Шифруем данные в Windows 8 с помощью EFS | Windows для системных администраторов

Шифруем данные в Windows 8 с помощью EFS

Начиная с Windows XP во всех операционных системах Microsoft существует встроенная технология шифрования данных EFS (Encrypting File System). EFS-шифрование основано на возможностях файловой системы NTFS 5.0 и архитектуре CryptoAPI и предназначено для быстрого шифрования файлов на жестком диске компьютера .

Вкратце опишем схему шифрования EFS. Система EFS использует шифрование с открытым и закрытым ключом. Для шифрования в EFS используется личный и публичный ключи пользователя, которые генерируются при первом использовании пользователем функции шифрования. Данные ключи остаются неизменными все время, пока существует его учетная запись. При шифровании файла EFS случайным образом генерирует уникальный номер, так называемый File Encryption Key (FEK) длиной 128 бит, с помощью которого и шифруются файлы. Ключи FEK зашифрованы master-ключом, который зашифрован ключом пользователей системы, имеющего доступ к файлу. Закрытый ключ пользователя защищается хэшем пароля этого самого пользователя.

Таким образом, можно сделать вывод: вся цепочка EFS шифрования по сути жестко завязана на логин и пароль пользователя. Это означает, что защищённость данных в том числе зависит и от стойкости пароля пользователя.

Важно. Данные, зашифрованные с помощью EFS, могут быть расшифрованы только с помощью той же самой учетной записи Windows с тем же паролем, из-под которой было выполнено шифрование. Другие пользователи, в том числе администраторы, расшифровать  и открыть эти файлы не смогут. Это означает, что приватные данные останутся в безопасности, даже если пароль пользователя будет сброшен любым способом. Но важно понимать и обратную сторону вопроса. При смене учетной записи или ее пароля (если только он не был изменен непосредственно самим пользователем из своей сессии), выходе из строя или переустановке ОС  – зашифрованные данные станут недоступны. Именно поэтому крайне важно экспортировать и хранить в безопасном месте сертификаты шифрования (процедура описана ниже).
Примечание. Начиная с Windows Vista в ОС системах MS поддерживается еще одна технология шифрования – BitLocker. BitLocker в отличии от EFS-шифрования:

  • используется для шифрования дискового тома целиком
  • требует наличия аппаратного TPM модуля (в случае его требуется внешнее устройство хранения ключа, например USB флешки или жесткого диска)

Внешне для пользователя работа с зашифрованными с помощью EFS приватными файлами ничем не отличается от работы с обычными файлами – ОС выполняет операции шифрования/дешифрования автоматически (эти функции выполняет драйвер файловой системы).

Содержание:

Как включить EFS шифрование каталога в Windows


Пошагово разберем процедуру шифрования данных в Windows 8 с  помощью EFS.

Примечание. Не в коем случае не стоит включать шифрование для системных каталогов и папок. В противнмслучае Windows может просто не загрузится, т.к. система не сможет найти личный ключ пользователя и дешифровать файлы.

В проводник File Explorer выберите каталог или файлы, которые необходимо зашифровать, и, щелкнув ПКМ, перейдите в их свойства (Properties). windows 8 efs шифрование объектов файловой системы

На вкладке General в секции атрибутов найдите и нажмите кнопку Advanced.

В появившемся окне поставьте чекбокс Encrypt contents to secure data (Шифровать содержимое для защиты данных). Шифровать содержимое для защиты файлов в Windows 8

Нажмите дважды ОК.

В том случае, если выполняется шифрование каталога, система спросит хотите ли вы зашифровать только каталог или каталог и все вложенные элементы. Выберите желаемое действие, после чего окно свойств каталога закроется.подтвердить шифрование

Зашифрованные каталоги и файлы в проводнике Windows отображаются зеленым цветов (напомним, что синим цветов подсвечены объекты, сжатые на уровне ntfs). Если выбрано шифрование папки со всем содержимым, все новые объекты внутри зашифрованного каталога также шифруются. windows 8 зашифрованные папки в проводнике

Управлять шифрованием/дешифрованием EFS можно из командной строки с помощью утилиты cipher. Например, зашифровать каталог C:\Secret можно так:

cipher /e c:\Secret

Список всех файлов в файловой системе, зашифрованных с помощью сертификата текущего пользователя можно вывести с помощью команды:

cipher /u /n

cipher - управление шифрованием из командной строки

Резервное копирование ключа шифрование EFS


После того, как пользователь впервые зашифровал свои данные с помощью EFS, в системном трее появится всплывающее окно, сообщающее о необходимости сохранить ключ шифрования.

Back up your file encryption key. This helps you avoid permanently losing access to you encrypted files.

резервное копирование ключа шифрования

Щелкнув по сообщению, вы запустите мастер резервного копирования сертификатов и ассоциированных с ними закрытых ключей шифрования EFS.

Примечание. Если вы случайно закроете окно, или оно не появится, экспортировать сертификаты EFS можно с помощью функции «Manage file encryption certificates» в панели управления пользователями.управление сертификатами шифрования

Выберите Back up your file encryption certificate and key

backup certificates efs windows 8

Далее запустится мастер экспорта сертификата . Все настройки экспорта можно оставить стандартными (формат Personal Information Exchange — PKCS #12 .PFX)

импорт сертификатов в формате pfx

Затем укажите пароль для защиты сертификата (желательно достаточно сложный).

пароль доступа к сертификату

Осталось указать местоположение, куда необходимо сохранить экспортируемый сертификат (в целях безопасности в дальнейшем его необходимо скопировать на внешний жесткий диск /usb флешку и хранить в безопасном месте).

На этом экспорт сертификата шифрования EFS закончен и в случае необходимости им всегда можно будет воспользоваться для расшифровки данных (подробности в статье Как расшифровать данных EFS с помощью сертификата пользователя.

Еще записи по теме: Windows 8
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 6

Оставить комментарий
  1. Гангадзе | 21.01.2014

    …Хотелось бы кнопку «Версия для печати». Спасибо, хороший материал.

    Ответить
  2. Не хватает поэтапного восстановления информации при помощи зарезервированного ключа.

    Ответить
  3. Артем | 15.03.2014

    Помогите пожалуйста, возникла следующая проблема:В свойствах, кнопка «Шифровать содержимое для защиты данных» не кликабельна, что делать?

    Ответить
    • dimokkk | 17.03.2014

      Какая версия Windows?
      Автор забыл указать, что BitLocker и EFS доступны только в старших версиях  Windows 8 Pro и Windows 8 Enterprise

      Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.26MB/0.00143 sec