхідно зашифрувати, і, клацнувши ПКМ, перейдіть в їх властивості (Properties).
на вкладці General в секції атрибутів знайдіть і натисніть кнопку Advanced.
У вікні поставте чекбокс Encrypt contents to secure data (Шифрувати вміст для захисту даних).
Натисніть двічі ОК.
У тому випадку, якщо виконується шифрування каталогу, система запитає чи хочете ви зашифрувати тільки каталог або каталог і всі вкладені елементи. Виберіть бажану дію, після чого вікно властивостей каталогу закриється.
Зашифровані каталоги і файли в провіднику Windows відображаються зеленим квітів (нагадаємо, що синім квітів підсвічені об'єкти, стислі на рівні ntfs). Якщо вибрано шифрування папки з усім вмістом, все нові об'єкти всередині зашифрованого каталогу також шифруються.
Управляти шифруванням / дешифрованием EFS можна з командного рядка за допомогою утиліти cipher. Наприклад, зашифрувати каталог C: \ Secret можна так:
cipher / e c: \ Secret
Список всіх файлів в файлову систему, зашифрованих за допомогою сертифіката поточного користувача можна вивести за допомогою команди:
cipher / u / n
Резервне копіювання ключа шифрування EFS
Після того, як користувач вперше зашифрував свої дані за допомогою EFS, в системному треї з'явиться спливаюче вікно, яке повідомить про необхідність зберегти ключ шифрування.
Back up your file encryption key. This helps you avoid permanently losing access to you encrypted files.Клацнувши за повідомленням, ви запустите майстер резервного копіювання сертифікатів і асоційованих з ними закритих ключів шифрування EFS.
Примітка. Якщо ви випадково закриєте вікно, або воно не з'явиться, експортувати сертифікати EFS можна за допомогою функції "Manage file encryption certificates"В панелі управління користувачами.Виберіть Back up your file encryption certificate and key
Далі запуститься майстер експорту сертифіката. Всі настройки експорту можна залишити стандартними (форматPersonal Information Exchange - PKCS # 12 .PFX)
Потім вкажіть пароль для захисту сертифіката (бажано досить складний).
Залишилося вказати місце розташування, куди необхідно зберегти експортований сертифікат (з метою безпеки в подальшому його потрібно створити на зовнішній жорсткий диск / usb флешку і зберігати в безпечному місці).
На цьому експорт сертифіката шифрування EFS закінчений і в разі необхідності їм завжди можна буде скористатися для розшифровки даних (подробиці в статті Як розшифрувати даних EFS за допомогою сертифіката користувача.