Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
Encrypting File System (EFS) — система шифрування даних, що реалізує шифрування на рівні файлів в операційних системах Microsoft Windows NT (починаючи з Windows 2000 і вище), за винятком «домашніх» версій (Windows XP Home Edition, Windows Vista Basic, Windows Vista Home Premium, Windows 7 Starter (Home Basic і Premium), Windows 10 Pro, Enterprise, and Education editions, Windows Server 2016, Windows Server 2019.
Дана система надає можливість [en], що зберігаються у розділах з файловою системою NTFS, для захисту потенційно конфіденційних даних від несанкціонованого доступу за наявності фізичного доступу посторонніх осіб до комп'ютера і дисків.
Аутентифікація користувача та права доступу до ресурсів, що мають місце в NT, працюють, коли операційна система завантажена, але при фізичному доступі до системи з'являється можливість завантажити іншу ОС, та обійти ці обмеження. EFS використовує симетричне шифрування для захисту файлів, а також шифрування, засноване на парі відкритий/закритий ключ, для захисту випадково згенерованого ключа шифрування для кожного файлу. За замовчуванням закритий ключ користувача захищений за допомогою шифрування користувальницьким паролем, і захищеність даних залежить від стійкості пароля користувача.
Опис роботи
EFS працює, шифруючи кожен файл за допомогою алгоритму симетричного шифрування, що залежить від версії операційної системи і налаштувань (починаючи з Windows XP доступна теоретична можливість використання сторонніх бібліотек для шифрування даних). При цьому використовується випадково згенерований ключ для кожного файлу, званий File Encryption Key (FEK), вибір симетричного шифрування на даному етапі пояснюється його швидкістю, в порівнянні з асиметричним шифруванням.
FEK (випадковий для кожного файлу ключ симетричного шифрування) захищається шляхом асиметричного шифрування, що використовує відкритий ключ користувача, шифрувального файл, і алгоритм RSA (теоретично можливе використання інших алгоритмів асиметричного шифрування). Зашифрований таким чином ключ FEK зберігається в альтернативному потоці $EFS файлової системи NTFS. Для розшифрування даних драйвер файлової системи прозоро для користувача розшифровує FEK, використовуючи закритий ключ користувача, а потім і необхідний файл з допомогою розшифрованого файлового ключа.
Оскільки шифрування/розшифрування файлів відбувається з допомогою драйвера файлової системи (по суті, надбудови над NTFS), воно відбувається прозоро для користувача і додатків. Варто зауважити, що EFS не шифрує файли, що передаються по мережі, тому для захисту переданих даних необхідно використовувати інші протоколи захисту даних (IPSec або WebDAV).
Інтерфейси взаємодії з EFS
Для роботи з EFS у користувача є можливість використовувати графічний інтерфейс провідника або утиліту командного рядка.
Використання графічного інтерфейсу
Для того, щоб зашифрувати файл або папку, що містить файл, користувач може скористатися відповідним вікном діалогу властивостей файлу або папки, встановивши або знявши прапорець «шифрувати вміст для захисту даних», при цьому для файлів, починаючи з Windows XP, можна додати відкриті ключі інших користувачів, які теж будуть мати можливість розшифрувати файл і працювати з його вмістом (при наявності відповідних дозволів). При шифруванні папки шифруються всі файли, що знаходяться в ній, а також ті, які будуть поміщені в неї пізніше.
При роботі з провідником Windows можливе (за промовчанням) відображення зашифрованих файлів і папок іншим (за промовчанням зеленим) кольором, що дозволяє візуально відрізнити захищений таким чином вміст. При копіюванні зашифрованих файлів на розділ, де шифрування не підтримується (наприклад, з файловою системою FAT32 і под.) буде виведене попередження про те, що файл буде розшифровано.
Методом редагування реєстру можливо додати в контекстне меню провідника (та інших, що підтримують цю функціональність файлових менеджерів) пунктів «зашифрувати» і «розшифрувати», що підвищує зручність роботи при частому використанні цих функцій, для чого необхідно створити (або відредагувати існуючий) параметр реєстру DWORD EncryptionContextMenu на 00000001, що знаходиться в гілці HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced.
Інтерфейс командного рядка
Для роботи користувача з EFS існує також можливість використовувати інтерфейс командного рядка — команду cipher. При виконанні даної команди без параметрів буде показано вміст поточної папки з міткою U перед файлом, якщо він не зашифрований, і E - якщо зашифрований.
Команда шифрування файлу/папки має вигляд:
cipher /E <шлях до папки>, Команда розшифрування файлу/папки має вигляд:
cipher /D <шлях до папки>. Дана утиліта має ряд інших можливостей, список яких може бути отриманий за допомогою команди cipher /?, серед яких перешифрування файлів з новим ключем, генерація нового ключа шифрування, додання агента відновлення і т. п.
Очищення невикористаного місця
При видаленні файлу або папки не відбувається повного фізичного видалення інформації, очищається лише «зміст» файлової системи. За допомогою утиліти cipher можливе часткове вирішення цієї проблеми, оскільки існує можливість виконати очищення вільного місця на диску шляхом його затирання. Для цього необхідно використати синтаксис:
cipher /W <шлях до будь-якої папки у розділі, яка підлягає очищенню>. WinAPI
Для роботи з EFS прикладних і системних програм можливе використання документованих і недокументованих функцій API Windows.
Алгоритми шифрування, які використовуються EFS
Підсистема EFS використовує різні симетричні алгоритми шифрування, що залежить від версії операційної системи.
| Операційна система | Алгоритм шифрування за замовчуванням | Альтернативні доступні алгоритми |
|---|---|---|
| Windows 2000 | DESX | (none) |
| Windows XP RTM | DESX | 3DES |
| Windows XP SP1 | AES | 3DES, DESX |
| Windows Server 2003 | AES | 3DES, DESX |
| Windows Vista | AES | 3DES, DESX |
| Windows Server 2008 | AES | 3DES, DESX (?) |
| Windows 7 Windows Server 2008 R2 | Mixed (AES, SHA, and ECC) | 3DES, DESX |
| Windows 8 | ? | ? |
| Windows 10 | ? | ? |
Див. також
Посилання
- Encrypting File System in Windows XP and Windows Server 2003 [ 1 січня 2008 у Wayback Machine.](англ.)
- EFS (Encrypting File System) — шифрованная файловая система : [ 23.08.2018] // OSZone.net. — 2005. — 28 января.
- // www.gotdotnet.ru. — 2003. — 4 ноября.
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Encrypting File System EFS sistema shifruvannya danih sho realizuye shifruvannya na rivni fajliv v operacijnih sistemah Microsoft Windows NT pochinayuchi z Windows 2000 i vishe za vinyatkom domashnih versij Windows XP Home Edition Windows Vista Basic Windows Vista Home Premium Windows 7 Starter Home Basic i Premium Windows 10 Pro Enterprise and Education editions Windows Server 2016 Windows Server 2019 Dana sistema nadaye mozhlivist en sho zberigayutsya u rozdilah z fajlovoyu sistemoyu NTFS dlya zahistu potencijno konfidencijnih danih vid nesankcionovanogo dostupu za nayavnosti fizichnogo dostupu postoronnih osib do komp yutera i diskiv Autentifikaciya koristuvacha ta prava dostupu do resursiv sho mayut misce v NT pracyuyut koli operacijna sistema zavantazhena ale pri fizichnomu dostupi do sistemi z yavlyayetsya mozhlivist zavantazhiti inshu OS ta obijti ci obmezhennya EFS vikoristovuye simetrichne shifruvannya dlya zahistu fajliv a takozh shifruvannya zasnovane na pari vidkritij zakritij klyuch dlya zahistu vipadkovo zgenerovanogo klyucha shifruvannya dlya kozhnogo fajlu Za zamovchuvannyam zakritij klyuch koristuvacha zahishenij za dopomogoyu shifruvannya koristuvalnickim parolem i zahishenist danih zalezhit vid stijkosti parolya koristuvacha Opis robotiEFS pracyuye shifruyuchi kozhen fajl za dopomogoyu algoritmu simetrichnogo shifruvannya sho zalezhit vid versiyi operacijnoyi sistemi i nalashtuvan pochinayuchi z Windows XP dostupna teoretichna mozhlivist vikoristannya storonnih bibliotek dlya shifruvannya danih Pri comu vikoristovuyetsya vipadkovo zgenerovanij klyuch dlya kozhnogo fajlu zvanij File Encryption Key FEK vibir simetrichnogo shifruvannya na danomu etapi poyasnyuyetsya jogo shvidkistyu v porivnyanni z asimetrichnim shifruvannyam FEK vipadkovij dlya kozhnogo fajlu klyuch simetrichnogo shifruvannya zahishayetsya shlyahom asimetrichnogo shifruvannya sho vikoristovuye vidkritij klyuch koristuvacha shifruvalnogo fajl i algoritm RSA teoretichno mozhlive vikoristannya inshih algoritmiv asimetrichnogo shifruvannya Zashifrovanij takim chinom klyuch FEK zberigayetsya v alternativnomu potoci EFS fajlovoyi sistemi NTFS Dlya rozshifruvannya danih drajver fajlovoyi sistemi prozoro dlya koristuvacha rozshifrovuye FEK vikoristovuyuchi zakritij klyuch koristuvacha a potim i neobhidnij fajl z dopomogoyu rozshifrovanogo fajlovogo klyucha Oskilki shifruvannya rozshifruvannya fajliv vidbuvayetsya z dopomogoyu drajvera fajlovoyi sistemi po suti nadbudovi nad NTFS vono vidbuvayetsya prozoro dlya koristuvacha i dodatkiv Varto zauvazhiti sho EFS ne shifruye fajli sho peredayutsya po merezhi tomu dlya zahistu peredanih danih neobhidno vikoristovuvati inshi protokoli zahistu danih IPSec abo WebDAV Interfejsi vzayemodiyi z EFSDlya roboti z EFS u koristuvacha ye mozhlivist vikoristovuvati grafichnij interfejs providnika abo utilitu komandnogo ryadka Vikoristannya grafichnogo interfejsu Dlya togo shob zashifruvati fajl abo papku sho mistit fajl koristuvach mozhe skoristatisya vidpovidnim viknom dialogu vlastivostej fajlu abo papki vstanovivshi abo znyavshi praporec shifruvati vmist dlya zahistu danih pri comu dlya fajliv pochinayuchi z Windows XP mozhna dodati vidkriti klyuchi inshih koristuvachiv yaki tezh budut mati mozhlivist rozshifruvati fajl i pracyuvati z jogo vmistom pri nayavnosti vidpovidnih dozvoliv Pri shifruvanni papki shifruyutsya vsi fajli sho znahodyatsya v nij a takozh ti yaki budut pomisheni v neyi piznishe Pri roboti z providnikom Windows mozhlive za promovchannyam vidobrazhennya zashifrovanih fajliv i papok inshim za promovchannyam zelenim kolorom sho dozvolyaye vizualno vidrizniti zahishenij takim chinom vmist Pri kopiyuvanni zashifrovanih fajliv na rozdil de shifruvannya ne pidtrimuyetsya napriklad z fajlovoyu sistemoyu FAT32 i pod bude vivedene poperedzhennya pro te sho fajl bude rozshifrovano Metodom redaguvannya reyestru mozhlivo dodati v kontekstne menyu providnika ta inshih sho pidtrimuyut cyu funkcionalnist fajlovih menedzheriv punktiv zashifruvati i rozshifruvati sho pidvishuye zruchnist roboti pri chastomu vikoristanni cih funkcij dlya chogo neobhidno stvoriti abo vidredaguvati isnuyuchij parametr reyestru DWORD EncryptionContextMenu na 00000001 sho znahoditsya v gilci HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Explorer Advanced Interfejs komandnogo ryadka Dlya roboti koristuvacha z EFS isnuye takozh mozhlivist vikoristovuvati interfejs komandnogo ryadka komandu cipher Pri vikonanni danoyi komandi bez parametriv bude pokazano vmist potochnoyi papki z mitkoyu U pered fajlom yaksho vin ne zashifrovanij i E yaksho zashifrovanij Komanda shifruvannya fajlu papki maye viglyad cipher E lt shlyah do papki gt Komanda rozshifruvannya fajlu papki maye viglyad cipher D lt shlyah do papki gt Dana utilita maye ryad inshih mozhlivostej spisok yakih mozhe buti otrimanij za dopomogoyu komandi cipher sered yakih pereshifruvannya fajliv z novim klyuchem generaciya novogo klyucha shifruvannya dodannya agenta vidnovlennya i t p Ochishennya nevikoristanogo miscya Pri vidalenni fajlu abo papki ne vidbuvayetsya povnogo fizichnogo vidalennya informaciyi ochishayetsya lishe zmist fajlovoyi sistemi Za dopomogoyu utiliti cipher mozhlive chastkove virishennya ciyeyi problemi oskilki isnuye mozhlivist vikonati ochishennya vilnogo miscya na disku shlyahom jogo zatirannya Dlya cogo neobhidno vikoristati sintaksis cipher W lt shlyah do bud yakoyi papki u rozdili yaka pidlyagaye ochishennyu gt WinAPI Dlya roboti z EFS prikladnih i sistemnih program mozhlive vikoristannya dokumentovanih i nedokumentovanih funkcij API Windows Algoritmi shifruvannya yaki vikoristovuyutsya EFSPidsistema EFS vikoristovuye rizni simetrichni algoritmi shifruvannya sho zalezhit vid versiyi operacijnoyi sistemi Operacijna sistema Algoritm shifruvannya za zamovchuvannyam Alternativni dostupni algoritmi Windows 2000 DESX none Windows XP RTM DESX 3DES Windows XP SP1 AES 3DES DESX Windows Server 2003 AES 3DES DESX Windows Vista AES 3DES DESX Windows Server 2008 AES 3DES DESX Windows 7 Windows Server 2008 R2 Mixed AES SHA and ECC 3DES DESX Windows 8 Windows 10 Div takozhBitLockerPosilannyaEncrypting File System in Windows XP and Windows Server 2003 1 sichnya 2008 u Wayback Machine angl EFS Encrypting File System shifrovannaya fajlovaya sistema 23 08 2018 OSZone net 2005 28 yanvarya www gotdotnet ru 2003 4 noyabrya