Нажмите "Enter" для пропуска содержимого

Efs что это: Что такое EFS? | KV.by

Содержание

Что такое EFS? | KV.by

EFS (Encrypting File System) — подсистема операционных систем семейства Windows NT, отвечающая за низкоуровневую защиту файлов путём их шифрования.

Возможно, у этой аббревиатуры есть и какие-то другие расшифровки, так или иначе связанные с компьютерами, — лично я их не встречал и поиск с помощью Google ничего не дал. Поэтому сейчас мы с вами выясним, что скрывается за этими тремя таинственными буквами. Оказывается, что на самом-то деле ничего особенно таинственного там и нет…

EFS — это Encrypting File System, то есть, шифрующая файловая система. Эта тесно интегрированная с файловой системой NTFS подсистема отвечает за низкоуровневое шифрование файлов, сохраняемых на жёсткий диск компьютера. EFS создана для того, чтобы защитить с помощью шифрования особо важные пользовательские данные, которые могли быть похищены путём обхода стандартных средств линейки Windows NT, то есть аутентификации пользователей и разграничения соответствующих им прав файловой системой NTFS.

Стоит отметить, что EFS присутствует во всех системах линейки NT, начиная с Windows 2000, за исключением Home Edition — «домашних» версий систем, где, по замыслу Microsoft, эта подсистема не нужна.

В EFS используется архитектура Windows CryptoAPI, и по умолчанию для защиты данных применяется сравнительно быстрое симметричное шифрование, причём, начиная с Windows XP, стандартный криптопровайдер (фактически, алгоритм шифрования) можно заменить сторонним. Впрочем, это уже, как говорится, на любителя — стандартный способ шифрования, предложенный корпорацией Microsoft, более чем достаточен для большинства пользовательских данных. Ключ шифрования генерируется случайно для каждого зашифрованного файла, причём для этого используются служебные системные данные и настройки. В связи с этим распространена проблема потери некоторыми пользователями зашифрованных файлов при переустановке системы. К счастью, в наше время существуют специальные утилиты, способные восстанавливать зашифрованные файлы, если пользователь верно укажет логин и пароль к своей учётной записи в операционной системе.

Пользоваться EFS из-под Windows более чем просто. В окне свойств файла или папки, которое появляется при выборе пункта «Свойства» контекстного меню «Проводника», нужно выбрать флажок «Шифровать содержимое для защиты данных». При копировании файлов в зашифрованную папку не нужно будет повторять эту процедуру — система сама всё зашифрует. Перед переустановкой операционной системы все зашифрованные файлы и папки во избежание ненужных осложнений имеет смысл расшифровать, а затем повторно защитить с помощью EFS после переустановки.

Стоит отметить, что EFS является не единственным способом защитить файлы с помощью шифрования на уровне файловой системы. Кроме того, она обладает рядом определённых недостатков, а потому в некоторых случаях использовать её менее удобно, чем другие средства защиты. Впрочем, об этом уже было довольно подробно рассказано в прошлом номере «Компьютерных вестей» (статья «BitLocker. Философия и принципы шифрования тома» Евгения Кучука), а потому повторяться и рассказывать то же самое по-новому вряд ли имеет смысл.

Вадим СТАНКЕВИЧ,
[email protected]

Набор средств шифрования данных для мобильных ПК. Глава 3. Шифрованная файловая система (EFS)

  • Статья
  • Чтение занимает 22 мин
  • Участники: 2

Были ли сведения на этой странице полезными?

Да Нет

Хотите оставить дополнительный отзыв?

Отзывы будут отправляться в корпорацию Майкрософт. Нажав кнопку «Отправить», вы разрешаете использовать свой отзыв для улучшения продуктов и служб Майкрософт. Политика конфиденциальности.

Отправить

Спасибо!

В этой статье

Глава 3. Шифрованная файловая система (EFS)

Опубликовано 4 апреля 2007

Операционные системы Microsoft® Windows® XP и Windows Vista™ позволяют защищать данные и восстанавливать их с помощью шифрованной файловой системы (EFS). Файловая система EFS — это технология шифрования данных, применяемая к отдельным файлам или всем файлам в конкретной папке. Файлы EFS невозможно расшифровать без соответствующих данных ключа. Кроме того, необходимо отметить, что, в отличие от технологии шифрования диска Microsoft BitLocker™ (BitLocker), файловую систему EFS нельзя применять к файлам, необходимым для загрузки операционной системы.

Хотя технология BitLocker обеспечивает шифрование всех данных на системном томе, файловая система EFS обеспечивает большую точность и гибкость при настройке параметров шифрования для одного или нескольких пользователей компьютера. Например, файловую систему EFS можно использовать для шифрования файлов данных в сети, доступ к которым имеет множество различных пользователей, что невозможно сделать с помощью технологии BitLocker.

Файловая система EFS шифрует данные каждого пользователя с помощью ключа, доступного только самому пользователю и авторизованным агентам восстановления. Злоумышленник, получивший копии файлов, не сможет их прочитать, пока не получит данные ключа или не скопирует файлы напрямую из исходного местоположения в другое, используя учетную запись пользователя, который зашифровал файлы.

На этой странице

Файловая система EFS в Windows XP Файловая система EFS в Windows Vista Режим EFS: EFS с программным хранилищем ключей Режим EFS: EFS с использованием смарт-карт Технология EFS: сводный анализ рисков Дополнительные сведения

Файловая система EFS в Windows XP

Хотя файловая система EFS была доступна еще в Windows 2000, ее реализация в Windows XP и Windows Server® 2003 предлагает важные дополнительные возможности, в том числе:

  • улучшенные возможности восстановления;

  • полная поддержка проверки отзыва сертификатов, используемых при предоставлении общего доступа к зашифрованным файлам;

  • упрощение поиска и проверки защищенных файлов благодаря изменению пользовательского интерфейса в проводнике Windows;

  • поддержка зашифрованных автономных папок в Windows XP;

  • поддержка нескольких пользователей для зашифрованных файлов;

  • поддержка поставщиков служб шифрования повышенной стойкости корпорации Майкрософт;

  • сквозное шифрование с использованием файловой системы EFS через протокол WebDAV.

Дополнительные сведения об улучшениях файловой системы EFS для Windows XP см. в статье Шифрованная файловая система (EFS) в Windows XP и Windows Server 2003.

Во всех сценариях с использованием файловой системы EFS, описанных в данной главе, вошедший в систему пользователь может включить шифрование файлов и папок в окне Дополнительные атрибуты проводника Windows.

Рис. 3.1. Диалоговое окно «Дополнительные атрибуты» Windows XP

Если файл в папке шифруется впервые, появляется запрос о том, следует ли зашифровать только выбранный файл или всю папку.

Организации, которым требуется повышенный контроль над областью действия политики шифрования EFS, могут централизованно управлять файловой системой EFS с помощью объектов групповой политики для автоматического распространения сценариев, использующих служебную программу Cipher.exe для настройки шифрования во всей организации.

Примечание.

Оба режима работы файловой системы EFS (программный и с использованием смарт-карт) требуют наличия соответствующего сертификата для выполнения каждой операции. Например, режим файловой системы EFS с использованием смарт-карт требует наличия смарт-карты для каждой операции шифрования и расшифровки. Это не позволяет пользователям случайно зашифровать файлы с использованием сертификата, для которого отсутствует закрытый ключ, поскольку сертификат нельзя использовать для шифрования, если закрытый ключ недоступен.

К началу страницы

Файловая система EFS в Windows Vista

Файловая система EFS доступна в выпусках Windows Vista Business, Enterprise и Ultimate. Кроме того, она будет включена в выпуск Windows Server с кодовым именем «Longhorn». В системе Windows Vista в файловую систему EFS внесены важные дополнительные улучшения, в том числе следующие:

  • использование для шифрования EFS ключей шифрования, хранящихся на смарт-картах;

  • создание и выбор сертификатов для EFS с помощью мастера;

  • перенос файлов со старой смарт-карты на новую с помощью мастера;

  • шифрование системного файла подкачки при включенной файловой системе EFS;

  • новые параметры групповой политики, позволяющие администраторам определять и внедрять политики организации, касающиеся EFS. Эти параметры позволяют требовать смарт-карты для EFS, принудительно шифровать файл подкачки, задавать минимальную длину ключа для EFS и принудительно шифровать папки пользователей «Мои документы».

  • Улучшенная функциональность и возможность точного управления возможностями EFS в Windows Vista отражены в новом пользовательском интерфейсе.

Рис. 3.2. Интерфейс управления EFS в Windows Vista

Далее в этой главе описаны два режима работы файловой системы EFS и уровни защиты, обеспечиваемые ими.

К началу страницы

Режим EFS: EFS с программным хранилищем ключей

Для использования этого режима EFS требуется только компьютер с Windows XP или Windows Vista.

Логическая последовательность процесса шифрования EFS в данном режиме показана на рисунке ниже.

Рис. 3.3. Процесс шифрования EFS

Ниже описаны этапы процесса шифрования, показанные на рисунке.

  1. Пользователь создает файл в зашифрованной папке.

  2. Случайным образом создается симметричный ключ шифрования файлов.

  3. Операционная система проверяет хранилище сертификатов пользователя на наличие сертификата, имеющего соответствующие флаги использования ключа. Если такой сертификат отсутствует, он создается автоматически.

  4. Для шифрования и хранения закрытого ключа, связанного с сертификатом пользователя, используется интерфейс DPAPI.

  5. Ключ шифрования файлов шифруется с помощью открытого ключа сертификата и хранится в метаданных файла.

  6. Ключ шифрования файлов используется для шифрования каждого блока данных.

  7. Зашифрованные блоки записываются на диск.

Логическая последовательность процесса расшифровки EFS в данном режиме показана на рисунке ниже.

Рис. 3.4. Процесс расшифровки EFS

Ниже описаны этапы процесса расшифровки, показанные на рисунке.

  1. Учетные данные пользователя для входа в систему проверяется либо локально, либо контроллером домена.

  2. Пользователь пытается получить доступ к зашифрованному файлу.

  3. Интерфейс DPAPI используется для загрузки закрытого ключа, связанного с сертификатом пользователя X.509. Этот ключ расшифровывается с помощью ключа, полученного на основе учетных данных пользователя.

  4. Ключ шифрования файлов загружается из файла и расшифровывается с помощью закрытого ключа, полученного на предыдущем этапе.

  5. Ключ шифрования файлов используется для расшифровки каждого блока файла при его запросе.

  6. Расшифрованные данные передаются запросившему их приложению.

Дополнительные сведения о реализации файловой системы EFS см. в технической справке по шифрованной файловой системе.

Снижение рисков: EFS с программным хранилищем ключей

Этот режим файловой системы EFS позволяет снизить указанные ниже риски.

  • Сотрудник организации может прочитать зашифрованные данные. Преимущество файловой системы EFS по сравнению с BitLocker заключается в том, что ключи шифрования хранятся в безопасном хранилище ключей, защищенном учетными данными пользователя. В данной конфигурации в качестве учетных данных выступает пароль. Таким образом, другие полномочные пользователи компьютера могут входить в систему как интерактивно, так и по сети, но не будут иметь доступа к конфиденциальным файлам на компьютере, которые пользователь защитил с помощью файловой системы EFS, если он отдельно не предоставит им доступ к этим файлам.

  • Обнаружение ключей с помощью автономной атаки. Если целью злоумышленника является ключ (например ключ шифрования файлов или главный ключ DPAPI), а не пароль пользователя, ключ восстановления EFS (который является закрытым ключом для используемых файловой системой EFS сертификатов) или главный ключ DPAPI можно найти методом перебора. Эта угроза не должна волновать большинство организаций в силу сложности осуществления подобной атаки из-за стойкости ключей, используемых EFS.

  • Утечка незашифрованных данных через системный файл подкачки (только для Windows Vista). Windows Vista предоставляет возможность шифрования содержимого системного файла подкачки, что позволяет устранить возможный источник утечки данных. Эта функция была специально разработана для защиты ключей EFS в Windows Vista, таких как главный ключ DPAPI (см. следующий раздел), в процессе их использования на компьютере. Она также позволяет снизить риск доступности незашифрованных данных в файле подкачки при его использовании каким-либо приложением. Ключи шифрования, используемые для шифрования файла подкачки, являются временными и создаются в подсистеме LSA. Они не создаются на основе учетных данных пользователя, применяемых для входа в систему, или сертификата X.509. После выключения (или сбоя) компьютера данные из зашифрованного файла подкачки невозможно восстановить или прочитать любым известным способом за исключением перебора.

Другие риски и их снижение: EFS с программным хранилищем ключей

Данный режим EFS не позволяет снизить указанные ниже риски без применения дополнительных средств управления и политик.

  • Компьютер оставлен в режиме гибернации. Как и при использовании BitLocker, если пользователь не настроил компьютер на запрос пароля при выходе из спящего режима или режима гибернации, операционная система не сможет определить, является ли текущий пользователь полномочным. В подобной ситуации злоумышленник может воспользоваться переносным компьютером от лица полномочного пользователя. Одним из наиболее вероятных видов атаки является копирование интересующих злоумышленника данных на съемный носитель или на сетевой диск. Однако если компьютер настроен на запрос учетных данных пользователя при выходе из спящего режима или режима гибернации, этот риск снижается.

  • Компьютер оставлен в спящем (ждущем) режиме. Используется способ снижения риска, описанный выше.

  • Пользователь не вышел из системы, компьютер разблокирован. После входа пользователя в систему его учетные данные можно применять для расшифровки сертификатов, используемых для EFS. С этого момента незашифрованные данные может получить любой пользователь, имеющий доступ к клавиатуре. Наиболее надежным способом снижения данного риска является обучение пользователей, на компьютерах которых имеются конфиденциальные данные, основам безопасности.

  • Обнаружение локального пароля или пароля домена. В этой конфигурации ключи файловой системы EFS расшифровываются в последовательности, которая начинается с ключа, полученного на основе пароля пользователя. Таким образом, шифрование EFS вскрывается при разглашении пароля пользователя. Этот риск можно снизить, реализовав политику надежных паролей, которая позволяет предотвратить некоторые атаки (например атаки перебором по словарю), а также проинформировав пользователей о важности защиты паролей.

  • Автономные атаки на операционную систему. Файловая система EFS не обеспечивает защиты операционной системы или ее файлов конфигурации в случае автономной атаки.

  • Сетевые атаки на операционную систему. Риск сетевых атак на операционную систему не снижается при использовании данного режима. Злоумышленник, которому удастся выполнить в операционной системе соответствующий код, сможет похитить ключи шифрования.

  • Утечка незашифрованных данных через файл гибернации. Файловая система EFS не защищает системный файл гибернации. Этот риск можно снизить путем обновления до Windows Vista и использования технологии BitLocker либо путем отключения режима гибернации.

    Важно!

    Отключение режима гибернации снижает удобство использования мобильных ПК. Этот способ снижения риска подходит для компьютеров, на которых хранятся чрезвычайно важные данные, но обычно более приемлемо использовать другие способы.

  • Утечка незашифрованных данных через системный файл подкачки (только для Windows XP). В Windows XP файловая система EFS не позволяет шифровать системные файлы, в том числе и системный файл подкачки. Это ограничение означает, что если доступ к конфиденциальным данным осуществляется через какое-либо приложение, данные могут записываться на диск в процессе обычных операций с файлом подкачки. Этот риск можно снизить путем обновления до Windows Vista или отключения на компьютере файла подкачки.

    Важно!

    Отключение файла подкачки, как правило, приводит к снижению производительности компьютера, в некоторых случаях значительному.

  • Атаки на платформу. Компьютер, на котором используется файловая система EFS с программным хранилищем ключей, хранит ключи EFS на диске и в оперативной памяти. Атака на платформу с использованием прямого доступа к памяти или иных действий с оборудованием позволяет восстановить данные ключа.

  • Необходимое средство проверки подлинности оставлено на компьютере или рядом с ним. В этом случае отсутствует дополнительный фактор проверки подлинности. Единственным фактором проверки подлинности является пароль пользователя для входа в систему или в сеть.

  • Ошибка пользователя. Пользователи не должны сохранять файлы, содержащие конфиденциальные данные, в папки, для которых не включена файловая система EFS. В Windows Vista этот риск частично снижен, поскольку существует параметр конфигурации EFS, позволяющий шифровать все файлы в папке «Документы». Эта функция обеспечивает шифрование всех файлов и каталогов пользователя. Этот риск также можно снизить при использовании средства Microsoft Encrypting File System Assistant (входит в состав данного решения Solution Accelerator) для автоматизации защиты файлов пользователей с помощью EFS.

К началу страницы

Режим EFS: EFS с использованием смарт-карт

Различные версии Windows предоставляют различные возможности для улучшения функций безопасности файловой системы EFS. Сведения о возможностях операционных систем приведены в последующих подразделах.

Windows XP и вход в систему со смарт-картой

Вход со смарт-картой — это параметр пользователя домена, настраиваемый с помощью службы каталогов Active Directory®, который требует от пользователя использовать смарт-карту для входа с учетной записью домена. Основной риск для файловой системы EFS заключается в том, что в случае раскрытия пароля пользователя злоумышленник сможет войти в систему с этой учетной записью и получить доступ к любым данным на компьютере, в том числе к данным, защищенным с помощью EFS.

Параметр политики Active Directory, требующий смарт-карту для входа в систему, значительно повышает безопасность учетной записи, а следовательно, безопасность данных, защищенных с помощью EFS. Этот параметр также позволяет защитить зашифрованные данные от автономных атак, поскольку он повышает стойкость ключа, используемого EFS для шифрования DPAPI. DPAPI создает ключ на основе учетных данных пользователя.

Существует два варианта требования входа в систему с помощью смарт-карт: для каждого пользователя и для каждого компьютера. В каждом режиме можно включить или принудительно использовать такой вход в систему. Между этими режимами имеется ряд важных отличий в плане безопасности; часть из них приведена ниже.

  • При принудительном входе в систему с помощью смарт-карт для каждого пользователя исходный ключ имеет значительно большую стойкость, чем обычный пароль. Вместо подбора пароля перебором по словарю злоумышленнику потребуется методом перебора определить закрытый ключ, который при достаточной длине практически невозможно взломать, используя современные технологии.

  • Принудительный вход в систему с помощью смарт-карт для каждого компьютера в некотором роде обеспечивает большую безопасность, чем вход в систему с помощью только одного пароля, поскольку при этом используется дополнительный фактор проверки подлинности. Однако при входе в систему с помощью смарт-карт для каждого компьютера смарт-карты используются только для проверки подлинности при входе в систему. Злоумышленник, получивший зашифрованный главный ключ DPAPI, сможет выполнить перебор за меньшее время, чем потребуется для перебора главного ключа DPAPI, защищенного смарт-картой для входа в систему каждого пользователя.

Включение каждого режима входа в систему с помощью смарт-карт без их принудительного использования не является эффективной мерой обеспечения безопасности, поскольку при этом пользователь может не использовать смарт-карту.

Дополнительные сведения о DPAPI и влиянии входа в систему с помощью смарт-карт на ключи DPAPI см. в статье MSDN Защита данных Windows.

Примечание.

Предполагается, что смарт-карты используются с неочевидным ПИН и реализована блокировка ПИН для защиты от его подбора.

Процесс шифрования EFS с использованием смарт-карт в Windows XP показан на рисунке ниже.

Рис. 3.5. Последовательность шифрования EFS с использованием смарт-карт для Windows XP

Ниже описаны этапы процесса шифрования, показанные на рисунке.

  1. Пользователь создает файл в зашифрованной папке.

  2. Случайным образом создается симметричный ключ шифрования файлов.

  3. Операционная система проверяет хранилище сертификатов пользователя на наличие сертификата, имеющего соответствующие флаги использования ключа. Если такой сертификат отсутствует, он создается автоматически.

  4. Для шифрования и хранения закрытого ключа, связанного с сертификатом пользователя, используется интерфейс DPAPI. Такое шифрование является более стойким, чем используемое в предыдущем режиме, поскольку при принудительном входе в систему с помощью смарт-карт применяется значительно более надежный пароль.

  5. Ключ шифрования файлов шифруется с помощью открытого ключа сертификата и хранится в метаданных файла.

  6. Ключ шифрования файлов используется для шифрования каждого блока данных.

  7. Зашифрованные блоки записываются на диск.

Процесс расшифровки EFS с использованием смарт-карт в Windows XP показан на приведенном ниже рисунке.

Рис. 3.6. Последовательность расшифровки EFS с использованием смарт-карт для Windows XP

Ниже описаны этапы процесса расшифровки, показанные на рисунке.

  1. Учетные данные пользователя для входа в систему с использованием смарт-карт проверяется либо локально, либо контроллером домена.

  2. Пользователь пытается получить доступ к зашифрованному файлу.

  3. Правильный закрытый ключ загружается из хранилища DPAPI пользователя, а DPAPI расшифровывает его с помощью ключа, полученного на основе надежного случайного пароля пользователя, применяемого к учетной записи пользователя при включенном параметре Вход со смарт-картой.

  4. Ключ шифрования файлов загружается из файла и расшифровывается с помощью закрытого ключа, полученного на предыдущем этапе.

  5. По мере считывания приложением каждого блока файла он расшифровывается с помощью ключа шифрования файлов, а затем передается запросившему его приложению.

Windows Vista и файловая система EFS с использованием смарт-карт

Windows Vista предоставляет новые широкие возможности, повышающие безопасность и удобство использования файловой системы EFS благодаря более тесной интеграции с технологией смарт-карт. В Windows XP вход в систему с помощью смарт-карт используется ненапрямую благодаря улучшению возможностей ключей DPAPI. В то же время в Windows Vista смарт-карты можно использовать напрямую для шифрования файлов с помощью файловой системы EFS. Новые возможности не требуют от пользователя входить в систему с помощью смарт-карты, хотя этот вариант также можно использовать. Вместо этого пользователю предлагается вставить смарт-карту и ввести ПИН, если файловая система EFS настроена на использование смарт-карт.

Очевидная реализация файловой системы EFS со смарт-картами заключается в прямом шифровании ключа шифрования файлов с помощью открытого ключа и расшифровке ключа шифрования файлов с помощью закрытого ключа, соответствующего сертификату, который хранится на смарт-карте. Хотя такой подход является весьма простым и безопасным, он приводит к снижению производительности, поскольку каждая операция расшифровки закрытого ключа требует взаимодействия со смарт-картой, а ЦП смарт-карты работает крайне медленно по сравнению с ЦП компьютера.

Другая проблема, связанная с данной очевидной реализацией, заключается в необходимости постоянного наличия смарт-карты, поскольку при каждой попытке расшифровки файла для расшифровки ключа шифрования файлов требуется закрытый ключ. Для повышения производительности и удобства использования файловой системы EFS с использованием смарт-карт EFS по умолчанию получает симметричный ключ на основе закрытого ключа, хранящегося на смарт-карте, и использует его для расшифровки и шифрования ключей шифрования файлов, связанных с зашифрованными файлами. В конфигурации по умолчанию полученный симметричный ключ кэшируется операционной системой, поэтому для последующих операций шифрования или расшифровки не требуются смарт-карты и соответствующие закрытые и открытые ключи.

Возможность создания симметричного ключа и его кэширования определяется значением параметра Создать по смарт-карте ключ пользователя, допускающий кэширование (рис. 3.2, «Интерфейс управления EFS в Windows Vista»). Если этот параметр отключен, симметричный ключ не создается и не кэшируется, а ключ шифрования файлов шифруется и расшифровывается напрямую с помощью смарт-карт. В данном руководстве для описания двух различных рабочих режимов с уникальными характеристиками безопасности используются термины режим кэширования ключей и режим без кэширования ключей.

Режим кэширования ключей

В режиме кэширования ключей созданный симметричный ключ кэшируется и хранится операционной системой в защищенной области памяти LSA до истечения срока действия кэша, который можно настроить. Срок действия кэша по умолчанию составляет восемь часов простоя системы. Любая операция с использованием созданного ключа приведет к сбросу отсчета срока действия. Также можно настроить очистку кэша ключей EFS при блокировке компьютера или извлечении смарт-карты. Режим кэширования ключей значительно повышает производительность и позволяет администратору настроить файловую систему EFS таким образом, чтобы зашифрованные файлы можно было шифровать и расшифровывать при отсутствии смарт-карты в устройстве чтения.

Примечание.

Дополнительные сведения о реализации режима кэширования в Windows Vista см. в Руководстве по безопасности Windows Vista.

Процесс шифрования EFS в режиме кэширования ключей показан на рисунке ниже.

Рис. 3.7. Последовательность шифрования EFS для Windows Vista с использованием смарт-карт (в режиме кэширования)

Ниже описаны этапы процесса шифрования, показанные на рисунке.

  1. Пользователь создает файл в зашифрованной папке.

  2. При выполнении одного из указанных ниже условий пользователю будет предложено вставить смарт-карту и ввести ПИН.

    • Пользователь не вошел в систему с помощью смарт-карты.

    • Пользователь не использовал смарт-карту для доступа к файлу EFS в последнее время.

    • ПИН смарт-карты не был кэширован с момента последней операции с файловой системой EFS, либо кэш ПИН был очищен вследствие бездействия.

  3. Случайным образом создается ключ шифрования файлов.

  4. Симметричный ключ создается на основе закрытого ключа смарт-карты при выполнении одного из следующих условий:

  5. Ключ шифрования файлов шифруется с помощью созданного симметричного ключа и хранится в метаданных файла.

  6. Созданный симметричный ключ кэшируется в защищенной области памяти LSA.

  7. Ключ шифрования файлов используется для шифрования каждого блока данных.

  8. Зашифрованные блоки записываются на диск.

Процесс расшифровки EFS в режиме кэширования ключей показан на рисунке ниже.

Рис. 3.8. Последовательность расшифровки EFS с использованием смарт-карт для Windows Vista (в режиме кэширования)

Ниже описаны этапы процесса расшифровки, показанные на рисунке.

  1. Пользователь пытается получить доступ к зашифрованному файлу.

  2. При выполнении одного из указанных ниже условий пользователю будет предложено вставить смарт-карту и ввести ПИН.

    • Пользователь не вошел в систему с помощью смарт-карты.

    • Пользователь не использовал смарт-карту для доступа к файлу EFS в последнее время.

    • ПИН смарт-карты не был кэширован с момента последней операции с файловой системой EFS, либо кэш ПИН был очищен вследствие бездействия.

  3. Симметричный ключ создается на основе закрытого ключа смарт-карты, если он еще не был кэширован. После первого использования созданный ключ кэшируется в защищенной области памяти LSA.

  4. Ключ шифрования файлов загружается из файла и расшифровывается с помощью созданного симметричного ключа.

  5. По мере считывания приложением каждого блока файла он расшифровывается с помощью ключа шифрования файлов, а затем передается запросившему его приложению.

Режим без кэширования ключей

Процесс шифрования EFS в системе Windows Vista при работе EFS в режиме без кэширования ключей показан на приведенном ниже рисунке.

Рис. 3.9. Последовательность шифрования EFS с использованием смарт-карт для Windows Vista (без кэширования ключей)

Ниже описаны этапы процесса шифрования, показанные на рисунке.

  1. Пользователь создает файл в зашифрованной папке.

  2. Если смарт-карта пользователя отсутствует в устройстве чтения, пользователю предлагается вставить смарт-карту.

  3. Случайным образом создается симметричный ключ шифрования файлов.

  4. Ключ шифрования файлов шифруется с помощью открытого ключа сертификата и хранится в метаданных файла.

  5. По мере записи приложением каждого блока данных он шифруется с помощью ключа шифрования файлов.

  6. Зашифрованный блок записывается на диск.

Процесс расшифровки EFS без кэширования ключей показан на приведенном ниже рисунке.

Рис. 3.10. Последовательность расшифровки EFS с использованием смарт-карт для Windows Vista (без кэширования ключей)

Ниже описаны этапы процесса расшифровки, показанные на рисунке.

  1. Пользователь пытается получить доступ к зашифрованному файлу.

  2. Если смарт-карта пользователя отсутствует в устройстве чтения, пользователю предлагается вставить смарт-карту. При выполнении одного из указанных ниже условий пользователю будет предложено ввести ПИН.

    • Пользователь не вошел в систему с помощью смарт-карты.

    • Пользователь не использовал смарт-карту для доступа к файлу EFS в последнее время.

    • ПИН смарт-карты не был кэширован с момента последней операции с файловой системой EFS, либо кэш ПИН был очищен вследствие бездействия.

  3. Из файла загружаются метаданные EFS, а зашифрованный ключ шифрования файлов передается смарт-карте.

  4. Смарт-карта расшифровывает метаданные для получения ключа шифрования файлов, который затем возвращается операционной системе.

  5. По мере считывания приложением каждого блока файла он расшифровывается с помощью ключа шифрования файлов, а затем передается запросившему его приложению.

Снижение рисков: EFS с использованием смарт-карт

Файловая система EFS со смарт-картами позволяет снизить указанные ниже риски.

  • Компьютер оставлен в режиме гибернации (только для режима без кэширования ключей в Windows Vista). Windows Vista может требовать проверки подлинности с помощью смарт-карты каждый раз при доступе к файлу, защищенному EFS. Данный режим работы позволяет эффективно снизить этот риск (в отличие от используемого по умолчанию режима кэширования ключей смарт-карт).

  • Компьютер оставлен в спящем (ждущем) режиме (только для режима без кэширования ключей в Windows Vista). Используется способ снижения риска, описанный выше (для режима гибернации).

  • Пользователь не вышел из системы, компьютер разблокирован (только для режима без кэширования ключей в Windows Vista). Windows Vista может требовать проверки подлинности с помощью смарт-карты каждый раз при доступе к файлу, защищенному EFS. Эта возможность (режим без кэширования ключей), описанная выше в данной главе, позволяет эффективно снизить этот риск благодаря требованию наличия смарт-карты в устройстве чтения при всех операциях доступа к файлам EFS. Хотя в этом случае существенно снижается удобство использования, этот режим подходит тем организациям, которым требуется наиболее надежное шифрование конфиденциальных и критически важных данных.

  • Обнаружение локального пароля или пароля домена. Как показано в разделе «Риски для данных» главы 1, умный злоумышленник всегда использует самое слабое звено. К сожалению для тех, кто отвечает за безопасность ИТ-систем, самым слабым звеном зачастую являются пользователи, выбирающие крайне ненадежные пароли или записывающие надежные пароли на листке бумаги, прикрепленном к монитору. После внедрения в организации двухфакторной проверки подлинности на основе смарт-карт для защиты сети необходимо повысить безопасность EFS с помощью политики «Интерактивный вход: требуется смарт-карта». В системе Windows Vista для доступа к конфиденциальным данным двухфакторную проверку можно использовать даже в тех случаях, когда для входа в систему нельзя принудительно использовать смарт-карту с помощью параметра Вход со смарт-картой.

  • Сотрудник организации может прочитать зашифрованные данные. Режим работы EFS с использованием смарт-карт эффективно снижает этот риск благодаря дополнительному фактору проверки подлинности.

  • Обнаружение ключей с помощью автономной атаки. Если целью злоумышленника является ключ (например ключ шифрования файлов или главный ключ DPAPI), а не пароль пользователя, ключ восстановления EFS (который является закрытым ключом для используемых файловой системой EFS сертификатов) или главный ключ DPAPI можно найти методом перебора. Эта угроза не должна волновать большинство организаций в силу сложности осуществления подобной атаки из-за стойкости ключей, используемых EFS.

  • Утечка незашифрованных данных через системный файл подкачки (только для Windows Vista). Систему Windows Vista можно настроить на шифрование системного файла подкачки, что эффективно снижает этот риск.

  • Атаки на платформу (только для режима без кэширования ключей в Windows Vista). В режиме кэширования ключей компьютер, настроенный на использование файловой системы EFS с хранилищем ключей на смарт-карте, хранит ключи файловой системы EFS в памяти, поэтому при атаке на платформу можно восстановить их. Режим EFS без кэширования ключей на смарт-карте позволяет эффективно защититься от подобных атак, поскольку для получения данных ключа необходима прямая атака на смарт-карту.

  • Необходимое средство проверки подлинности оставлено на компьютере или рядом с ним. В данном режиме пользователь должен ввести ПИН наряду с использованием физического фактора проверки подлинности, что обеспечивает многофакторную защиту.

Другие риски и их снижение: EFS с использованием смарт-карт

Режим EFS со смарт-картами не позволяет снизить указанные ниже риски без применения дополнительных средств управления и политик.

  • Компьютер оставлен в режиме гибернации (только для режима кэширования ключей Windows XP и Windows Vista). Если пользователь не настроил компьютер на запрос пароля при выходе из спящего режима или режима гибернации, операционная система не сможет определить, является ли текущий пользователь полномочным. В подобной ситуации злоумышленник может воспользоваться переносным компьютером от лица полномочного пользователя. Одним из наиболее вероятных видов атаки является копирование интересующих злоумышленника данных на съемный носитель или на сетевой диск. Однако если компьютер настроен на запрос учетных данных пользователя при выходе из спящего режима или режима гибернации, этот риск снижается. В режиме EFS с использованием смарт-карт в Windows Vista этот риск можно снизить, как описано выше.

  • Компьютер оставлен в спящем (ждущем) режиме (только для режима кэширования ключей в Windows XP и Windows Vista). Сохраняется тот же риск, что и для предыдущего режима (режима гибернации).

  • Пользователь не вышел из системы, компьютер разблокирован (только для режима кэширования ключей в Windows Vista). После входа пользователя в систему его учетные данные можно применять для расшифровки сертификатов, используемых для EFS. С этого момента незашифрованные данные может получить любой пользователь, имеющий доступ к клавиатуре. Наиболее надежным способом снижения данного риска является обучение пользователей, на компьютерах которых имеются конфиденциальные данные, основам безопасности. В режиме EFS с использованием смарт-карт в Windows Vista этот риск можно снизить, как описано выше.

  • Автономные атаки на операционную систему. Файловая система EFS не обеспечивает защиты операционной системы или ее файлов конфигурации в случае автономной атаки.

  • Сетевые атаки на операционную систему (только для режима кэширования ключей в Windows XP и Windows Vista). Риск сетевых атак на операционную систему не снижается при использовании данного режима. Однако использование Windows Vista со смарт-картами без кэширования ключей частично снижает этот риск, так как злоумышленник не может восстановить ключи EFS, поскольку они недоступны программам, выполняемым в операционной системе.

  • Утечка незашифрованных данных через файл гибернации. Файловая система EFS не защищает системный файл гибернации. Этот риск можно снизить путем обновления до Windows Vista и использования технологии BitLocker либо путем отключения режима гибернации.

    Важно!

    Отключение режима гибернации снижает удобство использования мобильных ПК. Этот способ снижения риска подходит для компьютеров, на которых хранятся чрезвычайно важные данные, но обычно более приемлемо использовать другие способы.

  • Утечка незашифрованных данных через системный файл подкачки (только для Windows XP). В Windows XP файловая система EFS не позволяет шифровать системные файлы, в том числе и системный файл подкачки. Это ограничение означает, что если доступ к конфиденциальным данным осуществляется через какое-либо приложение, данные могут записываться на диск в процессе обычных операций с файлом подкачки. Этот риск можно снизить путем обновления до Windows Vista или отключения на компьютере файла подкачки.

    Важно!

    Отключение файла подкачки, как правило, приводит к снижению производительности компьютера, в некоторых случаях значительному.

  • Атаки на платформу (только для режима кэширования ключей Windows XP и Windows Vista). В режиме кэширования ключей компьютер хранит ключи EFS в памяти, поэтому при атаке на платформу можно восстановить их.

  • Ошибка пользователя. Пользователи не должны сохранять файлы, содержащие конфиденциальные данные, в папках, для которых не включена файловая система EFS. В Windows Vista этот риск частично снижен, поскольку существует параметр конфигурации EFS, позволяющий шифровать все файлы в папке «Документы». Эта функция обеспечивает шифрование всех файлов и каталогов пользователя. Этот риск также можно снизить при использовании средства EFS Assistant (входит в состав данного решения Solution Accelerator) для автоматизации защиты файлов пользователей с помощью EFS.

К началу страницы

Технология EFS: сводный анализ рисков

В приведенной ниже таблице содержатся данные о рисках и различных режимах EFS, которые позволяют снизить каждый из них. Для компьютеров с Windows XP включен параметр пользователей домена Вход со смарт-картой. Для компьютеров с Windows Vista включены параметры EFS Требовать смарт-карту для EFS и Включить шифрование файла подкачки.

Риски, которые можно снизить при использовании определенных режимов, помечены словом Да. Тире () обозначают риски, которые нельзя существенно снизить с помощью соответствующего режима.

Таблица 3.1. Снижение рисков EFS

К началу страницы

Дополнительные сведения

Файлы для загрузки

Загрузите набор средств шифрования данных для мобильных ПК

Регистрация

Зарегистрируйтесь в программе тестирования бета-версии набора средств шифрования данных

Уведомления об обновлениях

Подпишитесь, чтобы вовремя узнавать об обновлениях и новых выпусках

Отзывы и предложения

Присылайте свои комментарии и предложения

К началу страницы

Как зашифровать файлы и папки с помощью EFS в Windows 10, 8.1 и Windows 7

Многие знают о такой встроенной возможности шифрования дисков и флешек в Windows 10, 8.1 и Windows 7 как Bitlocker, доступной в профессиональной и корпоративной редакциях ОС. Меньшему числу известно о другой функции шифрования файлов и папок — Шифрующей файловой системе EFS, которая также встроена в системе.

В этой инструкции о том, как именно работает шифрование EFS, каким образом оно позволяет ограничить доступ к важным файлам и папкам, как восстановить доступ к данным при необходимости и в чем отличия от BitLocker. См. также: Про шифрование дисков и флешек с помощью Bitlocker в Windows, Шифрование файлов, папок, дисков и флешек в VeraCrypt, Как поставить пароль на архив.

Как работает шифрование EFS

EFS позволяет легко выполнить шифрование содержимого выбранных папок или отдельные файлы с помощью средств системы таким образом, что они будут доступны только для пользователя и на том компьютере, где выполнялось шифрование.

Другие пользователи на этом же или другом компьютере будут видеть файлы и их имена на накопителе, но не смогут получить доступ к ним (открыть их), даже если они имеют права администратора.

Этот способ менее безопасен чем шифрование Bitlocker, но если в вашем распоряжении лишь домашняя редакция Windows 10, 8.1 или Windows 7, а единственная задача — не дать пользователям других учетных записей просмотреть содержимое ваших файлов, вполне можно использовать и EFS: это будет удобно и быстро.

Как зашифровать папки и содержащиеся в них файлы с помощью EFS

Шаги для шифрования папки и его содержимого с помощью шифрующей файловой системы EFS в самом простом варианте будут следующими (доступно только для папок на NTFS дисках и флешках):

  1. Откройте свойства нужной папки (правый клик мышью — свойства).
  2. В разделе «Атрибуты» нажмите кнопку «Другие». 
  3. В разделе «Атрибуты сжатия и шифрования» в следующем окне отметьте «Шифровать содержимое для защиты данных» и нажмите «Ок». 
  4. Нажмите «Ок» в свойствах папки и примените изменения к вложенным файлам и папкам. 
  5. Сразу после этого появится системное уведомление, где вам предложат выполнить архивацию ключа шифрования. Нажмите по уведомлению. 
  6. Нажмите «Архивировать сейчас» (ключ может потребоваться для восстановления доступа к данным, если вы потеряли свою учетную запись или доступ к этому компьютеру). 
  7. Запустится мастер экспорта сертификатов. Нажмите «Далее» и оставьте параметры по умолчанию. Снова нажмите «Далее».
  8. Задайте пароль для вашего сертификата, содержащего ключи шифрования. 
  9. Укажите место хранения файла и нажмите «Готово». Этот файл пригодится для восстановления доступа к файлам после сбоев ОС или при необходимости иметь возможность открывать зашифрованные EFS файлы на другом компьютере или под другим пользователем (о том, как это сделать — в следующем разделе инструкции). 

На этом процесс завершен — сразу после выполнения процедуры, все файлы в указанной вами папке, как уже имеющиеся там, так и создаваемые вновь приобретут на иконке «замок», сообщающий о том, что файлы зашифрованы.

Они будут без проблем открываться в рамках этой учетной записи, но под другими учетными записями и на других компьютерах открыть их не получится, система будет сообщать об отсутствии доступа к файлам. При этом структура папок и файлов и их имена будут видны.

При желании вы можете, наоборот, начать шифрование с создания и сохранения сертификатов (в том числе и на смарт-карте), а уже затем устанавливать отметку «Шифровать содержимое для защиты данных». Для этого, нажмите клавиши Win+R, введите rekeywiz и нажмите Enter.

После этого выполните все шаги, которые предложит вам мастер настройки сертификатов шифрования файлов шифрующей файловой системы EFS. Также, при необходимости, с помощью rekeywiz вы можете задать использование другого сертификата для другой папки.

Восстановление доступа к зашифрованным файлам, их открытие на другом компьютере или под другой учетной записью Windows

Если по той или иной причине (например, после переустановки Windows) вы потеряли возможность открыть файлы в зашифрованных EFS папках или вам потребовалась возможность открывать их на другом компьютере или под другим пользователем, сделать это легко:

  1. На компьютере в той учетной записи, где нужно иметь доступ к зашифрованным файлам, откройте файл сертификата. 
  2. Автоматически откроется мастер импорта сертификатов. Для базового сценария в нем достаточно использовать параметры по умолчанию. 
  3. Единственное, что потребуется — ввести пароль для сертификата. 
  4. После успешного импорта, о чем вы получите уведомление, ранее зашифрованные файлы будут открываться и на этом компьютере под текущим пользователем.

Отличия шифрующей файловой системы EFS и Bitlocker

Основные отличия, связанные с думая различными возможностями шифрования в Windows 10 — Windows 7

  • Bitlocker шифрует целые диски (в том числе системные) или разделы дисков, в то время как EFS применяется к отдельным файлам и папкам. Впрочем, шифрование Bitlocker можно применить и к виртуальному диску (который на компьютере будет храниться как обычный файл).
  • Сертификаты шифрования EFS привязываются к конкретной учетной записи Windows и хранятся в системе (также ключ можно экспортировать в виде файла на флешке или записать на смарт-карту).
  • Ключи шифрования Bitlocker хранятся либо в аппаратном модуле TPM, либо могут быть сохранены на внешний накопитель. Открытый диск с Bitlocker одинаково доступен всем пользователям системы, более того, если не использовался TPM, такой диск можно легко открыть и на любом другом компьютере или ноутбуке, достаточно будет ввести пароль.
  • Шифрование для папок в случае использования EFS нужно включать вручную (файлы внутри будут в дальнейшем шифроваться автоматически). При использовании Bitlocker всё, что попадает на зашифрованный диск шифруется на лету.

С точки зрения безопасности более эффективно использование Bitlocker. Однако, если требуется всего лишь не дать открыть ваши файлы другим пользователям Windows, а вы используете домашнюю редакцию ОС (где нет Bitlocker) — для этого подойдет и EFS.

Дополнительная информация

Некоторые дополнительные сведения об использовании шифрующей файловой системы EFS в Windows:

  • Зашифрованные EFS файлы не защищены от удаления: удалить их сможет любой пользователь на любом компьютере.
  • В системе присутствует утилита командной строки cipher.exe, которая может включать и отключить шифрование EFS для файлов/папок, работать с сертификатами, а также очищать содержимое зашифрованных папок на жестком диске, перезаписывая информацию случайными байтами. 
  • Если вам требуется удалить сертификаты шифрования EFS с компьютера, сделать это можно следующим образом: зайдите в Панель управления — Свойства браузера. На вкладке «Содержание» нажмите кнопку «Сертификаты». Удалите ненужные сертификаты: в их описании внизу окна в поле «Назначение сертификата» будет указано «Шифрующая файловая система (EFS)».
  • В том же разделе управления сертификатами в «Свойствах браузера» можно экспортировать файл сертификата для использования под другим пользователем или на другом компьютере.

remontka.pro в Телеграм | Другие способы подписки

А вдруг и это будет интересно:

Создаем резервную копию ключа шифрования EFS (сертификата) для предотвращения потери данных

– Автор: Игорь (Администратор)

Ключ шифрования EFS (сертификата) Windows

Начиная с XP, в Windows была встроена функциональность шифрования данных. При этом она невероятно проста в использовании. Все что вам нужно — это щелкнуть правой кнопкой мыши на папке, выбрать пункт «Свойства», нажать кнопку «Другие…» и установить флажок «Шифровать содержимое». И все, теперь ваши данные шифруются. 

Шифрование файловой системы или EFS используют достаточно много людей, которые хотят себя обезопасить, но при этом не хотят вникать в тонкости самих инструментов. И их можно понять. Ведь кроме того, что любой продукт шифрования данных нужно уметь использовать, существует еще много жизненных моментов, которые необходимо учитывать (например, социальная инженерия). Более подробно вы можете узнать в статье Шифрования не достаточно. 

Несмотря на всю прелесть EFS, все же есть один момент, на который Microsoft не дает однозначного ответа. При шифровании EFS связывает защищенные данные с вашим компьютером. Поэтому, если вы копируете свои данные на сторонний носитель, например, в целях создания резервной копии, то вы должны понимать, что эти данные вы сможете прочитать только на вашем компьютере. Т.е. перенести их куда-то в другую систему будет уже невозможно.

На самом деле, это ограничение еще жестче, чем кажется. Если вы создали резервную копию защищенных EFS файлов на внешнем диске, а затем переформатировали свой диск и переустановили Windows, то EFS не сможет прочитать эти файлы. Так как будет считать, что это другой компьютер. Таким образом, EFS создает потенциальную проблему потери данных при крахе системы. Конечно, вероятность возникновения такого события очень мала, но тем не менее она существует.

Примечание: Если подходить строго к организации безопасности, то EFS далеко не самая сильная система защиты. Но, она и предназначена для широкого круга пользователей, которым не нужна сверхсложная система защиты с кучей паролей и карт доступа. А нужна интегрированная система с простейшим способом использования, но, тем не менее, защищающая систему.

Само собой, Microsoft столкнулся с такой проблемой, и поэтому существует простая и легкая инструкция, как создать копию ключей EFS для предотвращения потери данных. Сама инструкция находится по адресу «http://windows.microsoft.com/en-GB/windows7/Back-up-Encrypting-File-System-EFS-certificate». Но, с введением новой политики Microsoft, доступна лишь зарегистрированным пользователям (регистрация бесплатна). Чтобы не отнимать ваше время, инструкция приведена ниже.

Создаем резервные копии сертификатов EFS

 

  1. Откройте диспетчер сертификатов. Для этого в меню Пуск в поле «Найти программы и файлы» введите «certmgr.msc» (без кавычек) и нажмите Enter. Для запуска оснастки вам потребуются права администратора.
  2. В левой панели дважды щелкните «Личные». В случае, если у вас нет личного сертификата, перейдите в пункт «Доверенные корневые центры сертификации»
  3. Щелкните на пункте «Сертификаты». А затем в правой части найдите все сертификаты, у которых среди назначений указана «Шифрующая файловая система (EFS)» (возможно придется сильно расширить экран и прокрутить правую область)
  4. Если вы нашли более одного сертификата EFS, то необходимо создать резервные копии всех найденных сертификатов
  5. Щелкните правой кнопкой мыши на сертификате, а затем перейдите внутрь пункта «Все задачи» и выберите «Экспорт…»
  6. В мастере экспорта сертификатов нажмите кнопку «Далее», затем кнопку «Да, экспортировать закрытый ключ» (Актуально только для личных ключей), а затем далее. 
  7. Выберите пункт «Файл обмена личной информацией» (Актуально только для личных ключей; для доступных можно использовать другие способы) и нажмите «Далее»
  8. Введите новый пароль для последующего восстановления сертификата и повторите его (Актуально только для личных ключей). После чего нажмите кнопку «Далее». 
  9. Введите желаемое имя файла и его месторасположение (полный путь), или нажмите кнопку «Обзор», перейдите в папку, введите желаемое имя файла и нажмите кнопку сохранить
  10. Нажмите кнопку «Далее», а затем нажмите кнопку «Готово» 

Примечание: Если вы не изменяли настройки, то имена зашифрованных файлов и папок в проводнике отображаются зеленым цветом. Так что если вы случайно обнаружили у себя, что часть ваших записей отображается зеленым цветом, то вероятно, на вашей системе используется EFS. В таком случае, вам настоятельно рекомендуется не откладывать создание резервной копии ваших ключей, а сделать их сразу после прочтения этих строк.

☕ Хотите выразить благодарность автору? Поделитесь с друзьями!

  • Выбираем папки и файлы с помощью флажков в Windows 7 / Vista
  • Стоит избегать пяти типичных действий пользователя Windows
Добавить комментарий / отзыв

Шифрованные файловые системы. Контроль шифрованной файловой системы (Encrypting File System – EFS) с помощью групповой политики. Как включить EFS шифрование каталога в Windows

Начиная с Windows XP во всех операционных системах Microsoft существует встроенная технология шифрования данных EFS (Encrypting File System) . EFS-шифрование основано на возможностях файловой системы NTFS 5.0 и архитектуре CryptoAPI и предназначено для быстрого шифрования файлов на жестком диске компьютера.

Вкратце опишем схему шифрования EFS. Система EFS использует шифрование с открытым и закрытым ключом. Для шифрования в EFS используется личный и публичный ключи пользователя, которые генерируются при первом использовании пользователем функции шифрования. Данные ключи остаются неизменными все время, пока существует его учетная запись. При шифровании файла EFS случайным образом генерирует уникальный номер, так называемый File Encryption Key (FEK) длиной 128 бит, с помощью которого и шифруются файлы. Ключи FEK зашифрованы master-ключом, который зашифрован ключом пользователей системы, имеющего доступ к файлу. Закрытый ключ пользователя защищается хэшем пароля этого самого пользователя.

Таким образом, можно сделать вывод: вся цепочка EFS шифрования по сути жестко завязана на логин и пароль пользователя. Это означает, что защищённость данных в том числе зависит и от стойкости пароля пользователя.

Важно . Данные, зашифрованные с помощью EFS, могут быть расшифрованы только с помощью той же самой учетной записи Windows с тем же паролем, из-под которой было выполнено шифрование. Другие пользователи, в том числе администраторы, расшифровать и открыть эти файлы не смогут. Это означает, что приватные данные останутся в безопасности, даже если любым способом. Но важно понимать и обратную сторону вопроса. При смене учетной записи или ее пароля (если только он не был изменен непосредственно самим пользователем из своей сессии), выходе из строя или переустановке ОС – зашифрованные данные станут недоступны. Именно поэтому крайне важно экспортировать и хранить в безопасном месте сертификаты шифрования (процедура описана ниже).

Примечание . Начиная с Windows Vista в ОС системах MS поддерживается еще одна технология шифрования – BitLocker. BitLocker в отличии от EFS-шифрования:

  • используется для шифрования дискового тома целиком
  • требует наличия аппаратного TPM модуля (в случае его требуется внешнее устройство хранения ключа, например USB флешки или жесткого диска)

Внешне для пользователя работа с зашифрованными с помощью EFS приватными файлами ничем не отличается от работы с обычными файлами – ОС выполняет операции шифрования/дешифрования автоматически (эти функции выполняет драйвер файловой системы).

Как включить EFS шифрование каталога в Windows

Пошагово разберем процедуру шифрования данных в Windows 8 с помощью EFS.

Примечание . Не в коем случае не стоит включать шифрование для системных каталогов и папок. В противнмслучае Windows может просто не загрузится, т.к. система не сможет найти личный ключ пользователя и дешифровать файлы.

В проводник File Explorer выберите каталог или файлы, которые необходимо зашифровать, и, щелкнув ПКМ, перейдите в их свойства (Properties ).

На вкладке General в секции атрибутов найдите и нажмите кнопку Advanced .

В появившемся окне поставьте чекбокс Encrypt contents to secure data (Шифровать содержимое для защиты данных).

Нажмите дважды ОК.

В том случае, если выполняется шифрование каталога, система спросит хотите ли вы зашифровать только каталог или каталог и все вложенные элементы. Выберите желаемое действие, после чего окно свойств каталога закроется.

Зашифрованные каталоги и файлы в проводнике Windows отображаются зеленым цветов (напомним, что синим цветов подсвечены объекты, ). Если выбрано шифрование папки со всем содержимым, все новые объекты внутри зашифрованного каталога также шифруются.

Управлять шифрованием/дешифрованием EFS можно из командной строки с помощью утилиты cipher. Например, зашифровать каталог C:\Secret можно так:

Cipher /e c:\Secret

Список всех файлов в файловой системе, зашифрованных с помощью сертификата текущего пользователя можно вывести с помощью команды:

Cipher /u /n

Резервное копирование ключа шифрование EFS

После того, как пользователь впервые зашифровал свои данные с помощью EFS, в системном трее появится всплывающее окно, сообщающее о необходимости сохранить ключ шифрования.

Back up your file encryption key . This helps you avoid permanently losing access to you encrypted files.

Щелкнув по сообщению, вы запустите мастер резервного копирования сертификатов и ассоциированных с ними закрытых ключей шифрования EFS.

Примечание . Если вы случайно закроете окно, или оно не появится, экспортировать сертификаты EFS можно с помощью функции «Manage file encryption certificates » в панели управления пользователями.

Выберите Back up your file encryption certificate and key

Затем укажите пароль для защиты сертификата (желательно достаточно сложный).

Осталось указать местоположение, куда необходимо сохранить экспортируемый сертификат (в целях безопасности в дальнейшем его необходимо скопировать на внешний жесткий диск /usb флешку и хранить в безопасном месте).

Microsoft Windows XP и шифрованная файловая система (EFS) дает возможность хранить данные на диске в зашифрованном формате, однако при переустановке системы или удалении учетной записи пользователя его зашифрованные данные будут безвозвратно утеряны, если не позаботиться о сохранении сертификата и ключей, создании учетной записи агента восстановления .

Шифрованная файловая система EFS используется для хранения шифрованных файлов на томах файловой системы NTFS 5.0. После того как файл или папка зашифрованы, с ними можно работать так же, как и с другими файлами или папками, т.е. шифрование прозрачно для пользователя, зашифровавшего файл. Это означает, что перед использованием файл не нужно расшифровывать. Можно, как обычно, открыть файл и изменить его.

Работа с EFS аналогична использованию разрешений для файлов и папок. Задача обоих методов — ограничение доступа к данным. Однако разрешения для файлов и папок не защитят вас, если злоумышленник получит физический доступ к вашим данным, например, подключит ваш жесткий диск к другому компьютеру или загрузится с помощью другой операционной системы, имеющей доступ к томам NTFS. При попытке же открыть или скопировать зашифрованный файл или папку он получит исчерпывающий ответ: «Нет доступа».

Шифрование и расшифровывание файлов выполняется путем установки атрибута файла или папки Свойства папки или файла > Общие > Другие > Шифровать содержимое для защиты данных (рис. 1).

Как только мы зашифруем какую-нибудь папку или файл, Windows создаст для нас сертификат и связанную с ним пару ключей (открытый и секретный ключ), на основании которых будет происходить шифрование и дешифрование файлов. Сертификат — цифровой документ, используемый для проверки подлинности и безопасной передачи данных в общедоступных сетях (Интернет, Интранет, Экстранет), он связывает открытый ключ с объектом, содержащим соответствующий закрытый ключ.

Наша задача — провести резервное копирование ключей. Это можно сделать с помощью оснастки консоли управления Сертификаты . По умолчанию при установке системы она отсутствует, поэтому мы ее добавим, проделав ряд шагов.

Нажмите кнопку Пуск , выберите команду Выполнить , введите mmc и нажмите кнопку OK . В меню Консоль выберите команду Добавить или удалить оснастку и нажмите кнопку Добавить. В поле Оснастка дважды щелкните Сертификаты . Далее установите флажок Моей учетной записи пользователя и нажмите кнопку Готово . В меню Консоль > Параметры установите режим консоли Пользовательский — огр. доступ, одно окно , нажмите Применить. Теперь консоль готова к работе (рис. 2).

Если вы уже зашифровали какой-нибудь файл или папку, то в Корень консоли > Сертификаты-текущий пользователь > Личные >Сертификаты вы должны увидеть сертификат, который связан с секретным ключом и который нам нужно экспортировать в файл. Перейдем к нему и вызовем контекстное меню, выберем Все задачи , а потом Экспорт . На предложение Экспортировать закрытый ключ вместе с сертификатом ответим «Да », формат файла оставим без изменений, введем пароль, знание которого нам будет нужно для обратной процедуры — импорта сертификата. Полученный файл с расширением.pfx необходимо спрятать, так как любой пользователь, который импортирует данный сертификат для своей учетной записи, получит доступ к вашим файлам, конечно, если узнает или угадает пароль, необходимый для импорта сертификата.

Рекомендуется использовать шифрование на уровне папки. Если шифруется папка, все файлы и подпапки, созданные в зашифрованной директории, автоматически шифруются. Эта процедура позволяет создавать зашифрованные файлы, данные которых никогда не появятся на диске в виде обычного текста — даже временные файлы, создаваемые программами в процессе редактирования, также будут зашифрованы.

При работе с зашифрованными файлами и папками следует учитывать ряд моментов.

Могут быть зашифрованы только файлы и папки, находящиеся на томах NTFS. Сжатые файлы и папки не могут быть зашифрованы. Если шифрование выполняется для сжатого файла или папки, файл или папка преобразуются к состоянию без сжатия.

Зашифрованные файлы могут стать расшифрованными, если файл копируется или перемещается на том, не являющийся томом NTFS. При перемещении незашифрованных файлов в зашифрованную папку они автоматически шифруются в новой папке, однако обратная операция не приведет к автоматической расшифровке файлов, файлы необходимо явно расшифровать. Не могут быть зашифрованы файлы с атрибутом Системный и файлы в системном каталоге. Шифрование папки или файла не защищает их от удаления — любой пользователь, имеющий права на удаление, может удалить зашифрованные папки или файлы. По этой причине рекомендуется использование EFS в комбинации с разрешениями системы NTFS. Могут быть зашифрованы или расшифрованы файлы и папки на удаленном компьютере, для которого разрешено удаленное шифрование. Однако если зашифрованный файл открывается по сети, передаваемые при этом по сети данные не будут зашифрованы. Для шифрования данных, передаваемых по сети, должны использоваться другие протоколы, например SSL/TLS или IPSec.

Теперь давайте рассмотрим процесс шифрования в Microsoft Windows XP на более низком уровне, чтобы обезопасить себя от издержек шифрования, а именно — потери данных.

Для начала вспомним две основные криптографические системы. Наиболее простая — шифрование с использованием секретного (симметричного) ключа, т.е. для шифровки и расшифровки данных используется один и тот же ключ. Преимущества: высокая скорость шифрования; недостатки: проблема передачи секретного ключа, а именно возможность его перехвата. Представители: DES, 3DES, DESX, AES. Отличие шифрования с открытым ключом (асимметричное шифрование) заключается в том, что данные шифруются одним ключом, а расшифровываются другим, с помощью одного и того же ключа нельзя осуществить обратное преобразование. Эта технология шифрования предполагает, что каждый пользователь имеет в своем распоряжении пару ключей — открытый ключ (public key) и личный или закрытый ключ (private key). Таким образом, свободно распространяя открытый ключ, вы предоставляете другим пользователям возможность шифровать свои сообщения, направленные вам, которые сможете расшифровать только вы. Если открытый ключ и попадет в «плохие руки», то он не даст возможности определить секретный ключ и расшифровать данные. Отсюда и основное преимущество систем с открытым ключом: не нужно передавать секретный ключ, однако есть и недостаток — низкая скорость шифрования. Представители: RSA, алгоритм Эль-Гамаля, алгоритм Диффи-Хелмана.

В EFS для шифрования используются все преимущества вышеперечисленных систем. Данные шифруются с помощью симметричного алгоритма с применением ключа шифрования файла (File Encryption Key, FEK). FEK — сгенерированный EFS случайным образом ключ. На следующем этапе FEK шифруется с помощью открытого ключа пользователя и сохраняется в пределах атрибута, называемого полем расшифровки данных (Data Decryption Field, DDF) непосредственно внутри самого файла. Кроме того, EFS шифрует FEK, используя открытый ключ агента восстановления, и помещает его в атрибут Data Recovery Field — DRF. DRF может содержать данные для множества агентов восстановления.

Кто же такой этот загадочный агент восстановления? Агент восстановления данных (Data Recovery Agent, DRA) — пользователь, который имеет доступ ко всем зашифрованным данным других пользователей. Это актуально в случае утраты пользователями ключей или других непредвиденных ситуациях. Агентом восстановления данных назначается обычно администратор. Для создания агента восстановления нужно сначала создать сертификат восстановления данных и определить политику восстановления, а затем назначить одного из пользователей таким агентом. Политика восстановления играет важную роль в системе шифрования Windows XP, она определяет агентов восстановления, а их отсутствие или удаление политики вообще запрещает использование пользователями шифрования.

Чтобы настроить политику восстановления, необходимо запустить консоль Пуск > Настройка > Панель управления > Администрирование >Локальная политика безопасности , в которой перейти к пункту Политики открытого ключа > Файловые системы EFS (рис. 3). По умолчанию политика восстановления такова, что права агента восстановления принадлежат администратору. Если сертификат агента восстановления по умолчанию удален, а другого агента в политике нет, компьютер будет иметь пустую политику восстановления. Пустая политика восстановления означает, что агента восстановления не существует. Это отключает EFS, следовательно, запрещает пользователям шифровать файлы на этом компьютере. Мы можем создать учетную запись администратора с помощью агента восстановления и провести для надежности операцию экспорта его ключа, а можем создать новый сертификат восстановления и назначить другого пользователя в качестве агента.

Чтобы создать сертификат восстановления, необходимо воспользоваться утилитой командной строки cipher, которая предназначена для управления шифрованием (подробную информацию об этой утилите можно прочитать в справке операционной системы). Нужно войти в систему с полномочиями администратора, ввести в командной строке:

cipher /R: имя файла сертификата

Далее введите пароль, который понадобится в случае импортирования. Файлы сертификата имеют расширение.pfx (содержит сертификат и связанный с ним открытый и закрытый ключ) или.cer (сертификат и связанный с ним открытый ключ) и указанное вами имя. Эти файлы позволяют любому пользователю системы стать агентом восстановления, поэтому наша задача — сохранить их в надежном месте, а главное, не забыть добавить сертификат агента восстановления в политику открытого ключа.

Чтобы создать этого самого агента, необходимо проделать следующие шаги: войти в систему под учетной записью, которая должна стать агентом восстановления данных; в консоли Сертификаты перейдите в раздел Сертификаты — Текущий пользователь > Личные > Сертификаты ; далее Действие >Все задачи > Импорт для запуска мастера импорта сертификатов , затем проведите импорт сертификата восстановления. Причем учтите: чтобы расшифровывать файлы, необходимо импортировать закрытый ключ, поэтому при выборе файла для импорта используйте файл .pfx .

Часто недостатком шифрования с помощью EFS считают невозможность транспортировки зашифрованных данных, т.е. записать данные на «болванку», не потеряв их секретность, не удастся. Но это не совсем так — действительно, просто записать их нельзя, но можно воспользоваться программой архивации для Windows XP — NTBackup , в этом случае данные будут скопированы на указанный носитель без дешифрования, причем носитель может не поддерживать NTFS 5.0. После восстановления зашифрованные данные остаются в зашифрованном виде.

И еще несколько советов. Всегда включайте шифрование для папок, так как это защитит временные файлы. Экспортируйте закрытый ключ учетной записи агента восстановления, сохраните его в надежном месте, после чего удалите с компьютера. При смене политик восстановления не спешите удалять старые сертификаты, пока не будете уверены, что все файлы, зашифрованные с помощью этих сертификатов, не будут обновлены.

Помните: «неправильное» шифрование может принести больше вреда, чем пользы!

Для защиты потенциально конфиденциальных данных от несанкционированного доступа при физическом доступе к компьютеру и дискам.

Аутентификация пользователя и права доступа к ресурсам имеющие место в NT работают, когда операционная система загружена, но при физическом доступе к системе возможно загрузить другую ОС, чтобы обойти эти ограничения. EFS использует симметричное шифрование для защиты файлов, а также шифрование основанное на паре открытый/закрытый ключ для защиты случайно сгенерированного ключа шифрования для каждого файла. По умолчанию закрытый ключ пользователя защищён с помощью шифрования пользовательским паролем, и защищённость данных зависит от стойкости пароля пользователя.

Описание работы

EFS работает, шифруя каждый файл с помощью алгоритма симметричного шифрования , зависящего от версии операционной системы и настроек (начиная с Windows XP доступна теоретическая возможность использования сторонних библиотек для шифрования данных). При этом используется случайно-сгенерированный ключ для каждого файла, называемый File Encryption Key (FEK), выбор симметричного шифрования на данном этапе объясняется его скоростью и большей надёжностью по отношению к асимметричному шифрованию.

FEK (случайный для каждого файла ключ симметричного шифрования) защищается путём асимметричного шифрования использующим открытый ключ пользователя шифрующего файл и алгоритм RSA (теоретически возможно использование других алгоритмов асимметричного шифрования). Зашифрованный таким образом ключ FEK сохраняется в альтернативном потоке $EFS файловой системы NTFS. Для расшифрования данных драйвер шифрованной файловой системы прозрачно для пользователя расшифровывает FEK используя закрытый ключ пользователя, а затем и необходимый файл с помощью расшифрованного файлового ключа.

Поскольку шифрование/расшифрование файлов происходит с помощью драйвера файловой системы (по сути надстройки над NTFS), оно происходит прозрачно для пользователя и приложений. Стоит заметить, что EFS не шифрует файлы, передаваемые по сети, поэтому для защиты передаваемых данных необходимо использовать другие протоколы защиты данных (IPSec или WebDAV).

Интерфейсы взаимодействия с EFS

Для работы с EFS у пользователя есть возможность использовать графический интерфейс проводника или утилиту командной строки.

Использование графического интерфейса

Для того чтобы зашифровать файл или папку содержащую файл пользователь может воспользоваться соответствующим окном диалога свойства файла или папки, установив или сняв флажок «шифровать содержимое для защиты данных», при этом для файлов начиная с Windows XP можно добавить открытые ключи других пользователей, которые тоже будут иметь возможность расшифровать данный файл и работать с его содержимым (при наличии соответствующих разрешений). При шифровании папки шифруются все файлы находящиеся в ней, а также те, которые будут помещены в неё позднее.

Wikimedia Foundation . 2010 .

Смотреть что такое «EFS» в других словарях:

    EFS — steht für: EFS Flug Service, ein deutsches Charterflugunternehmen EFS Hausgeräte, eine Haushaltsgerätefirma Encrypting File System, System für Dateiverschlüssung unter Microsoft Windows EFS Euro Finanz Service Vermittlungs AG (EFS AG), ein… … Deutsch Wikipedia

    Efs — steht für: EFS Flugservice, ein deutsches Charterflugunternehmen EFS Hausgeräte, eine Haushaltsgerätefirma Encrypting File System, System für Dateiverschlüssung unter Microsoft Windows Error Free Second beim Betrieb von Netzelementen Euro Finanz… … Deutsch Wikipedia

    EFS — Saltar a navegación, búsqueda El Encrypting File System (EFS) es un sistema de archivos que, trabajando sobre NTFS, permite cifrado de archivos a nivel de sistema. Está disponible para Microsoft Windows 2000 y posteriores. La tecnología… … Wikipedia Español

    EFS — may refer to one of the following: *Electronic Filing System, an electronic platform by the Singapore Judiciary *Emergency Fire Service, now Country Fire Service (Australia) *Emperor of the Fading Suns, a turn based, strategy video game… … Wikipedia

    EFS — , ein System zur Verschlüsselung von Dateien und Ordnern unter den Betriebssystemen Windows NT und Windows 2000, so dass sie vor dem Zugriff unberechtigter Benutzer geschützt… … Universal-Lexikon

    EFS — Cette page d’homonymie répertorie les différents sujets et articles partageant un même nom. Sigles d’une seule lettre Sigles de deux lettres > Sigles de trois lettres Sigles de quatre lettres … Wikipédia en Français

    EFS — ● en sg. m. MS GESTFICH Encrypting File System. système de fichiers crypté, intégré par Microsoft dans Windows 2000, et dont l usage est optionnel. Voir TCFS. Je ne sais pas s il existe un lien avec efs … Dictionnaire d»informatique francophone

    efs — noun the name of the letter F … Wiktionary

    EFS — Encrypting File System (Computing » Security) * Enhance Financial Services Group, Inc. (Business » NYSE Symbols) * Engineered Fiber Selection (Miscellaneous » Clothes) * Effective Financing Statement (Business » Accounting) * Flowchart (EasyFlow) … Abbreviations dictionary

    EFS — earliest finishing shift; electric field stimulation; European Fraxiparin Study; event free survival … Medical dictionary

Одной из мало известных возможностей Windows является шифрованная система Encrypting File System (EFS). Она позволяет быстро зашифровать и поставить пароль на ваши файлы и папки в системе windows, используя собственную учетную запись пользователя. Поскольку файлы или папки были зашифрованы с использованием пароля учетной записи пользователя windows, другие пользователи на вашей системе, включая администратора, не может открыть, изменить или переместить папки, или файлы. Система EFS является полезной, если вы не хотите, чтобы другие пользователи смотрели ваши файлы и папки. Рассмотрим в этом руководстве, как поставить пароль на папку и фалы встроенными средствами windows, без сторонних программ.

Encrypting File System и BitLocker это абсолютно разные системы для шифрования. EFS менее безопасный чем BitLocker. Любой человек знающий пароль от вашей учетной записи, может легко получить доступ к ним. Вы не сможете шифровать целые разделы диска, EFS работает только с файлами и папками, а BitLocker наоборот, только с дисками и флешками.

Как поставить пароль на папку и файлы

Все что вам нужно сделать это установить флажок и создать резервную копию сертификата безопасности. Для начало выберите папку с файлами, на которую хотите поставить пароль с помощью EFS, щелкните правой кнопкой мыши по ней и выберите «свойства «.

  • В кладке «общие», нажмите Другие атрибуты.

  • В дополнительном окне атрибутов, поставьте галочку Шифровать содержимое для защиты данных .

  • Если в папке есть файлы, то вам выскочит следующее окно. Нажмите применить ко всем вложенным папкам и файлам.

  • У вас в трее появится папка с восклицательным знаком, нажмите на нее для дальнейшей настройки.

  • Создайте копию ключа, выберите вариант «Архивировать сейчас».

  • Выставьте настройки, как на картинке.

  • Выделите галочкой «Пароль» и придумайте пароль для вашей папки и файлов.

  • Придумайте любое имя вашего сертификата безопасности и выберите любой путь для его хранения.

  • Для хранения сертификата я выбрал рабочий стол, в свою очередь сделал его скрытым через свойства папки.

В различных списках рассылки, посвященных безопасности в Internet, часто встречаются вопросы администраторов о безопасных и простых в применении продуктах шифрования файлов для Windows. Столь же часто менеджеры интересуются способами, с помощью которых можно помешать системным администраторам заглядывать в конфиденциальные файлы компании. Когда я предлагаю использовать собственную файловую систему с шифрованием (Encrypting File System, EFS) Windows, большинство собеседников отвечают, что им нужно что-то более надежное и безопасное.

Но вопреки распространенному мнению, EFS — действительно надежное, простое в эксплуатации и безопасное решение для шифрования, и с его помощью можно осадить даже самого любопытного сетевого администратора. EFS — отличное средство защиты конфиденциальных файлов в сети и на портативных компьютерах, которые часто становятся объектами кражи. К сожалению, репутация EFS незаслуженно страдает из-за отказа пользователей объективно оценить любое средство обеспечения безопасности от Microsoft. В действительности EFS — один из лучших продуктов безопасности, когда-либо выпущенных Microsoft, но для его применения необходимы соответствующие знания. В данной статье рассказывается об основах EFS, ее назначении и функциональности, базовых административных операциях и возможных ошибках.

Принципы EFS

Компания Microsoft выпустила EFS вместе с Windows 2000 и постоянно совершенствовала версии продукта для Windows XP и Windows Server 2003. Пользователи EFS могут зашифровать любой файл или папку, на которую у них есть разрешения Read и Write. После шифрования ресурс расшифровывается «на ходу» при любом обращении к нему законного владельца. Пользователи, которые попытаются обратиться к защищенному файлу или папке без соответствующих разрешений EFS, увидят имя файла или папки, но не смогут открыть, изменить, скопировать, распечатать, отправить по электронной почте и переместить файл или папку. Любопытно, что пользователи, имеющие разрешение NTFS для удаления EFS-защищенного файла, могут удалить его, даже если не имеют права прочитать. Как и большинство продуктов шифрования, EFS предназначена для защиты конфиденциальности, но не предотвращает потери данных. Задача EFS считается успешно выполненной, если несанкционированный пользователь не может увидеть данные ни в какой форме. Некоторые пользователи утверждают, что даже возможность увидеть имя защищенного файла или папки — непростительный недостаток Windows.

Кроме того, необязательно быть владельцем или иметь разрешения Full Control для файла или папки, чтобы зашифровать их. Для этого достаточно разрешений Read и Write — тех самых, которые необходимы для доступа к ресурсу. Доступ к файлу или папке имеет только пользователь, зашифровавший их (и другие лица, с которыми первый пользователь согласится разделить ресурс). Единственное общее исключение — агент восстановления данных (data recovery agent, DRA). По умолчанию (в большинстве случаев) Windows назначает агентом DRA администратора, чтобы тот мог обратиться к любому файлу или папке, зашифрованным EFS. В доменной среде DRA — администратор домена; в недоменной среде DRA — локальный администратор.

Функция шифрования файлов и папок активна по умолчанию, но пользователь должен выбрать каждый файл или папку отдельно (или косвенно через обычные правила наследования). Для EFS необходимо, чтобы файл или папка располагались на разделе диска NTFS. Затем, чтобы защитить файл или папку, достаточно щелкнуть правой кнопкой мыши на ресурсе в Windows Explorer, выбрать пункт Properties, а затем щелкнуть на кнопке Advanced во вкладке General. (Примечание: не следует щелкать на кнопке Advanced во вкладке Security.) Наконец, требуется установить флажок Encrypt contents to secure data.

Если выделить один или несколько файлов (в отличие от папки), то EFS спрашивает, следует ли зашифровать только файл(ы) или родительскую папку и текущий(е) файл(ы). Если выбрано второе, EFS отмечает папку как зашифрованную. Все файлы, которые будут добавляться в папку, будут шифроваться по умолчанию, хотя любые файлы, находившиеся в папке, но не выбранные во время операции шифрования EFS, останутся незашифрованными. Во многих случаях предпочтительно шифровать всю папку вместо отдельных файлов, особенно потому что ряд программ (например, Microsoft Word) создают временные файлы в той же папке, в которой находится открытый файл. После завершения работы программы (например, в случае аварийной перезагрузки) временные файлы часто остаются неудаленными и представлены в чисто текстовом формате, доступном для восстановления посторонним лицом.

По умолчанию в версиях XP Professional и более поздних EFS выделяет зашифрованные файлы зеленым цветом, но выделение можно отменить, выбрав пункт Folder Options из меню Tools в Windows Explorer, а затем сбросив флажок Show encrypted or compressed NTFS files in color на вкладке View. В представлении Details проводника Windows у сжатых файлов в столбце Attributes наряду с обычным атрибутом Archive (A) содержится атрибут E. В результате набор атрибутов будет иметь вид AE. Следует отметить, что встроенные механизмы Windows нельзя использовать для одновременного шифрования и сжатия файлов, хотя можно сжать файл с помощью утилиты независимого поставщика, такого как WinZip или PKZIP, а затем зашифровать сжатый файл.

Надежный шифр

EFS обеспечивает надежное шифрование — настолько надежное, что при потере частного ключа EFS (используемого для восстановления файлов, защищенных шифром EFS), весьма вероятно, прочитать данные уже не удастся. Если параметры EFS настроены корректно, то даже администратор не может обратиться к зашифрованному файлу или папке, если только он не назначен агентом DRA.

В настоящее время в продаже имеется по крайней мере один продукт — Advanced EFS Data Recovery (AEFSDR) компании ElcomSoft, авторы которого заявляют о возможности восстановления EFS-защищенных файлов. В действительности программа восстанавливает пароль локального администратора (простой процесс, если конфигурация Windows настроена неудачно), с помощью которого затем можно извлечь частный ключ EFS администратора. Пользователь, который располагает инструментом для разгадывания пароля администратора, может совершать любые действия в системе. Обращение такого пользователя к EFS-защищенным файлам будет самой мелкой из грозящих предприятию неприятностей. Риск несанкционированного восстановления частного ключа EFS снижает то, что в домене роль DRA назначается учетной записи администратора домена, а не учетной записи локального администратора, пароль которого можно разгадать с помощью почти любого средства взлома. В XP появилась новая политика, которая затрудняет проведение атак подобного типа. Если инструмент восстановления не может извлечь текущий — и правильный — пароль администратора (многие инструменты не восстанавливают, а сбрасывают пароль), то защита EFS по-прежнему действует.

Как работает EFS?

В EFS используется комбинация симметричного и асимметричного шифрования. При использовании симметричного метода файл шифруется и восстанавливается с помощью одного ключа. Асимметричный метод заключается в использовании открытого ключа для шифрования и второго, но связанного с ним частного ключа для восстановления данных. Если пользователь, которому предоставляется право восстановления данных, никому не раскрывает частный ключ, защищенному ресурсу ничего не грозит.

EFS активизируется по умолчанию на всех системах Windows 2000 и более поздних. Если кто-то впервые использует EFS для защиты файла или папки, то Windows проверяет доступность сервера PKI (public key infrastructure — инфраструктура открытых ключей), способного генерировать цифровые сертификаты EFS. Службы Certificate Services в Windows 2003 и Windows 2000 могут генерировать сертификаты EFS, как и некоторые PKI-продукты других фирм. Если Windows не обнаруживает приемлемого PKI-провайдера, то операционная система генерирует и самостоятельно подписывает сертификат EFS для пользователя (экран 1). Срок годности самостоятельно подписанных сертификатов EFS — 100 лет, намного больше, чем время их эксплуатации кем-либо из пользователей.

Если Windows обнаруживает сервер Certificate Services, тот автоматически генерирует и передает пользователю двухлетний сертификат. Вероятно, это сделано из-за того, что, если организация располагает внутренней службой PKI, PKI-сервер может легко выдавать и возобновлять EFS-сертификаты по истечении срока действия оригинала. В любом случае сертификаты EFS можно просмотреть, дополнив консоль Microsoft Management Console (MMC) оснасткой Certificates и заглянув в контейнер Personal.

Частный ключ EFS-пользователя (который открывает EFS-защищенные файлы) шифруется мастер-ключом пользователя и хранится в профиле пользователя в разделе Documents and Settings, Application Data, Microsoft, Crypto, RSA. Если используется перемещаемый профиль, то частный ключ находится в папке RSA на контроллере домена (DC) и загружается в пользовательский компьютер в процессе регистрации. Для генерации мастер-ключа применяется текущий пароль пользователя и 56-, 128- или 512-разрядный алгоритм RC4. Вероятно, главное, что необходимо знать о EFS, — частный ключ EFS-пользователя находится в его профиле и защищен мастер-ключом, полученным на основе текущего пароля пользователя. Следует обратить внимание, что надежность шифрования EFS определяется надежностью пароля пользователя. Если злоумышленник разгадает пароль пользователя EFS или зарегистрируется от лица законного пользователя, то в защите EFS появится трещина.

Если пароль пользователя утерян или сброшен (но не изменен самим пользователем), то можно лишиться доступа ко всем EFS-защищенным файлам. По этой причине копии частного ключа EFS-пользователя следует обязательно хранить в двух или нескольких безопасных удаленных хранилищах либо назначить одного или нескольких агентов DRA (а их частные ключи экспортировать и сделать резервные копии в двух или нескольких отдельных и безопасных удаленных хранилищах). Несоблюдение этих правил может привести к потере данных.

Если файл или папка зашифрованы впервые, то Windows генерирует случайный симметричный ключ с использованием 128-разрядного алгоритма Data Encryption Standard X (DESX — применяется по умолчанию в XP и Windows 2000) или 256-разрядного алгоритма Advanced Encryption Standard (AES — в Windows 2003 XP Pro Service Pack 1). Оба алгоритма — общепризнанные правительственные стандарты, хотя второй из них более современный и рекомендуемый к применению. Можно активизировать и старый правительственный стандарт симметричного шифрования, 168-разрядный Triple DES (3DES), если его использование предусмотрено правилами организации. Более подробная информация приведена в статье Microsoft «Encrypting File System (EFS) files appear corrupted when you open them» (http://support.microsoft.com/default.aspx?scid=kb;en-us;329741&sd=tech ). Случайно генерируемый симметричный ключ известен как ключ шифрования файлов (file encryption key, FEK). Этот ключ — единственный используемый Windows для шифрования файлов и папок, независимо от количества людей, которые обращаются к защищенному EFS ресурсу.

После всего Windows шифрует FEK с помощью 1024-разрядного открытого EFS-ключа RSA и сохраняет FEK в расширенных атрибутах файла. Если назначены агенты DRA, то операционная система сохраняет другую, зашифрованную копию FEK с открытым EFS-ключом агента DRA. Затем Windows сохраняет зашифрованный экземпляр FEK в файле. В XP и более поздних версиях EFS-доступ к конкретному файлу или папке может иметь несколько пользователей. Каждый авторизованный пользователь будет иметь собственный FEK, зашифрованный уникальным открытым ключом EFS. В Windows 2000 можно назначить лишь одного агента DRA.

Если авторизованный пользователь обращается к защищенному файлу, то Windows восстанавливает его экземпляр зашифрованного FEK с помощью частного EFS-ключа, связанного с пользователем. Затем с помощью FEK зашифрованный файл будет разблокирован. В отличие от первых версий EFS в Windows 2000, в настоящее время EFS безопасно управляет всеми зашифрованными файлами и папками в памяти, поэтому на диске не остается чисто текстовых фрагментов, которые можно было бы незаконно восстановить.

Совместное использование файлов EFS

В Windows 2000 только один пользователь может одновременно защитить файл с помощью EFS, но в XP Pro и более поздних версиях уже несколько пользователей могут совместно работать с защищенным EFS-файлом. При совместной работе первый пользователь, который защитил файл или папку, управляет доступом остальных. Выполнив первоначальную процедуру защиты файла или папки, пользователь может указать дополнительных пользователей, щелкнув на кнопке Details (экран 2). Число добавляемых пользователей не ограничено. Каждый пользователь имеет собственный экземпляр FEK, зашифрованного с помощью его EFS-ключа. Это новшество XP очень удобно для совместной работы с EFS-защищенными файлами групп пользователей. К сожалению, организовать совместную работу можно только на уровне отдельных файлов, но не папок. Пользователь должен зашифровать один файл или папку либо получить сертификат EFS, прежде чем его можно будет назначить дополнительным пользователям.

Агент DRA

Удалить профиль пользователя очень легко, а администраторы часто сбрасывают пользовательские пароли, поэтому сетевые администраторы должны сделать резервные копии ключей EFS или назначить одного или нескольких агентов DRA. Получить резервную копию частного ключа EFS пользователя можно, обратившись к цифровому сертификату EFS в консоли Certificates и установив флажок Copy to file на вкладке Details. В XP Pro и более поздних версиях можно воспользоваться также кнопкой Backup Keys, которая находится под кнопкой Details в разделе совместного использования файлов EFS. Любители командной строки могут применить команду

Cipher.exe /x

чтобы получить резервные копии EFS-ключей в Windows 2003, а также в XP Pro SP1 и более поздних версиях. Отвечая на последующие приглашения, можно сделать копии и/или экспортировать соответствующий частный ключ. Никогда не следует удалять частный ключ EFS-пользователя, как Windows предлагает сделать при экспорте, так как после этого пользователь не сможет расшифровать свои защищенные файлы. После экспорта частного ключа следует сохранить ключ в двух отдельных автономных хранилищах. Процедура резервного копирования частных ключей EFS отдельных пользователей отличается трудоемкостью. Начиная с Windows 2000 Microsoft позволяет выбрать агента DRA. Каждый раз, когда кто-то шифрует файл или папку, DRA автоматически получает экземпляр FEK. В Windows 2000 (режим рабочей группы или домена), XP (только режим домена) и Windows 2003 (режим рабочей группы или домена) агентом DRA по умолчанию назначается администратор, хотя он может изменить учетную запись пользователя, назначенного на роль DRA. К сожалению, в режиме рабочей группы XP агент DRA не определен. Это решение было принято в ответ на критику относительно уязвимости EFS-защищенных файлов в случае взлома пароля администратора. К сожалению, многие системы XP Pro функционируют в режиме рабочей группы, и достаточно сбросить пароль или повредить профиль, чтобы все пользователи EFS потеряли свои файлы. Используя EFS (нельзя забывать, что механизм активен по умолчанию и доступен пользователям), следует убедиться, что пользователи EFS сделали копии частных ключей либо назначены один или несколько агентов DRA.

Если роль DRA планируется поручить пользовательской учетной записи, отличной от выбираемой по умолчанию учетной записи администратора, то сменщик должен обладать сертификатом EFS Recovery Agent. Сертификат EFS Recovery Agent можно запросить в службе Certificate Services или установить из другого стороннего продукта PKI. Если развернута служба Windows 2003 Certificate Services, то вместо DRA можно реализовать агентов Key Recovery Agent. В конечном итоге агенты Key Recovery Agent восстановят потерянный ключ вместо прямого восстановления файла.

В отличие от частных ключей обычных пользователей EFS, частные EFS-ключи агентов DRA следует экспортировать и удалять из компьютеров. Если частные ключи агентов DRA похищены, то все файлы с FEK, защищенными открытым ключом DRA, могут стать уязвимыми. Поэтому ключи следует экспортировать и надежно сохранить в двух удаленных хранилищах. Если нужны ключи для восстановления зашифрованных файлов, то можно легко импортировать и использовать частные ключи.

Хотя по умолчанию администратор часто назначается агентом DRA, следует специально подготовить одну или две пользовательские учетные записи, вероятность удаления которых при любых обстоятельствах невелика. Открытый ключ DRA также копирует и защищает каждый FEK, поэтому при случайном удалении пользовательской учетной записи DRA или сбросе пароля трудно восстановить DRA-защищенный FEK. Если пользовательские учетные записи, имеющие статус DRA, изменены, то может оказаться, что EFS-защищенные файлы имеют ключи FEK, которые защищены старыми ключами DRA. Когда Windows обращается к файлам, DRA-защищенные FEK обновляются новейшими ключами DRA; однако можно использовать команду Cipher для принудительного массового обновления всех ключей FEK с применением текущих ключей DRA. Независимо от того, будет ли экспортирован и удален из системы частный ключ DRA, очень важно сохранить копии сертификата восстановления DRA в двух или нескольких безопасных удаленных хранилищах.

Дополнительные замечания

EFS не защищает файлы, копируемые по сети. Windows копирует все файлы, открытые на сетевом ресурсе, в чисто текстовом формате. Если необходимо шифровать в реальном времени файлы, хранящиеся на диске и копируемые через сеть, следует использовать другой метод защиты, IP Security (IPsec), Secure Sockets Layer (SSL) или WWW Distributed Authoring and Versioning (WebDAV). Кроме того, в XP и более поздних версиях можно активизировать защиту EFS для автономных файлов.

EFS — механизм локальной защиты. Он был разработан для шифрования файлов на локальных дисках. Чтобы применить EFS для защиты файлов, сохраненных на дисках удаленных компьютеров, между этими машинами должны существовать доверительные отношения для делегирования полномочий. Пользователи ноутбуков часто применяют EFS для ресурсов файл-сервера. Чтобы применить EFS на сервере, необходимо установить флажок Trust this computer for delegation to any service (Kerberos only) или Trust this computer for delegation to specified services only в учетной записи computer сервера (экран 3).

Можно запретить пользователям применять EFS, заблокировав ее с помощью Group Policy. Следует выбрать контейнер Computer Configuration, щелкнуть правой кнопкой мыши на Windows Settings и выбрать Security Settings, Public Key Policies, Encrypting File System. Затем можно сбросить флажок Allow users to encrypt files using EFS. Активизировать или блокировать EFS можно в отдельных организационных единицах (OU).

Перед использованием EFS необходимо убедиться в совместимости приложений с EFS и EFS API. Если приложения несовместимы, то EFS-защищенные файлы могут быть испорчены или, хуже того, не защищены без соответствующей авторизации. Например, если сохранять и изменять EFS-защищенный файл программой edit.com (16-разрядный исполняемый файл) из состава Windows, то все дополнительные пользователи потеряют доступ к этому файлу. Большинство приложений Microsoft (в том числе Microsoft Office, Notepad и Wordpad) полностью совместимы с EFS.

Если уполномоченный пользователь копирует EFS-защищенные файлы на раздел FAT, то защита EFS будет снята. Неавторизованный пользователь не должен иметь права перемещать или копировать файлы на любые разделы Windows. Неавторизованный пользователь может загрузиться, помимо системы разрешений Windows NTFS, с помощью загрузочного гибкого диска или программы с компакт-диска, которая позволяет монтировать общий каталог NTFS (например, Knoppix, NTFSDOS, загрузочный гибкий диск Peter Nordahl-Hagen). В результате ему удастся скопировать или переместить файл, но если у него нет EFS-ключа авторизованного пользователя, то файл останется зашифрованным.

Оптимальные приемы

Ниже перечислены оптимальные приемы для работы с EFS.

  1. Определить число и идентифицировать учетные записи DRA.
  2. Генерировать сертификаты DRA для учетных записей DRA.
  3. Импортировать сертификаты DRA в Active Directory (AD).
  4. Экспортировать и удалить частные ключи DRA, сохранив их в двух отдельных, безопасных автономных хранилищах.
  5. Познакомить конечных пользователей с методами применения и особенностями EFS.
  6. Периодически тестировать восстановление файлов DRA.
  7. При необходимости периодически запускать команду Cipher с параметром /u, чтобы обновить ключи FEK для добавленных или удаленных DRA.

EFS — надежный и безопасный метод шифрования файлов и папок в системах Windows 2000 и более поздних. Сетевым администраторам следует построить и активизировать политику DRA и рассказать конечным пользователям о достоинствах и ограничениях EFS.

Роджер Граймз — Редактор Windows IT Pro и консультант по проблемам безопасности. Имеет сертификаты CPA, CISSP, CEH, CHFI, TICSA, MCT, MCSE: Security и Security+.

Резервное копирование папки EFS на Android

Как сделать резервную копию папки EFS на Android, знаменитый рекавери TWRP теперь доступен для установки на многих устройствах., тем самым предлагая вам возможность сделать полную резервную копию известной и незаменимой папки EFS.

Раздел EFS (Шифрованная файловая система) на всех телефонах, содержат данные радио и связи, включая номер IMEI. Без этого смартфон полностью теряет свою GSM-функциональность. Проще говоря, если раздел EFS будет удален или поврежден, вы больше не сможете совершать звонки.

Поэтому очень важно сделать резервную копию папки EFS и иметь ее под рукой. Это резервное копирование может быть выполнено только после Установлено TWRP recovery е иметь права root. После создания бэкапа файлы окажутся в TWRP -> Backup.

Мы пошагово расскажем, как сделать резервную копию раздела EFS на всех телефонах с помощью пользовательского восстановления TWRP. После этого рекомендуется всегда хранить копию на телефоне. Таким образом, вы сможете без проблем восстановить папку EFS.

Размер раздела EFS очень маленький и колеблется от 5 до 12 МБ. Затем вы можете восстановить папку EFS через TWRP или использовать ADB для обновления раздела вручную. NB. Перед тем, как перейти к руководству, важно, чтобы на вашем телефоне было установлено пользовательское восстановление TWRP и были права root.

Как сделать резервную копию папки EFS на всех смартфонах Android

  • Выключаем телефон.
  • Перезагрузите телефон в режиме кастомного восстановления TWRP.
  • Выберите вариант резервного копирования.
  • Среди различных вариантов резервного копирования, которые будут показаны вам, выберите EFS.
  • Сделайте «Проведите по экрану для резервного копирования». После считывания это займет несколько минут, в зависимости от размера резервной копии.
  • После этого перезагрузите телефон в обычном режиме.

Только что было сделано резервное копирование папки EFS, вы найдете резервную копию EFS в папке TWRP. Вот и все!

Что такое efs в ос windows. Шифрующая файловая система EFS и управление сертификатами

По сети ходит множество слухов про объективы Canon, признаюсь честно, я и сам до недавнего времени заблуждался относительно разницы между объективами EF и EF-S. В этой статье я постарался собрать некоторую информацию о них, которая поможет сделать выбор в пользу той или иной модификации, поставит точку в спорах и развеет некоторые мифы.

Давайте для начала расшифруем аббревиатуру EF — она происходит от словосочетания Electro-Focus («Электрофокус»). С байонетом EF появилась система автоматической фокусировки, встроенная в оптику, т.е. между объективом и камерой нет подвижных частей, только контакты, а за наведение на резкость и диафрагму отвечает электромотор в объективе. К слову, первый объектив серии EF появился в далеком 1987 году.

EF-S — это модификация байонета для фотоаппаратов с матрицей формата APS-C, которая была разработана в 2003 году. Буква «S» означает Short Back Focus («Короткий задний фокус»). Последний оптический элемент в таких объективах расположен ближе к матрице, чем у EF. Для сравнения приведу картинку двух объективов разных модификаций байонета.

Слева объектив EF, справа EF-S

Как видите у правого объектива последняя линза расположена уже после резбы байонета т.е. при установке на камеру она окажется заметно ближе к матрице. По сути это единственное, но очень важное отличие. Дело в том, что оптика EF-S не может использоваться с полнокадровыми фотоаппаратами. Несмотря на совместимость крепления, выпирающая линза может повредить зеркало у камеры. При этом объективы EF совместимы и могут использоваться с любыми камерами Canon системы EOS (зеркалками).

Для камер формата APS-C в фокусные расстояния объективов необходимо вносить поправку. Чтобы рассчитать фокусное расстояние эквивалентное получаемому на полноформатной матрице, нужно умножить значения указанные на объективе на 1.6. В сети распространено мнение, что для серии EF-S этого делать не нужно и на оптике указаны реальные значения уже с учетом пересчета. Это не так. В качестве примера приведу описание нового объектива Canon EF-S 18-55mm f/3.5-5.6 IS II с официального сайта компании:

The EF-S 18-55mm f/3.5-5.6 IS II is a high-quality, standard zoom lens that will appeal to photographers who prefer to travel light. With a focal length equivalent of 29-88mm in 35mm format…

Как видите для этих линз используется стандартный пересчет фокусных расстояний и 18-55 превращаются в 29-88мм. Возникает вполне закономерный вопрос, а зачем вообще городить весь этот огород? Дело в том, что подобная конструкция позволила делать более легкие объективы меньшего размера. Это по словам Canon, а на самом деле, вполне возможно, это сделано, чтобы недорогие линзы не использовались с дорогой полнокадровой техникой.

Еще один интересный штрих ни EF, ни EF-S не были лицензированы сторонним производителям оптики, например Sigma или Tamron. Несмотря на заявления этих производителей о 100% совместимости, Canon такой гарантии не дает. Поэтому при покупке нефирменных объективов, их надо тестировать особенно тщательно.

Давайте сделаем выводы по объективам производства Canon:

  • фокусное расстояние на камерах APS-C пересчитывается для всех типов объективов;
  • сверхширокий угол на кропнутых камерах доступен только с объективом EF-S 10-22мм;
  • фишай на кропнутых камерах увы недоступен вовсе;
  • объективы EF подходят для любых камер Canon;
  • при переходе с камеры формата APS-C на полный кадр, объективы EF-S использовать будет нельзя.

Если вы планируете в будущем переходить на камеру с полным кадром, то обдумывайте покупку объективов заранее.

Для защиты потенциально конфиденциальных данных от несанкционированного доступа при физическом доступе к компьютеру и дискам.

Аутентификация пользователя и права доступа к ресурсам имеющие место в NT работают, когда операционная система загружена, но при физическом доступе к системе возможно загрузить другую ОС, чтобы обойти эти ограничения. EFS использует симметричное шифрование для защиты файлов, а также шифрование основанное на паре открытый/закрытый ключ для защиты случайно сгенерированного ключа шифрования для каждого файла. По умолчанию закрытый ключ пользователя защищён с помощью шифрования пользовательским паролем, и защищённость данных зависит от стойкости пароля пользователя.

Описание работы

EFS работает, шифруя каждый файл с помощью алгоритма симметричного шифрования , зависящего от версии операционной системы и настроек (начиная с Windows XP доступна теоретическая возможность использования сторонних библиотек для шифрования данных). При этом используется случайно-сгенерированный ключ для каждого файла, называемый File Encryption Key (FEK), выбор симметричного шифрования на данном этапе объясняется его скоростью и большей надёжностью по отношению к асимметричному шифрованию.

FEK (случайный для каждого файла ключ симметричного шифрования) защищается путём асимметричного шифрования использующим открытый ключ пользователя шифрующего файл и алгоритм RSA (теоретически возможно использование других алгоритмов асимметричного шифрования). Зашифрованный таким образом ключ FEK сохраняется в альтернативном потоке $EFS файловой системы NTFS. Для расшифрования данных драйвер шифрованной файловой системы прозрачно для пользователя расшифровывает FEK используя закрытый ключ пользователя, а затем и необходимый файл с помощью расшифрованного файлового ключа.

Поскольку шифрование/расшифрование файлов происходит с помощью драйвера файловой системы (по сути надстройки над NTFS), оно происходит прозрачно для пользователя и приложений. Стоит заметить, что EFS не шифрует файлы, передаваемые по сети, поэтому для защиты передаваемых данных необходимо использовать другие протоколы защиты данных (IPSec или WebDAV).

Интерфейсы взаимодействия с EFS

Для работы с EFS у пользователя есть возможность использовать графический интерфейс проводника или утилиту командной строки.

Использование графического интерфейса

Для того чтобы зашифровать файл или папку содержащую файл пользователь может воспользоваться соответствующим окном диалога свойства файла или папки, установив или сняв флажок «шифровать содержимое для защиты данных», при этом для файлов начиная с Windows XP можно добавить открытые ключи других пользователей, которые тоже будут иметь возможность расшифровать данный файл и работать с его содержимым (при наличии соответствующих разрешений). При шифровании папки шифруются все файлы находящиеся в ней, а также те, которые будут помещены в неё позднее.

Wikimedia Foundation . 2010 .

Смотреть что такое «EFS» в других словарях:

    EFS — steht für: EFS Flug Service, ein deutsches Charterflugunternehmen EFS Hausgeräte, eine Haushaltsgerätefirma Encrypting File System, System für Dateiverschlüssung unter Microsoft Windows EFS Euro Finanz Service Vermittlungs AG (EFS AG), ein… … Deutsch Wikipedia

    Efs — steht für: EFS Flugservice, ein deutsches Charterflugunternehmen EFS Hausgeräte, eine Haushaltsgerätefirma Encrypting File System, System für Dateiverschlüssung unter Microsoft Windows Error Free Second beim Betrieb von Netzelementen Euro Finanz… … Deutsch Wikipedia

    EFS — Saltar a navegación, búsqueda El Encrypting File System (EFS) es un sistema de archivos que, trabajando sobre NTFS, permite cifrado de archivos a nivel de sistema. Está disponible para Microsoft Windows 2000 y posteriores. La tecnología… … Wikipedia Español

    EFS — may refer to one of the following: *Electronic Filing System, an electronic platform by the Singapore Judiciary *Emergency Fire Service, now Country Fire Service (Australia) *Emperor of the Fading Suns, a turn based, strategy video game… … Wikipedia

    EFS — , ein System zur Verschlüsselung von Dateien und Ordnern unter den Betriebssystemen Windows NT und Windows 2000, so dass sie vor dem Zugriff unberechtigter Benutzer geschützt… … Universal-Lexikon

    EFS — Cette page d’homonymie répertorie les différents sujets et articles partageant un même nom. Sigles d’une seule lettre Sigles de deux lettres > Sigles de trois lettres Sigles de quatre lettres … Wikipédia en Français

    EFS — ● en sg. m. MS GESTFICH Encrypting File System. système de fichiers crypté, intégré par Microsoft dans Windows 2000, et dont l usage est optionnel. Voir TCFS. Je ne sais pas s il existe un lien avec efs … Dictionnaire d»informatique francophone

    efs — noun the name of the letter F … Wiktionary

    EFS — Encrypting File System (Computing » Security) * Enhance Financial Services Group, Inc. (Business » NYSE Symbols) * Engineered Fiber Selection (Miscellaneous » Clothes) * Effective Financing Statement (Business » Accounting) * Flowchart (EasyFlow) … Abbreviations dictionary

    EFS — earliest finishing shift; electric field stimulation; European Fraxiparin Study; event free survival … Medical dictionary

Предположим, что у вас есть компьютер под управлением Windows самой распоследней версии. Вы на нем играете в игры–стрелялки, пишите свою диссертацию, ведете бухгалтерию ИП по упрощенной системе, да и вообще, развлекаетесь, как можете. Но, вдруг, совершенно необоснованно вы начинаете чувствовать, что что-то извне угрожает безопасности некоторых данных, что хранятся на вашем персональном компьютере. Вы, с горячим взглядом, читаете многочисленные кибер-форумы и с ужасом понимаете, что все ваши данные на жестком диске никак не защищены. И если ваш любимый компьютер похитят, а риск хищения для портативной техники не такой уж и низкий, то злоумышленник сможет добраться до всего содержимого жесткого диска! О, моя бесценная диссертация!

Давайте попробуем разобраться, действительно ли можно получить несанкционированный доступ к файлам, если на компьютере работает операционная система Windows 10. Инженеры IBM, а впоследствии и Microsoft, потратили немало усилий на реализацию системы разделения прав для файловой системы NTFS (в бытность IBM это была HPFS). И если Win10 запущена на компьютере, то получить без разрешения доступ к чужим файлам очень и очень сложно, а в случае блокировки доступа и вовсе нельзя. Windows надежно охраняет файлы пользователей.

Но стоит только загрузиться в другую операционную систему, например, в Linux Mint , то все пользовательские файлы будут как на ладони. Качай что хочешь. А загрузиться в Mint можно хоть с флешки, хоть с CD-ROM, нужно только добраться до UEFI (BIOS) и активировать загрузку со съемных накопителей, если она не была активирована ранее, либо воспользоваться меню загрузки. Предположим, что вы поставили пароль на вход в UEFI и отключили выбор накопителя для загрузки как класс, тогда ваши файлы защищены немного сильнее. А злоумышленник может просто развинтить ваш компьютер, вытащить жесткий диск и подключить его к своему компьютеру, а затем скачать, все, что требуется. Ведь данные в виде файлов будут у него как открытая тетрадь на руках.

Специалисты от IT, знают, что несколько обезопасить данные в своем компьютере можно при помощи технологии BitLocker . BitLocker — штука хорошая, но позволяет шифровать только целиком разделы на дисках, либо физические, либо виртуальные. При этом обеспечивается сохранность ключей, в том числе и с хранением в модулях TPM . Что весьма удобно. Однако, шифрование целиком всего и вся, далеко не всегда удобно, хотя, безусловно, применение полного шифрования диска имеет определенный смысл. А вот про частичное шифрование файлов и каталогов, почему-то все забывают.

В Windows 10, как и в предыдущих ее реинкарнациях, присутствует Шифрованная Файловая Система, что в переводе означает Encrypted File System (EFS). Данная функция доступна начиная с редакции Pro и выше, поэтому если у вас версия Windows Home, то необходимо проапгрейдиться как минимум до Pro. В Wikipedia много написано о том, как и что, шифруется в EFS. Я лишь постараюсь объяснить все как можно проще и приведу самую подробную инструкцию по включению защиты ваших файлов.

Помимо наличия минимума в виде Pro редакции, необходимо чтобы вы работали под пользователем, у которого есть пароль. Пароль должен присутствовать обязательно, пусть это будет привязка к облачному сервису Microsoft, либо же полностью автономный пароль. Входите ли вы в систему по PIN-коду или же с применением рисунка — не важно, важно, что к вашей учетной записи привязан пароль. Помимо наличия пароля в активной учетной записи, необходимо чтобы защищаемые файлы и каталоги размещались на диске или его разделе с файловой системой NTFS. Скорее всего, именно такая файловая система и применяется у вас.

Шифрование данных происходит абсолютно прозрачно для пользователей и для подавляющего большинства программных продуктов, т.к. шифрование происходит на уровне файловой системы NTFS. Зашифровать можно как один файл, так и целую папку сразу. Зашифровать можно как пустую папку, а затем добавить в нее новые файлы и они тоже зашифруются, а можно зашифровать папку уже с файлами и каталогами внутри. Все на ваш выбор.

При работе с зашифрованными папками и файлами стоит учитывать следующее:

  1. Файлы зашифрованы до тех пор, пока они не будут перенесены на любую другую файловую системы отличную от NTFS. Например, вы копируете зашифрованный файл на «флешку». Если там FAT32, а скорее всего там именно он, то файл расшифруется. В десятой версии Windows Microsoft все же реализовал функцию, когда файл остается зашифрованным даже если вы его перенесли на флешку с FAT, так что стоит быть бдительным если сливаете какие-то файлы своему другу. Сможет ли он их потом открыть без мата? Если вы отправляете файл по электронной почте — он расшифруется (иначе пропадает смысл его отправке по почте). При передаче файла по сети также произойдет расшифровка.
  2. При перемещении между NTFS разделами файл остается зашифрованным. При перемещении файла с одного NTFS диска на другой NTFS диск, файл будет зашифрованным. При копировании файла на жесткий сменный диск с файловой системой NTFS он будет зашифрованным и в новом месте.
  3. При насильственной смене пароля учетной записи третьим лицом, например, администратором, либо же насильственная смена пароля привязанной учетной записи домена, либо облачной службы — доступ к файлам без резервного сертификата (формируется при первом шифровании) будет уже невозможен.

Последний пункт весьма важен, особенно лицам с ненадежной памятью, которые постоянно сбрасывают пароли. Тут такой фокус может обернуться навсегда зашифрованными файлами, если, конечно, не импортировать в систему сохраненный сертификат. Тем не менее, когда смена пароля происходит добровольно, например, в соответствии с политикой смены пароля, то безвременная потеря зашифрованных файлов не произойдет.

Скептики вполне справедливо заметят, что подобная защита, впрочем, как и BitLocker, не является супернадежной, дескать, хакеры могут подобрать пароль, если он слабый, да и спецслужбы все расшифруют. Действительно, ваш пароль могут банально подобрать, если он короток, да прост. А спецслужбы на то они и спецслужбы, чтобы иметь техническую возможность добраться до содержимого файлов слишком уж мнительных пользователей. Более того, когда вы вошли в систему, вы сразу же получаете прозрачный доступ ко всем вашим зашифрованным при помощи EFS файлам. И если на вашем компьютере завелся троян или вирус, то он совершенно аналогично получит доступ к драгоценным файликам. Компьютерную гигиену стоит соблюдать неукоснительно.

Подробная инструкция по включению шифрования при помощи EFS под Win10 Pro на папке

Ниже я предлагаю пошаговую, точную инструкцию, как зашифровать папку с файлами в ней. Отдельный файл шифруется аналогичным образом.

Шаг 1 . Создаем папку. Пусть она называется «Мои картинки».

Создаем каталог

Шаг 2 . Нажимаем на папке правой кнопкой мышки и в контекстном меню выбираем «Свойства».

Правой кнопкой нажимаем на папке и получаем вот это

Шаг 3 . В меню «Свойства» переходим в расширенные атрибуты папки посредством нажатия кнопки «Другие…».

Свойства папки

Шаг 4 . Ставим галочку в пункте «Шифровать содержимое для защиты данных» и жмем ОК. Если потребуется отменить шифрование, то отжимаем эту же галочку и файл расшифровывается.

В расширенных атрибутах свойств папки

Шаг 5 . Завершаем работу со «Свойства», нажимаем ОК или «Применить».

Шаг 6 . Отвечаем в диалоговом окне, что «применить» к нашей папке и всему ее содержимому.

Выбираем нужный пункт шифрования

На этом наша папка и все ее содержимое зашифровано при помощи EFS. При желании можно проверить, что наша папка и все файлы в ней надежно закрыты от посторонних.

Шаг 7 . Проходим по шагам 1-3 и видим, что галочка «шифровать» активна. А рядом активна кнопка «Подробно». Нажимаем на «подробно».

Проверка того, что зашифровалось

Шаг 8 . В появившемся окне видим, что данный файл имеет всего один сертификат для доступа только одного пользователя, плюс никакие сертификаты по восстановлению доступа не установлены.

Папка зашифрована одним сертификатом

Понять, что конкретный файл зашифрован можно и в Проводнике Windows, на файле появляется значок замочка.

Галерея с зашифрованными картинками. Просмотреть их может только владелец учетной записи.

Значок отображается и на всех других видах файлов и в представлениях проводника. Правда, на некоторых пиктограммах их очень плохо видно и приходится присматриваться.

Та же галерея, только в виде таблицы. Замочки в правом верхнем углу пиктограммы.

После того, как были зашифрованы первые файлы, Windows предлагает сделать копию сертификата. Того самого сертификата, который позволит расшифровать файлы, если вдруг, что-то пойдет не так с вашим компьютером (переустановили систему, сбросили пароль, перекинули диск на другой компьютер и т.п.).

Шаг 9 . Для сохранения резервного сертификата восстановления следует нажать на пиктограмму архивации ключа.

Значок в трее призывающий к архивации резервного сертификата для восстановления шифрования

Шаг 10 . В появившемся окне выбрать «Архивировать сейчас».

Выбор когда архивировать

Шаг 11 . В диалоговом окне мастера активации нажать «Далее».

Окно мастера экспорта сертификатов

Шаг 12 . Если вы используете только шифрование EFS, то можно оставить значения по умолчанию. И нажать на «Далее».

Настройки экспорта резервного сертификата

Шаг 13 . Экспортируемый сертификат имеет смысл защитить паролем. Вводим пароль, может быть любым, не обязательно от вашей почты или для входа в Windows. И жмем «Далее».

Вводим пароль для дополнительной защиты сертификата восстановления

Шаг 15 . Подтверждаем результат нажатием на ОК.

Завершаем работу мастера экспорта

И собственно на этом все. Выгруженный сертификат стоит переписать в надежное место. Например, на дискету, флешку, в защищенное облако. Оставлять сертификат восстановления на компьютере — плохая затея, поэтому после сохранения его в «надежном месте» файл с компьютера удаляем, а заодно очищаем корзину.

Кстати, шифровать можно и каталоги, в которые синхронизируются облачные файлы на вашем компьютере, например, OneDrive, DropBox, Yandex Disk и многие другие. Если требуется зашифровать такую папку, то для начала следует выключить приложение синхронизации с облаком, либо поставить синхронизацию на паузу. Так же стоит закрыть все открытые файлы в каталоге, который будет подвержен шифрованию, например, закрыть Word, Excel или другие программы. После этого можно включить шифрование на выбранной папке. Когда процедура шифрования завершится, позволительно включить синхронизацию заново. В противном случае, шифрование может затронуть не все файлы в папке, т.к. встроенная система может зашифровать только файлы, доступные на запись. Да, при синхронизации в облако файлы будут расшифровываться и в облаке они будут уже незашифрованными.

Перед началом шифрования необходимо выйти из OneDrive

Настало время проверить, насколько хорошо работает шифрование EFS. Я создал файл с текстом в зашифрованном каталоге. А затем загрузился в Linux Mint с флешки. Данная версия Linux может спокойно работать с жесткими дисками в формате NTFS, поэтому добраться до содержимого моего жесткого диска не составило труда.

Создаем файл с текстом в зашифрованной папке.

Однако при попытке открыть файлы с зашифрованной папки меня ждало разочарование. Ни один файл так и не удалось открыть. Просмотрщики Linux Mint с отвагой сообщали, что доступа к указанным файлам у них нет. А вот все остальные открывались без сучка и задоринки.

Зашифрованные файлы в Win10 из Mint видно, но открыть их нельзя.

«Ага!» — сказали суровые сибирские мужики. А ведь если записать на флешку файлик зашифрованный, то он останется зашифрованным, наверное. А затем перенести его на другой компьютер, под другую операционную систему, то вдруг он откроется? Нет, не откроется. Вернее откроется, но его содержимое будет полностью нечитабельным. Зашифровано же.

Попытка открыть зашифрованный файл с текстом, записанный на флешку.

В целом, пользоваться EFS можно, а в некоторых случаях даже нужно. Поэтому если вы работаете под Windows 10 начиная с редакции Pro и выше, оцените риски доступа к вашему ПК или ноутбуку посторонних и смогут ли они получить ваши конфиденциальные файлы. Может быть, что-то стоит уже зашифровать сегодня?

Encrypting file system

Шифрующая файловая система это тесно интегрированная с NTFS служба, располагающаяся в ядре Windows 2000. Ее назначение: защита данных, хранящихся на диске, от несанкционированного доступа путем их шифрования. Появление этой службы не случайно, и ожидалось давно. Дело в том, что существующие на сегодняшний день файловые системы не обеспечивают необходимую защиту данных от несанкционированного доступа.

Внимательный читатель может возразить мне: а как же Windows NT с ее NTFS? Ведь NTFS обеспечивает разграничение доступа и защиту данных от несанкционированного доступа! Да, это правда. Но как быть в том случае, когда доступ к разделу NTFS осуществляется не с помощью средств операционной системы Windows NT, а напрямую, на физическом уровне? Ведь это сравнительно легко реализовать, например, загрузившись с дискеты и запустив специальную программу: например, весьма распространенную ntfsdos. В качестве более изощренного примера можно указать продукт NTFS98. Конечно, можно предусмотреть такую возможность, и задать пароль на запуск системы, однако практика показывает, что такая защита малоэффективна, особенно в том случае, когда за одним компьютером работают сразу несколько пользователей. А если злоумышленник может извлечь жесткий диск из компьютера, то здесь уже не помогут никакие пароли. Подключив диск к другому компьютеру, его содержимое можно будет прочитать с такой же легкостью, что и эту статью. Таким образом, злоумышленник свободно может овладеть конфиденциальной информацией, которая хранится на жестком диске.

Единственный способ защиты от физического чтения данных это шифрование файлов. Простейший случай такого шифрования — архивирование файла с паролем. Однако здесь есть ряд серьезных недостатков. Во-первых, пользователю требуется каждый раз вручную шифровать и дешифровать (то есть, в нашем случае архивировать и разархивировать) данные перед началом и после окончания работы, что уже само по себе уменьшает защищенность данных. Пользователь может забыть зашифровать (заархивировать) файл после окончания работы, или (еще более банально) просто оставить на диске копию файла. Во-вторых, пароли, придуманные пользователем, как правило, легко угадываются. В любом случае, существует достаточное количество утилит, позволяющих распаковывать архивы, защищенные паролем. Как правило, такие утилиты осуществляют подбор пароля путем перебора слов, записанных в словаре.

Система EFS была разработана с целью преодоления этих недостатков. Ниже мы рассмотрим более подробно детали технологии шифрования, взаимодействие EFS с пользователем и способы восстановления данных, познакомимся с теорией и реализацией EFS в Windows 2000, а также рассмотрим пример шифрования каталога при помощи EFS.

Технология шифрования

EFS использует архитектуру Windows CryptoAPI. В ее основе лежит технология шифрования с открытым ключом. Для шифрования каждого файла случайным образом генерируется ключ шифрования файла. При этом для шифрования файла может применяться любой симметричный алгоритм шифрования. В настоящее же время в EFS используется один алгоритм, это DESX, являющийся специальной модификацией широко распространенного стандарта DES.

Ключи шифрования EFS хранятся в резидентном пуле памяти (сама EFS расположена в ядре Windows 2000), что исключает несанкционированный доступ к ним через файл подкачки.

Взаимодействие с пользователем

По умолчанию EFS сконфигурирована таким образом, что пользователь может сразу начать использовать шифрование файлов. Операция шифрования и обратная поддерживаются для файлов и каталогов. В том случае, если шифруется каталог, автоматически шифруются все файлы и подкаталоги этого каталога. Необходимо отметить, что если зашифрованный файл перемещается или переименовывается из зашифрованного каталога в незашифрованный, то он все равно остается зашифрованным. Операции шифрования/дешифрования можно выполнить двумя различными способами — используя Windows Explorer или консольную утилиту Cipher.

Для того чтобы зашифровать каталог из Windows Explorer, пользователю нужно просто выбрать один или несколько каталогов и установить флажок шифрования в окне расширенных свойств каталога. Все создаваемые позже файлы и подкаталоги в этом каталоге будут также зашифрованы. Таким образом, зашифровать файл можно, просто скопировав (или перенеся) его в «зашифрованный» каталог.

Зашифрованные файлы хранятся на диске в зашифрованном виде. При чтении файла данные автоматически расшифровываются, а при записи — автоматически шифруются. Пользователь может работать с зашифрованными файлами так же, как и с обычными файлами, то есть открывать и редактировать в текстовом редакторе Microsoft Word документы, редактировать рисунки в Adobe Photoshop или графическом редакторе Paint, и так далее.

Необходимо отметить, что ни в коем случае нельзя шифровать файлы, которые используются при запуске системы — в это время личный ключ пользователя, при помощи которого производится дешифровка, еще недоступен. Это может привести к невозможности запуска системы! В EFS предусмотрена простая защита от таких ситуаций: файлы с атрибутом «системный» не шифруются. Однако будьте внимательны: это может создать «дыру» в системе безопасности! Проверяйте, не установлен ли атрибут файла «системный» для того, чтобы убедиться, что файл действительно будет зашифрован.

Важно также помнить о том, что зашифрованные файлы не могут быть сжаты средствами Windows 2000 и наоборот. Иными словами, если каталог сжат, его содержимое не может быть зашифровано, а если содержимое каталога зашифровано, то он не может быть сжат.

В том случае, если потребуется дешифровка данных, необходимо просто снять флажки шифрования у выбранных каталогов в Windows Explorer, и файлы и подкаталоги автоматически будут дешифрованы. Следует отметить, что эта операция обычно не требуется, так как EFS обеспечивает «прозрачную» работу с зашифрованными данными для пользователя.

Восстановление данных

EFS обеспечивает встроенную поддержку восстановления данных на тот случай, если потребуется их расшифровать, но, по каким-либо причинам, это не может быть выполнено обычным. По умолчанию, EFS автоматически сгенерирует ключ восстановления, установит сертификат доступа в учетной записи администратора и сохранит его при первом входе в систему. Таким образом, администратор становится так называемым агентом восстановления, и сможет расшифровать любой файл в системе. Разумеется, политику восстановления данных можно изменить, и назначить в качестве агента восстановления специального человека, ответственного за безопасность данных, или даже несколько таких лиц.

Немного теории

EFS осуществляет шифрование данных, используя схему с общим ключом. Данные шифруются быстрым симметричным алгоритмом при помощи ключа шифрования файла FEK (file encryption key). FEK — это случайным образом сгенерированный ключ определенной длины. Длина ключа в североамериканской версии EFS 128 бит, в международной версии EFS используется уменьшенная длина ключа 40 или 56 бит.

FEK шифруется одним или несколькими общими ключами шифрования, в результате чего получается список зашифрованных ключей FEK. Список зашифрованных ключей FEK хранится в специальном атрибуте EFS, который называется DDF (data decryption field — поле дешифрования данных). Информация, при помощи которой производится шифрование данных, жестко связана с этим файлом. Общие ключи выделяются из пар пользовательских ключей сертификата X509 с дополнительной возможностью использования «File encryption». Личные ключи из этих пар используются при дешифровке данных и FEK. Личная часть ключей хранится либо на смарт-картах, либо в другом надежном месте (например, в памяти, безопасность которой обеспечивается при помощи CryptoAPI).

FEK также шифруется при помощи одного или нескольких ключей восстановления (полученных из сертификатов X509, записанных в политике восстановления зашифрованных данных для данного компьютера, с дополнительной возможностью «File recovery»).

Как и в предыдущем случае, общая часть ключа используется для шифрования списка FEK. Список зашифрованных ключей FEK также хранится вместе с файлом в специальной области EFS, которая называется DRF (data recovery field — поле восстановления данных). Для шифрования списка FEK в DRF используется только общая часть каждой пары ключей. Для нормального осуществления файловых операций необходимы только общие ключи восстановления. Агенты восстановления могут хранить свои личные ключи в безопасном месте вне системы (например, на смарт-картах). На рисунке приведены схемы процессов шифрования, дешифрования и восстановления данных.

Процесс шифрования

Незашифрованный файл пользователя шифруется при помощи случайно сгенерированного ключа FEK. Этот ключ записывается вместе с файлом, файл дешифруется при помощи общего ключа пользователя (записанного в DDF), а также при помощи общего ключа агента восстановления (записанного в DRF).

Процесс дешифрования

Сначала используется личный ключ пользователя для дешифрации FEK — для этого используется зашифрованная версия FEK, которая хранится в DDF. Расшифрованный FEK используется для поблочного дешифрования файла. Если в большом файле блоки считываются не последовательно, то дешифруются только считываемые блоки. Файл при этом остается зашифрованным.

Процесс восстановления

Этот процесс аналогичен дешифрованию с той разницей, что для дешифрования FEK используется личный ключ агента восстановления, а зашифрованная версия FEK берется из DRF.

Реализация в Windows 2000

На рисунке показана архитектура EFS:

EFS состоит из следующих компонентов:

Драйвер EFS

Этот компонент расположен логически на вершине NTFS. Он взаимодействует с сервисом EFS, получает ключи шифрования файлов, поля DDF, DRF и другие данные управления ключами. Драйвер передает эту информацию в FSRTL (file system runtime library, библиотека времени выполнения файловой системы) для прозрачного выполнения различных файловых системных операций (например, открытие файла, чтение, запись, добавление данных в конец файла).

Библиотека времени выполнения EFS (FSRTL)

FSRTL — это модуль внутри драйвера EFS, который осуществляет внешние вызовы NTFS для выполнения различных операций файловой системы, таких как чтение, запись, открытие зашифрованных файлов и каталогов, а также операций шифрования, дешифрования, восстановления данных при записи на диск и чтении с диска. Несмотря на то, что драйвер EFS и FSRTL реализованы в виде одного компонента, они никогда не взаимодействуют напрямую. Для обмена сообщениями между собой они используют механизм вызовов NTFS. Это гарантирует участие NTFS во всех файловых операциях. Операции, реализованные с использованием механизмов управления файлами, включают запись данных в файловые атрибуты EFS (DDF и DRF) и передачу вычисленных в EFS ключей FEK в библиотеку FSRTL, так как эти ключи должны устанавливаться в контексте открытия файла. Такой контекст открытия файла позволяет затем осуществлять незаметное шифрование и дешифрование файлов при записи и считывании файлов с диска.

Служба EFS

Служба EFS является частью подсистемы безопасности. Она использует существующий порт связи LPC между LSA (Local security authority, локальные средства защиты) и работающим в kernel-mode монитором безопасности для связи с драйвером EFS. В режиме пользователя служба EFS взаимодействует с программным интерфейсом CryptoAPI, предоставляя ключи шифрования файлов и обеспечивая генерацию DDF и DRF. Кроме этого, служба EFS осуществляет поддержку интерфейса Win32 API.

Win32 API

Обеспечивает интерфейс программирования для шифрования открытых файлов, дешифрования и восстановления закрытых файлов, приема и передачи закрытых файлов без их предварительной расшифровки. Реализован в виде стандартной системной библиотеки advapi32.dll.

Немного практики

Для того чтобы зашифровать файл или каталог, выполните следующие операции:

  1. Запустите Windows Explorer, нажмите правую кнопку мыши на каталоге, выберите пункт Properties (Свойства).
  2. На закладке General (Общие) нажмите кнопку Advanced.

  1. Отметьте галочкой пункт «Encrypt contents to secure data». Нажмите OK, затем нажмите Apply (применить) в диалоге Properties. Если Вы выбрали шифрование отдельного файла, то дополнительно появится диалоговое окно следующего вида:

Система предлагает зашифровать также и каталог, в котором находится выбранный файл, так как в противном случае шифрование будет автоматически отменено при первой модификации такого файла. Всегда имейте это в виду, когда шифруете отдельные файлы!

На этом процесс шифрования данных можно считать законченным.

Чтобы расшифровать каталоги, просто снимите выделение в пункте «Encrypt contents to secure data». При этом каталоги, а также все содержащиеся в них подкаталоги и файлы будут расшифрованы.

Выводы

  • Система EFS в Windows 2000 предоставляет пользователям возможность зашифровывать каталоги NTFS, используя устойчивую, основанную на общих ключах криптографическую схему, при этом все файлы в закрытых каталогах будут зашифрованы. Шифрование отдельных файлов поддерживается, но не рекомендуется из-за непредсказуемого поведения приложений.
  • Система EFS также поддерживает шифрование удаленных файлов, доступ к которым осуществляется как к совместно используемым ресурсам. Если имеют место пользовательские профили для подключения, используются ключи и сертификаты удаленных профилей. В других случаях генерируются локальные профили и используются локальные ключи.
  • Система EFS предоставляет установить политику восстановления данных таким образом, что зашифрованные данные могут быть восстановлены при помощи EFS, если это потребуется.
  • Политика восстановления данных встроена в общую политику безопасности Windows 2000. Контроль за соблюдением политики восстановления может быть делегирован уполномоченным на это лицам. Для каждого подразделения организации может быть сконфигурирована своя политика восстановления данных.
  • Восстановление данных в EFS — закрытая операция. В процессе восстановления расшифровываются данные, но не ключ пользователя, при помощи которого эти данные были зашифрованы.
  • Работа с зашифрованными файлами в EFS не требует от пользователя каких-либо специальных действий по шифрованию и дешифрованию данных. Дешифрование и шифрование происходят незаметно для пользователя в процессе считывания и записи данных на диск.
  • Система EFS поддерживает резервное копирование и восстановление зашифрованных файлов без их расшифровки. Программа NtBackup поддерживает резервное копирование зашифрованных файлов.
  • Система EFS встроена в операционную систему таким образом, что утечка информации через файлы подкачки невозможна, при этом гарантируется, что все создаваемые копии будут зашифрованы
  • Предусмотрены многочисленные меры предосторожности для обеспечения безопасности восстановления данных, а также защита от утечки и потери данных в случае фатальных сбоев системы.

Начиная с Windows XP во всех операционных системах Microsoft существует встроенная технология шифрования данных EFS (Encrypting File System) . EFS-шифрование основано на возможностях файловой системы NTFS 5.0 и архитектуре CryptoAPI и предназначено для быстрого шифрования файлов на жестком диске компьютера.

Вкратце опишем схему шифрования EFS. Система EFS использует шифрование с открытым и закрытым ключом. Для шифрования в EFS используется личный и публичный ключи пользователя, которые генерируются при первом использовании пользователем функции шифрования. Данные ключи остаются неизменными все время, пока существует его учетная запись. При шифровании файла EFS случайным образом генерирует уникальный номер, так называемый File Encryption Key (FEK) длиной 128 бит, с помощью которого и шифруются файлы. Ключи FEK зашифрованы master-ключом, который зашифрован ключом пользователей системы, имеющего доступ к файлу. Закрытый ключ пользователя защищается хэшем пароля этого самого пользователя.

Таким образом, можно сделать вывод: вся цепочка EFS шифрования по сути жестко завязана на логин и пароль пользователя. Это означает, что защищённость данных в том числе зависит и от стойкости пароля пользователя.

Важно . Данные, зашифрованные с помощью EFS, могут быть расшифрованы только с помощью той же самой учетной записи Windows с тем же паролем, из-под которой было выполнено шифрование. Другие пользователи, в том числе администраторы, расшифровать и открыть эти файлы не смогут. Это означает, что приватные данные останутся в безопасности, даже если любым способом. Но важно понимать и обратную сторону вопроса. При смене учетной записи или ее пароля (если только он не был изменен непосредственно самим пользователем из своей сессии), выходе из строя или переустановке ОС – зашифрованные данные станут недоступны. Именно поэтому крайне важно экспортировать и хранить в безопасном месте сертификаты шифрования (процедура описана ниже).

Примечание . Начиная с Windows Vista в ОС системах MS поддерживается еще одна технология шифрования – BitLocker. BitLocker в отличии от EFS-шифрования:

  • используется для шифрования дискового тома целиком
  • требует наличия аппаратного TPM модуля (в случае его требуется внешнее устройство хранения ключа, например USB флешки или жесткого диска)

Внешне для пользователя работа с зашифрованными с помощью EFS приватными файлами ничем не отличается от работы с обычными файлами – ОС выполняет операции шифрования/дешифрования автоматически (эти функции выполняет драйвер файловой системы).

Как включить EFS шифрование каталога в Windows

Пошагово разберем процедуру шифрования данных в Windows 8 с помощью EFS.

Примечание . Не в коем случае не стоит включать шифрование для системных каталогов и папок. В противнмслучае Windows может просто не загрузится, т.к. система не сможет найти личный ключ пользователя и дешифровать файлы.

В проводник File Explorer выберите каталог или файлы, которые необходимо зашифровать, и, щелкнув ПКМ, перейдите в их свойства (Properties ).

На вкладке General в секции атрибутов найдите и нажмите кнопку Advanced .

В появившемся окне поставьте чекбокс Encrypt contents to secure data (Шифровать содержимое для защиты данных).

Нажмите дважды ОК.

В том случае, если выполняется шифрование каталога, система спросит хотите ли вы зашифровать только каталог или каталог и все вложенные элементы. Выберите желаемое действие, после чего окно свойств каталога закроется.

Зашифрованные каталоги и файлы в проводнике Windows отображаются зеленым цветов (напомним, что синим цветов подсвечены объекты, ). Если выбрано шифрование папки со всем содержимым, все новые объекты внутри зашифрованного каталога также шифруются.

Управлять шифрованием/дешифрованием EFS можно из командной строки с помощью утилиты cipher. Например, зашифровать каталог C:\Secret можно так:

Cipher /e c:\Secret

Список всех файлов в файловой системе, зашифрованных с помощью сертификата текущего пользователя можно вывести с помощью команды:

Cipher /u /n

Резервное копирование ключа шифрование EFS

После того, как пользователь впервые зашифровал свои данные с помощью EFS, в системном трее появится всплывающее окно, сообщающее о необходимости сохранить ключ шифрования.

Back up your file encryption key . This helps you avoid permanently losing access to you encrypted files.

Щелкнув по сообщению, вы запустите мастер резервного копирования сертификатов и ассоциированных с ними закрытых ключей шифрования EFS.

Примечание . Если вы случайно закроете окно, или оно не появится, экспортировать сертификаты EFS можно с помощью функции «Manage file encryption certificates » в панели управления пользователями.

Выберите Back up your file encryption certificate and key

Затем укажите пароль для защиты сертификата (желательно достаточно сложный).

Осталось указать местоположение, куда необходимо сохранить экспортируемый сертификат (в целях безопасности в дальнейшем его необходимо скопировать на внешний жесткий диск /usb флешку и хранить в безопасном месте).

Что такое шифрованная файловая система (EFS)?

Что означает шифрованная файловая система (EFS)?

Шифрованная файловая система (EFS) — это функция файловой системы новой технологии (NTFS), присутствующая в различных версиях Microsoft Windows. EFS обеспечивает прозрачное шифрование и дешифрование файлов за счет использования сложных стандартных криптографических алгоритмов.

Криптографические алгоритмы используются в EFS для обеспечения полезных контрмер безопасности, благодаря чему только предполагаемый получатель может расшифровать криптографию.EFS использует симметричные и асимметричные ключи в процессе шифрования, но не защищает передачу данных. Скорее, он защищает файлы данных внутри систем. Даже если кто-то имеет доступ к определенному компьютеру, независимо от того, авторизован он или нет, он все равно не сможет разблокировать криптографию EFS без секретного ключа.

Techopedia объясняет шифрованную файловую систему (EFS)

EFS на самом деле представляет собой прозрачную технологию шифрования с открытым ключом, которая работает с разрешениями NTFS, чтобы разрешать или запрещать пользователям доступ к файлам и папкам в различных операционных системах (ОС) Windows, включая NT (кроме NT4), 2000 и XP (кроме XP Home Edition) .

Основные функции EFS:

  • Процесс шифрования прост. Установите флажок в свойствах файла или папки, чтобы включить шифрование.
  • EFS позволяет контролировать, кто может читать файлы.
  • Файлы, выбранные для шифрования, шифруются после закрытия, но автоматически готовы к использованию после открытия.
  • Функция шифрования файла может быть удалена путем снятия флажка в свойствах файла.

Несмотря на то, что EFS используется во многих организациях, следует обращаться с осторожностью и знаниями, чтобы избежать шифрования содержимого, которое должно быть прозрачным, а не безопасным.Это усугубляется тем фактом, что может быть сложно расшифровать содержимое данных, которое изначально не предназначалось для шифрования.

Разработчики EFS напоминают пользователям, что после того, как папка помечена как зашифрованная, все файлы, содержащиеся в этой папке, также будут зашифрованы, включая будущие файлы, переносимые в эту конкретную папку. Однако доступна пользовательская настройка для шифрования «только этот файл».

Пароли шифрования зависят от личности, поэтому для сотрудников важно избегать совместного использования паролей, и не менее важно, чтобы пользователи помнили свои пароли.

Amazon EFS: как это работает

Далее вы найдете описание работы Amazon EFS, детали его реализации и соображения безопасности.

Обзор

Amazon EFS представляет собой простую бессерверную эластичную файловую систему с функцией «установить и забыть». С Amazon EFS вы может создать файловую систему, смонтировать файловую систему на экземпляре Amazon EC2, а затем читать и записывать данные в вашу файловую систему и из нее. Ты может смонтировать файловую систему Amazon EFS в вашем виртуальном частном облаке (VPC) через Network File Версии системы 4.0 и 4.1 (NFSv4). Мы рекомендуем использовать Linux текущего поколения Клиент NFSv4.1, такой как те, что есть в последних версиях Amazon Linux, Amazon Linux 2, Red Hat, Ubuntu и macOS Big. Sur AMI в сочетании с помощником по монтированию Amazon EFS. Инструкции см. в разделе Использование инструментов amazon-efs-utils.

Список образов машин Amazon EC2 Linux и macOS (AMI), которые поддерживают этот протокол, см. Поддержка NFS. За некоторых образов AMI необходимо установить клиент NFS, чтобы смонтировать файловую систему на инстансе Amazon EC2.Инструкции см. в разделе Установка клиента NFS.

Вы можете получить доступ к файловой системе Amazon EFS одновременно с нескольких клиентов NFS, поэтому приложения которые масштабируются за пределы одного соединения, могут получить доступ к файловой системе. Amazon EC2 и другие вычислительные инстансы AWS, работающие в несколько зон доступности в одном регионе AWS могут получить доступ к файловой системе, так что многие пользователи могут получить доступ и совместно использовать общий источник данных.

Список регионов AWS, в которых можно создать файловую систему Amazon EFS, см. в Общем справочнике по Amazon Web Services.

Чтобы получить доступ к файловой системе Amazon EFS в VPC, вы создаете одну или несколько целей монтирования в ВПК.

  • Для файловых систем, использующих стандартные классы хранения, вы можете создать цель монтирования в каждой зоне доступности в регионе AWS.

  • Для файловых систем, использующих классы хранения One Zone, вы создаете только одну цель монтирования, которая находится в той же зоне доступности, что и файловая система.

Дополнительные сведения см. в разделе Классы хранения EFS.

Цель подключения предоставляет IP-адрес для NFSv4 конечная точка, на которой можно смонтировать файловую систему Amazon EFS. Вы монтируете свою файловую систему, используя ее Имя службы доменных имен (DNS), которое разрешается в IP-адрес целевого объекта монтирования EFS в ту же зону доступности, что и ваш инстанс EC2. Вы можете создать одну цель монтирования в каждом Зона доступности в регионе AWS. Если в зоне доступности есть несколько подсетей в вашего VPC, вы создаете цель монтирования в одной из подсетей.Затем все экземпляры EC2 в этом Зона доступности разделяет эту цель подключения.

Файловая система Amazon EFS может одновременно иметь цели подключения только в одном VPC.

Цели монтирования сами по себе предназначены для обеспечения высокой доступности. Когда вы проектируете для высоких доступность и переключение на другие зоны доступности, имейте в виду, что в то время как IP адреса и DNS для ваших целей монтирования в каждой зоне доступности являются статическими, они резервные компоненты, поддерживаемые несколькими ресурсами.

После монтирования файловой системы с использованием ее DNS-имени вы можете использовать ее как любую другую POSIX-совместимая файловая система. Для получения информации о разрешениях уровня NFS и связанных с ними соображения см. в разделе Работа с пользователями, группами и разрешениями на Уровень сетевой файловой системы (NFS).

Вы можете смонтировать файловые системы Amazon EFS на локальных серверах центра обработки данных, когда подключены к Amazon VPC с помощью AWS Direct Connect или AWS VPN. Вы можете смонтировать файловые системы EFS на локальные серверы для переноса наборов данных в EFS, включения сценариев пакетной передачи в облако или резервного копирования ваши локальные данные в Amazon EFS.

Как Amazon EFS работает с Amazon EC2 и другими поддерживаемыми вычислительными инстансами

В этом разделе объясняется, как файловые системы Amazon EFS, использующие хранилище Standard и One Zone, классы подключаются к инстансам EC2 в облаке Amazon VPC.

Amazon EFS со стандартными классами хранилища

На следующем рисунке показано, как несколько инстансов EC2 обращаются к Amazon EFS. файловая система, в которой настроены стандартные классы хранения из нескольких зон доступности в регионе AWS.

На этом рисунке Amazon Virtual Private Cloud (VPC) имеет три зоны доступности. Поскольку файловая система использует стандартные классы хранения, цель монтирования была создана в каждом Зона доступности. Мы рекомендуем вам обращаться к файловой системе из цели монтирования в ту же зону доступности по соображениям производительности и стоимости. Одна из зон доступности имеет две подсети. Тем не менее, цель монтирования создается только в одной из подсетей. Создание этой установки работает следующим образом:

  1. Создайте свои ресурсы Amazon EC2 и запустите инстанс Amazon EC2.Для получения дополнительной информации о Amazon EC2, см. Amazon EC2 — виртуальный сервер Хостинг.

  2. Выберите долговечность и доступность Региональный при создании своего Файловая система Amazon EFS.

  3. Подключитесь к каждому из ваших инстансов Amazon EC2 и смонтируйте файловую систему Amazon EFS.

Подробные инструкции см. в разделе Начало работы с Amazon Elastic File System.

Amazon EFS с классами хранилища One Zone

На следующем рисунке показано несколько экземпляров EC2, которые обращаются к файлу Amazon EFS. система.Эта файловая система настроена на хранение одной зоны из нескольких источников доступности. Зоны в регионе AWS.

На этом рисунке VPC имеет две зоны доступности, каждая с одной подсетью. Файл system использует классы хранилища One Zone, поэтому у нее может быть только одна цель монтирования. К лучшему производительности и стоимости, мы рекомендуем вам обращаться к файловой системе из цели монтирования в ту же зону доступности, что и инстанс EC2, на который вы его монтируете.

В этом примере экземпляр EC2 в зоне доступности us-west-2c будет оплачивать данные EC2. плата за доступ к целевому объекту монтирования в другой зоне доступности. Создание этого настройка работает следующим образом:

  1. Создайте свои ресурсы Amazon EC2 и запустите инстанс Amazon EC2. Для получения дополнительной информации о Amazon EC2, см. Amazon EC2.

  2. Создайте свою файловую систему Amazon EFS с хранилищем One Zone.

  3. Подключитесь к каждому из ваших инстансов Amazon EC2 и смонтируйте файловую систему Amazon EFS, используя одну и ту же цель монтирования для каждого инстанса.

Как Amazon EFS работает с AWS Direct Connect и AWS Управляемый VPN

Используя файловую систему Amazon EFS, смонтированную на локальном сервере, вы можете локальные данные в облако AWS, размещенное в файловой системе Amazon EFS. Вы также можете взять преимущество разрыва.Другими словами, вы можете перемещать данные с локальных серверов на Amazon EFS и проанализируйте ее на множестве инстансов Amazon EC2 в своем облаке Amazon VPC. Затем вы можете сохранить результаты навсегда в вашей файловой системе или переместите результаты обратно в локальную среду. сервер.

При использовании Amazon EFS с локальной сервер:

  • На вашем локальном сервере должна быть установлена ​​операционная система на базе Linux.Мы рекомендуем линукс версия ядра 4.0 или выше.

  • Для простоты мы рекомендуем монтировать файловую систему Amazon EFS на локальный сервер, использующий целевой IP-адрес подключения вместо DNS-имени.

За локальный доступ к файловым системам Amazon EFS не взимается дополнительная плата. Ты взимается за подключение AWS Direct Connect к вашему Amazon VPC. Дополнительные сведения см. в разделе Цены на AWS Direct Connect.

На следующем рисунке показан пример доступа к файловой системе Amazon EFS из локально (на локальных серверах смонтированы файловые системы).

Вы можете использовать любую цель подключения в вашем VPC, если вы можете получить доступ к подсети этой цели подключения через с помощью подключения AWS Direct Connect между вашим локальным сервером и VPC. Чтобы получить доступ к Amazon EFS из локальный сервер, добавьте правило в группу безопасности mount target, чтобы разрешить входящий трафик порт NFS (2049) с локального сервера.

Чтобы создать такую ​​настройку, выполните следующие действия:

  1. Установите соединение AWS Direct Connect между локальным центром обработки данных и Amazon VPC. Дополнительные сведения об AWS Direct Connect см. в разделе AWS Direct Connect.

  2. Создайте свою файловую систему Amazon EFS.

  3. Смонтируйте файловую систему Amazon EFS на локальном сервере.

Подробные инструкции см. в разделе Пошаговое руководство. Создание и подключение локальной файловой системы с помощью AWS Direct Connect и VPN.

Как Amazon EFS работает с AWS Backup

Для реализации комплексного резервного копирования файловых систем вы можете использовать Amazon EFS с Резервное копирование AWS. AWS Backup — это полностью управляемый сервис резервного копирования, который упрощает централизацию и автоматизацию. резервное копирование данных через сервисы AWS в облаке и локально.Используя AWS Backup, вы можете централизованно настройте политики резервного копирования и отслеживайте активность резервного копирования для ваших ресурсов AWS. Amazon EFS всегда отдает приоритет операциям файловой системы над операциями резервного копирования. Чтобы узнать больше о резервном копировании EFS файловых систем с помощью AWS Backup, см. раздел Использование AWS Backup для резервного копирования и восстановления файловых систем Amazon EFS.

Краткое описание реализации

В Amazon EFS файловая система является основным ресурсом. Каждая файловая система имеет такие свойства, как ID, токен создания, время создания, размер файловой системы в байтах, количество созданных целей монтирования для файловой системы и состояния жизненного цикла файловой системы.Дополнительные сведения см. в разделе CreateFileSystem.

Amazon EFS также поддерживает другие ресурсы для настройки основного ресурса. К ним относятся крепление цели и точки доступа:

  • Цель монтирования — Чтобы получить доступ к вашей файловой системе, вы должны создать цели монтирования в вашем VPC. Каждая цель монтирования имеет следующие свойства: идентификатор цели монтирования, идентификатор подсети, в которой он создан, идентификатор файловой системы, для которой он создан. создан, IP-адрес, по которому может быть смонтирована файловая система, группы безопасности VPC и цель монтирования штат.Вы можете использовать IP-адрес или DNS-имя в команде mount .

    Каждая файловая система имеет DNS-имя следующего вида.

       идентификатор файловой системы  .efs.  aws-регион  .amazonaws.com  

    Вы можете указать это DNS-имя в команде mount для подключения Amazon EFS. файловая система. Предположим, вы создали подкаталог efs-mount-point вне вашего домашний каталог на вашем экземпляре EC2 или на локальном сервере.Затем вы можете использовать крепление Команда для монтирования файловой системы. Например, в Amazon Linux AMI вы можете использовать после команды mount .

      $ sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport  файловая-система-DNS-имя  :/ ~/efs-mount- точка  

    Дополнительные сведения см. в разделе Создание целей подключения и управление ими. Во-первых, вам необходимо установить клиент NFS на вашем экземпляре EC2.Упражнение «Начало работы» обеспечивает пошаговые инструкции.

  • Точки доступа — Точка доступа применяет пользователя операционной системы, группу, и путь файловой системы к любому запросу файловой системы, сделанному с использованием точки доступа. Операционная система точки доступа пользователь и группа переопределяют любую идентификационную информацию, предоставляемую клиентом NFS. Путь к файловой системе предоставляется клиенту как корневой каталог точки доступа.Это гарантирует, что каждое приложение всегда использует правильный идентификатор операционной системы и правильный каталог. при доступе к общим наборам данных на основе файлов. Приложения, использующие точку доступа, могут получать доступ только к данным в своем собственном каталоге и ниже. Дополнительные сведения см. в разделе Работа с точками доступа Amazon EFS.

Цели монтирования и теги — это подресурсы , связанные с файловой системой. Вы можете только создать их в контексте существующей файловой системы.

Amazon EFS предоставляет операции API для создания этих ресурсов и управления ими. В дополнение к операции создания и удаления для каждого ресурса, Amazon EFS также поддерживает операцию описания который позволяет получить информацию о ресурсах. У вас есть следующие возможности для создания и управление этими ресурсами:

  • Используйте консоль Amazon EFS. Пример см. в разделе Начало работы.

  • Используйте интерфейс командной строки (CLI) Amazon EFS. Пример см. в разделе Пошаговое руководство. Создание файловой системы Amazon EFS и ее подключение к экземпляр Amazon EC2 с использованием интерфейса командной строки AWS.

  • Вы также можете программно управлять этими ресурсами следующим образом:

    • Используйте пакеты SDK AWS. Пакеты SDK AWS упрощают ваши задачи программирования за счет переноса базовый API Amazon EFS. Клиенты SDK также аутентифицируют ваши запросы, используя ключи доступа, которые вы предоставляете. Дополнительные сведения см. в разделе Образец кода и библиотеки.

    • Вызов API Amazon EFS непосредственно из приложения. Если вы не можете использовать SDK по какой-то причине вы можете выполнять вызовы API Amazon EFS непосредственно из своего приложения.Однако вам нужно написать необходимый код для аутентификации ваших запросов, если вы используете этот вариант. Дополнительные сведения об API Amazon EFS см. в разделе API Amazon EFS.

Аутентификация и контроль доступа

У вас должны быть действительные учетные данные для выполнения запросов API Amazon EFS, например для создания файловой системы. Кроме того, у вас также должны быть разрешения на создание ресурсов или доступ к ним. По умолчанию, когда вы используете учетные данные корневой учетной записи вашей учетной записи AWS, вы можете создавать и получать доступ к ресурсам принадлежит этому аккаунту.Однако мы не рекомендуем использовать учетные данные root. В Кроме того, любые пользователи и роли AWS Identity and Access Management (IAM), которые вы создаете в своей учетной записи, должны быть предоставленные разрешения на создание или доступ к ресурсам. Дополнительные сведения о разрешениях см. Управление идентификацией и доступом для Amazon EFS.

Авторизация IAM

для клиентов NFS — это дополнительный параметр безопасности для Amazon EFS, использующий IAM для упрощения управления доступом для клиентов сетевой файловой системы (NFS) в масштабе.С ИАМ авторизации для клиентов NFS, вы можете использовать IAM для управления доступом к файловой системе EFS в по своей сути масштабируемый способ. Авторизация IAM для клиентов NFS также оптимизирована для работы в облаке. среды. Дополнительные сведения об использовании авторизации IAM для клиентов NFS см. в разделе Использование IAM для управления доступом к данным файловой системы.

Согласованность данных в Amazon EFS

Amazon EFS обеспечивает семантику согласованности близкой к открытой, которую ожидают приложения. НФС.

В Amazon EFS операции записи надежно хранятся в зонах доступности в файловых системах с использованием стандартных классов хранения в этих ситуаций:

  • Приложение выполняет синхронную операцию записи (например, используя команда open Linux с флагом O_DIRECT или fsync команда Linux).

  • Приложение закрывает файл.

В зависимости от шаблона доступа Amazon EFS может предоставлять более надежные гарантии согласованности, чем близко-открытая семантика. Приложения, которые выполняют синхронный доступ к данным и выполняют записи без добавления имеют согласованность чтения после записи для доступа к данным.

Классы хранения

В Amazon EFS вы можете выбирать из целого ряда классов хранилищ, предназначенных для различных варианты использования:

  • EFS Standard — класс регионального хранилища для часто доступ к данным.Он предлагает высочайший уровень доступности и долговечности за счет хранения файлов. системные данные с избыточностью в нескольких зонах доступности в регионе AWS.

  • EFS Standard-Infrequent Access (Standard-IA) — региональный класс хранения для редко используемых данных. Он предлагает самый высокий уровень доступности и надежность за счет избыточного хранения данных файловой системы в нескольких зонах доступности в регионе AWS.

  • EFS One Zone — для хранения часто используемых файлов. избыточно в пределах одной зоны доступности в регионе AWS.

  • EFS One Zone-IA (One Zone-IA) — более дешевый класс хранения для редко используемые файлы, хранящиеся избыточно в одной зоне доступности в Регион АВС.

Стандартные классы хранения EFS — это региональные классы хранения, в которых хранятся данные файловой системы. и метаданные избыточно в нескольких географически разделенных зонах доступности в пределах Регион АВС. Они обеспечивают высочайший уровень доступности и долговечности, обеспечивая постоянная доступность данных, даже если одна или несколько зон доступности в регионе недоступен.

Классы хранения EFS One Zone — это недорогие классы хранения с одной зоной доступности. Они хранят данные файловой системы и метаданные с избыточностью в одной зоне доступности в пределах Регион АВС.

Оба класса хранения IA снижают затраты на хранение файлов, к которым нет доступа ежедневно. Мы рекомендуем использовать хранилище IA, если вам нужно, чтобы полный набор данных был легко доступен. доступными, и вы хотите автоматически экономить на хранении файлов меньшего размера. часто используется.Примеры включают сохранение доступа к файлам для удовлетворения требований аудита, выполнить исторический анализ или выполнить резервное копирование и восстановление. Для получения дополнительной информации об Amazon EFS классы хранения, см. классы хранения EFS.

Управление жизненным циклом EFS

Управление жизненным циклом Amazon EFS автоматически управляет экономичным файловым хранилищем для ваших файлов. системы. Когда эта функция включена, управление жизненным циклом переносит файлы, к которым не было доступа для набора период времени к классу хранилища с нечастым доступом, Standard-IA или One Zone-IA.Вы определяете этот период время с помощью политики жизненного цикла . Дополнительные сведения см. в разделе Управление жизненным циклом Amazon EFS.

Интеллектуальная многоуровневая система EFS

Amazon EFS Intelligent-Tiering использует управление жизненным циклом для отслеживания шаблонов доступа вашей рабочей нагрузки. и предназначен для автоматического переноса файлов в соответствующий класс хранилища нечастого доступа (IA) и из него. Благодаря интеллектуальному распределению по уровням файлы в стандартном классе хранения (EFS Standard или EFS One Zone) к которым нет доступа в течение определенного периода времени, например 30 дней, переводятся в соответствующий Класс хранилища нечастого доступа (IA).Кроме того, при изменении шаблонов доступа EFS Intelligent-Tiering автоматически перемещает файлы обратно в классы хранения EFS Standard или EFS One Zone. Это помогает устранить риск неограниченной платы за доступ, обеспечивая при этом стабильно низкие задержки. Дополнительные сведения см. в разделе Intelligent-Tiering Amazon EFS.

классов хранения EFS — Amazon Elastic File System

Задержка первого байта при чтении или записи в хранилище класса IA ​​выше, чем что для стандартного класса хранения.Для файловых систем, использующих Разрывная пропускная способность, допустимая пропускная способность определяется на основе объема данных хранится только в стандартном классе хранения. Для файловых систем, использующих режим Provisioned Throughput, вам выставляется счет за предоставленную пропускную способность сверх того, что вам предоставляется на основе объем данных, принадлежащий стандартному классу хранения. Для получения дополнительной информации о производительности EFS см. см. Режимы пропускной способности.

Amazon EFS предлагает ряд классов хранилищ, предназначенных для различных вариантов использования.Эти включают EFS Standard, EFS Standard–Infrequent Access (Standard-IA), EFS One Zone и EFS One Zone — нечастый доступ (EFS One Zone-IA). В следующих разделах представлены сведения об этих классах хранения.

Классы хранилища Amazon EFS Standard и Standard–IA

Классы хранения EFS Standard и Standard-IA — это региональные классы хранения, предназначены для обеспечения постоянной доступности данных, даже если один или несколько Зоны в регионе AWS недоступны.Они предлагают самый высокий уровень доступности и надежность за счет избыточного хранения данных файловой системы и метаданных в нескольких географически разделенные зоны доступности в пределах региона.

Класс хранилища EFS Standard используется для часто используемых файлов. это хранилище класс, в который данные клиента изначально записываются для стандартных классов хранения.

Класс хранения Standard–IA снижает затраты на хранение файлов, которые не доступ каждый день.Это достигается без ущерба для высокой доступности, долговечности, эластичность и доступ к файловой системе POSIX, которые предоставляет Amazon EFS. Мы рекомендуем Стандарт-IA хранилище, если вам нужно, чтобы ваш полный набор данных был легко доступен, и вы хотите автоматически экономить на хранении файлов, к которым реже обращаются. Примеры включают сохранение файлы, доступные для удовлетворения требований аудита, выполнения исторического анализа или выполнение резервного копирования и восстановления.Хранилище Standard-IA совместимо со всеми функциями Amazon EFS, и доступен во всех регионах AWS, где доступна Amazon EFS.

Amazon EFS One Zone и EFS One Zone — классы хранения IA

Классы хранения

EFS One Zone и One Zone–IA предназначены для обеспечения непрерывного доступность данных в пределах одной зоны доступности. Классы хранения EFS One Zone хранить данные файловой системы и метаданные с избыточностью в пределах одной зоны доступности в Регион АВС.Поскольку они хранят данные в одной зоне доступности AWS, данные, которые хранятся в этих классах хранения могут быть потеряны в случае аварии или другой неисправности, которая влияет на все копии данных в Зоне доступности или в случае доступности Разрушение зоны.

Для дополнительной защиты данных Amazon EFS автоматически создает резервные копии файловых систем с помощью One Zone. классы хранилища с помощью AWS Backup. Вы можете восстановить резервные копии файловой системы на любой действующий Зона доступности в регионе AWS, или вы можете восстановить их в другом регионе.Резервные копии файловой системы Amazon EFS, которые создаются и управляются с помощью AWS Backup, реплицируются в три Зоны доступности и рассчитаны на долговечность 11 9. Дополнительные сведения см. в разделе Устойчивость в AWS Backup.

EFS One Zone — Standard используется для часто используемых файлов. это хранилище класс, в который изначально записываются данные клиента для классов хранения One Zone.

Класс хранилища EFS One Zone — IA снижает затраты на хранение файлов, которые не доступ каждый день.Мы рекомендуем хранилище EFS One Zone–IA, если вам нужно полное набор данных должен быть легко доступен и вы хотите автоматически экономить на затратах на хранение файлов к которым реже обращаются. Одно хранилище Zone-IA совместимо со всеми Amazon EFS. функциями и доступен во всех регионах AWS, где доступна Amazon EFS.

Производительность при нечастом доступе

Задержка первого байта при чтении или записи в любой из классов хранения IA выше, чем для классов хранения EFS Standard или EFS One Zone.

Вы можете переместить файлы из класса хранения IA в часто используемый класс хранения, скопировав их в другое место в вашей файловой системе. Если вы хотите, чтобы ваши файлы оставались в классе часто используемых хранилищ, остановите Lifecycle Management в файловой системе, а затем скопируйте файлы.

Сравнение классов хранилищ Amazon EFS

В следующей таблице сравниваются классы хранилищ, включая их доступность, долговечность, минимальная продолжительность хранения и другие соображения.

Класс хранения Предназначен для Прочность (предназначена для) Наличие Зоны доступности Другие соображения

Стандарт EFS

Часто используемые данные, требующие максимальной надежности и доступности.

99,999999999% (11 девяток)

99,99%

>=3

Нет

Стандарт EFS — нечастый доступ (IA)

Долгоживущие редко используемые данные, требующие максимальной надежности и доступности.

99.999999999% (11 девяток)

99,99%

>=3

Взимается плата за извлечение за ГБ.

EFS Одна зона

Часто используемые данные, не требующие высочайшего уровня надежности и доступности.

99.999999999% (11 девяток)*

99,90%

1

Неустойчив к потере зоны доступности.

EFS Одна зона-IA

Долгоживущие редко используемые данные, не требующие высочайшего уровня надежности и доступности.

99.999999999% (11 девяток)*

99,90%

1

Неустойчив к потере зоны доступности. Взимается плата за извлечение за ГБ.

*Поскольку классы хранения EFS One Zone хранят данные в одной зоне доступности AWS, данные, хранящиеся в этих классах хранения, могут быть потеряны в случае аварии или другой неисправности, которая влияет на все копии данных в Зоне доступности или в случае уничтожения Зоны доступности.

Ценообразование класса хранения

Вам выставляется счет за объем данных в каждом классе хранения. Вы также платите за данные доступ при чтении файлов в хранилище IA и при перемещении файлов в хранилище IA из Хранилище EFS Standard или One Zone. В счете AWS отображается емкость для каждого класса хранилища и измеренное доступ к классу хранения IA файловой системы (Standard-IA или One Zone-IA). Чтобы узнать больше, см. Цены на Amazon EFS.

Для файловых систем, использующих Разрывная пропускная способность, допустимая пропускная способность определяется на основе объема данных хранятся только в классах хранения EFS Standard и EFS One Zone. Для файловых систем, использующих режим Provisioned Throughput, вам выставляется счет за предоставленную пропускную способность сверх того, что вам предоставляется на основе объем данных в классах хранения EFS Standard и EFS One Zone. Для получения дополнительной информации о производительности EFS см. см. Режимы пропускной способности.

Плата за доступ к данным не взимается при использовании AWS Backup для резервного копирования жизненного цикла. файловые системы EFS с поддержкой управления. Чтобы узнать больше о жизненном цикле AWS Backup и EFS см. раздел Классы хранения EFS.

Просмотр размера класса хранения

Вы можете просмотреть, сколько данных хранится в каждом классе хранения вашей файловой системы, используя Консоль Amazon EFS, интерфейс командной строки AWS или API EFS.

Вкладка Измеренный размер в Сведения о файловой системе страница отображает текущий измеренный размер файловой системы в двоичных кратных байтах (кибибайты, мегабайты, гибибайты и тебибайты).Метрика выдается каждые 15 минут и позволяет просматривать измеренный размер вашей файловой системы с течением времени. Измеренный размер отображает следующую информацию для размер хранилища файловой системы:

  • Общий размер — это размер (в двоичных байтах) данных, хранящихся в файловая система, включая все классы хранения.

  • Размер в стандартной / одной зоне — размер (в двоичных байтах) данных, хранящихся в класс хранилища EFS Standard или EFS One Zone.

  • Размер в Standard-IA / One Zone-IA — это размер (в двоичных байтах) данных, хранящихся в Класс хранения Standard-IA или One Zone-IA, в зависимости от того, использует ли ваша файловая система классы хранения Standard или One Zone.

Вы также можете просмотреть метрику Память байтов на Мониторинг на вкладке Сведения о файловой системе в консоли Amazon EFS. Для большего информацию см. в разделе Доступ к метрикам CloudWatch.

Вы можете просмотреть, сколько данных хранится в каждом классе хранения вашей файловой системы, используя Интерфейс командной строки AWS или API EFS. Просмотрите сведения о хранилище данных, позвонив по номеру для описания файловых систем . Команда CLI (соответствующая операция API — DescribeFileSystems).

   $   aws efs описать файловые системы \
--регион сша-запад-2 \
--profile adminuser   

В ответе SizeInBytes > ValueInIA отображается последний измеренный размер в байтах в классе хранения файловой системы IA, либо Standard-IA, либо One Zone-IA. ValueInStandard отображает последний измеренный размер в байтах либо в EFS Standard или класс хранилища EFS One Zone, в зависимости от конфигурации файловой системы. Добавлен вместе они равны размеру всей файловой системы, отображаемому Value .

  {
   «Файловые системы»: [
      {
         «Идентификатор владельца»: «251839141158»,
         "CreationToken":"MyFileSystem1",
         «Идентификатор файловой системы»: «fs-47a2c22e»,
         "PerformanceMode": "общая цель",
         «Время создания»: 1403301078,
         "LifeCycleState":"создано",
         "КоличествоМаунтЦелей":1,
         "Размер в байтах": {
            "Значение": 29313417216,
            «ВалюИнИА»: 675432,
            "ВалуеИнСтандарт": 29312741784
        },
        «ThroughputMode»: «разрывной»
      }
   ]
}
  

Дополнительные способы просмотра и измерения использования диска см. в разделе Измерение объектов файловой системы Amazon EFS.

Использование классов хранилища Amazon EFS

Чтобы использовать классы хранения EFS Standard и Standard–IA, создайте файловую систему который хранит данные с избыточностью в нескольких зонах доступности в регионе AWS. Делать это при создании файловой системы с помощью Консоли управления AWS выберите Availability и Прочность , а затем выберите Региональный .

Чтобы использовать класс хранилища Standard–IA, необходимо включить жизненный цикл Amazon EFS. особенность управления.Когда эта функция включена, управление жизненным циклом автоматизирует перемещение файлов из стандартной хранилище в хранилище IA. При создании файловой системы с помощью консоли Lifecycle управление включено по умолчанию с настройкой 30 дней с момента последнего доступ . Дополнительные сведения см. в разделе Управление жизненным циклом Amazon EFS.

Чтобы использовать классы хранения EFS One Zone и One Zone–IA, необходимо создать файл система, в которой избыточно хранятся данные в одной зоне доступности в регионе AWS.К сделайте это при создании файловой системы с помощью консоли, выберите Availability и Прочность , а затем выберите One Zone .

Чтобы использовать класс хранилища One Zone — IA, необходимо включить жизненный цикл Amazon EFS. особенность управления. Когда эта функция включена, управление жизненным циклом автоматизирует перемещение файлов из стандартной хранилище в хранилище IA. При создании файловой системы с помощью консоли Lifecycle управление включено по умолчанию с настройкой 30 дней с момента последнего доступ .Дополнительные сведения см. в разделе Управление жизненным циклом Amazon EFS.

Возможности Amazon Elastic File System (EFS) | Облачное хранилище файлов

Репликация EFS

позволяет реплицировать данные вашей файловой системы в другой регион AWS или в пределах того же региона за несколько кликов, не требуя дополнительной инфраструктуры или специального процесса для отслеживания и синхронизации изменений данных. Организации в регулируемых отраслях часто подчиняются требованиям соответствия, которые предписывают хранить копии вторичных данных на расстоянии нескольких сотен миль от оригинала.Amazon EFS Replication автоматически и прозрачно реплицирует ваши данные во вторую файловую систему в выбранном вами регионе или зоне доступности. Вы можете использовать консоль Amazon EFS, интерфейс командной строки AWS и API, чтобы включить репликацию в существующей файловой системе. Репликация EFS является непрерывной и предназначена для обеспечения целевой точки восстановления (RPO) и целевого времени восстановления (RTO) в минутах, что позволяет вам соответствовать требованиям и обеспечивать непрерывность бизнеса.

Вы также можете настроить целевую файловую систему независимо от исходной файловой системы.Вы можете выбрать политику управления жизненным циклом целевой файловой системы, политики резервного копирования, подготовленную пропускную способность, цели подключения и точки доступа независимо от исходной файловой системы. Например, вы можете оптимизировать затраты на хранилище целевой файловой системы, включив EFS Lifecycle Management с более короткой политикой устаревания (например, 7 дней) по сравнению с политикой устаревания исходной файловой системы (например, 7, 14, 30, 60 или 90 дней). Вы также можете выполнить репликацию из исходной файловой системы, созданной с помощью классов хранилища Amazon EFS Standard, в целевую файловую систему, созданную с помощью классов хранилища Amazon EFS One Zone, и наоборот.

AWS Backup — это полностью управляемый сервис резервного копирования, который упрощает централизованное управление и автоматизацию резервного копирования ваших файловых систем Amazon EFS, устраняя необходимость в дорогостоящих специальных решениях и ручных процессах. AWS Backup выходит за рамки резервного копирования EFS и централизует резервное копирование данных в других сервисах AWS в облаке, а также локально. По мере перемещения приложений в облако их данные могут распределяться по нескольким службам, что затрудняет управление и консолидацию действий по резервному копированию без создания пользовательских сценариев и ручных процессов.С помощью AWS Backup вы можете централизованно настраивать и проводить аудит ресурсов AWS, автоматизировать планирование резервного копирования, устанавливать политики хранения и отслеживать действия по резервному копированию.

Что такое шифрованная файловая система Windows (EFS) и как ее включить или отключить?

В Windows есть несколько мощных встроенных инструментов безопасности, которые вы можете использовать в любое время, но слышали ли вы о функции шифрованной файловой системы (EFS)? Проще говоря, EFS — это инструмент, который поможет вам легко зашифровать все ваши файлы и папки Windows.

Но каковы преимущества этого инструмента и как его включить или отключить? Давай выясним.

Каковы преимущества использования функции шифрованной файловой системы?

Функция Windows EFS позволяет легко шифровать и расшифровывать файлы на дисках Windows NTFS. После того как вы зашифровали файлы с помощью этого инструмента, другие люди не смогут получить к ним доступ, если у них нет вашего пароля.

Одним из преимуществ инструмента является то, что он позволяет зашифровать определенную папку, а не весь раздел жесткого диска. Кроме того, если вы переместите файл в папку, зашифрованную с помощью EFS, файл будет автоматически зашифрован.

Теперь, когда мы разобрались с EFS, давайте посмотрим, как вы можете включить или отключить этот инструмент.

1. Как включить или отключить EFS с помощью командной строки

Командная строка — это важный инструмент Windows, который можно использовать для различных целей.Вы можете использовать его для настройки различных параметров или устранения неполадок в системе.

Связанный: Лучшие бесплатные инструменты восстановления Windows 10 для решения любой проблемы

Давайте посмотрим, как командная строка может помочь вам включить инструмент EFS:

  1. Нажмите Win + R , чтобы открыть диалоговое окно «Выполнить команду».
  2. Введите CMD и нажмите Ctrl + Shift + Enter , чтобы открыть командную строку с повышенными привилегиями.
  3. Чтобы включить функцию EFS, введите следующую команду и нажмите Enter :
  набор поведения fsutil disableencryption 0  

Если вы хотите отключить этот инструмент, введите следующую команду и нажмите Введите :

  набор поведения fsutil, отключающий шифрование 1  

2. Как включить или отключить EFS с помощью редактора локальной групповой политики

Редактор локальной групповой политики также может помочь вам включить инструмент EFS.Однако этот метод будет работать, если вы используете версии Windows 10 Pro, Enterprise или Education. Но если у вас Windows 10 Home, вы можете попробовать различные способы открытия редактора локальной групповой политики.

Вот как редактор локальной групповой политики может помочь вам включить инструмент EFS:

  1. Нажмите Win + R , чтобы открыть диалоговое окно «Выполнить команду».
  2. Введите gpedit.msc и нажмите Введите , чтобы открыть редактор локальной групповой политики.
  3. Перейдите к Конфигурация компьютера > Административные шаблоны > Система > Файловая система > NTFS .
  4. На правой боковой панели дважды щелкните параметр Не разрешать шифрование на всех томах NTFS .

В следующем окне выберите Не настроено или Отключено .Нажмите Применить , а затем нажмите OK , чтобы применить эти изменения.

Если вы хотите отключить инструмент, откройте настройки NTFS в соответствии с предыдущими шагами. Выберите параметр Включить , нажмите Применить , а затем нажмите OK . Наконец, перезагрузите компьютер, чтобы применить изменения.

3. Как включить или отключить EFS с помощью локальной политики безопасности

Локальная политика безопасности — еще один надежный инструмент Windows.Вот шаги для включения EFS через локальную политику безопасности:

  1. Нажмите Win + R , чтобы открыть диалоговое окно «Выполнить команду».
  2. Введите secpol.msc и нажмите . Введите , чтобы открыть локальную политику безопасности.
  3. Перейдите к Параметры безопасности и щелкните раскрывающееся меню в разделе Политики открытого ключа .
  4. Щелкните правой кнопкой мыши Encrypting File System и выберите Properties .

В следующем окне перейдите на вкладку Общие и выберите Разрешить в разделе Шифрование файлов с использованием шифрованной файловой системы (EFS) . Нажмите Применить , а затем нажмите OK . Перезагрузите систему, чтобы применить изменения.

Чтобы отключить средство EFS, перейдите к окну Свойства шифрованной файловой системы , как описано выше. Выберите Не определено или Не разрешать , нажмите Применить , а затем нажмите OK . Перезагрузите компьютер, когда закончите.

4. Как включить или отключить EFS с помощью служб

Инструмент служб поможет вам легко настроить различные параметры системы. В этом случае мы покажем вам, как это может помочь вам включить EFS.

  1. Чтобы начать, нажмите Win + R , чтобы открыть диалоговое окно «Выполнить команду».
  2. Введите services.msc и нажмите Введите .
  3. В следующем окне прокрутите вниз и дважды щелкните параметр Encrypting File System (EFS) .

Щелкните раскрывающееся меню рядом с параметром Тип запуска и выберите Автоматически .Щелкните Применить , а затем щелкните OK , чтобы сохранить эти изменения. Когда закончите, нажмите кнопку Start под Service status .

Чтобы отключить EFS, откройте настройки служб в соответствии с предыдущими шагами. Выберите параметр Disabled в раскрывающемся меню Тип запуска . Нажмите Применить и нажмите OK , чтобы применить эти изменения.

5. Как включить или отключить EFS с помощью редактора реестра

Вы также можете включить или отключить EFS с помощью редактора реестра.Однако для этого потребуется внести некоторые изменения в важные ключи реестра. Таким образом, вы можете рассмотреть возможность резервного копирования реестра, прежде чем продолжить.

В противном случае, вот как вы можете включить или отключить EFS через редактор реестра:

  1. Нажмите Win + R , чтобы открыть диалоговое окно «Выполнить команду».
  2. Введите Regedit и нажмите OK , чтобы открыть редактор реестра.
  3. Перейдите к Computer > HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Policies .
  4. Щелкните правой кнопкой мыши любое пустое место с правой стороны и выберите New > DWORD (32-bit) Value .

Назовите значение DWORD как NtfsDisableEncryption и нажмите Введите .Чтобы включить EFS, дважды щелкните значение NtfsDisableEncryption , задайте для его данных Value значение 0 и нажмите OK .

Чтобы отключить EFS, дважды щелкните значение NtfsDisableEncryption , задайте для его Value data значение 1 и нажмите OK .

Как зашифровать или расшифровать файлы и папки с помощью EFS

Теперь вы знаете, как включить или отключить инструмент EFS на устройстве Windows.Но как зашифровать файлы и папки с помощью этого инструмента? Давай выясним.

  1. Нажмите Win + E , чтобы запустить проводник.
  2. Щелкните правой кнопкой мыши файл или папку и выберите Свойства .
  3. Нажмите кнопку Advanced в следующем окне.
  4. Установите флажок Зашифровать содержимое для защиты данных и нажмите кнопку OK .

Во всплывающем окне выберите параметр Применить изменения только к этой папке или Применить изменения к этой папке, подпапкам и файлам . Нажмите OK , когда закончите.

Перезагрузите компьютер, чтобы применить эти изменения.

Если вы хотите расшифровать файлы, перейдите к окну свойств в соответствии с предыдущими шагами.Нажмите кнопку Advanced и снимите флажок Зашифровать содержимое для защиты данных . Нажмите OK , чтобы завершить процесс.

Защитите свои файлы с помощью шифрованной файловой системы Windows

Если вы ищете быстрый способ зашифровать файлы Windows, попробуйте функцию шифрованной файловой системы. Инструмент бесплатный и довольно простой в использовании. Чтобы включить или отключить его, просто примените советы, которые мы предоставили.

Но если вам нужны сложные инструменты шифрования файлов, вы можете попробовать другие сторонние приложения, такие как BitLocker.

Как зашифровать диск с помощью BitLocker в Windows 10

Читать Далее

Об авторе

Модиша Тлади (опубликовано 110 статей)

Модиша — автор технического контента и блоггер, увлеченный новыми технологиями и инновациями.Ему нравится проводить исследования и писать полезный контент для технологических компаний. Он проводит большую часть своего времени, слушая музыку, а также любит играть в видеоигры, путешествовать и смотреть комедийные боевики.

Более От Модиши Тлади
Подпишитесь на нашу рассылку новостей

Подпишитесь на нашу рассылку технических советов, обзоров, бесплатных электронных книг и эксклюзивных предложений!

Нажмите здесь, чтобы подписаться

Шифрование файлов — приложения Win32

  • Статья
  • 2 минуты на чтение
  • 5 участников

Полезна ли эта страница?

Да Нет

Любая дополнительная обратная связь?

Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

Зашифрованная файловая система, или EFS, обеспечивает дополнительный уровень безопасности для файлов и каталогов. Он обеспечивает криптографическую защиту отдельных файлов на томах файловой системы NTFS с использованием системы открытых ключей.

Как правило, контроль доступа к объектам файлов и каталогов, предоставляемый моделью безопасности Windows, достаточен для защиты от несанкционированного доступа к конфиденциальной информации.Однако, если ноутбук, содержащий конфиденциальные данные, потерян или украден, защита безопасности этих данных может быть нарушена. Шифрование файлов повышает безопасность.

Чтобы определить, поддерживает ли файловая система шифрование файлов и каталогов, вызовите функцию GetVolumeInformation и проверьте битовый флаг FS_FILE_ENCRYPTION . Обратите внимание, что следующие элементы не могут быть зашифрованы:

  • Сжатые файлы
  • Системные файлы
  • Системные каталоги
  • Корневые каталоги
  • транзакций

Разреженные файлы могут быть зашифрованы.

TxF не поддерживает большинство операций с файлами зашифрованной файловой системы (EFS). TxF поддерживает только операции чтения, такие как ReadEncryptedFileRaw .

В этом разделе

Дополнительные сведения о шифровании см. в разделе Добавление пользователей в зашифрованный файл.

Дополнительные сведения о криптографии см. в разделе Криптография.

Amazon EFS — Tutorials Dojo

Правильный ответ: 1

Спотовые инстансы — это экономичный выбор, если вы можете быть гибкими в отношении того, когда ваши приложения работают и могут ли они быть прерваны.Например, спотовые инстансы хорошо подходят для анализа данных, пакетных заданий, фоновой обработки и дополнительных задач.

Amazon EFS поддерживает две формы шифрования файловых систем: шифрование данных при передаче и шифрование при хранении. Вы можете включить шифрование данных в состоянии покоя только при создании файловой системы Amazon EFS. Вы можете включить шифрование данных при передаче при монтировании файловой системы.

В вашей организации может потребоваться шифрование всех данных, которые соответствуют определенной классификации или связаны с определенным приложением, рабочей нагрузкой или средой.Вы можете применять политики шифрования данных для файловых систем Amazon EFS с помощью средств обнаружения, которые обнаруживают создание файловой системы и проверяют, включено ли шифрование. Если обнаружена незашифрованная файловая система, вы можете отреагировать несколькими способами: от удаления файловой системы и монтирования до уведомления администратора.

Имейте в виду, что если вы хотите удалить незашифрованную файловую систему, но хотите сохранить данные, вы должны сначала создать новую зашифрованную файловую систему.Затем вы должны скопировать данные в новую зашифрованную файловую систему. После того, как данные скопированы, вы можете удалить незашифрованную файловую систему.

Следовательно, правильный ответ:  Запрос на спотовую группу для обработки пакетного выполнения. Создайте новую файловую систему EFS с включенным шифрованием при хранении, затем скопируйте все данные из текущей файловой системы. После копирования данных удалите незашифрованную файловую систему. Используйте новую файловую систему EFS при сохранении результатов, обработанных спотовыми инстансами.

Параметр, который говорит: Использовать региональные зарезервированные экземпляры EC2 для обработки пакетного выполнения и регистрации экземпляров в AWS Compute Optimizer для дальнейшего снижения затрат. Включить шифрование при хранении в существующей файловой системе EFS неверно. Хотя региональные зарезервированные инстансы дешевле, чем инстансы по требованию, они все же стоят дороже, чем спотовые инстансы; следовательно, это не самое экономичное решение. Кроме того, вы не можете напрямую включить шифрование в состоянии покоя в уже существующей файловой системе EFS.Помните, что AWS Compute Optimizer предоставляет рекомендации только для ваших инстансов Amazon EC2, чтобы помочь вам повысить производительность и снизить расходы. Вам не нужно регистрировать экземпляры для этой конкретной службы.

Параметр, который говорит:  Использовать выделенные инстансы Amazon EC2 с поддержкой EBS для обработки пакетного выполнения. Включите функцию быстрого восстановления моментальных снимков (FSR) на всех томах EBS, чтобы снизить стоимость хранилища. Создайте новую файловую систему EFS с включенным шифрованием при хранении, затем скопируйте все данные из текущей файловой системы.Использовать новую файловую систему EFS при сохранении результатов, обработанных экземплярами On-Demand  неверно. Хотя процесс включения шифрования при хранении в EFS является правильным, выбор варианта покупки экземпляра EC2 неверен. Выделенные инстансы — это обычные инстансы Amazon EC2, которые работают в облаке VPC на оборудовании, предназначенном для одного клиента, и стоят дороже, чем зарезервированные инстансы, инстансы по требованию и спотовые инстансы. Включение функции быстрого восстановления моментальных снимков (FSR) фактически увеличит ваш счет EBS, а не уменьшит его.Это на самом деле самый дорогой из остальных вариантов.

Параметр, который говорит:  Создайте собственный образ AMI с помощью службы EC2 Image Builder. Запросите несколько спотовых инстансов EC2 и запустите свои вычислительные мощности с помощью AMI. Включите шифрование при хранении в существующей файловой системе EFS. Создайте правило в AWS Control Tower для автоматической остановки инстансов EC2 после неправильной пакетной обработки .

Станьте первым комментатором

Добавить комментарий

Ваш адрес email не будет опубликован.