Починаючи з Windows XP у всіх операційних системах Microsoft існує вбудована технологія шифрування даних EFS (шифруюча файлова система). EFS-шифрування засноване на можливостях файлової системи NTFS 5.0 і архітектурі CryptoAPI і призначене для швидкого шифрування файлів на жорсткому диску комп’ютера.

Коротенько опишемо схему шифрування EFS. Система EFS використовує шифрування з відкритим і закритим ключем. Для шифрування в EFS використовується особистий і публічний ключі користувача, які генеруються при першому використанні користувачем функції шифрування. Дані ключі залишаються незмінними весь час, поки існує його обліковий запис. При шифрування файлу EFS випадковим чином генерує унікальний номер, так званий File Encryption Key (FEK) довжиною 128 біт, за допомогою якого і шифруються файли. Ключі FEK зашифровані master-ключем, який зашифрований ключем користувачів системи, що має доступ до файлу. Закритий ключ користувача захищається хешем пароля цього самого користувача.

Таким чином, можна зробити висновок: весь ланцюжок EFS шифрування по суті жорстко зав’язана на логін і пароль користувача. Це означає, що захищеність даних в тому числі залежить і від стійкості пароля користувача.

важливо. Дані, зашифровані за допомогою EFS, можуть бути розшифровані тільки за допомогою тієї ж самої облікового запису Windows з тим же паролем, з-під якої було виконано шифрування. Інші користувачі, в тому числі адміністратори, розшифрувати і відкрити ці файли не зможуть. Це означає, що приватні дані залишаться в безпеці, навіть якщо пароль користувача буде скинутий будь-яким способом. Але важливо розуміти і зворотний бік питання. При зміні облікової записи або її пароля (якщо тільки він не був змінений безпосередньо самим користувачем з цих нарад), вихід з ладу або перевстановлення ОС – зашифровані дані стануть недоступними. Саме тому вкрай важливо експортувати і зберігати в безпечному місці сертифікати шифрування (процедура описана нижче).
Примітка. Починаючи з Windows Vista в ОС системах MS підтримується ще одна технологія шифрування – BitLocker. BitLocker на відміну від EFS-шифрування:

  • використовується для шифрування дискового тому цілком
  • вимагає наявності апаратного TPM модуля (в разі його потрібно зовнішній пристрій зберігання ключа, наприклад USB флешки або жорсткого диска)

Зовні для користувача робота з зашифрованими за допомогою EFS приватними файлами нічим не відрізняється від роботи зі звичайними файлами – ОС виконує операції шифрування / дешифрування автоматично (ці функції виконує драйвер файлової системи).

зміст:

  • Як включити EFS шифрування каталогу в Windows
  • Резервне копіювання ключа шифрування EFS

Як включити EFS шифрування каталогу в Windows

Покроково розберемо процедуру шифрування даних в Windows 8 за допомогою EFS.

Примітка. Не в якому разі не варто включати шифрування для системних каталогів і папок. У протівнмслучае Windows може просто не завантажиться, тому що система не зможе знайти особистий ключ користувача і дешифрувати файли.

В провідник File Explorer виберіть каталог або файли, які необхідно зашифрувати, і, клацнувши ПКМ, перейдіть в їх властивості (Властивості). windows 8 efs шифрування об'єктів файлової системи

на вкладці Загальні в секції атрибутів знайдіть і натисніть кнопку Розширений.

У вікні поставте чекбокс Шифрувати вміст для захисту даних (Шифрувати вміст для захисту даних). Шифрувати вміст для захисту файлів в Windows 8

Натисніть двічі ОК.

У тому випадку, якщо виконується шифрування каталогу, система запитає чи хочете ви зашифрувати тільки каталог або каталог і всі вкладені елементи. Виберіть бажану дію, після чого вікно властивостей каталогу закриється.підтвердити шифрування

Зашифровані каталоги і файли в провіднику Windows відображаються зеленим квітів (нагадаємо, що синім квітів підсвічені об’єкти, стислі на рівні ntfs). Якщо вибрано шифрування папки з усім вмістом, все нові об’єкти всередині зашифрованого каталогу також шифруються. windows 8 зашифровані папки в провіднику

Управляти шифруванням / дешифрованием EFS можна з командного рядка за допомогою утиліти cipher. Наприклад, зашифрувати каталог C: Secret можна так:

cipher /e c:Secret

Список всіх файлів в файлову систему, зашифрованих за допомогою сертифіката поточного користувача можна вивести за допомогою команди:

cipher /u /n

cipher - управління шифруванням з командного рядка

Резервне копіювання ключа шифрування EFS

Після того, як користувач вперше зашифрував свої дані за допомогою EFS, в системному треї з’явиться спливаюче вікно, яке повідомить про необхідність зберегти ключ шифрування.

Створіть резервну копію ключа шифрування файлу. Це допомагає уникнути остаточної втрати доступу до зашифрованих файлів.

резервне копіювання ключа шифрування

Клацнувши за повідомленням, ви запустите майстер резервного копіювання сертифікатів і асоційованих з ними закритих ключів шифрування EFS.

Примітка. Якщо ви випадково закриєте вікно, або воно не з’явиться, експортувати сертифікати EFS можна за допомогою функції «Керування сертифікатами шифрування файлів»В панелі управління користувачами.управління сертифікатами шифрування

Оберіть Створіть резервну копію сертифіката та ключа шифрування файлу

резервне копіювання сертифікатів efs windows 8 -

Далі запуститься майстер експорту сертифіката. Всі настройки експорту можна залишити стандартними (формат Обмін персональною інформацією – PKCS # 12 .PFX)

імпорт сертифікатів в форматі pfx

Потім вкажіть пароль для захисту сертифіката (бажано досить складний).

пароль доступу до сертифікату

Залишилося вказати місце розташування, куди необхідно зберегти експортований сертифікат (з метою безпеки в подальшому його потрібно створити на зовнішній жорсткий диск / usb флешку і зберігати в безпечному місці).

На цьому експорт сертифіката шифрування EFS закінчений і в разі необхідності їм завжди можна буде скористатися для розшифровки даних (подробиці в статті Як розшифрувати даних EFS за допомогою сертифіката користувача.

Leave a Reply

Your email address will not be published. Required fields are marked *