Ef s шифрованные файлы. Контроль шифрованной файловой системы (Encrypting File System – EFS) с помощью групповой политики. Две стадии управления EFS

При работе с операционными системами Windows XP/Vista/7 и восстановлении паролей к почте и интернет-сайтам. Следующей задачей, которой часто приходится заниматься при расследовании инцидентов, является восстановление паролей к архивам, почтовым клиентам и EFS (Encrypting File System). Об этом и пойдет речь в данной статье.

Восстановление ключей EFS

На самом деле, правильнее всего в этой ситуации восстановить пароль пользователя . Тогда расшифровать EFS будет значительно проще, мы к этому еще вернемся. Однако необходимо понимать, что даже если у вас нет пароля, все равно можно попробовать расшифровать соответствующие файлы и папки. Для этого предназначено программное обеспечение Advanced EFS Data Recovery.

В данном программном обеспечении для удобства пользователя создан соответствующий мастер Advanced EFS Data Recovery, с помощью которого вы сможете пошагово пройти весь процесс расшифровки. Или можно воспользоваться "Режимом эксперта" для того, чтобы выполнять действия самому.

На мой взгляд, если человек, использующий Advanced EFS Data Recovery, не чувствует себя уверенно, гораздо удобнее задействовать Мастер Advanced EFS Data Recovery. Рассмотрим этот режим более подробно.

На первом этапе работы мастера Advanced EFS Data Recovery система запросит персональный сертификат , использовавшийся для EFS.

Предположим, у вас есть такой сертификат (ситуация крайне редкая, ведь пользователи почему-то либо пренебрегают экспортом сертификатов, либо просто забывают, куда же его экспортировали). В этом случае все достаточно просто. От вас требуется выбрать файл сертификата и ввести пароль сертификата. Далее производится поиск всех зашифрованных с его помощью папок и файлов на локальных разделах. Вы получаете список зашифрованных данным сертификатом файлов, которые можете расшифровать. Естественно, в случае исследования компьютера расшифровывать придется на другой жесткий диск или внешний носитель , дабы ничего не повредить.

Но как быть, если у вас нет сертификата? В этом случае мастер Advanced EFS Data Recovery предложит поискать его на жестком диске. Учтите, что вы сможете искать сертификат не только среди существующих файлов, но и среди удаленных. Но для этого необходимо включить флажок "Сканировать посекторно". Рекомендуется включать данный режим при повторном сканировании, если на первом проходе вы не обнаружили искомые сертификаты.

Далее некоторое время у вас займет сам поиск ключей. В результате поиска будет выведено окно мастера. Если ключи не найдены, необходимо ввести имя пользователя (владельца EFS) и его пароль или в крайнем случае HEX-код. Как получить пароль пользователя, было описано в предыдущей статье.

Если вам известен пароль пользователя, вы вводите имя соответствующей учетной записи и ее пароль и нажимаете кнопку "Вперед". Далее происходит дешифрование найденных папок и файлов, зашифрованных с помощью EFS. Как видите, даже если вы переустановили операционную систему, это не означает, что вы потеряли данные, зашифрованные с помощью EFS.

Не забудьте, что если вы знаете имя и пароль учетной записи, под которой осуществлялось шифрование , процесс расшифровывания займет куда меньше времени. В противном случае можно попытаться осуществить дешифрование с помощью режима эксперта. Хотя надо признать, что вероятность положительного результата в данном случае заметно ниже. Вам будет предложено добавить пароль из словаря. Естественно, считается, что файлы словарей у вас есть.

Хотелось бы отметить следующее. Как мы видим, сегодня существуют достаточно мощные средства восстановления (взлома) паролей. Следовательно, для обеспечения их стойкости у нас есть три пути:

Дальнейшее наращивание длины и сложности (на мой взгляд, путь тупиковый, потому что рано или поздно пользователи начинают путаться, забывать пароли, применять один и тот же на все случаи жизни и т. д.).
Использование биометрических средств аутентификации .
Использование многофакторной аутентификации и сертификатов. Данный путь опять-таки, на мой взгляд, значительно перспективнее, однако стоит учесть, что предлагаемые решения, конечно же, стоят денег, и порой немалых.

Выбор, естественно, за вами.

Владимир БЕЗМАЛЫЙ

Страница 1 из 5

Шифрующая файловая система это тесно интегрированная с NTFS служба, располагающаяся в ядре Windows 2000. Ее назначение: защита данных, хранящихся на диске, от несанкционированного доступа путем их шифрования. Появление этой службы не случайно, и ожидалось давно. Дело в том, что существующие на сегодняшний день файловые системы не обеспечивают необходимую защиту данных от несанкционированного доступа. Внимательный читатель может возразить мне: а как же Windows NT с ее NTFS? Ведь NTFS обеспечивает разграничение доступа и защиту данных от несанкционированного доступа! Да, это правда. Но как быть в том случае, когда доступ к разделу NTFS осуществляется не с помощью средств операционной системы Windows NT, а напрямую, на физическом уровне? Ведь это сравнительно легко реализовать, например, загрузившись с дискеты и запустив специальную программу: например, весьма распространенную ntfsdos. В качестве более изощренного примера можно указать продукт NTFS98, который можно скачать

(незарегистрированная версия позволяет читать тома NTFS из под Windows98, зарегистрированная версия позволяет к тому же производить запись на такие тома). Конечно, можно предусмотреть такую возможность, и задать пароль на запуск системы, однако практика показывает, что такая защита малоэффективна, особенно в том случае, когда за одним компьютером работают сразу несколько пользователей. А если злоумышленник может извлечь жесткий диск из компьютера, то здесь уже не помогут никакие пароли. Подключив диск к другому компьютеру, его содержимое можно будет прочитать с такой же легкостью, что и эту статью. Таким образом, злоумышленник свободно может овладеть конфиденциальной информацией, которая хранится на жестком диске.

Единственный способ защиты от физического чтения данных это шифрование файлов. Простейший случай такого шифрования - архивирование файла с паролем. Однако здесь есть ряд серьезных недостатков. Во-первых, пользователю требуется каждый раз вручную шифровать и дешифровать (то есть, в нашем случае архивировать и разархивировать) данные перед началом и после окончания работы, что уже само по себе уменьшает защищенность данных. Пользователь может забыть зашифровать (заархивировать) файл после окончания работы, или (еще более банально) просто оставить на диске копию файла. Во-вторых, пароли, придуманные пользователем, как правило, легко угадываются. В любом случае, существует достаточное количество утилит, позволяющих распаковывать архивы, защищенные паролем. Как правило, такие утилиты осуществляют подбор пароля путем перебора слов, записанных в словаре.

Система EFS была разработана с целью преодоления этих недостатков. Ниже мы рассмотрим более подробно детали технологии шифрования, взаимодействие EFS с пользователем и способы восстановления данных, познакомимся с теорией и реализацией EFS в Windows 2000, а также рассмотрим пример шифрования каталога при помощи EFS.

Технология шифрования

EFS использует архитектуру Windows CryptoAPI. В ее основе лежит технология шифрования с открытым ключом. Для шифрования каждого файла случайным образом генерируется ключ шифрования файла. При этом для шифрования файла может применяться любой симметричный алгоритм шифрования. В настоящее же время в EFS используется один алгоритм, это DESX, являющийся специальной модификацией широко распространенного стандарта DES.

Ключи шифрования EFS хранятся в резидентном пуле памяти (сама EFS расположена в ядре Windows 2000), что исключает несанкционированный доступ к ним через файл подкачки.

Взаимодействие с пользователем

Для того чтобы зашифровать каталог из Windows Explorer, пользователю нужно просто выбрать один или несколько каталогов и установить флажок шифрования в окне расширенных свойств каталога. Все создаваемые позже файлы и подкаталоги в этом каталоге будут также зашифрованы. Таким образом, зашифровать файл можно, просто скопировав (или перенеся) его в "зашифрованный" каталог.

Зашифрованные файлы хранятся на диске в зашифрованном виде. При чтении файла данные автоматически расшифровываются, а при записи - автоматически шифруются. Пользователь может работать с зашифрованными файлами так же, как и с обычными файлами, то есть открывать и редактировать в текстовом редакторе Microsoft Word документы, редактировать рисунки в Adobe Photoshop или графическом редакторе Paint, и так далее.

Необходимо отметить, что ни в коем случае нельзя шифровать файлы, которые используются при запуске системы - в это время личный ключ пользователя, при помощи которого производится дешифровка, еще недоступен. Это может привести к невозможности запуска системы! В EFS предусмотрена простая защита от таких ситуаций: файлы с атрибутом "системный" не шифруются. Однако будьте внимательны: это может создать "дыру" в системе безопасности! Проверяйте, не установлен ли атрибут файла "системный" для того, чтобы убедиться, что файл действительно будет зашифрован.

Важно также помнить о том, что зашифрованные файлы не могут быть сжаты средствами Windows 2000 и наоборот. Иными словами, если каталог сжат, его содержимое не может быть зашифровано, а если содержимое каталога зашифровано, то он не может быть сжат.

В том случае, если потребуется дешифровка данных, необходимо просто снять флажки шифрования у выбранных каталогов в Windows Explorer, и файлы и подкаталоги автоматически будут дешифрованы. Следует отметить, что эта операция обычно не требуется, так как EFS обеспечивает "прозрачную" работу с зашифрованными данными для пользователя.

Encrypting File System

Шифрующая файловая система - это тесно интегрированная с NTFS служба, располагающаяся в ядре Windows 2000. Ее назначение: защита данных, хранящихся на диске, от несанкционированного доступа путем их шифрования. Появление этой службы не случайно и ожидалось давно. дело в том, что существующие на сегодняшний день файловые системы не обеспечивают необходимую защиту данных от несанкционированного доступа.

Хотя и NTFS обеспечивает разграничение доступа и защиту данных от несанкционированного доступа, но как быть в том случае, когда доступ к разделу NTFS осуществляется не с помощью средств операционной системы Windows NТ, а напрямую, на физическом уровне? Ведь это сравнительно легко реализовать, например, загрузившись с дискеты и запустив специальную программу: например, весьма распространенную Конечно, можно предусмотреть такую возможность, и задать пароль на запуск системы, однако практика показывает, что такая защита малоэффективна, особенно в том случае, когда за одним компьютером работают сразу несколько пользователей. А если злоумышленник может извлечь жесткий диск из компьютера, то здесь уже не помогут никакие пароли. Подключив диск к другому компьютеру, его содержимое можно будет прочитать без особых проблем. Таким образом, злоумышленник свободно может овладеть конфиденциальной информацией, которая хранится на жестком диске. Единственный способ защиты от физического чтения данных - это шифрование файлов. Простейший случай такого шифрования - архивирование файла с паролем. Однако здесь есть ряд серьезных недостатков. Во-первых, пользователю требуется каждый раз вручную шифровать и дешифровать (то есть, в нашем случае архивировать и разархивировать) данные перед началом и после окончания работы, что уже само по себе уменьшает защищенность данных. Пользователь может забыть зашифровать (заархивировать) файл после окончания работы или (еще более банально) просто оставить на диске копию файла. Во-вторых, пароли, придуманные пользователем, как правило, легко угадываются. В любом случае, существует достаточное количество утилит, позволяющих распаковывать архивы, защищенные паролем. Как правило, такие утилиты осуществляют подбор пароля путем перебора слов, записанных в словаре. Система EFS была разработана с целью преодоления этих недостатков.

2.1. Технология шифрования

ЕР$ использует архитектуру Windows CryptoAPI. В ее осноне лежит технология шифрования с открытым ключом, для шифрования каждого файла случайным образом генерируется ключ шифрования файла. При этом для шифрования файла может применяться любой симметричный алгоритм шифрования. В настоящее же время в EFS используется один алгоритм - это DESX, являющийся специальной модификацией широко распространенного стандарта DES. Ключи шифрования EFS хранятся в резидентном пуле памяти (сама EFS расположена в ядре Windows 2000), что исключает несанкционированный доступ к ним через файл подкачки.

По умолчанию EFS сконфигурирована таким образом, что пользователь может сразу начать использовать шифрование файлов. Операция шифрования и обратная поддерживаются для файлов и каталогов. В том случае, если шифруется каталог, автоматически шифруются все файлы и подкаталоги этого каталога. Необходимо отметить, что если зашифрованный файл перемещается или переименовывается из зашифрованного каталога в незашифрованный, то он все равно остается зашифрованным. Операции шифрования/дешифрования можно выполнить двумя различными способами - используя Windows Explorer или консольную утилиту Cipher. для того чтобы зашифровать каталог из Windows Explorer, пользователю нужно просто выбрать один или несколько каталогов и установить флажок шифрования в окне расширенных свойств каталога. Все создаваемые позже файлы и подкаталоги в этом каталоге будут также зашифрованы. Таким образом, зашифровать файл можно, просто скопировав (или перенеся) его в «зашифрованный» каталог. Зашифрованные файлы хранятся на диске в зашифрованном виде. При чтении файла данные автоматически расшифровываются, а при записи автоматически шифруются. Пользователь может работать с зашифрованными файлами так же, как и с обычными файлами, то есть открывать и редактировать в текстовом редакторе Microsoft Word документы, редактировать рисунки в Adobe Photoshop или графическом редакторе Paint, и так далее.

Необходимо отметить, что ни в коем случае нельзя шифровать файлы, которые используются при запуске системы в это время личный ключ пользователя, при помощи которого производится дешифровка, еще недоступен. Это может привести к невозможности запуска системы! B EFS предусмотрена простая защита от таких ситуаций: файлы с атрибутом «системный» не шифруются. Однако будьте внимательны: это может создать «дыру» в системе безопасности! Проверяйте, не установлен ли атрибут файла <системный» для того, чтобы убедиться, что файл действительно будет зашифрован.

В том случае, если потребуется дешифровка данных, необходимо просто снять флажки шифрования у выбранных каталогов в Windows Explorer, и файлы и подкаталоги автоматически будут дешифрованы. Следует отметить, что эта операция обычно не требуется, так как EFS обеспечивает «прозрачную» работу с зашифрованными данными для пользователя.

Одной из мало известных возможностей Windows является шифрованная система Encrypting File System (EFS). Она позволяет быстро зашифровать и поставить пароль на ваши файлы и папки в системе windows, используя собственную учетную запись пользователя. Поскольку файлы или папки были зашифрованы с использованием пароля учетной записи пользователя windows, другие пользователи на вашей системе, включая администратора, не может открыть, изменить или переместить папки, или файлы. Система EFS является полезной, если вы не хотите, чтобы другие пользователи смотрели ваши файлы и папки. Рассмотрим в этом руководстве, как поставить пароль на папку и фалы встроенными средствами windows, без сторонних программ.

Encrypting File System и BitLocker это абсолютно разные системы для шифрования. EFS менее безопасный чем BitLocker. Любой человек знающий пароль от вашей учетной записи, может легко получить доступ к ним. Вы не сможете шифровать целые разделы диска, EFS работает только с файлами и папками, а BitLocker наоборот, только с дисками и флешками.

Как поставить пароль на папку и файлы

Все что вам нужно сделать это установить флажок и создать резервную копию сертификата безопасности. Для начало выберите папку с файлами, на которую хотите поставить пароль с помощью EFS, щелкните правой кнопкой мыши по ней и выберите "свойства ".

В кладке "общие", нажмите Другие атрибуты.

В дополнительном окне атрибутов, поставьте галочку Шифровать содержимое для защиты данных .

Если в папке есть файлы, то вам выскочит следующее окно. Нажмите применить ко всем вложенным папкам и файлам.

У вас в трее появится папка с восклицательным знаком, нажмите на нее для дальнейшей настройки.

Создайте копию ключа, выберите вариант "Архивировать сейчас".

Выставьте настройки, как на картинке.

Выделите галочкой "Пароль" и придумайте пароль для вашей папки и файлов.

Придумайте любое имя вашего сертификата безопасности и выберите любой путь для его хранения.

Для хранения сертификата я выбрал рабочий стол, в свою очередь сделал его скрытым через свойства папки.

Начиная с Windows XP во всех операционных системах Microsoft существует встроенная технология шифрования данных EFS (Encrypting File System) . EFS-шифрование основано на возможностях файловой системы NTFS 5.0 и архитектуре CryptoAPI и предназначено для быстрого шифрования файлов на жестком диске компьютера.

Вкратце опишем схему шифрования EFS. Система EFS использует шифрование с открытым и закрытым ключом. Для шифрования в EFS используется личный и публичный ключи пользователя, которые генерируются при первом использовании пользователем функции шифрования. Данные ключи остаются неизменными все время, пока существует его учетная запись. При шифровании файла EFS случайным образом генерирует уникальный номер, так называемый File Encryption Key (FEK) длиной 128 бит, с помощью которого и шифруются файлы. Ключи FEK зашифрованы master-ключом, который зашифрован ключом пользователей системы, имеющего доступ к файлу. Закрытый ключ пользователя защищается хэшем пароля этого самого пользователя.

Таким образом, можно сделать вывод: вся цепочка EFS шифрования по сути жестко завязана на логин и пароль пользователя. Это означает, что защищённость данных в том числе зависит и от стойкости пароля пользователя.

Важно . Данные, зашифрованные с помощью EFS, могут быть расшифрованы только с помощью той же самой учетной записи Windows с тем же паролем, из-под которой было выполнено шифрование. Другие пользователи, в том числе администраторы, расшифровать и открыть эти файлы не смогут. Это означает, что приватные данные останутся в безопасности, даже если любым способом. Но важно понимать и обратную сторону вопроса. При смене учетной записи или ее пароля (если только он не был изменен непосредственно самим пользователем из своей сессии), выходе из строя или переустановке ОС – зашифрованные данные станут недоступны. Именно поэтому крайне важно экспортировать и хранить в безопасном месте сертификаты шифрования (процедура описана ниже).

Примечание . Начиная с Windows Vista в ОС системах MS поддерживается еще одна технология шифрования – BitLocker. BitLocker в отличии от EFS-шифрования:

используется для шифрования дискового тома целиком
требует наличия аппаратного TPM модуля (в случае его требуется внешнее устройство хранения ключа, например USB флешки или жесткого диска)

Внешне для пользователя работа с зашифрованными с помощью EFS приватными файлами ничем не отличается от работы с обычными файлами – ОС выполняет операции шифрования/дешифрования автоматически (эти функции выполняет драйвер файловой системы).

Как включить EFS шифрование каталога в Windows

Пошагово разберем процедуру шифрования данных в Windows 8 с помощью EFS.

Примечание . Не в коем случае не стоит включать шифрование для системных каталогов и папок. В противнмслучае Windows может просто не загрузится, т.к. система не сможет найти личный ключ пользователя и дешифровать файлы.

В проводник File Explorer выберите каталог или файлы, которые необходимо зашифровать, и, щелкнув ПКМ, перейдите в их свойства (Properties ).

На вкладке General в секции атрибутов найдите и нажмите кнопку Advanced .

В появившемся окне поставьте чекбокс Encrypt contents to secure data (Шифровать содержимое для защиты данных).

Нажмите дважды ОК.

В том случае, если выполняется шифрование каталога, система спросит хотите ли вы зашифровать только каталог или каталог и все вложенные элементы. Выберите желаемое действие, после чего окно свойств каталога закроется.

Зашифрованные каталоги и файлы в проводнике Windows отображаются зеленым цветов (напомним, что синим цветов подсвечены объекты, ). Если выбрано шифрование папки со всем содержимым, все новые объекты внутри зашифрованного каталога также шифруются.

Управлять шифрованием/дешифрованием EFS можно из командной строки с помощью утилиты cipher. Например, зашифровать каталог C:\Secret можно так:

Cipher /e c:\Secret

Список всех файлов в файловой системе, зашифрованных с помощью сертификата текущего пользователя можно вывести с помощью команды:

Cipher /u /n

Резервное копирование ключа шифрование EFS

После того, как пользователь впервые зашифровал свои данные с помощью EFS, в системном трее появится всплывающее окно, сообщающее о необходимости сохранить ключ шифрования.

Back up your file encryption key . This helps you avoid permanently losing access to you encrypted files.

Щелкнув по сообщению, вы запустите мастер резервного копирования сертификатов и ассоциированных с ними закрытых ключей шифрования EFS.

Примечание . Если вы случайно закроете окно, или оно не появится, экспортировать сертификаты EFS можно с помощью функции «Manage file encryption certificates » в панели управления пользователями.

Выберите Back up your file encryption certificate and key

Затем укажите пароль для защиты сертификата (желательно достаточно сложный).

Осталось указать местоположение, куда необходимо сохранить экспортируемый сертификат (в целях безопасности в дальнейшем его необходимо скопировать на внешний жесткий диск /usb флешку и хранить в безопасном месте).