Обеспечение безопасности в файловой системе NTFS

EFS

Когда вы стираете файл с жесткого диска, на самом деле вы не удаляете его, а просто сообщаете компьютеру о том, что часть диска, на которой находится файл, теперь доступна для использования. Файл исчезает только тогда, когда вы что-то записываете поверх него. Однако пока этого не произошло, файл продолжает существовать на диске и может быть легко восстановлен.

Использование файловой системы EFS (Encrypting File System - шифрованная файловая система) в Windows XP Professional позволяет защитить данные. При применении EFS сохраняемые на диске файлы шифруются, и их нельзя прочитать, пока к ним не будет корректного доступа.

Примечание. EFS можно применять только в NTFS-томе.

EFS представляет собой трехступенчатый процесс.

1. Для шифрования и расшифровки данных применяется пара ключей: открытый/закрытый и ключ шифрования файлов. Когда пользователь в первый раз шифрует файл, EFS создает ключ шифрования файлов (FEK). FEK шифруется с помощью открытого ключа пользователя и в зашифрованном состоянии хранится вместе с файлом.
2. Существует несколько способов пометить файл, предназначенный для шифрования:
   • вручную настроить EFS путем изменения расширенных свойств файла;
   • сохранить файл в папке, предназначенной для шифрования;
   • использовать команду CIPHER.EXE в командной строке.
3. Для расшифровки файла пользователь должен открыть его и удалить шифрование, используя команду CIPHER.EXE. При дешифровке файла система EFS сначала декодирует FEK с помощью закрытого ключа пользователя, а затем расшифровывает данные, используя FEK.

EFS в Windows XP Professional

Система EFS известна со времени появления Windows 2000, но Windows XP Professional добавила в нее новые свойства, повысив ее функциональность. Эти новые качества включают в себя следующее.

• Возможность шифровать файлы в режиме офлайн.
• Наличие агентов восстановления данных (Data Recovery Agents).
• Возможность использования алгоритма 3DES (triple-DES) вместо DESX (Data Encryption Standard XORed).
• Дискета сброса пароля может быть использована для переустановки пароля пользователя.
• Зашифрованные файлы можно хранить в веб-папках.

В Windows XP Professional система EFS включается по умолчанию. Однако тут надо соблюсти некоторые предварительные условия. Во-первых, пользователи должны иметь открытый и закрытый ключи и открытый сертификат шифрования. Однако EFS может использовать самоподписываемые сертификаты, которым для работы не нужна подпись администратора.

Шифрование и расшифровка

При работе с EFS лучше всего зашифровывать целую папку, а не отдельные файлы. Это ускоряет процесс и делает его более эффективным. Вместо шифрования разрозненных файлов вы сможете одним движением руки создать защиту множества файлов. Более того, при шифровании папки целиком все запасные копии файлов тоже шифруются.

Примечание. Разумеется, будут зашифрованы только те копии, которые хранятся в зашифрованной папке.

Для шифрования файла или папки проделайте следующие шаги.

1. В My Computer (Мой компьютер) выберите файл или папку, которые нужно зашифровать.
2. Щелкните правой кнопкой мыши на файле или папке и выберите Properties (Свойства).
3. На вкладке General (Общие) щелкните на кнопке Advanced (Дополнительно). Появится экран, показанный на рис. 10.6.
4. Отметьте флажок Encrypt contents to secure data (Шифровать содержимое для защиты данных) и затем нажмите ОК.

Если вы решили зашифровать только файл, то Windows XP Professional выдаст запрос, хотите ли вы зашифровать один этот файл или всю папку. Как упоминалось ранее, лучше зашифровать целую папку, но, тем не менее, можно зашифровать и отдельный файл. После шифрования имя файла будет показано зеленым цветом.

Рис. 10.6. Шифрование файла или папки

Примечание. Сжатые файлы представлены шрифтом синего цвета. Файл не может быть одновременно зашифрованным и сжатым.

Дешифрование файлов и папок проводится аналогичным образом. В данном случае вам потребуется очистить флажок Encrypt contents to secure data.

Команда CIPHER

По желанию для шифрования папок и файлов можно использовать инструмент командной строки CIPHER. Использование команды CIPHER в чистом виде просто показывает атрибуты файлов и папок, содержащихся в данной папке. Однако эту команду можно применять с набором ключей. Перечисленные ниже являются наиболее полезными.

• /e Назначает файл или папку для шифрования.
• /d Расшифровывает выбранный файл или папку.
• /a Указывает, что действие будет применено ко всем файлам в папке.
• /? Представляет список всех аргументов CIPHER.

Ниже показаны два файла, которые были предварительно зашифрованы с помощью Windows XP Professional GUI, каждый из которых содержит очень секретную информацию: Top Secret Plans For World Domination.txt и Aunt Barb's Apple Brown Betty Recipe.txt. Воспользовавшись командой CIPHER, мы можем увидеть EFS-атрибуты файлов в этой папке. Оба файла были зашифрованы, о чем свидетельствует буква "E" рядом с именами файлов. Незашифрованные папки помечены буквой "U".

C:>cipher

	Listing C:\Documents and Settings\Robert Elsenpeter\My Documents\
	New files added to this directory will not be encrypted.

E Aunt Barb's Apple Brown Betty Recipe.txt
U My Music
U My Pictures
E Top Secret Plans For World Domination.txt

Для расшифровки этих файлов введите:

C:>cipher /d /a
	Decrypting files in C:\Documents and Settings\Robert Elsenpeter\My Documents\
Aunt Barb's Apple Brown Betty Recipe.txt [OK]
Top Secret Plans For World Domination.txt [OK]
2 file(s) [or directorie(s)] within 1 directorie(s) were decrypted.