Преимущества и недостатки EFS — КиберПедия 

Кормораздатчик мобильный электрифицированный: схема и процесс работы устройства...

Опора деревянной одностоечной и способы укрепление угловых опор: Опоры ВЛ - конструкции, предназначен­ные для поддерживания проводов на необходимой высоте над землей, водой...

Преимущества и недостатки EFS



 

В Windows (начиная с Windows 2000 и кроме Home-выпусков) традицион-но для организации прозрачного шифрования используется шифрованная файловая система – EFS (Encrypting File System). Прежде чем вы примете решение, использовать EFS или нет, вам нужно знать о ее преимуществах и недостатках.

 

Файловая система EFS предназначена, чтобы один пользователь не мог получить доступ к файлам (зашифрованным) другого пользователя. За-чем нужно было создавать EFS, если NTFS поддерживает разграничение прав доступа? Хотя NTFS и является довольно безопасной файловой систе-мой, но со временем появились различные утилиты (одной из первых была NTFSDOS, позволяющая читать файлы, находящиеся на NTFS-разделе, из DOS-окружения), игнорирующие права доступа NTFS. Появилась необхо-димость в дополнительной защите. Такой защитой должна была стать EFS.

 

По сути, EFS является надстройкой над NTFS. Файловая система EFS удобна тем, что входит в состав Windows и для шифрования файлов вам не нужно какое-либо дополнительное программное обеспечение – все не-обходимое уже есть в Windows. Для начала шифрования файлов не нужно совершать какие-либо предварительные действия, поскольку при первом шифровании файла для пользователя автоматически создается сертификат шифрования и закрытый ключ.

 

Также преимуществом EFS является то, что при перемещении файла из за-шифрованной папки в любую другую он остается зашифрованным, а при


 


Windows 10

 

копировании файла в зашифрованную папку он автоматически шифруется.

 

Нет необходимости выполнять какие-либо дополнительные действия.

 

Такой подход, конечно же, очень удобен, и пользователю кажется, что от EFS одна только польза. Но это не так. С одной стороны, при неблагоприят-ном стечении обстоятельств, пользователь может вообще потерять доступ к зашифрованным файлам. Это может произойти в следующих случаях:

 

• Аппаратные проблемы, например, вышла из строя материнская плата, испорчен загрузчик, повреждены системные файлы из-за сбоя жесткого диска (bad sectors). В итоге жесткий диск можно под-ключить к другому компьютеру, чтобы скопировать с него файлы, но если они зашифрованы EFS, у вас ничего не выйдет.

 

• Система переустановлена. Windows может быть переустановлена по самым разнообразным причинам. В этом случае доступ к зашиф-рованным данным, понятно, будет потерян.

 

• Удален профиль пользователя. Даже если создать пользователя с таким же именем, ему будет присвоен другой ID, и расшифровать данные все равно не получится.



 

• Системный администратор или сам пользователь сбросил пароль. После этого доступ к EFS-данным также будет потерян.

 

• Некорректный перенос пользователя в другой домен. Если перенос пользователя выполнен неграмотно, он не сможет получить доступ к своим зашифрованным файлам.

 

Когда пользователи (особенно начинающие) начинают использовать EFS, об этом мало кто задумывается. Но, с другой стороны, существует специ-альное программное обеспечение (и далее оно будет продемонстрировано в работе), позволяющее получить доступ к данным, даже если система была переустановлена и были потеряны некоторые ключи. И я даже не знаю, к преимуществам или недостаткам отнести сей факт – данное ПО позволяет восстановить доступ к данным, но в то же время оно может использовать-ся злоумышленником для получения несанкционированного доступа к за-шифрованным файлам.

 

Казалось бы, данные с помощью EFS зашифрованы очень надежно. Ведь файлы на диске шифруются с помощью ключа FEK (File Encryption Key), который хранится в атрибутах файлов. Сам FEK зашифрован master-ключом, который, в свою очередь, зашифрован ключами пользователей системы, имеющих доступ к этому файлу. Ключи пользователей зашифро-ваны хэшами паролей этих пользователей, а хэши паролей – зашифрованы еще и SYSKEY.


 

 


Windows 10

 

Казалось бы, такая цепочка шифрования должна была обеспечить надеж-ную защиту данных, но все банально сводится к логину и паролю. Стоит пользователю сбросить пароль или переустановить систему, получить до-ступ к зашифрованным данным уже не получится.

 

Разработчики EFS перестраховались и реализовали агентов восстановле-ния (EFS Recovery Agent), то есть пользователей, которые могут расшиф-ровать данные, зашифрованные другими пользователями. Однако исполь-зовать концепцию EFS RA не очень удобно и даже сложно, особенно для начинающих пользователей. В итоге, эти самые начинающие пользователи знают, как зашифровать с помощью EFS файлы, но не знают, что делать в нештатной ситуации. Хорошо, что есть специальное ПО, которое может по-мочь в этой ситуации, но это же ПО может использоваться и для несанкци-онированного доступа к данным, как уже отмечалось.



 

К недостаткам EFS можно также отнести невозможность сетевого шифро-вания (если оно вам нужно, то необходимо использовать другие протоколы шифрования передаваемых по сети данных, например, IPSec) и отсутствие поддержки других файловых систем. Если вы скопируете зашифрованный файл на файловую систему, которая не поддерживает шифрование, напри-мер на FAT/FAT32, файл будет дешифрован и его можно будет просмотреть всем желающим. Ничего удивительного в этом нет, EFS – всего лишь над-стройка над NTFS.

 

Получается, что от EFS вреда больше, чем пользы. Также зашифрованную папку можно расшифровать с помощью программы Advanced EFS Data

 

Recovery1. Рассматривать подробно эту программу мы не будем, главное, чтобы вы знали, что она есть. Единственное, что может усложнить работу программы, – наличие сложного пароля для учетной записи. Только он может спасти ваши данные. Если вы собираетесь использовать EFS, тогда прямо сейчас установите сложный пароль. В этом случае у программы, возможно, ничего не получится.

 

Активация EFS-шифрования

 

 

Для шифрования папки (или файла — последовательность действий бу-дет такой же) щелкните на ней правой кнопкой мыши и выберите команду Свойства. В областиАтрибутынажмите кнопкуДругие(рис. 16.3).

 
 

 


1 http://www.elcomsoft.ru/aefsdr.html.


 


Windows 10

 

 

Рис. 16.3. Свойства папки

 

Внимание!Перед шифрованием папки установите сложный пароль для своейучетной записи! Иначе смысла в шифровании не будет. Пример пароля средней сложности: jRtSI_802,k. Он содержит символы разного регистра и разных классов (буквы, цифры, символы пунктуации).

 

 

Затем включите атрибут

 

Шифровать содержимое для защиты данных(рис. 16.4) инажмите кнопку ОK, затем еще раз нажмите кнопку ОK в окне свойств папки.

 

Если вы шифруете непустой каталог, система спросит, нужно шифровать только эту папку или все вложенные папки и файлы. Нужно вы-брать второй вариант (рис. 16.5).

 

Рис. 16.4. Включение шифрования


 


Windows 10

 

Рис. 16.5. Как применить изменения атрибутов?

 

Все, осталось только подождать, пока файлы будут зашифрованы. Система также сообщит о том, что выполнила резервное копирование вашего клю-ча шифрования – на всякий неприятный случай (рис. 16.6). Название за-шифрованной папки в Проводнике будет отмечено зеленым шрифтом (рис. 16.7). Конечно, черно-белая иллюстрация плохо передает оттенки серого, поэтому предназначение этой иллюстрации в основном в том, чтобы при-влечь ваше внимание.

 

Рис. 16.6. Резервное копирование ключа шифрования выполнено


 


Windows 10

 

Рис. 16.7. Папка «Зашифровано» зашифрована

 

Просмотреть созданные сертификаты можно через консоль mmc. Выпол-ните команду mmc, далее выберите команду меню Файл, Добавить или удалить оснастку. В появившемся окне выберитеСертификатыи нажмитекнопку Добавить >, а затем нажмите кнопку OK (рис. 16.8).

 

Рис. 16.8. Добавление оснастки


 


Windows 10

 

Далее нужно выбрать, какими сертификатами вы хотите управлять. В на-шем случае мы хотим управлять личными сертификатами, поэтому выбе-рите моей учетной записи пользователя (рис. 16.9). Затем нажмите OK в окне добавления оснастки.

 

 

Рис. 16.9. Выбор типа сертификатов

 

В окне консоли mmc нужно перейти в Сертификаты - текущий пользова-тель, Личное, Сертификаты, и в списке сертификатов вы увидите сертифи-кат EFS. Если его удалить, вы не сможете получить доступ к зашифрован-ным файлам.

 

Рис. 16.10. Список личных сертификатов


 


Windows 10

 






Общие условия выбора системы дренажа: Система дренажа выбирается в зависимости от характера защищаемого...

Кормораздатчик мобильный электрифицированный: схема и процесс работы устройства...

Папиллярные узоры пальцев рук - маркер спортивных способностей: дерматоглифические признаки формируются на 3-5 месяце беременности, не изменяются в течение жизни...

Индивидуальные и групповые автопоилки: для животных. Схемы и конструкции...





© cyberpedia.su 2017 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав

0.012 с.