Започвайки с Windows XP, всички операционни системи на Microsoft имат вградена технология за криптиране на данни. EFS (Шифроване на файлова система). Криптирането на EFS се основава на възможностите на файловата система NTFS 5.0 и архитектурата CryptoAPI и е предназначено за бързо криптиране на файлове на твърдия диск на компютъра .
Накратко описваме схемата за криптиране на EFS. Системата EFS използва криптиране с публичен и частен ключ. За криптиране EFS използва частните и публичните ключове на потребителя, които се генерират при първо използване на функцията за криптиране. Тези ключове остават непроменени, докато съществува акаунта му. Когато криптира файл, EFS произволно генерира уникален номер, така наречения 128-битов ключ за шифроване на файлове (FEK), с който файловете се криптират. FEK ключовете са шифровани с главен ключ, който е кодиран с ключа на потребителите на системата, която има достъп до файла. Личният ключ на потребителя е защитен от хеша на паролата на този потребител.
По този начин можем да заключим: цялата верига за криптиране на EFS по същество е здраво свързана с потребителското име и паролата на потребителя. Това означава, че сигурността на данните зависи и от силата на паролата на потребителя..
Важно е. Данните, криптирани с помощта на EFS, могат да бъдат декриптирани само с един и същ акаунт в Windows със същата парола, под която е извършено криптирането. Други потребители, включително администратори, не могат да дешифрират и отворят тези файлове. Това означава, че личните данни ще останат в безопасност, дори ако паролата на потребителя бъде зададена по някакъв начин. Но е важно да разберем обратната страна на въпроса. Когато промените акаунта или неговата парола (освен ако не е била пряко променена от самия потребител от неговата сесия), повреда или преинсталиране на ОС - криптираните данни ще станат недостъпни. Ето защо е изключително важно да експортирате и съхранявате сертификати за криптиране на безопасно място (процедурата е описана по-долу).забележка. Започвайки с Windows Vista, в MS системите се поддържа друга технология за криптиране, BitLocker. BitLocker, за разлика от криптирането на EFS:- използва се за криптиране на целия обем на диска
- изисква хардуерен TPM модул (в случай че изисква устройство за съхранение на външен ключ, например USB флаш устройство или твърд диск)
Външно за потребителя работата с частни файлове, криптирани с помощта на EFS, не се различава от работата с обикновени файлове - операционната система извършва операции за криптиране / дешифриране автоматично (драйверът на файловата система изпълнява тези функции).
Съдържание:
Съдържание:
- Как да активирате криптирането на EFS директория в Windows
- Ключово резервно копие EFS Encryption
Как да активирате криптирането на EFS директория в Windows
Стъпка по стъпка как да криптирате данните в Windows 8 с помощта на EFS.
забележка. В никакъв случай не трябва да разрешавате криптиране за системни директории и папки. За разлика от това Windows може просто да не се зарежда, защото системата не може да намери личния ключ на потребителя и да дешифрира файлове.В File Explorer изберете директорията или файловете, които искате да шифровате, и като щракнете върху RMB, отидете на техните свойства (Имоти).
етикет общ в секцията атрибути намерете и щракнете върху бутона напреднал.
В прозореца, който се показва, поставете отметка в квадратчето Шифровайте съдържанието, за да защитите данните (Шифровайте съдържанието за защита на данните).
Щракнете два пъти ОК.
Ако се извърши криптирането на директорията, системата ще попита дали искате да шифровате само директорията или директорията и всички вложени елементи. Изберете желаното действие, след което прозорецът на свойствата на каталога се затваря.
Шифрованите директории и файлове в Windows Explorer се показват в зелено (припомнете си, че обектите, компресирани на ниво ntfs, са подчертани в синьо). Ако е избрано криптиране на папката с цялото съдържание, всички нови обекти вътре в криптираната директория също са криптирани..
Криптирането / дешифрирането на EFS може да се контролира от командния ред с помощта на помощната програма за шифроване. Например, можете да шифровате директорията C: \ Secret така:
cipher / e c: \ Secret
Списък на всички файлове в криптираната файлова система с помощта на сертификата на текущия потребител може да бъде показан чрез командата:
шифър / u / n
Ключово резервно копие EFS Encryption
След като потребителят за първи път шифрова своите данни с помощта на EFS, в системната лента ще се появи изскачащ прозорец, който ви информира за необходимостта от запазване на ключа за шифроване.
Архивирайте ключа за криптиране на вашия файл. Това ви помага да избягвате трайно загуба на достъп до криптирани файлове.Щраквайки върху съобщението, ще стартирате съветника за архивиране на сертификати и свързаните с тях частни ключове за криптиране EFS.
забележка. Ако случайно затворите прозореца или той не се показва, можете да експортирате EFS сертификати с помощта на „Управление на сертификати за криптиране на файлове"в контролния панел на потребителя.Изберете Архивирайте вашия сертификат и ключ за криптиране на файла
След това стартира съветникът за експортиране на сертификати. Всички настройки за експортиране могат да бъдат оставени стандартни (формат)Обмен на лична информация - PKCS # 12 .PFX)
След това въведете паролата, за да защитите сертификата (за предпочитане доста сложен).
Остава да посочите местоположението, където искате да запазите експортирания сертификат (за целите на сигурността, в бъдеще той трябва да бъде копиран на външен твърд диск / флаш устройство и да се съхранява на безопасно място).
С това завършвате експортирането на сертификата за криптиране на EFS и, ако е необходимо, винаги можете да го използвате за декриптиране на данните (за подробности вижте Как да декриптирате EFS данни с помощта на потребителски сертификат..