EFS (Encrypting File System) - шифрованная файловая система

EFS (Encrypting File System) - это шифрованная файловая система являющаяся частью NTFS. Шифрованная файловая система позволяет пользователям хранить данные на диске в зашифрованном формате. Файл зашифрованный одним пользователем не может быть открыт другим пользователем, если ему не назначены соответствующие разрешения. После того как файл был зашифрован, он автоматически остается зашифрованным в любом месте хранения на диске. Пользователь, имеющий права на открытие файла. работает с ним как с любым другим, а остальные пользователи при попытке открыть такой файл, получают сообщение "Отказано в доступе". Шифрованию могут подвергаться любые файлы, в том числе исполняемые.

Перед использованием возможностей шифрования EFS следует определиться будет ли использоваться Агент восстановления данных. Агентом восстановления называется пользователь, уполномоченный расшифровывать данные, зашифрованные другим пользователем, если пользователь утратил закрытые ключи сертификата шифрования или учетная запись пользователя удалена и требуется восстановить зашифрованные данные. Как правило, Агентом восстановления указывается Администратор, но может быть назначен и другой пользователь. Может быть создано несколько Агентов восстановления. Чтобы назначить пользователя Агентом восстановления, необходимо сначала создать сертификаты Агента восстановления, для этого откройте консоль командной строки (Пуск - Выполнить - cmd.exe) и наберите команду Cipher /R: filename где filename - путь и имя создаваемых сертификатов без расширения.

После этого Вам будет предложено ввести пароль для защиты закрытого ключа и подтвердить его (при вводе пароля он не будет отображаться в консоли). После этого в указанном при вводе команды пути будет создано два файла с указанным именем - *.cer и *.pfx, содержащие соответственно открытый и закрытый ключи сертификата. Теперь необходимо добавить сертификат в личное хранилище пользователя, назначаемого Агентом Восстановления (можно пропустить этот шаг, тогда Агент восстановления может проделать это позже, когда будет необходимо использовать функции восстановления) импортировав файл *.pfx (для запуска Мастера импорта сертификатов достаточно дважды щелкнуть по значку файла). После этого необходимо от имени администратора открыть оснастку "Локальные параметры безопасности" (Пуск - Выполнить - secpol.msc), выделить пункт "Политики открытого ключа - Файловая система EFS" и в меню "Действие" выбрать "Добавить агент восстановления данных". Откроется "Мастер добавления агента восстановления", на второй странице которого необходимо нажать кнопку "Обзор папок" и указать файл *.cer, созданный программой cipher ранее. При первом использовании возможностей EFS система создает цифровое удостоверение, которое использует для работы с зашифрованными файлами. По умолчанию (если иное не установлено администратором) такое удостоверение имеет имя пользователя и помещается в хранилище "Личные сертификаты". Отличить этот сертификат можно по полю "Назначение - файловая система EFS или по хешу (отпечатку) сертификата - в реестре создается ключ с отпечатком сертификата, используемого для шифрования.[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\EFS\CurrentKeys] "CertificateHash"=hex:хх,хх,хх,хх,хх,хх,хх,хх,хх,хх,хх,хх,хх,хх,хх,хх,хх,хх,хх,хx

В целях восстановления доступа к зашифрованным файлам после переустановки системы или вследствие утраты закрытого ключа следует сохранить в надежном месте закрытые ключи Агентов восстановления или (если они не назначены), закрытые ключи всех пользователей, использующих EFS, экспортировав их из хранилища "Личные" оснастки "Сертификаты" (certmgr.msc). Стоит заметить, что если для локального пользователя администратор попытается удалить пароль учетной записи, то пользователь потеряет все личные сертификаты, а соответственно и доступ к зашифрованным EFS файлам (при такой попытке будет выдано соответствующее предупреждение) Шифрование и дешифрование файлов осуществляется с помощью интерфейса Windows, кроме того существует программа командной строки cipher.exe для работы с объектами EFS, которая предоставляет более широкие возможности (подробнее об использовании программы cipher смотрите в справочнике по командной строке - наберите из меню "Выполнить" команду hh ntcmds.chm).

Для того чтобы зашифровать файл, необходимо выбрать в контекстном меню файла "Свойства - Другие", отметить "Шифровать содержимое для защиты данных" и нажать "ОК". В следующем окне также необходимо нажать "ОК". После этого в свойствах файла появится новая доступная кнопка - "Свойства - Другие - Подробно". В открывшемся меню в нижней части можно видеть пользователей, являющихся Агентами восстановления, а в верхней - пользователей, которым разрешен доступ к файлу - сюда можно добавить пользователя, которому также разрешено использовать файл. Но добавлен может быть только пользователь, имеющий действительный сертификат EFS - такие пользователи отображаются при нажатии кнопки "Добавить".

Шифровать можно как отдельные файлы, так и целые папки, при этом если шифруется папка уже содержащая файлы, то есть возможность выбора, шифровать только папку или папку и вложенные файлы. Шифрование папки не означает что другие пользователи не смогут просматривать содержимое папки - они лишь не смогут открывать зашифрованные файлы. Все новые файлы, сохраненные в зашифрованной папке или скопированные в нее будут автоматически зашифрованы. Шифровать папки более удобно, и кроме того безопасно, поскольку EFS имеет схему восстановления после аварийного сбоя (например если во время операции шифрования произошла критическая ошибка) которая предусматривает создание незашифрованной архивной копии исходного файла - при успешном завершении операции шифрования архивная копия удаляется, но может быть восстановлена специальными программами восстановления удаленных данных (см. рассылку №17), что создает потенциальную угрозу информационной безопасности (такие временные файлы Вы можете обнаружить используя программы типа Easy Recovery - на диске они отображены как EFS0.tmp). А при сохранении файла в зашифрованной папке шифрование происходит без создания такой резервной копии. Если все же шифровались одиночные файлы, то есть возможность перезаписать кластеры, оставшиеся после изменения или удаления файлов на томах NTFS случайными значениями - для этого может быть использована команда cipher /w:путь запущенная из командной строки (подробнее об использовании этой команды смотрите в справочнике по командной строке) или программы сторонних разработчиков.

Можно включить возможность шифрования и дешифрования в контекстное меню Проводника. Для этого необходимо в разделе[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] создать параметр "EncryptionContextMenu"=dword:00000001 После внесения изменений в контекстном меню для файла или папки появится пункт "Зашифровать" (или "Расшифровать", если объект уже зашифрован). Те кто не имеет достаточного опыта работы с реестром, могут воспользоваться для внесения изменений reg файлами из этого архива - regefscontext.zip, 1 Кб, один из файлов включает шифрование в контекстное меню, другой отключает.

Windows XP позволяет выделять зашифрованные файлы и папки среди других - чтобы воспользоваться этой возможностью, выберите в меню проводника "Сервис - Свойства папки - Вид" и отметьте пункт "Отображать сжатые или зашифрованные файлы NTFS другим цветом". Зашифрованные файлы и папки будут выделены зеленым цветом.

Примечания:

папки и файлы имеющие атрибут "системный" а также указанные в переменной %systemroot% (как правило это C:\Windows) не могут быть зашифрованы. файлы и папки сжатые средствами файловой системы не могут быть зашифрованы. Если шифрование выполняется для сжатого файла или папки, файл или папка преобразуются к состоянию без сжатия.

при перемещении и копировании зашифрованных файлов и папок на том, не являющийся томом NTFS , будет выдано предупреждение о потере шифрования при такой операции. Пользователь не имеющий прав доступа EFS к зашифрованным файлам не может копировать или перемещать зашифрованные файлы. любой пользователь имеющий права на удаление может удалять зашифрованные папки и файлы, поэтому целесообразно совмещать шифрование с ограничением доступа, предоставляемым NTFS.