• Администраторы могут восстанавливать данные, зашифрованные другим пользователем. Это позволяет получить доступ к данным, если пользователь, зашифровавший данные, в настоящее время не доступен или соответствующий закрытый ключ утерян.
EFS позволяет зашифровывать данные только при сохранении их на диск. Для шифрования данных при их передаче по сети TCP/IP доступны две дополнительных возможности – безопасность протокола IP (IPSEC) и шифрование PPTP.
Шифрование и расшифровка данных с помощью шифрованной файловой системы
Шифрованная файловая система (EFS) имеет следующие возможности.
• Шифрование данных.
• Доступ к зашифрованным данным.
• Копирование, перемещение и переименование зашифрованных данных.
• Расшифровка данных.
Шифрование данных
При использовании стандартной конфигурации шифрованной файловой системы (EFS) никаких действий администратора не требуется – пользователи могут сразу начинать шифрование файлов. Шифрованная файловая система автоматически создает пару ключей шифрования для пользователя, если она отсутствует.
Шифрованная файловая система использует алгоритм шифрования Data Encryption Standard (DESX).
Службы шифрования доступны из проводника Windows. Файлы и папки могут также быть зашифрованы пользователями с помощью функции командной строки cipher. Чтобы получить дополнительные сведения о команде cipher, следует набрать cipher /? в командной строке.
Шифрование файлов пользователями выполняется установкой свойств шифрования для папок и файлов, как устанавливаются и другие атрибуты, например «Только чтение», «Сжатый» или «Скрытый». Если папка шифруется пользователем, все файлы и подпапки, созданные в зашифрованной папке или добавленные в нее, автоматически шифруются.
Пользователям рекомендуется использовать шифрование на уровне папки.
Сжатые файлы и папки не могут быть зашифрованы. Если шифрование выполняется для сжатого файла или папки, файл или папка преобразуются к состоянию без сжатия. Папки, отмеченные для шифрования, фактически не шифруются. Шифруются только файлы в папке, так же как любые новые файлы, которые создаются или перемещаются в папку.
Доступ к зашифрованным данным
Пользователи получают доступ к зашифрованным файлам сразу после расшифровки файлов. Таким образом, когда пользователь получает доступ к зашифрованному файлу на диске, он получает возможность читать содержимое файла обычным способом. При повторном сохранении пользователем файла на диске EFS производит повторное прозрачное шифрование файла.
Копирование, перемещение и переименование шифрованных данных
При копировании или перемещении незашифрованных файлов в зашифрованную папку они автоматически шифруются в новой папке. Однако обратная операция не приведет к автоматической расшифровке файлов. Файлы остаются зашифрованными, пока не будут явно расшифрованы или перемещены с тома NTFS. Переименование файла также не влияет на состояние его шифрования.
Расшифровка данных
Для расшифровки файла нужно снять флажок «Шифрование» в диалоговом окне «Свойства» данного файла. После расшифровки файл остается незашифрованным до тех пор, пока он не будет снова зашифрован. Автоматическое повторное шифрование файла невозможно, даже при условии что этот файл находится в зашифрованной директории.
Для расшифровки файла пользователь должен снять флажок Шифрование в диалоговом окне «Свойства» данного файла или воспользоваться командой cipher.
Архивирование и восстановление зашифрованных данных
Основными административными задачами при работе с шифрованной файловой системой (EFS) являются архивирование файлов, восстановление зашифрованных файлов и данных, а также настройка политики восстановления.
Архивирование и восстановление зашифрованных файлов
Архивные копии зашифрованных файлов также будут зашифрованы с использованием программы архивации для Windows XP.
После восстановления зашифрованные данные остаются в зашифрованном виде.
Восстановление зашифрованных данных
Восстановление данных подразумевает процесс расшифровки файла без закрытого ключа пользователя, зашифровавшего файл.
Может потребоваться восстановить данные с помощью агента восстановления в следующих случаях.
• Пользователь покидает организацию.
• Закрытый ключ утерян пользователем.
• Получен запрос правительственного учреждения.
При восстановлении файла агентом восстановления выполняются следующие действия.
1. Архивация зашифрованных файлов.
2. Перемещение архивных копий в безопасную систему.
3. Импорт сертификата восстановления и закрытого ключа.
4. Восстановление архивных файлов.
5. Расшифровка файлов с помощью проводника Windows или команды EFS cipher .
Настройка политики восстановления
Для определения политики восстановления данных рядовых серверов домена, автономных серверов или серверов рабочих групп можно воспользоваться оснасткой «Групповая политика». Сертификат восстановления можно либо запросить, либо экспортировать и затем импортировать.
Можно делегировать управление политикой восстановления назначенному администратору. Хотя число администраторов, которые могут восстанавливать зашифрованные данные, нужно ограничивать, наличие нескольких агентов восстановления позволяет иметь дополнительный источник, если восстановление необходимо.
3.2. Использование шифрованной файловой системы
Шифрование и расшифровка данных
Как уже говорилось, шифрованная файловая система (EFS) позволяет безопасно хранить данные. Напоминаю, что EFS делает это возможным благодаря шифрованию данных в выбранных файлах и папках NTFS (и только NTFS). Поскольку EFS интегрирована в файловую систему, ею легко управлять, она надежна и прозрачна для пользователя. Это особенно удобно для защиты данных на компьютерах, которые могут оказаться уязвимыми для кражи, таких как переносные компьютеры. Файлы и папки на томах с файловой системой FAT не могут быть зашифрованы или расшифрованы. EFS также разработана для безопасного хранения данных на локальных компьютерах. Поэтому она не поддерживает безопасную передачу файлов по сети. Другие технологии, например протокол IPSec, можно использовать совместно с EFS для обеспечения альтернативного решения.
Использование ключей шифрования
Пользователю достаточно один раз задать шифрование файла, и фактический процесс шифрования и расшифровки данных будет для него полностью прозрачным. Пользователям не обязательно понимать весь процесс. Однако следующее объяснение шифрования и расшифровки данных может оказаться полезным для администраторов.
Шифрование файлов происходит следующим образом.
Каждый файл имеет уникальный ключ шифрования файла, который позже используется для расшифровки данных файла. Ключ шифрования файла сам по себе зашифрован – он защищен открытым ключом пользователя, соответствующим сертификату EFS. Ключ шифрования файла также защищен открытым ключом каждого дополнительного пользователя EFS, уполномоченного расшифровывать файлы, и ключом каждого агента восстановления. Сертификат и закрытый ключ системы EFS могут выдать несколько источников, включая созданные автоматически сертификаты и сертификаты, выданные центрами сертификации корпорации Майкрософт или другими центрами сертификации.
Расшифровка файлов происходит следующим образом.
Для расшифровки файла необходимо сначала расшифровать его ключ шифрования. Ключ шифрования файла расшифровывается, если закрытый ключ пользователя совпадает с открытым. Не только пользователь может расшифровать ключ шифрования файла. Другие назначенные пользователи и агенты восстановления также могут расшифровать файл, используя собственный закрытый ключ. Закрытые ключи содержатся в защищенном хранилище ключей, а не в диспетчере учетных записей безопасности (SAM) или в отдельном каталоге.
Хранение зашифрованных файлов на удаленных серверах
В Windows XP поддерживается хранение зашифрованных файлов на удаленных серверах. Пользователи могут удаленно использовать шифрованную файловую систему, когда оба компьютера являются членами одного леса Windows XP. Зашифрованные данные не шифруются при передаче по сети, а только при сохранении на диске. Исключения составляют случаи, когда система включает протокол IPSec или протокол WebDAV. IPSEC шифрует данные при передаче по сети TCP / IP. Если файл был зашифрован перед копированием или перемещением в папку WebDAV на сервере, он останется зашифрованным при передаче и во время хранения на сервере.
Зашифрованные файлы недоступны для клиентов Macintosh. Не поддерживается хранение сертификатов и закрытых ключей шифрованной файловой системы на смарт-картах. Не поддерживается усиленная защита закрытых ключей для закрытых ключей EFS.
Прежде чем файлы на удаленных серверах смогут шифроваться пользователями, администратор должен назначить удаленный сервер доверенным для делегирования. Это позволит всем пользователям шифровать файлы на этом сервере.