EFS в Windows XP Professional

Система EFS известна со времени появления Windows 2000, но Windows XP Professional добавила в нее новые свойства, повысив ее функциональность. Эти новые качества включают в себя следующее.

• Возможность шифровать файлы в режиме офлайн.
• Наличие агентов восстановления данных (Data Recovery Agents).
• Возможность использования алгоритма 3DES (triple-DES) вместо DESX (Data Encryption Standard XORed).
• Дискета сброса пароля может быть использована для переустановки пароля пользователя.
• Зашифрованные файлы можно хранить в веб-папках.

В Windows XP Professional система EFS включается по умолчанию. Однако тут надо соблюсти некоторые предварительные условия. Во-первых, пользователи должны иметь открытый и закрытый ключи и открытый сертификат шифрования. Однако EFS может использовать самоподписываемые сертификаты, которым для работы не нужна подпись администратора.

Шифрование и расшифровка

При работе с EFS лучше всего зашифровывать целую папку, а не отдельные файлы. Это ускоряет процесс и делает его более эффективным. Вместо шифрования разрозненных файлов вы сможете одним движением руки создать защиту множества файлов. Более того, при шифровании папки целиком все запасные копии файлов тоже шифруются.

Примечание. Разумеется, будут зашифрованы только те копии, которые хранятся в зашифрованной папке.

Для шифрования файла или папки проделайте следующие шаги.

1. В My Computer (Мой компьютер) выберите файл или папку, которые нужно зашифровать.
2. Щелкните правой кнопкой мыши на файле или папке и выберите Properties (Свойства).
3. На вкладке General (Общие) щелкните на кнопке Advanced (Дополнительно). Появится экран, показанный на рис. 10.6.
4. Отметьте флажок Encrypt contents to secure data (Шифровать содержимое для защиты данных) и затем нажмите ОК.

Если вы решили зашифровать только файл, то Windows XP Professional выдаст запрос, хотите ли вы зашифровать один этот файл или все папку. Как упоминалось ранее, лучше зашифровать целую папку, но, тем не менее, можно зашифровать и отдельный файл. После шифрования имя файла будет показано зеленым цветом.

Рис. 10.6. Шифрование файла или папки

Примечание. Сжатые файлы представлены шрифтом синего цвета. Файл не может быть одновременно зашифрованным и сжатым.

Дешифрование файлов и папок проводится аналогичным образом. В данном случае вам потребуется очистить флажок Encrypt contents to secure data.

Команда CIPHER

По желанию для шифрования папок и файлов можно использовать инструмент командной строки CIPHER. Использование команды CIPHER в чистом виде просто показывает атрибуты файлов и папок, содержащихся в данной папке. Однако эту команду можно применять с набором ключей. Перечисленные ниже являются наиболее полезными.

• /e Назначает файл или папку для шифрования.
• /d Расшифровывает выбранный файл или папку.
• /a Указывает, что действие будет применено ко всем файлам в папке.
• /? Представляет список всех аргументов CIPHER.

Ниже показаны два файла, которые были предварительно зашифрованы с помощью Windows XP Professional GUI, каждый из которых содержит очень секретную информацию: Top Secret Plans For World Domination.txt и Aunt Barb's Apple Brown Betty Recipe.txt. Воспользовавшись командой CIPHER, мы можем увидеть EFS-атрибуты файлов в этой папке. Оба файла были зашифрованы, о чем свидетельствует буква "E" рядом с именами файлов. Незашифрованные папки помечены буквой "U".

C:>cipher

Listing C:\Documents and Settings\Robert Elsenpeter\My Documents\

New files added to this directory will not be encrypted.

E Aunt Barb's Apple Brown Betty Recipe.txt

U My Music

U My Pictures

E Top Secret Plans For World Domination.txt

Для расшифровки этих файлов введите:

C:>cipher /d /a

Decrypting files in C:\Documents and Settings\Robert Elsenpeter\My Documents\

Aunt Barb's Apple Brown Betty Recipe.txt [OK]

Top Secret Plans For World Domination.txt [OK]

2 file(s) [or directorie(s)] within 1 directorie(s) were decrypted.

Листинг 10.1.

Оптимизация NTFS

Хотя Windows XP Professional и NTFS включают в себя множество функций, облегчающих хранение и управление файлами, за всю эту легкость приходится платить. Если вы хотите повысить эффективность работы своего жесткого диска, то проверьте ряд элементов.

Размер кластеров

Решение конвертировать свой жесткий диск в NTFS требует некоторого планирования (о чем мы будем говорить в разделе "Конвертирование/Форматирование жесткого диска с помощью NTFS"). Необходимо заранее обдумать величину кластеров. Если все файлы будут преимущественно одного размера, меньше размера кластера по умолчанию, равного 4Кб, то, возможно, вы сочтете нужным изменить размер кластеров по умолчанию при конвертировании жесткого диска.

Представьте себе, что жесткий диск составлен из миллиардов крошечных блоков. Это - кластеры. Допустим, что каждый кластер содержит 4 Кб информации. Если файл вмещает в себя только 3 Кб данных, то в каждом кластере будет напрасно расходоваться пространство. Конечно, это только 1 Кб, но в сумме получится много. В таблице 10.1 содержатся размеры кластеров по умолчанию для NTFS-дисков различного размера.

С другой стороны, уменьшение размера кластеров приводит к увеличению фрагментации. Этот означает, что после удаления информации из блока кластеров, если вы хотите снова им воспользоваться для записи файла, то он должен быть равен (или меньше) файла, ранее располагавшегося в этом блоке. При добавлении новых файлов, записываемых на неиспользованные кластеры, начинает проявляться фрагментация, поскольку, хотя на диске и есть свободное пространство, оно разбито на такие мелкие кусочки, что им нельзя воспользоваться. Если вы сохраняете большие файлы, или они имеют тенденцию к росту, лучше по умолчанию установить величину кластеров, равную 16 - 32 Кб.

Таблица 10.1. Размер NFTS кластеров по умолчанию
Размер жесткого диска	Размер кластера
512 Мб или меньше	512 б
513 Мб - 1 Гб	1 024 б
1 Гб - 2 Гб	2 048 б
2 Гб и больше	4 069 б

О размере кластеров следует подумать и при преобразовании томов из формата FAT в NTFS в Windows 2000 и в более ранних версиях. Это связано с тем, что по умолчанию размер кластеров составляет 512 байтов, что, естественно, ведет к фрагментации. Лучше всего скопировать все содержимое жесткого диска, переформатировать его, указать нужный размер кластеров, и затем вернуть все данные на том.

Если жесткий диск стал фрагментированным, то было бы хорошо провести дефрагментацию с помощью инструмента, предоставляемого Windows XP Professional. Этот инструмент мы обсудим в разделе "Дефрагментация" далее в лекции.

Организация

Система NTFS тоже должна быть организована соответствующим образом. На самом деле решение нескольких "хозяйственных вопросов" для жесткого диска во многом улучшит работу NTFS.

Файловая система. Хотя NFTS поддерживает папки с огромным количеством файлов, будет неразумно складывать все документы в одну папку. Это особенно актуально, если вы часто читаете и удаляете файлы из этой папки. При каждом открывании папки Windows XP Professional тратит время на поиск имени и статистики каждого файла. Наилучшим решением в этом случае будет создание подкаталогов всегда, когда это возможно, чтобы свести количество считываний к минимуму.

Индексация. Если пользователи регулярно просматривают жесткие диски в поисках файлов и папок, то вам следует подключить службу индексации - Indexing Service. Это в значительной степени сократит время поиска. Indexing Service также помогает сократить время поиска внутри документа.

При подключенной службе индексации NTFS заносит все изменения файловой системы в журнал изменений. Необходимость проводить обновления журнала изменений неизбежно вызывает замедление в работе системы, но эти издержки полностью покрываются за счет конечного повышения скорости поиска файлов и папок.

Антивирусные программы

Нет нужды говорить о том, что у вас должна быть установлена одна из антивирусных программ, чтобы поддерживать безопасность и чистоту в компьютере. Эти программы, хотя и служат защитой, но несут с собой и дополнительные затраты. Мы не предлагаем отказываться от использования антивирусных программ, а советуем испытать несколько антивирусных приложений и оценить их с учетом влияния на скорость работы всей системы. Более того, разработчики программ могут предложить настроить их таким образом, чтобы свести дополнительные затраты к минимуму.

Сжатие

Ранее мы уже говорили о достоинствах и недостатках сжатия. Вы, возможно, и сэкономите несколько долларов, отказавшись от установки жесткого диска большего объема, но если тома сжаты, то, скорее всего, вы столкнетесь с некоторыми проблемами выполнения. Мы рекомендуем не проводить сжатие жесткого диска на сервере. В то же время разумное сжатие данных на клиентских компьютерах является неплохой идеей.

Разреженные файлы

Если у вас есть файлы, которые содержат множество нулей, то Windows XP Professional позволяет сохранять пространство диска, давая таким файлам определение sparse (разреженный). Если NTFS файл имеет пометку sparse, то NTFS выделяет кластеры только для данных, специально объявленных приложением. Под диапазон необъявленных данных кластеры не выделяются, и при считывании файла с диска распределенные файлы будут возвращаться, а не распределенные - заполняться нулями. Например, Windows Indexing Service использует sparse-файлы на NTFS-дисках.

Разреженные файлы конвертируются с помощью следующей команды.

fsutil sparse

За SPARSE следуют такие аргументы:

• queryflag. Запрашивает SPARSE.
• queryrange. Сканирует файл в поисках областей, которые могут содержать ненулевые данные.
• setflag. Отмечает указанный файл как разреженный.
• setrange pathname BeginningOffset length. Заполняет указанную область нулями, где BeginningOffset (Начальное смещение) является смещением в границах файла для пометки этого файла как разреженного, а length является величиной диапазона (в байтах) внутри файла, которая должна быть отмечена как разреженная.

За этими аргументами записывается путь к файлу, например:

fsutil sparse setflag c:\sparsesample.txt

Sparse-файлы работают только на дисках, подключенных к компьютерам под управлением операционных систем Windows XP Professional и Windows 2000. Если вы перемещаете файл на диск с системой FAT или NTFS, который был подключен к другой операционной системой, то файл вернется к своему исходному размеру. Если на диске не окажется достаточно свободного пространства для размещения файла с таким размером, то операция будет отменена.