• Кращі поради: Як змінити роздільну здатність екрана монітора Чому не встановлюється потрібна роздільна здатність екрана
• Зависла бездротова мишка на комп'ютері
• Автозавантаження програм, що стартують з операційною системою
• Як дізнатися свій номер телефону МТС?
• Найкращі бюджетні смартфони з гарною камерою Огляд недорогих смартфонів з гарною камерою
• Як можна телефоном та планшетом керувати телевізором і які програми потрібні?
• Використання прихованих нотаток у телефонах сяомі
• Samsung Galaxy Ace S5830: характеристики, опис, відгуки Телефон Samsung Асе
• Датчик наближення в телефоні, як включити, відключити, калібрування датчика Як включити датчик наближення на хонор 10
• Як дізнатися баланс іншого абонента «МТС»: всі можливі способи Спеціальний мобільний додаток

Лабораторна робота

Інформатика, кібернетика та програмування

Мої документи, які потрібно зашифрувати, натисніть праву кнопку миші і виберіть у контекстному менюкоманду Властивості. У вікні властивостей на вкладці Загальні натисніть кнопку Інші. У групі Атрибути стиснення та шифрування встановіть прапорець Шифрувати вміст для захисту даних та натисніть кнопку ОК. Натисніть кнопку ОК у вікні властивостей файлу або папки, що зашифровуються, у вікні діалогу, що з'явиться, вкажіть режим шифрування: Тільки до цієї папки або До цієї папки і всіх вкладених папок і файлів.

Лабораторна робота № 5

Шифруюча файлова система EFS та управління сертифікатами

Цілі

• Ознайомитись з можливостями шифруючої файлової системи EFS операційної системи Windows 2000 (ХР).
• Вивчити послідовність операцій із шифрування та розшифрування файлів за допомогою шифруючої файлової системи EFS операційної системи Windows 2000 (ХР).
• Набути практичних навичок захисту інформації від несанкціонованого доступу.

Короткі теоретичні відомості

Шифруюча файлова система EFS дозволяє користувачам зберігати дані на диску у зашифрованому вигляді.

Шифрування — це процес перетворення даних на формат, недоступний для читання іншим користувачам. Після зашифрування файлу він автоматично залишається зашифрованим у будь-якому місці зберігання на диску.

Розшифровка — це процес перетворення даних із зашифрованої форми на його вихідний формат.

Під час роботи шифруючою файловою системою EFS слід враховувати такі відомості та рекомендації.

1. Можуть бути зашифровані лише файли та папки на томах NTFS.
2. Стиснуті файли та папки не можуть бути зашифровані. Якщо шифрування виконується для стисненого файлуабо папки, файл або папка перетворюються на стан без стиснення.
3. Зашифровані файли можуть стати розшифрованими, якщо файл копіюється або переміщується на тому, що не є томом NTFS.
4. Під час переміщення незашифрованих файлів у зашифровану папку вони автоматично шифруються у новій папці. Однак, зворотна операція не призведе до автоматичного розшифрування файлів. Файли потрібно розшифрувати.
5. Не можуть бути зашифровані файли з атрибутом «Системний» та файли у структурі папоксистемний кореневий каталог.
6. Шифрування папки або файлу не захищає їх від видалення. Будь-який користувач, який має право видалити, може видалити зашифровані папки або файли.
7. Процес шифрування є прозорим для користувача.

Примітка. Прозоре шифрування означає, що перед використанням файл не потрібно розшифровувати. Можна, як завжди, відкрити файл та змінити його. У системах прозорого шифрування (шифрування "на льоту") криптографічні перетворення здійснюються в режимі реального часу, непомітно для користувача. Наприклад, користувач записує підготовлений у текстовому редакторідокумент на диск, що захищається, а система захисту в процесі запису виконує його шифрування.

Використання EFS подібно до використання дозволів для файлів і папок. Обидва методи використовуються для обмеження доступу до даних. Але зловмисник, який отримав несанкціонований фізичний доступ до зашифрованих файлів та папок, не зможе їх прочитати. При спробі відкрити або скопіювати зашифрований файл або папку з'явиться повідомлення, що доступу немає.

Шифрування та розшифровування файлів виконується встановленням властивостей шифрування для папок та файлів, як встановлюються й інші атрибути, наприклад «тільки читання», «стислий» або «прихований». Якщо шифрується папка, всі файли та підпапки, створені в зашифрованій папці, автоматично шифруються. Рекомендовано використовувати шифрування на рівні папки. Файлова система, що шифрує, автоматично створює пару ключів шифрування для користувача, якщо вона відсутня. Шифруюча файлова система використовує алгоритм шифрування Data Encryption Standard (DESX).

Завдання:

Увімкнути та вимкнути шифрування файлів шифруючою файловою системою EFS . Експортувати сертифікат із ключами для розшифровування файлів на іншому комп'ютері.

Алгоритм виконання.

А) Щоб увімкнути режим шифрування, виконайте наведені нижче дії.

1. Вкажіть файл або папку (наприклад, створіть файлШифр. doc у папці Мої документи ), яку потрібно зашифрувати, натисніть праву кнопку миші та виберіть у контекстному меню командуВластивості.

2. У вікні властивостей, що з'явилося, на вкладціЗагальні натисніть кнопку Інші . З'явиться вікно діалогуДодаткові атрибути.

3. У групі встановіть прапорецьШифрувати вміст для захисту данихта натисніть кнопку"ОК".

4. Натисніть кнопку ОК у вікні властивостей файлу, що зашифровується, або папки, у вікні діалогу вкажіть режим шифрування:

• Тільки до цієї папки

або

• До цієї папки та всіх вкладених папок та файлів.

Увага! Після виконання цих дій файл з Вашою інформацією автоматично зашифровуватиметься. Перегляд його на інший ПЕОМ буде неможливим.

Б) Щоб вимкнути режим шифрування, виконайте наведені нижче дії.

1. Виділіть файл шифрування. doc у папці Мої документи.
   1. Натисніть праву клавішу Миші та виберіть пунктВластивості.
      1. На вкладці Загальні натисніть кнопку Інші.
      2. У вікні діалогу в групі, що відкрилося.Атрибути стиснення та шифруванняскиньте прапорець Шифрувати вміст для захисту даних.

Увага! Після виконання цих дій файл із Вашою інформацією не зашифровуватиметься.

В) Створення резервної копії Сертифіката засобами Windows 2000 (ХР0.

Резервна копія сертифіката необхідна для розшифровування даних після переустановки операційної системи або для перегляду зашиф ної інформації на інший ПЕОМ.

Увага! Перед встановленням операційної системи обов'язково створіть копії Сертифікатів, т.к. після пе реустановки Ви не зможете розшифрувати інфор мацію.

Щоб створити резервну копію сертифіката, виконайте такі дії:

1. Виберіть кнопку Пуск на панелі завдань.
   1. Перейдіть до пунктуВиконати.
      1. У вікні, що відкрилося, в поле введення введіть команду mmc.
      2. в результаті відкриється консоль керування mmc.

Примітка. Консоль MMC - це засіб для створення, збереження та відкриття наборів засобів адміністрування, які називаються консолями. Консолі містять такі елементи якоснащення , розширення оснасток, елементи керування, завдання, майстри та документація, необхідна для керування багатьма апаратними, програмними та мережевими компонентами системи Windows. Можна додавати елементи в існуючу консоль MMC, а можна створювати нові консолі та налаштовувати їх для керування конкретними компонентами системи.

1. У меню Консоль виберіть командуДодати або видалити оснащення(Малюнок 1) та натисніть кнопкуДодати.

Малюнок 1

1. У полі Оснащення двічі клацнітьСертифікати (Малюнок 2), встановіть перемикач у положенняоблікового записукомп'ютерата натисніть кнопкуДалі.

Малюнок 2

1. Виконайте одну з таких дій.
   • Щоб керувати сертифікатами локального комп'ютера, встановіть перемикач у положеннялокальним комп'ютеромта натисніть кнопкуГотово.
     • Щоб керувати сертифікатами віддаленого комп'ютера, встановіть перемикач у положенняіншим комп'ютеромта введіть ім'я комп'ютера або натисніть кнопкуОгляд Щоб вибрати комп'ютер, натисніть кнопкуГотово.
     1. Натисніть кнопку Закрити.
     2. У списку вибраних оснасток для нової консоліз'явиться елементСертифікати (ім'я_комп'ютера).
     3. Якщо на консоль не потрібно додавати інше обладнання, натисніть кнопку OK.
     4. Щоб зберегти цю консоль, у менюКонсоль виберіть командуЗберегти та вкажіть ім'я оснащенняСертифікати.
     5. Закрийте вікно Консолі та виберіть командуПуск і далі Усі програми.
     6. Знайдіть пункт Адміністраціята виберіть підпунктСертифікати (т епер оснащення зСертифікати доступні в меню Пуск).
     7. У лівому підвіконні оснасткиСертифікати відкрийте папку Довірені кореневі сертифікати, а потім папку Сертифікати. У правому вікні з'явиться список сертифікатів.
     8. Вкажіть сертифікат, що переноситься (наприклад, перший у списку, Малюнок 3) і клацніть правою кнопкою миші. У контекстному меню виберіть командуУсі завдання й надалі виберіть командуЕкспорт.

Малюнок 3

1. В результаті запуститься Майстер експорту сертифікатів.
   1. Натисніть кнопку "Далі.
      1. У наступному вікні майстра виберіть опціюТак, експортувати закритий ключ.
      2. Потім натисніть кнопкуДалі.
      3. У наступному вікні майстра доступний лише один формат ( PFX ), призначений для персонального обміну інформацією. Натисніть кнопкуДалі.
      4. У наступних вікнах повідомте пароль (наприклад, 11 ), що захищає дані файлусертифікат. pfx , а також шлях збереження файлу (запишіть шлях до папки, в якій Ви зберегли копію Сертифіката)сертифікат. pfx.
      5. Натисніть кнопку "Далі.
      6. Відобразиться список сертифікатів та ключів, що експортуються. Натисніть кнопкуГотово.
      7. Завершіть роботу майстра експорту сертифіката натисканням кнопкиОК у діалоговому вікні, що повідомляє про успішне виконання процедури експорту.

В результаті сертифікат та секретний ключ будуть експортовані до файлу з розширеннямсертифікат.pfx, який може бути скопійований на гнучкий диск і перенесений на інший комп'ютер або використаний після встановлення операційної системи.

Щоб відновити сертифікат із резервної копії, виконайте наведені нижче дії.

1. Перенесіть створений на попередньому етапі файл із розширеннямсертифікат.pfx на комп'ютер ( Вам необхідно згадати шлях до копії Сертифіката).
   1. Запустіть оснащенняСертифікати, для цього виберіть кнопкуПуск панелі завдань і даліВсі пророги ми / Адміністрація /Сертифікати
      1. У вікні структури оснащенняСертифікати відкрийте папку Довірені кореневі сертифікати,потім папку Сертифікати. У правому вікні з'явиться список сертифікатів.
         1. Клацніть правою кнопкою миші на порожньому місці правого підокна.
         2. У контекстному меню виберіть командуУсі завдання.
         3. У її підменю виберіть командуІмпорт (Import).
         4. Запуститься Майстер імпорту сертифікатів.
         5. Дотримуйтесь вказівок майстра — вкажіть місцезнаходження файлу сертифікат. pfx та повідомте пароль захисту цього файлу.
         6. Для початку операції імпорту натисніть кнопкиГотово та ОК.
         7. Після завершення процедури імпорту натисніть кнопкуОК та закрийте вікно майстра імпорту;

В результаті Ваших дій поточний користувач або Ви самі отримаєте можливість працювати із зашифрованими даними на цьому комп'ютері.

Завдання для самостійної роботи

1. Експортуйте сертифікат №2 із папки Проміжні центри сертифікації Root Agency (Збережіть ілюстрації для звіту викладачеві).
2. Імпортуйте експортований сертифікат до папки Особисті (збережіть ілюстрації для звіту викладачеві).

Контрольні питання

1. Що входить у криптосистему?
2. Порівняйте методи шифрування з відкритим та закритим ключем(асиметричне та симетричне шифрування).
3. Що таке mmc?
4. Що дозволяє EFS.

Опис форми звіту

Виконане завдання для самостійної роботи та відповіді на контрольні питання необхідно надіслати для перевірки викладачеві.

Encrypting file system

Шифруюча файлова система - це тісно інтегрована з NTFS служба, що знаходиться в ядрі Windows 2000. Її призначення: захист даних, що зберігаються на диску, від несанкціонованого доступу шляхом їх шифрування. Поява цієї служби невипадкова, і очікувалося давно. Справа в тому, що існуючі на сьогодні файлові системине забезпечують необхідний захист даних від несанкціонованого доступу.

Уважний читач може заперечити мені: як же Windows NT з її NTFS? Адже NTFS забезпечує розмежування доступу та захист даних від несанкціонованого доступу! Так це правда. Але як бути в тому випадку, коли доступ до розділу NTFS здійснюється не за допомогою засобів операційної системи Windows NT, а безпосередньо на фізичному рівні? Адже це порівняно легко реалізувати, наприклад, завантажившись із дискети та запустивши спеціальну програму: наприклад, дуже поширену ntfsdos Як витонченіший приклад можна вказати продукт NTFS98. Звичайно, можна передбачити таку можливість і задати пароль на запуск системи, проте практика показує, що такий захист є малоефективним, особливо в тому випадку, коли за одним комп'ютером працюють відразу кілька користувачів. А якщо зловмисник може витягти жорсткий дискз комп'ютера, тут уже не допоможуть жодні паролі. Підключивши диск до іншого комп'ютера, його можна буде прочитати з такою ж легкістю, що і цю статтю. Таким чином, зловмисник вільно може опанувати конфіденційною інформацією, що зберігається на жорсткому диску.

Єдиний спосіб захисту від фізичного читання даних – це шифрування файлів. Найпростіший випадок такого шифрування – архівування файлу з паролем. Однак тут є низка серйозних недоліків. По-перше, користувачеві потрібно щоразу вручну шифрувати та дешифрувати (тобто, у нашому випадку архівувати та розархівувати) дані перед початком та після закінчення роботи, що вже саме по собі зменшує захищеність даних. Користувач може забути зашифрувати (заархівувати) файл після закінчення роботи, або (ще банальніше) просто залишити на диску копію файлу. По-друге, паролі, придумані користувачем, зазвичай легко вгадуються. У будь-якому випадку, існує достатня кількість утиліт, що дозволяють розпакувати архіви, захищені паролем. Як правило, такі утиліти здійснюють підбір пароля шляхом перебору слів, записаних у словнику.

Система EFS була розроблена з метою подолання цих недоліків. Нижче ми розглянемо детальніше деталі технології шифрування, взаємодію EFS з користувачем та способи відновлення даних, познайомимося з теорією та реалізацією EFS у Windows 2000, а також розглянемо приклад шифрування каталогу за допомогою EFS.

Технологія шифрування

EFS використовує архітектуру Windows CryptoAPI. В її основі лежить технологія шифрування з відкритим ключем. Для шифрування кожного файлу випадково генерується ключ шифрування файлу. При цьому для шифрування файлу може застосовуватись будь-який симетричний алгоритм шифрування. В даний час в EFS використовується один алгоритм, це DESX, що є спеціальною модифікацією поширеного стандарту DES.

Ключі шифрування EFS зберігаються в резидентному кулі пам'яті (сама EFS розташована в ядрі Windows 2000), що виключає несанкціонований доступдо них через файл підкачування.

Взаємодія з користувачем

За замовчуванням EFS налаштована таким чином, що користувач може відразу почати використовувати шифрування файлів. Операція шифрування та зворотна підтримуються для файлів та каталогів. Якщо шифрується каталог, автоматично шифруються всі файли та підкаталоги цього каталогу. Необхідно відзначити, що якщо зашифрований файл переміщується або перейменовується із зашифрованого каталогу в незашифрований, він все одно залишається зашифрованим. Операції шифрування/дешифрування можна виконати двома у різний спосіб- Використовуючи Windows Explorer або консольну утиліту Cipher.

Щоб зашифрувати каталог із Windows Explorer, користувачеві потрібно просто вибрати один або кілька каталогів і встановити прапорець шифрування у вікні розширених властивостей каталогу. Усі створювані пізніше файли та підкаталоги в цьому каталозі будуть також зашифровані. Таким чином, зашифрувати файл можна, просто скопіювавши (або перенісши) його в зашифрований каталог.

Зашифровані файли зберігаються на диску у зашифрованому вигляді. Під час читання файлу дані автоматично розшифровуються, а під час запису автоматично шифруються. Користувач може працювати із зашифрованими файлами так само, як і з звичайними файлами, тобто відкривати та редагувати в текстовому редакторі Microsoft Wordдокументи, редагувати малюнки в Adobe Photoshopабо графічний редактор Paint, і так далі.

У жодному разі не можна шифрувати файли, які використовуються при запуску системи - в цей час особистий ключ користувача, за допомогою якого проводиться дешифрування, ще недоступний. Це може призвести до неможливості запуску системи! В EFS передбачено простий захиствід таких ситуацій: файли з атрибутом "системний" не шифруються. Однак будьте уважні: це може створити дірку в системі безпеки! Перевірте, чи не встановлено атрибут файлу «системний», щоб переконатися, що файл дійсно буде зашифрований.

Важливо також пам'ятати, що зашифровані файли не можуть бути стиснуті засобами Windows 2000 і навпаки. Іншими словами, якщо каталог стиснутий, його вміст не може бути зашифрований, а якщо вміст каталогу зашифрований, то він не може бути стиснутий.

У випадку, якщо потрібно дешифрувати дані, потрібно просто зняти прапорці шифрування у вибраних каталогів у Windows Explorer, і файли та підкаталоги автоматично будуть дешифровані. Слід зазначити, що ця операція зазвичай не потрібна, оскільки EFS забезпечує прозору роботу із зашифрованими даними для користувача.

Відновлення даних

EFS забезпечує вбудовану підтримку відновлення даних на той випадок, якщо їх потрібно розшифрувати, але, з будь-яких причин, це не може бути виконано звичайним. За замовчуванням, EFS автоматично згенерує ключ відновлення, встановить сертифікат доступу до облікового запису адміністратора та збереже його при першому вході до системи. Таким чином, адміністратор стає так званим агентом відновлення і зможе розшифрувати будь-який файл у системі. Зрозуміло, політику відновлення даних можна змінити, і призначити як агент відновлення спеціальної людини, відповідальної за безпеку даних, або навіть кілька таких осіб.

Трохи теорії

EFS здійснює шифрування даних, використовуючи схему із загальним ключем. Дані шифруються швидким симетричним алгоритмом за допомогою ключа шифрування файлу FEK (file encryption key). FEK – це випадковим чином згенерований ключ певної довжини. Довжина ключа в північноамериканській версії EFS 128 біт, міжнародної версії EFS використовується зменшена довжина ключа 40 або 56 біт.

FEK шифрується одним або декількома загальними ключами шифрування, у результаті виходить список зашифрованих ключів FEK. Список зашифрованих ключів FEK зберігається у спеціальному атрибуті EFS, який називається DDF (data decryption field – поле дешифрування даних). Інформація, за допомогою якої виконується шифрування даних, жорстко пов'язана з цим файлом. Загальні ключі виділяються з пар ключів користувача сертифіката X509 з додатковою можливістювикористання "File encryption". Особисті ключі цих пар використовуються при дешифровці даних і FEK. Особиста частина ключів зберігається або на смарт-картах, або в іншому надійному місці (наприклад, у пам'яті, безпека якої забезпечується за допомогою CryptoAPI).

FEK також шифрується за допомогою одного або декількох ключів відновлення (отриманих із сертифікатів X509, записаних у політиці відновлення зашифрованих даних для даного комп'ютера, З додатковою можливістю "File recovery").

Як і попередньому випадку, загальна частина ключа використовується для шифрування списку FEK. Список зашифрованих ключів FEK також зберігається разом із файлом у спеціальній області EFS, яка називається DRF (data recovery field – поле відновлення даних). Для шифрування списку FEK у DRF використовується лише загальна частина кожної пари ключів. Для нормального здійснення файлових операцій потрібні лише загальні ключі відновлення. Агенти відновлення можуть зберігати свої особисті ключі у безпечному місці поза системою (наприклад, на смарт-картах). На малюнку наведено схеми процесів шифрування, дешифрування та відновлення даних.

Процес шифрування

Незашифрований файл користувача шифрується за допомогою випадково згенерованого ключа FEK. Цей ключ записується разом із файлом, файл дешифрується за допомогою загального ключа користувача (записаного в DDF), а також за допомогою загального ключа агента відновлення (записаного DRF).

Процес дешифрування

Спочатку використовується особистий ключ користувача для дешифрації FEK – для цього використовується зашифрована версія FEK, яка зберігається у DDF. Розшифрований FEK використовується для побічного дешифрування файлу. Якщо в великому файліблоки зчитуються не послідовно, то дешифруються тільки блоки, що зчитуються. Файл залишається зашифрованим.

Процес відновлення

Цей процес аналогічний до дешифрування з тією різницею, що для дешифрування FEK використовується особистий ключ агента відновлення, а зашифрована версія FEK береться з DRF.

Реалізація у Windows 2000

На малюнку показано архітектуру EFS:

EFS складається з наступних компонентів:

Драйвер EFS

Цей компонент логічно розташований на вершині NTFS. Він взаємодіє із сервісом EFS, отримує ключі шифрування файлів, поля DDF, DRF та інші дані керування ключами. Драйвер передає цю інформацію в FSRTL (file system runtime library, бібліотека часу виконання файлової системи) для прозорого виконання різних файлових систем системних операцій(наприклад, відкриття файлу, читання, запис, додавання даних до кінця файла).

Бібліотека часу виконання EFS (FSRTL)

FSRTL - це модуль всередині драйвера EFS, який здійснює зовнішні виклики NTFS для виконання різних операцій файлової системи, таких як читання, запис, відкриття зашифрованих файлів та каталогів, а також операцій шифрування, дешифрування, відновлення даних під час запису на диск та читання з диска. Незважаючи на те, що драйвери EFS і FSRTL реалізовані у вигляді одного компонента, вони ніколи не взаємодіють безпосередньо. Для обміну повідомленнями вони використовують механізм викликів NTFS. Це гарантує участь NTFS у всіх файлових операціях. Операції, реалізовані з використанням механізмів керування файлами, включають запис даних файлові атрибути EFS (DDF і DRF) і передачу обчислених в EFS ключів FEK в бібліотеку FSRTL, оскільки ці ключі повинні встановлюватися в контексті відкриття файлу. Такий контекст відкриття файлу дозволяє здійснювати непомітне шифрування і дешифрування файлів при записі і зчитуванні файлів з диска.

Служба EFS

Служба EFS є частиною системи безпеки. Вона використовує існуючий порт зв'язку LPC між LSA (Local security authority, локальні засобизахисту) та монітором безпеки, що працює в kernel-mode, для зв'язку з драйвером EFS. У режимі користувача служба EFS взаємодіє з програмним інтерфейсом CryptoAPI, надаючи ключі шифрування файлів та забезпечуючи генерацію DDF та DRF. Окрім цього, служба EFS здійснює підтримку інтерфейсу Win32 API.

Win32 API

Забезпечує інтерфейс програмування для шифрування відкритих файлів, дешифрування та відновлення закритих файлів, прийому та передачі закритих файлів без їх попереднього розшифрування. Реалізовано у вигляді стандартної системної бібліотеки advapi32.dll.

Трохи практики

Щоб зашифрувати файл або каталог, виконайте такі операції:

1. Запустіть Windows Explorer, натисніть праву кнопку миші на каталозі, виберіть Properties (Властивості).
2. На закладці General (Загальні) натисніть кнопку Advanced.

1. Позначте галочкою пункт "Encrypt contents to secure data". Натисніть OK, а потім натисніть Apply (застосувати) у діалозі Properties. Якщо ви вибрали шифрування окремого файлу, то додатково з'явиться діалогове вікно такого вигляду:

Система пропонує зашифрувати також і каталог, в якому знаходиться вибраний файл, тому що в іншому випадку шифрування буде автоматично скасовано при першій модифікації такого файлу. Завжди майте на увазі, коли шифруєте окремі файли!

У цьому процес шифрування даних вважатимуться завершеним.

Щоб розшифрувати каталоги, просто зніміть виділення у пункті "Encrypt contents to secure data". При цьому каталоги, а також всі підкаталоги і файли, що містяться в них, будуть розшифровані.

Висновки

• Система EFS у Windows 2000 надає користувачам можливість зашифровувати каталоги NTFS, використовуючи стійку, засновану на загальних ключах, криптографічну схему, при цьому всі файли в закритих каталогах будуть зашифровані. Шифрування окремих файлів підтримується, але не рекомендується через непередбачувану поведінку додатків.
• Система EFS також підтримує шифрування віддалених файлів, доступ до яких здійснюється як до ресурсів, що спільно використовуються. Якщо є профілі для підключення, використовуються ключі та сертифікати віддалених профілів. В інших випадках генеруються локальні профілі та використовуються локальні ключі.
• Система EFS дозволяє встановити політику відновлення даних таким чином, що зашифровані дані можуть бути відновлені за допомогою EFS, якщо це потрібно.
• Політика відновлення даних вбудована у загальну політику безпеки Windows 2000. Контроль за дотриманням політики поновлення може бути делегований уповноваженим на це особам. Для кожного підрозділу організації може бути налаштована своя політика відновлення даних.
• Відновлення даних EFS - закрита операція. У процесі відновлення розшифровуються дані, але з ключ користувача, з якого ці дані були зашифровані.
• Робота із зашифрованими файлами в EFS не вимагає від користувача жодних спеціальних дій щодо шифрування та дешифрування даних. Дешифрування та шифрування відбуваються непомітно для користувача в процесі зчитування та записування даних на диск.
• Система EFS підтримує резервне копіюваннята відновлення зашифрованих файлів без їх розшифрування. NtBackup підтримує резервне копіювання зашифрованих файлів.
• Система EFS вбудована в операційну системутаким чином, що витік інформації через файли підкачки неможливий, при цьому гарантується, що всі копії, що створюються, будуть зашифровані
• Передбачено численні запобіжні заходи для забезпечення безпеки відновлення даних, а також захист від витоку та втрати даних у разі фатальних збоїв системи.

Однією з мало відомих можливостей Windowsє шифрована система Encrypting File System(EFS). Вона дозволяє швидко зашифрувати і поставити пароль на ваші файли та папки в системі windows, використовуючи власний обліковий запис користувача. Оскільки файли або папки були зашифровані за допомогою пароля облікового запису користувача windows, інші користувачі на вашій системі, включаючи адміністратора, не можуть відкрити, змінити або перемістити папки або файли. Система EFS є корисною, якщо ви не хочете, щоб інші користувачі переглядали ваші файли та папки. Розглянемо в цьому посібнику, як поставити пароль на папку та фали вбудованими засобами windowsбез сторонніх програм.

Encrypting File System та BitLocker це абсолютно різні системи для шифрування. EFS є менш безпечним, ніж BitLocker. Будь-яка людина, яка знає пароль від вашого облікового запису, може легко отримати доступ до них. Ви не зможете шифрувати цілі розділи диска, EFS працює тільки з файлами та папками, а BitLocker навпаки, тільки з дисками та флешками.

Як поставити пароль на папку та файли

Все, що вам потрібно зробити це встановити прапорець і створити резервну копіюсертифікат безпеки. Для початку виберіть папку з файлами, на яку хочете поставити пароль за допомогою EFS, клацніть правою кнопкою миші по ній і виберіть " властивості".

• У кладці "загальні", натисніть Іншіатрибути.

• У додатковому вікні атрибутів поставте галочку Шифрувати вміст для захисту даних.

• Якщо у папці є файли, то вискочить наступне вікно. Натисніть застосувати до всіх вкладених папок та файлів.

• У вас у треї з'явиться папка з знаком оклику, натисніть на неї для подальшого налаштування.

• Створіть копію ключа, виберіть "Архівувати зараз".

• Виставте налаштування, як на зображенні.

• Виділіть галочкою "Пароль" і придумайте пароль для вашої папки та файлів.

• Придумайте будь-яке ім'я сертифіката безпеки та виберіть будь-який шлях для його зберігання.

• Для зберігання сертифіката я вибрав робочий стіл, у свою чергу зробив його прихованим через властивості папки.

EncryptingFileSystem

Шифруюча файлова система - це тісно інтегрована з NTFS служба, яка міститься в ядрі Windows 2000. Її призначення: захист даних, що зберігаються на диску, від несанкціонованого доступу шляхом їх шифрування. Поява цієї служби не випадкова і очікувалася давно. Справа в тому, що існуючі на сьогоднішній день файлові системи не забезпечують необхідний захист даних від несанкціонованого доступу.

Хоча і NTFS забезпечує розмежування доступу та захист даних від несанкціонованого доступу, але як бути в тому випадку, коли доступ до розділу NTFS здійснюється не за допомогою засобів операційної системи Windows NТ, а безпосередньо фізично? Адже це порівняно легко реалізувати, наприклад, завантажившись з дискети і запустивши спеціальну програму: наприклад, дуже поширену Звичайно, можна передбачити таку можливість, і задати пароль на запуск системи, проте практика показує, що такий захист є малоефективним, особливо в тому випадку, коли за одним комп'ютером працюють відразу кілька користувачів. А якщо зловмисник може витягти жорсткий диск із комп'ютера, то тут уже не допоможуть жодні паролі. Підключивши диск до іншого комп'ютера, його можна буде прочитати без особливих проблем. Таким чином, зловмисник вільно може опанувати конфіденційну інформацію, яка зберігається на жорсткому диску. Єдиний спосіб захисту від фізичного читання даних – це шифрування файлів. Найпростіший випадок такого шифрування – архівування файлу з паролем. Однак тут є низка серйозних недоліків. По-перше, користувачеві потрібно щоразу вручну шифрувати та дешифрувати (тобто, у нашому випадку архівувати та розархівувати) дані перед початком та після закінчення роботи, що вже саме по собі зменшує захищеність даних. Користувач може забути зашифрувати (заархівувати) файл після закінчення роботи або (ще банальніше) просто залишити на диску копію файлу. По-друге, паролі, придумані користувачем, зазвичай легко вгадуються. У будь-якому випадку, існує достатня кількість утиліт, що дозволяють розпакувати архіви, захищені паролем. Як правило, такі утиліти здійснюють підбір пароля шляхом перебору слів, записаних у словнику. Система EFS була розроблена з метою подолання цих недоліків.

2.1. Технологія шифрування

ЕР$ використовує архітектуру Windows CryptoAPI. У її основі лежить технологія шифрування з відкритим ключем, для шифрування кожного файлу випадковим чином генерується ключ шифрування файлу. При цьому для шифрування файлу може застосовуватись будь-який симетричний алгоритм шифрування. В даний час в EFS використовується один алгоритм - це DESX, що є спеціальною модифікацією поширеного стандарту DES. Ключі шифрування EFS зберігаються в резидентному кулі пам'яті (сама EFS розташована в ядрі Windows 2000), що унеможливлює несанкціонований доступ до них через файл підкачки.

За замовчуванням EFS налаштована таким чином, що користувач може відразу почати використовувати шифрування файлів. Операція шифрування та зворотна підтримуються для файлів та каталогів. Якщо шифрується каталог, автоматично шифруються всі файли та підкаталоги цього каталогу. Необхідно відзначити, що якщо зашифрований файл переміщується або перейменовується із зашифрованого каталогу в незашифрований, він все одно залишається зашифрованим. Операції шифрування/дешифрування можна виконати двома різними способами – використовуючи Windows Explorer або консольну утиліту Cipher. Щоб зашифрувати каталог з Windows Explorer, користувачеві потрібно просто вибрати один або кілька каталогів і встановити прапорець шифрування у вікні розширених властивостей каталогу. Усі створювані пізніше файли та підкаталоги в цьому каталозі будуть також зашифровані. Таким чином, зашифрувати файл можна, просто скопіювавши (або перенісши) його в зашифрований каталог. Зашифровані файли зберігаються на диску у зашифрованому вигляді. Під час читання файлу дані автоматично розшифровуються, а під час запису автоматично шифруються. Користувач може працювати із зашифрованими файлами так само, як і зі звичайними файлами, тобто відкривати та редагувати в текстовому редакторі Microsoft Word документи, редагувати малюнки в Adobe Photoshop або графічному редакторі Paint тощо.

Необхідно відзначити, що в жодному разі не можна шифрувати файли, які використовуються при запуску системи в цей час особистий ключ користувача, за допомогою якого здійснюється дешифрування, ще недоступний. Це може призвести до неможливості запуску системи! B EFS передбачає простий захист від таких ситуацій: файли з атрибутом "системний" не шифруються. Однак будьте уважні: це може створити дірку в системі безпеки! Перевірте, чи не встановлено атрибут файлу<системный» для того, чтобы убедиться, что файл действительно будет зашифрован.

Важливо також пам'ятати, що зашифровані файли не можуть бути стиснуті засобами Windows 2000 і навпаки. Іншими словами, якщо каталог стиснутий, його вміст не може бути зашифрований, а якщо вміст каталогу зашифрований, то він не може бути стиснутий.

У випадку, якщо потрібно дешифрувати дані, потрібно просто зняти прапорці шифрування у вибраних каталогів у Windows Explorer, і файли та підкаталоги автоматично будуть дешифровані. Слід зазначити, що ця операція зазвичай не потрібна, оскільки EFS забезпечує прозору роботу із зашифрованими даними для користувача.

Припустимо, що у вас є комп'ютер під керуванням Windows найостаннішої версії. Ви на ньому граєте в ігри-стрілялки, пишіть свою дисертацію, ведете бухгалтерію ІП за спрощеною системою, та й взагалі розважаєтеся, як можете. Але, раптом, абсолютно невиправдано ви починаєте відчувати, що щось ззовні загрожує безпеці деяких даних, що зберігаються на вашому персональному комп'ютері. Ви, з гарячим поглядом, читаєте численні кіберфоруми і з жахом розумієте, що всі ваші дані на жорсткому диску ніяк не захищені. І якщо ваш улюблений комп'ютер викрадуть, а ризик розкрадання для портативної техніки не такий вже й низький, то зловмисник зможе дістатися всього вмісту жорсткого диска! О, моя безцінна дисертація!

Давайте спробуємо розібратися, чи можна отримати несанкціонований доступ до файлів, якщо на комп'ютері працює операційна система Windows 10. Інженери IBM, а згодом і Microsoft, витратили чимало зусиль на реалізацію системи поділу прав для файлової системи NTFS (під час IBM це була HPFS) . І якщо Win10 запущена на комп'ютері, то отримати без дозволу доступ до чужих файлів дуже складно, а в разі блокування доступу і зовсім не можна. Windows надійно оберігає файли користувачів.

Але варто тільки завантажитися в іншу операційну систему, наприклад, в Linux Mint, то всі файли користувача будуть як на долоні. Качай, що хочеш. А завантажитися в Mint можна хоч з флешки, хоч з CD-ROM, потрібно тільки дістатися UEFI (BIOS) і активувати завантаження зі знімних накопичувачів, якщо вона не була активована раніше, або скористатися меню завантаження. Припустимо, що ви поставили пароль на вхід до UEFI і відключили вибір накопичувача для завантаження як клас, тоді ваші файли захищені трохи сильніше. А зловмисник може просто розгвинтити ваш комп'ютер, витягнути жорсткий диск і підключити його до свого комп'ютера, а потім завантажити все, що потрібно. Адже дані у вигляді файлів будуть у нього як відкритий зошит на руках.

Фахівці від IT знають, що дещо убезпечити дані у своєму комп'ютері можна за допомогою технології BitLocker. BitLocker - штука хороша, але дозволяє шифрувати тільки розділи на дисках, або фізичні, або віртуальні. При цьому забезпечується збереження ключів, у тому числі зі зберіганням у модулях TPM . Що дуже зручно. Проте, шифрування цілком і вся, які завжди зручно, хоча, безумовно, застосування повного шифрування диска має певний сенс. А ось про часткове шифрування файлів та каталогів, чомусь усі забувають.

У Windows 10, як і в попередніх її реінкарнаціях, є Шифрована Файлова Система, що в перекладі означає Encrypted File System (EFS). Ця функція доступна починаючи з редакції Pro і вище, тому якщо у вас версія Windows Home, то необхідно проапгрейдитися як мінімум до Pro. У Wikipedia багато написано про те, як і що, шифрується в EFS. Я лише спробую пояснити все якомога простіше і наведу найдокладнішу інструкцію щодо включення захисту ваших файлів.

Окрім наявності мінімуму у вигляді Pro редакції, необхідно, щоб ви працювали під користувачем, у якого є пароль. Пароль повинен бути обов'язково, нехай це буде прив'язка до хмарного сервісу Microsoft, або ж повністю автономний пароль. Чи входите ви в систему за PIN-кодом або ж із застосуванням малюнка - не важливо, важливо, що до вашого облікового запису прив'язаний пароль. Крім наявності пароля в активному обліковому записі, необхідно щоб файли, що захищаються, і каталоги розміщувалися на диску або його розділі з файловою системою NTFS. Швидше за все, саме така файлова система застосовується у вас.

Шифрування даних відбувається абсолютно прозоро користувачів і переважної більшості програмних продуктів, т.к. Шифрування відбувається на рівні файлової системи NTFS. Зашифрувати можна як один файл, і цілу папку відразу. Зашифрувати можна як порожню папку, а потім додати до неї нові файли і вони також зашифруються, а можна зашифрувати папку вже з файлами та каталогами всередині. Усі на ваш вибір.

При роботі із зашифрованими папками та файлами варто враховувати наступне:

1. Файли зашифровані до тих пір, поки вони не будуть перенесені на будь-яку іншу файлову систему, відмінну від NTFS. Наприклад, ви копіюєте зашифрований файл на флешку. Якщо там FAT32, а швидше за все там саме він, файл розшифрується.У десятій версії Windows Microsoft все ж таки реалізував функцію, коли файл залишається зашифрованим навіть якщо ви його перенесли на флешку з FAT, так що варто бути пильним якщо зливаєте якісь файли своєму другу. Чи зможе він потім їх відкрити без мату? Якщо ви відправляєте файл електронною поштою - він розшифрується (інакше зникає сенс його відправлення поштою). При передачі файлу через мережу також відбудеться розшифровка.
2. При переміщенні між розділами NTFS файл залишається зашифрованим. При переміщенні файлу з одного диска NTFS на інший диск NTFS, файл буде зашифрованим. При копіюванні файлу на жорсткий змінний диск із файловою системою NTFS він буде зашифрованим і в новому місці.
3. При насильницькій зміні пароля облікового запису третьою особою, наприклад, адміністратором, або насильницька зміна пароля прив'язаного облікового запису домену, або хмарної служби - доступ до файлів без резервного сертифіката (формується при першому шифруванні) буде вже неможливий.

Останній пункт дуже важливий, особливо особам із ненадійною пам'яттю, які постійно скидають паролі. Тут такий фокус може обернутися назавжди зашифрованими файлами, якщо, звичайно, не імпортувати збережений сертифікат в систему. Проте, коли зміна пароля відбувається добровільно, наприклад, відповідно до політики зміни пароля, то тимчасова втрата зашифрованих файлів не відбудеться.

Скептики цілком справедливо зауважать, що подібний захист, втім, як і BitLocker, не є супернадійним, мовляв, хакери можуть підібрати пароль, якщо він слабкий, та й спецслужби все розшифрують. Справді, ваш пароль можуть банально підібрати, якщо він короткий, та простий. А спецслужби на те вони і спецслужби, щоб мати технічну можливість дістатися вмісту файлів занадто недовірливих користувачів. Більше того, коли ви увійшли до системи, ви відразу отримуєте прозорий доступ до всіх ваших зашифрованих за допомогою EFS файлів. І якщо на вашому комп'ютері завівся троян або вірус, він абсолютно аналогічно отримає доступ до дорогоцінних файликів. Комп'ютерної гігієни варто дотримуватися неухильно.

Детальна інструкція щодо увімкнення шифрування за допомогою EFS під Win10 Pro на папці

Нижче пропоную покрокову, точну інструкцію, як зашифрувати папку з файлами у ній. Окремий файл шифрується так.

Крок 1. Створюємо папку. Нехай вона називається "Мої картинки".

Створюємо каталог

Крок 2. Натискаємо на папці правою кнопкою мишки та в контекстному меню вибираємо «Властивості».

Правою кнопкою натискаємо на папці та отримуємо ось це

Крок 3. У меню «Властивості» переходимо до розширених атрибутів папки за допомогою натискання кнопки «Інші…».

Властивості папки

Крок 4. Ставимо галочку в пункті «Шифрувати вміст для захисту даних» і натискаємо ОК. Якщо потрібно скасувати шифрування, то віджимаємо цю галочку і файл розшифровується.

У розширених атрибутах властивостей папки

Крок 5. Завершуємо роботу зі "Властивості", натискаємо ОК або "Застосувати".

Крок 6. Відповідаємо у діалоговому вікні, що «застосувати» до нашої папки та всього її вмісту.

Вибираємо потрібний пункт шифрування

На цьому наша папка та весь її вміст зашифровано за допомогою EFS. За бажання можна перевірити, що наша папка та всі файли в ній надійно закриті від сторонніх.

Крок 7. Проходимо кроками 1-3 і бачимо, що галочка «шифрувати» активна. А поруч активна кнопка "Докладно". Натискаємо на докладно.

Перевірка того, що зашифрувалося

Крок 8. У вікні бачимо, що даний файл має лише один сертифікат для доступу тільки одного користувача, плюс ніякі сертифікати відновлення доступу не встановлені.

Папка зашифрована одним сертифікатом

Зрозуміти, що конкретний файл можна зашифрувати і в Провіднику Windows, на файлі з'являється піктограма замочка.

Галерея із зашифрованими картинками. Переглянути їх може лише власник облікового запису.

Значок відображається і на всіх інших видах файлів, а також у поданнях провідника. Щоправда, на деяких піктограмах їх дуже погано видно та доводиться придивлятися.

Та сама галерея, лише у вигляді таблиці. Замочки у правому верхньому кутку піктограми.

Після зашифрування перших файлів Windows пропонує зробити копію сертифіката. Того самого сертифіката, який дозволить розшифрувати файли, якщо раптом щось піде не так з вашим комп'ютером (перевстановили систему, скинули пароль, перекинули диск на інший комп'ютер тощо).

Крок 9. Щоб зберегти резервний сертифікат відновлення, слід натиснути на піктограму архівації ключа.

Значок у треї закликає до архівації резервного сертифіката для відновлення шифрування

Крок 10. У вікні вибрати «Архівувати зараз».

Вибір коли архівувати

Крок 11. У діалоговому вікні майстра активації натиснути "Далі".

Вікно майстра експорту сертифікатів

Крок 12. Якщо ви використовуєте лише шифрування EFS, можна залишити значення за замовчуванням. І натиснути на "Далі".

Налаштування експорту резервного сертифіката

Крок 13. Сертифікат, що експортується, має сенс захистити паролем. Вводимо пароль може бути будь-яким, не обов'язково від вашої пошти або для входу в Windows. І тиснемо «Далі».

Вводимо пароль для додаткового захисту сертифіката відновлення

Крок 15. Підтверджуємо результат натисканням ОК.

Завершуємо роботу майстра експорту

І, власне, на цьому все. Вивантажений сертифікат варто переписати у надійне місце. Наприклад, на дискету, флешку, у захищену хмару. Залишати сертифікат відновлення на комп'ютері - погана витівка, тому після збереження його в надійному місці файл з комп'ютера видаляємо, а заразом очищаємо кошик.

До речі, шифрувати можна і каталоги, в які синхронізуються хмарні файли на вашому комп'ютері, наприклад, OneDrive, DropBox, Yandex Disk та багато інших. Якщо потрібно зашифрувати таку папку, то спочатку слід вимкнути програму синхронізації з хмарою, або поставити синхронізацію на паузу. Також варто закрити всі відкриті файли в каталозі, який буде схильний до шифрування, наприклад, закрити Word, Excel або інші програми. Після цього можна увімкнути шифрування на вибраній папці. Коли процедура шифрування завершиться, можна знову включити синхронізацію. Інакше, шифрування може торкнутися в повному обсязі файли в папці, т.к. вбудована система може зашифрувати лише файли, доступні для запису. Так, при синхронізації у хмару файли будуть розшифровуватись і у хмарі вони будуть незашифрованими.

Перед початком шифрування потрібно вийти з OneDrive

Настав час перевірити, наскільки добре працює шифрування EFS. Я створив файл із текстом у зашифрованому каталозі. А потім завантажився в Linux Mint із флешки. Ця версія Linux може спокійно працювати з жорсткими дисками у форматі NTFS, тому дістатися вмісту мого жорсткого диска не склало труднощів.

Створюємо файл із текстом у зашифрованій папці.

Однак при спробі відкрити файли із зашифрованої папки на мене чекало розчарування. Жоден файл так і не вдалося відкрити. Переглядачі Linux Mint з відвагою повідомляли, що доступу до зазначених файлів вони не мають. А ось решта відкривалася без сучка і задирки.

Зашифровані файли у Win10 із Mint видно, але відкрити їх не можна.

"Ага!" – сказали суворі сибірські мужики. Адже якщо записати на флешку файлик зашифрований, то він залишиться зашифрованим, напевно. А потім перенести його на інший комп'ютер під іншу операційну систему, то раптом він відкриється? Ні, не відчиниться. Точніше відкриється, та його вміст буде цілком нечитабельним. Зашифровано ж.

Спроба відкрити зашифрований файл із текстом, записаний на флешку.

Загалом, користуватися EFS можна, а в деяких випадках навіть потрібно. Тому якщо ви працюєте під Windows 10, починаючи з редакції Pro і вище, оцініть ризики доступу до вашого ПК або ноутбука сторонніх і чи зможуть вони отримати ваші конфіденційні файли. Можливо, щось варто вже зашифрувати сьогодні?

• Відео уроки Microsoft Word для Початківців від Андрія Сухового
• Поняття та основні види архітектури ЕОМ Архітектура та принципи роботи ЕОМ
• Alcatel one touch pixi first 4024d прошивка
• Інструкція з експлуатації samsung смартфон galaxy j1
• Прошивка lg p705 андроїд 4
• Як вимкнути пін-код на андроїді
• Заводське скидання Sony Xperia XA Dual
• Програма для керування комп'ютерним залом GameClass: Встановлення та налаштування Технічний опис проекту
• Програми для вимикання комп'ютера
• Тестуємо український антивірус Zillya!

• Невідома мережа без доступу до Інтернету?
• Найкращі соціальні мережі Які соцмережі зараз популярні
• Виведення звуку на віндовс 5
• Пошта швеції відстеження поштових відправлень шведська поштова компанія
• У ноутбуці інтернет не працює через нещасні випадки
• Найкраща програма для пакетної обробки фотографій
• Програма для відновлення фотографій з карток пам'яті та інших носіїв
• TreeSize Free Розмір папок
• Панель керування Nvidia: як виправити?
• При включенні ноутбука виходить біос, що робити