Аутентифікація користувача і права доступу до ресурсів, що мають місце в NT, працюють, коли операційна система завантажена, але при фізичному доступі до системи можливо завантажити іншу ОС, щоб обійти ці обмеження. EFS використовує симетричне шифрування для захисту файлів, а також шифрування, засноване на парі відкритий / закритий ключ для захисту випадково згенерованого ключа шифрування для кожного файлу. За замовчуванням закритий ключ користувача захищений за допомогою шифрування призначеним для користувача паролем, і захищеність даних залежить від стійкості пароля користувача.
Опис роботи Правити
EFS працює, шифруючи кожен файл за допомогою алгоритму симетричного шифрування. залежить від версії операційної системи і налаштувань (починаючи з Windows XP доступна теоретична можливість використання сторонніх бібліотек для шифрування даних). При цьому використовується випадково згенерований ключ для кожного файлу, званий File Encryption Key (FEK), вибір симетричного шифрування на даному етапі пояснюється його швидкістю по відношенню до асиметричному шифрування.
FEK (випадковий для кожного файлу ключ симетричного шифрування) захищається шляхом асиметричного шифрування. використовує відкритий ключ користувача, шифрувального файл, і алгоритм RSA (теоретично можливе використання інших алгоритмів асиметричного шифрування). Зашифрований таким чином ключ FEK зберігається в альтернативному потоці $ EFS файлової системи NTFS. Для розшифрування даних драйвер файлової системи прозоро для користувача розшифровує FEK, використовуючи закритий ключ користувача, а потім і необхідний файл за допомогою розшифрованого файлового ключа.
Оскільки шифрування / розшифрування файлів відбувається за допомогою драйвера файлової системи (по суті, надбудови над NTFS), воно відбувається прозоро для користувача і додатків. Варто зауважити, що EFS не шифрується файли, що передаються по мережі, тому для захисту переданих даних необхідно використовувати інші протоколи захисту даних (IPSec або WebDAV).
Інтерфейси взаємодії з EFS Правити
Для роботи з EFS у користувача є можливість використовувати графічний інтерфейс провідника або утиліту командного рядка.
Використання графічного інтерфейсу Правити
Для того, щоб зашифрувати файл або папку, яка містить файл, користувач може скористатися відповідним вікном діалогу властивості файлу або папки, встановивши або знявши прапорець «шифрувати вміст для захисту даних», при цьому для файлів починаючи з Windows XP можна додати відкриті ключі інших користувачів, які теж матимуть можливість розшифрувати даний файл і працювати з його вмістом (при наявності відповідних дозволів). При шифруванні папки шифруються всі файли, що знаходяться в ній, а також ті, які будуть поміщені в неї пізніше.
При роботі з провідником Windows можливо (за замовчуванням) відображення зашифрованих папок і файлів іншим (за замовчуванням зеленим) кольором, що дозволяє візуально відрізнити захищене таким чином вміст. При копіюванні зашифрованих файлів на розділ, де шифрування не підтримуються (наприклад, з файлової системою FAT32 і т. Д.) Буде видано попередження про те, що файл буде розшифровано.
Методом редагування реєстру можливо додати в контекстне меню провідника (і інших, що підтримують цю функціональність файлових менеджерів) пунктів «зашифрувати» і «розшифрувати», що підвищує зручність роботи при частому використанні цих функцій, для чого необхідно створити (або змінити існуючий) параметр реєстру типу DWORD EncryptionContextMenu на 00000001. знаходиться в гілці HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced.
Інтерфейс командного рядка Правити
Для роботи з EFS користувачем є також можливість використовувати інтерфейс командного рядка - команда cipher. При виконанні даної команди без параметрів буде виведено вміст поточної папки з міткою U перед файлом, якщо він не зашифрований, і E, якщо зашифрований.
Команда зашифрования файлу / папки має вигляд:
Команда розшифрування файлу / папки має вигляд:
Дана утиліта має ряд інших можливостей, список яких може бути отриманий за допомогою команди cipher /. серед яких перешіфрованіе файлів з новим ключем, генерація нового ключа шифрування, додавання агента відновлення і т. д.
Очищення невикористаного місця Правити
При видаленні файлу або папки не відбувається повного фізичного видалення інформації, очищається лише тільки «зміст» файлової системи. За допомогою утиліти cipher можливо часткове вирішення цієї проблеми, так як існує можливість виконати очистку вільного місця на диску затиранням її. Для цього необхідно використовувати синтаксис
WinAPI Правити
Для роботи з EFS прикладних і системних програм можливе використання документованих і недокументованих функцій API Windows.
Алгоритми шифрування, які використовуються EFS Правити
Підсистема EFS використовує різні симетричні алгоритми шифрування, які залежать від версії операційної системи windows NT.
Алгоритм шифрування за умовчанням