Преимущества и недостатки EFS
В Windows (начиная с Windows 2000 и кроме Home-выпусков) традицион-но для организации прозрачного шифрования используется шифрованная файловая система – EFS (Encrypting File System). Прежде чем вы примете решение, использовать EFS или нет, вам нужно знать о ее преимуществах и недостатках.
Файловая система EFS предназначена, чтобы один пользователь не мог получить доступ к файлам (зашифрованным) другого пользователя. За-чем нужно было создавать EFS, если NTFS поддерживает разграничение прав доступа? Хотя NTFS и является довольно безопасной файловой систе-мой, но со временем появились различные утилиты (одной из первых была NTFSDOS, позволяющая читать файлы, находящиеся на NTFS-разделе, из DOS-окружения), игнорирующие права доступа NTFS. Появилась необхо-димость в дополнительной защите. Такой защитой должна была стать EFS.
По сути, EFS является надстройкой над NTFS. Файловая система EFS удобна тем, что входит в состав Windows и для шифрования файлов вам не нужно какое-либо дополнительное программное обеспечение – все не-обходимое уже есть в Windows. Для начала шифрования файлов не нужно совершать какие-либо предварительные действия, поскольку при первом шифровании файла для пользователя автоматически создается сертификат шифрования и закрытый ключ.
Также преимуществом EFS является то, что при перемещении файла из за-шифрованной папки в любую другую он остается зашифрованным, а при
Windows 10
копировании файла в зашифрованную папку он автоматически шифруется.
Нет необходимости выполнять какие-либо дополнительные действия.
Такой подход, конечно же, очень удобен, и пользователю кажется, что от EFS одна только польза. Но это не так. С одной стороны, при неблагоприят-ном стечении обстоятельств, пользователь может вообще потерять доступ к зашифрованным файлам. Это может произойти в следующих случаях:
• Аппаратные проблемы, например, вышла из строя материнская плата, испорчен загрузчик, повреждены системные файлы из-за сбоя жесткого диска (bad sectors). В итоге жесткий диск можно под-ключить к другому компьютеру, чтобы скопировать с него файлы, но если они зашифрованы EFS, у вас ничего не выйдет.
• Система переустановлена. Windows может быть переустановлена по самым разнообразным причинам. В этом случае доступ к зашиф-рованным данным, понятно, будет потерян.
• Удален профиль пользователя. Даже если создать пользователя с таким же именем, ему будет присвоен другой ID, и расшифровать данные все равно не получится.
• Системный администратор или сам пользователь сбросил пароль. После этого доступ к EFS-данным также будет потерян.
• Некорректный перенос пользователя в другой домен. Если перенос пользователя выполнен неграмотно, он не сможет получить доступ к своим зашифрованным файлам.
Когда пользователи (особенно начинающие) начинают использовать EFS, об этом мало кто задумывается. Но, с другой стороны, существует специ-альное программное обеспечение (и далее оно будет продемонстрировано в работе), позволяющее получить доступ к данным, даже если система была переустановлена и были потеряны некоторые ключи. И я даже не знаю, к преимуществам или недостаткам отнести сей факт – данное ПО позволяет восстановить доступ к данным, но в то же время оно может использовать-ся злоумышленником для получения несанкционированного доступа к за-шифрованным файлам.
Казалось бы, данные с помощью EFS зашифрованы очень надежно. Ведь файлы на диске шифруются с помощью ключа FEK (File Encryption Key), который хранится в атрибутах файлов. Сам FEK зашифрован master-ключом, который, в свою очередь, зашифрован ключами пользователей системы, имеющих доступ к этому файлу. Ключи пользователей зашифро-ваны хэшами паролей этих пользователей, а хэши паролей – зашифрованы еще и SYSKEY.
Windows 10
Казалось бы, такая цепочка шифрования должна была обеспечить надеж-ную защиту данных, но все банально сводится к логину и паролю. Стоит пользователю сбросить пароль или переустановить систему, получить до-ступ к зашифрованным данным уже не получится.
Разработчики EFS перестраховались и реализовали агентов восстановле-ния (EFS Recovery Agent), то есть пользователей, которые могут расшиф-ровать данные, зашифрованные другими пользователями. Однако исполь-зовать концепцию EFS RA не очень удобно и даже сложно, особенно для начинающих пользователей. В итоге, эти самые начинающие пользователи знают, как зашифровать с помощью EFS файлы, но не знают, что делать в нештатной ситуации. Хорошо, что есть специальное ПО, которое может по-мочь в этой ситуации, но это же ПО может использоваться и для несанкци-онированного доступа к данным, как уже отмечалось.
К недостаткам EFS можно также отнести невозможность сетевого шифро-вания (если оно вам нужно, то необходимо использовать другие протоколы шифрования передаваемых по сети данных, например, IPSec) и отсутствие поддержки других файловых систем. Если вы скопируете зашифрованный файл на файловую систему, которая не поддерживает шифрование, напри-мер на FAT/FAT32, файл будет дешифрован и его можно будет просмотреть всем желающим. Ничего удивительного в этом нет, EFS – всего лишь над-стройка над NTFS.
Получается, что от EFS вреда больше, чем пользы. Также зашифрованную папку можно расшифровать с помощью программы Advanced EFS Data
Recovery1. Рассматривать подробно эту программу мы не будем, главное, чтобы вы знали, что она есть. Единственное, что может усложнить работу программы, – наличие сложного пароля для учетной записи. Только он может спасти ваши данные. Если вы собираетесь использовать EFS, тогда прямо сейчас установите сложный пароль. В этом случае у программы, возможно, ничего не получится.
Активация EFS-шифрования
Для шифрования папки (или файла — последовательность действий бу-дет такой же) щелкните на ней правой кнопкой мыши и выберите команду Свойства. В областиАтрибутынажмите кнопкуДругие(рис. 16.3).
1 http://www.elcomsoft.ru/aefsdr.html.
Windows 10
Рис. 16.3. Свойства папки
Внимание!Перед шифрованием папки установите сложный пароль для своейучетной записи! Иначе смысла в шифровании не будет. Пример пароля средней сложности: jRtSI_802,k. Он содержит символы разного регистра и разных классов (буквы, цифры, символы пунктуации).
Затем включите атрибут
Шифровать содержимое для защиты данных(рис. 16.4) инажмите кнопку ОK, затем еще раз нажмите кнопку ОK в окне свойств папки.
Если вы шифруете непустой каталог, система спросит, нужно шифровать только эту папку или все вложенные папки и файлы. Нужно вы-брать второй вариант (рис. 16.5).
Рис. 16.4. Включение шифрования
Windows 10
Рис. 16.5. Как применить изменения атрибутов?
Все, осталось только подождать, пока файлы будут зашифрованы. Система также сообщит о том, что выполнила резервное копирование вашего клю-ча шифрования – на всякий неприятный случай (рис. 16.6). Название за-шифрованной папки в Проводнике будет отмечено зеленым шрифтом (рис. 16.7). Конечно, черно-белая иллюстрация плохо передает оттенки серого, поэтому предназначение этой иллюстрации в основном в том, чтобы при-влечь ваше внимание.
Рис. 16.6. Резервное копирование ключа шифрования выполнено
Windows 10
Рис. 16.7. Папка «Зашифровано» зашифрована
Просмотреть созданные сертификаты можно через консоль mmc. Выпол-ните команду mmc, далее выберите команду меню Файл, Добавить или удалить оснастку. В появившемся окне выберитеСертификатыи нажмитекнопку Добавить >, а затем нажмите кнопку OK (рис. 16.8).
Рис. 16.8. Добавление оснастки
Windows 10
Далее нужно выбрать, какими сертификатами вы хотите управлять. В на-шем случае мы хотим управлять личными сертификатами, поэтому выбе-рите моей учетной записи пользователя (рис. 16.9). Затем нажмите OK в окне добавления оснастки.
Рис. 16.9. Выбор типа сертификатов
В окне консоли mmc нужно перейти в Сертификаты - текущий пользова-тель, Личное, Сертификаты, и в списке сертификатов вы увидите сертифи-кат EFS. Если его удалить, вы не сможете получить доступ к зашифрован-ным файлам.
Рис. 16.10. Список личных сертификатов
Windows 10