Nehmen wir an, Sie haben einen laufenden Computer Windows-Steuerung die aktuellste Version. Sie spielen darauf Ballerspiele, schreiben Ihre Dissertation, führen die Buchhaltung einzelner Unternehmer nach einem vereinfachten System durch und haben im Allgemeinen so viel Spaß, wie Sie können. Doch plötzlich und völlig unbegründet haben Sie das Gefühl, dass etwas von außen die Sicherheit einiger der auf Ihrem Computer gespeicherten Daten gefährdet Personalcomputer. Mit heißem Blick lesen Sie zahlreiche Cyber-Foren und stellen mit Schrecken fest, dass alle Ihre Daten auf Ihrer Festplatte in keiner Weise geschützt sind. Und wenn Ihr geliebter Computer gestohlen wird und die Diebstahlgefahr für tragbare Geräte nicht so gering ist, kann der Angreifer an den gesamten Inhalt gelangen Festplatte! Oh, meine unbezahlbare Dissertation!

Versuchen wir herauszufinden, ob es wirklich möglich ist, sich bei laufendem Computer unbefugten Zugriff auf Dateien zu verschaffen Betriebssystem Windows 10. Ingenieure bei IBM und später bei Microsoft haben große Anstrengungen unternommen, um ein System zur gemeinsamen Nutzung von Rechten für das NTFS-Dateisystem zu implementieren (als IBM dort war, war es HPFS). Und wenn Win10 auf einem Computer läuft, dann ist es sehr, sehr schwierig, ohne Erlaubnis auf die Dateien anderer Leute zuzugreifen, und wenn der Zugriff blockiert ist, ist es völlig unmöglich. Windows schützt Benutzerdateien sicher.

Sobald Sie jedoch ein anderes Betriebssystem starten, beispielsweise Linux Mint, stehen Ihnen alle Benutzerdateien zur Verfügung. Laden Sie herunter, was Sie wollen. Und Sie können Mint entweder von einem Flash-Laufwerk oder von einer CD-ROM booten. Sie müssen nur zum UEFI (BIOS) gehen und das Booten von Wechseldatenträgern aktivieren, falls es noch nicht aktiviert wurde, oder das Boot-Menü verwenden. Angenommen, Sie legen ein Passwort für die Anmeldung bei UEFI fest und deaktivieren die Auswahl eines Laufwerks zum Booten als Klasse, dann sind Ihre Dateien etwas besser geschützt. Und ein Angreifer kann Ihren Computer einfach abschrauben und herausziehen Festplatte und schließen Sie es an Ihren Computer an und laden Sie dann alles herunter, was erforderlich ist. Schließlich liegen die Daten in Form von Dateien in seinen Händen wie ein offenes Notizbuch.

IT-Spezialisten wissen, dass Sie die Daten auf Ihrem Computer mithilfe der BitLocker-Technologie einigermaßen sichern können. BitLocker ist eine gute Sache, aber Sie können damit nur ganze Partitionen auf physischen oder virtuellen Festplatten verschlüsseln. Gleichzeitig ist die Sicherheit der Schlüssel inklusive der Speicherung in TPM-Modulen gewährleistet. Was sehr praktisch ist. Allerdings ist es nicht immer bequem, alles und jeden zu verschlüsseln, obwohl die Verwendung natürlich nicht der Fall ist vollständige Verschlüsselung Die Festplatte hat eine bestimmte Bedeutung. Aber aus irgendeinem Grund vergisst jeder die teilweise Verschlüsselung von Dateien und Verzeichnissen.

In Windows 10 gibt es wie in seinen vorherigen Reinkarnationen ein Encrypted File System, was Encrypted File System (EFS) bedeutet. Diese Funktion ist ab der Pro-Edition verfügbar. Wenn Sie also die Windows Home-Version haben, müssen Sie mindestens auf die Pro-Version aktualisieren. Wikipedia hat viel darüber geschrieben, wie und was in EFS verschlüsselt wird. Ich werde einfach versuchen, alles so einfach wie möglich zu erklären und das Beste zu geben detaillierte Anleitung um den Schutz Ihrer Dateien zu aktivieren.

Zusätzlich zur Mindestversion der Pro-Edition ist es erforderlich, dass Sie unter einem Benutzer arbeiten, der über ein Passwort verfügt. Das Passwort muss vorhanden sein, sei es ein Link dazu Cloud-Dienst Microsoft oder ein völlig eigenständiges Passwort. Es spielt keine Rolle, ob Sie sich mit einem PIN-Code oder einem Muster am System anmelden. Wichtig ist, dass Ihrem Konto ein Passwort zugeordnet ist. Zusätzlich zum Kennwort im aktiven Konto ist es erforderlich, dass sich die geschützten Dateien und Verzeichnisse auf einer Festplatte oder Partition mit dem NTFS-Dateisystem befinden. Höchstwahrscheinlich ist dies das Dateisystem, das Sie verwenden.

Die Datenverschlüsselung erfolgt für die meisten Benutzer absolut transparent Softwareprodukte, Weil Die Verschlüsselung erfolgt auf NTFS-Dateisystemebene. Sie können eine Datei oder einen ganzen Ordner auf einmal verschlüsseln. Sie können ihn als leeren Ordner verschlüsseln und dann neue Dateien hinzufügen, die ebenfalls verschlüsselt werden, oder Sie können einen Ordner mit darin enthaltenen Dateien und Verzeichnissen verschlüsseln. Alles ist Ihre Wahl.

Beachten Sie beim Arbeiten mit verschlüsselten Ordnern und Dateien Folgendes:

1. Dateien werden verschlüsselt, bis sie in ein anderes Dateisystem als NTFS übertragen werden. Sie kopieren beispielsweise eine verschlüsselte Datei auf ein Flash-Laufwerk. Wenn es FAT32 ist und höchstwahrscheinlich vorhanden ist, wird die Datei entschlüsselt. In der zehnten Version Windows Microsoft Dennoch habe ich eine Funktion implementiert, mit der die Datei auch dann verschlüsselt bleibt, wenn Sie sie mit FAT auf ein Flash-Laufwerk übertragen. Sie sollten also wachsam sein, wenn Sie Dateien an Ihren Freund weitergeben. Wird er sie später öffnen können, ohne zu fluchen? Wenn Sie eine Datei über senden E-Mail- es wird entschlüsselt (ansonsten macht es keinen Sinn, es per Post zu versenden). Bei der Übertragung einer Datei über das Netzwerk erfolgt auch eine Entschlüsselung.
2. Beim Verschieben zwischen NTFS-Partitionen bleibt die Datei verschlüsselt. Beim Verschieben einer Datei von einer NTFS-Festplatte auf eine andere NTFS-Festplatte wird die Datei verschlüsselt. Wenn Sie eine Datei mit dem NTFS-Dateisystem auf eine Wechselfestplatte kopieren, wird sie an einem neuen Speicherort verschlüsselt.
3. Wenn das Kontokennwort von einem Dritten, beispielsweise einem Administrator, gewaltsam geändert wird oder das Kennwort eines verknüpften Domänenkontos oder Cloud-Dienstes gewaltsam geändert wird, ist der Zugriff auf Dateien ohne Sicherungszertifikat (das bei der ersten Verschlüsselung erstellt wurde) nicht mehr möglich möglich sein.

Der letzte Punkt ist sehr wichtig, insbesondere für Menschen mit unzuverlässigem Gedächtnis, die ständig Passwörter zurücksetzen. Hier kann ein solcher Trick zu dauerhaft verschlüsselten Dateien führen, es sei denn natürlich, Sie importieren das gespeicherte Zertifikat in das System. Wenn die Passwortänderung jedoch freiwillig erfolgt, beispielsweise in Übereinstimmung mit einer Passwortänderungsrichtlinie, kommt es nicht zu einem vorzeitigen Verlust verschlüsselter Dateien.

Skeptiker werden zu Recht anmerken, dass ein solcher Schutz wie BitLocker jedoch nicht besonders zuverlässig ist. Hacker können das Passwort erraten, wenn es schwach ist, und die Geheimdienste werden alles entschlüsseln. Tatsächlich können sie Ihr Passwort einfach erraten, wenn es kurz und einfach ist. Und dafür sind Geheimdienste da, nämlich die technische Möglichkeit zu haben, an die Inhalte der Dateien allzu verdächtiger Nutzer zu gelangen. Darüber hinaus haben Sie nach der Anmeldung sofort transparenten Zugriff auf alle Ihre EFS-verschlüsselten Dateien. Und wenn sich auf Ihrem Computer ein Trojaner oder ein Virus befindet, verschafft er sich auf genau die gleiche Weise Zugriff auf wertvolle Dateien. Die Computerhygiene sollte strikt eingehalten werden.

Detaillierte Anleitung zum Aktivieren der Verschlüsselung mit EFS unter Win10 Pro für einen Ordner

Im Folgenden biete ich Schritt-für-Schritt-Anleitungen zum Verschlüsseln eines Ordners mit darin enthaltenen Dateien. Eine einzelne Datei wird auf die gleiche Weise verschlüsselt.

Schritt 1. Lassen Sie uns einen Ordner erstellen. Lassen Sie es „Meine Bilder“ heißen.

Erstellen eines Verzeichnisses

Schritt 2. Klicken Sie mit der rechten Maustaste auf den Ordner und Kontextmenü Wählen Sie „Eigenschaften“.

Klicken Sie mit der rechten Maustaste auf den Ordner und holen Sie sich diesen

Schritt 3. Gehen Sie im Menü „Eigenschaften“ zu den erweiterten Attributen des Ordners, indem Sie auf die Schaltfläche „Andere...“ klicken.

Ordnereigenschaften

Schritt 4. Aktivieren Sie das Kontrollkästchen neben „Inhalt zum Schutz der Daten verschlüsseln“ und klicken Sie auf „OK“. Wenn Sie die Verschlüsselung abbrechen müssen, deaktivieren Sie dasselbe Kontrollkästchen und die Datei wird entschlüsselt.

In den Ordnereigenschaften erweiterte Attribute

Schritt 5. Beenden Sie den Vorgang mit „Eigenschaften“ und klicken Sie auf „OK“ oder „Übernehmen“.

Schritt 6. Im Dialogfenster beantworten wir, was wir auf unseren Ordner und seinen gesamten Inhalt „anwenden“ sollen.

Wählen Sie das gewünschte Verschlüsselungselement aus

Das war's, unser Ordner und sein gesamter Inhalt sind mit EFS verschlüsselt. Wenn Sie möchten, können Sie überprüfen, ob unser Ordner und alle darin enthaltenen Dateien vor Außenstehenden sicher verschlossen sind.

Schritt 7. Wir gehen die Schritte 1-3 durch und stellen fest, dass das Kontrollkästchen „Verschlüsseln“ aktiv ist. Und daneben ist die Schaltfläche „Details“ aktiv. Klicken Sie auf „Details“.

Überprüfen, was verschlüsselt ist

Schritt 8. Im angezeigten Fenster sehen wir, dass diese Datei nur über ein Zertifikat für den Zugriff durch nur einen Benutzer verfügt und keine Zertifikate zur Wiederherstellung des Zugriffs installiert sind.

Der Ordner ist mit einem Zertifikat verschlüsselt

Sie können auch erkennen, dass eine bestimmte Datei im Windows Explorer verschlüsselt ist; ein Schlosssymbol wird auf der Datei angezeigt.

Galerie mit verschlüsselten Bildern. Nur der Kontoinhaber kann sie sehen.

Das Symbol erscheint in allen anderen Dateiansichten und Explorer-Ansichten. Allerdings sind sie auf manchen Piktogrammen sehr schwer zu erkennen und man muss genau hinschauen.

Die gleiche Galerie, nur in Form einer Tabelle. Sperrt in der oberen rechten Ecke des Symbols.

Nachdem die ersten Dateien verschlüsselt wurden, fordert Windows Sie auf, eine Kopie des Zertifikats zu erstellen. Dasselbe Zertifikat, mit dem Sie Dateien entschlüsseln können, wenn plötzlich etwas mit Ihrem Computer schief geht (System neu installiert, Passwort zurückgesetzt, Festplatte auf einen anderen Computer übertragen usw.).

Schritt 9. Um das Backup-Wiederherstellungszertifikat zu speichern, klicken Sie auf das Schlüsselarchivierungssymbol.

Taskleistensymbol, das dazu aufruft, das Sicherungszertifikat zu archivieren, um die Verschlüsselung wiederherzustellen

Schritt 10. Wählen Sie im angezeigten Fenster „Jetzt archivieren“.

Auswählen, wann archiviert werden soll

Schritt 11. Klicken Sie im Dialogfeld des Aktivierungsassistenten auf „Weiter“.

Fenster des Zertifikatexport-Assistenten

Schritt 12. Wenn Sie nur die EFS-Verschlüsselung verwenden, können Sie die Standardwerte belassen. Und klicken Sie auf „Weiter“.

Exporteinstellungen für Sicherungszertifikate

Schritt 13. Es ist sinnvoll, das exportierte Zertifikat mit einem Passwort zu schützen. Wir geben ein Passwort ein, es kann alles sein, nicht unbedingt Ihre E-Mail-Adresse oder die Anmeldung bei Windows. Und klicken Sie auf „Weiter“.

Geben Sie das Passwort für ein zusätzlicher Schutz Genesungszertifikat

Schritt 15. Bestätigen Sie das Ergebnis, indem Sie auf OK klicken.

Beenden des Export-Assistenten

Und das ist alles. Das heruntergeladene Zertifikat sollte an einen sicheren Ort kopiert werden. Zum Beispiel auf einer Diskette, einem Flash-Laufwerk oder in einer sicheren Cloud. Es ist keine gute Idee, ein Wiederherstellungszertifikat auf Ihrem Computer zu belassen. Nachdem wir es an einem „sicheren Ort“ gespeichert haben, löschen wir die Datei vom Computer und leeren gleichzeitig den Papierkorb.

Übrigens können Sie auch Verzeichnisse verschlüsseln, in die Cloud-Dateien auf Ihrem Computer synchronisiert werden, zum Beispiel OneDrive, DropBox, Yandex Disk und viele andere. Wenn Sie einen solchen Ordner verschlüsseln möchten, sollten Sie zunächst die Cloud-Synchronisierungsanwendung deaktivieren oder die Synchronisierung pausieren. Es lohnt sich auch, alle geöffneten Dateien im Verzeichnis zu schließen, die einer Verschlüsselung unterliegen, beispielsweise das Schließen von Word, Excel oder anderen Programmen. Anschließend können Sie die Verschlüsselung für den ausgewählten Ordner aktivieren. Wenn der Verschlüsselungsvorgang abgeschlossen ist, können Sie die Synchronisierung wieder aktivieren. Andernfalls wirkt sich die Verschlüsselung möglicherweise nicht auf alle Dateien im Ordner aus, weil Das eingebettete System kann nur beschreibbare Dateien verschlüsseln. Ja, bei der Synchronisierung mit der Cloud werden die Dateien entschlüsselt und in der Cloud nicht mehr verschlüsselt.

Sie müssen sich von OneDrive abmelden, bevor die Verschlüsselung beginnen kann.

Jetzt ist es an der Zeit zu testen, wie gut die EFS-Verschlüsselung funktioniert. Ich habe eine Datei mit Text in einem verschlüsselten Verzeichnis erstellt. Und dann geladen Linux Mint von einem Flash-Laufwerk. Diese Linux-Version funktioniert problemlos mit NTFS-Festplatten, sodass es nicht schwierig war, an den Inhalt meiner Festplatte zu gelangen.

Erstellen Sie eine Datei mit Text in einem verschlüsselten Ordner.

Als ich jedoch versuchte, Dateien aus einem verschlüsselten Ordner zu öffnen, war ich enttäuscht. Es konnte keine einzige Datei geöffnet werden. Linux Mint-Zuschauer berichteten tapfer, dass sie keinen Zugriff auf die angegebenen Dateien hatten. Aber alle anderen ließen sich problemlos öffnen.

Verschlüsselte Dateien in Win10 sind in Mint sichtbar, können aber nicht geöffnet werden.

"Ja!" - sagten die strengen sibirischen Männer. Wenn Sie jedoch eine verschlüsselte Datei auf ein Flash-Laufwerk schreiben, bleibt sie wahrscheinlich verschlüsselt. Und dann auf einen anderen Computer übertragen, unter einem anderen Betriebssystem, und dann öffnet es sich plötzlich? Nein, es lässt sich nicht öffnen. Oder besser gesagt, es wird geöffnet, aber sein Inhalt wird völlig unlesbar sein. Es ist verschlüsselt.

Ein Versuch, eine verschlüsselte Textdatei zu öffnen, die auf einem Flash-Laufwerk aufgezeichnet ist.

Generell ist der Einsatz von EFS möglich, in manchen Fällen sogar notwendig. Wenn Sie Windows 10 in der Pro-Edition oder höher verwenden, prüfen Sie daher, wie hoch das Risiko ist, dass Fremde auf Ihren PC oder Laptop zugreifen, und ob diese an Ihre vertraulichen Dateien gelangen können. Vielleicht sollte heute etwas verschlüsselt werden?

Beginnend mit Windows XP in allen Betriebssystemen Microsoft-Systeme Es gibt eine integrierte Datenverschlüsselungstechnologie EFS (Encrypting File System). Die EFS-Verschlüsselung basiert auf den Funktionen des NTFS 5.0-Dateisystems und der CryptoAPI-Architektur und ist darauf ausgelegt, Dateien auf der Festplatte eines Computers schnell zu verschlüsseln.

Lassen Sie uns kurz das EFS-Verschlüsselungsschema beschreiben. EFS verwendet öffentliche und private Schlüsselverschlüsselung. Die EFS-Verschlüsselung verwendet die privaten und öffentlichen Schlüssel des Benutzers, die generiert werden, wenn der Benutzer die Verschlüsselungsfunktion zum ersten Mal verwendet. Diese Schlüssel bleiben unverändert, solange sein Konto besteht. Beim Verschlüsseln einer Datei generiert EFS zufällig eine eindeutige Nummer, den sogenannten File Encryption Key (FEK) mit einer Länge von 128 Bit, mit der die Dateien verschlüsselt werden. FEK-Schlüssel werden mit einem Hauptschlüssel verschlüsselt, der mit dem Schlüssel der Systembenutzer verschlüsselt wird, die Zugriff auf die Datei haben. Der private Schlüssel des Benutzers ist durch einen Hash des Benutzerkennworts geschützt.

Daraus können wir schließen: Die gesamte EFS-Verschlüsselungskette ist im Wesentlichen streng an den Benutzernamen und das Passwort des Benutzers gebunden. Das bedeutet, dass die Datensicherheit auch von der Stärke des Passworts des Benutzers abhängt.

Wichtig. Mit EFS verschlüsselte Daten können nur mit demselben Konto entschlüsselt werden. Windows-Einträge mit demselben Passwort, das auch für die Verschlüsselung verwendet wird. Andere Benutzer, einschließlich Administratoren, können diese Dateien nicht entschlüsseln und öffnen. Das bedeutet, dass private Daten auch unter allen Umständen sicher bleiben. Aber es ist wichtig, die andere Seite des Problems zu verstehen. Wenn das Konto oder sein Passwort geändert wird (es sei denn, es wurde direkt vom Benutzer selbst in seiner Sitzung geändert), das System abstürzt oder das Betriebssystem neu installiert wird, sind die verschlüsselten Daten nicht mehr zugänglich. Aus diesem Grund ist es äußerst wichtig, Verschlüsselungszertifikate zu exportieren und an einem sicheren Ort aufzubewahren (das Verfahren wird unten beschrieben).

Notiz. Ab Windows Vista MS OS-Systeme unterstützen eine weitere Verschlüsselungstechnologie – BitLocker. BitLocker im Gegensatz zur EFS-Verschlüsselung:

• Wird zum Verschlüsseln eines gesamten Festplattenvolumes verwendet
• erfordert Hardware TPM-Modul(falls erforderlich externes Gerät Schlüsselspeicher, z. B. ein USB-Stick oder eine Festplatte)

Äußerlich unterscheidet sich für den Benutzer die Arbeit mit privaten Dateien, die mit EFS verschlüsselt wurden, nicht von der Arbeit mit regulären Dateien – das Betriebssystem führt Verschlüsselungs-/Entschlüsselungsvorgänge automatisch durch (diese Funktionen werden vom Dateisystemtreiber ausgeführt).

So aktivieren Sie die EFS-Verzeichnisverschlüsselung unter Windows

Schauen wir uns die Vorgehensweise zum Verschlüsseln von Daten in Windows 8 mit EFS Schritt für Schritt an.

Notiz. Unter keinen Umständen sollten Sie die Verschlüsselung für Systemverzeichnisse und -ordner aktivieren. Andernfalls bootet Windows möglicherweise einfach nicht, weil... Das System kann den privaten Schlüssel des Benutzers nicht finden und die Dateien nicht entschlüsseln.

Wählen Sie im Datei-Explorer das Verzeichnis oder die Dateien aus, die Sie verschlüsseln möchten, und gehen Sie durch Klicken mit der rechten Maustaste zu deren Eigenschaften ( Eigenschaften).

Auf der Registerkarte Allgemein Suchen Sie im Abschnitt „Attribute“ nach der Schaltfläche und klicken Sie darauf Fortschrittlich.

Aktivieren Sie im angezeigten Fenster das Kontrollkästchen Verschlüsseln Sie Inhalte, um Daten zu sichern(Inhalte verschlüsseln, um Daten zu schützen).

Klicken Sie zweimal auf OK.

Wenn Sie ein Verzeichnis verschlüsseln, werden Sie vom System gefragt, ob Sie nur das Verzeichnis oder das Verzeichnis und alle seine Unterelemente verschlüsseln möchten. Wählen Sie die gewünschte Aktion aus. Anschließend wird das Fenster mit den Verzeichniseigenschaften geschlossen.

Verschlüsselte Verzeichnisse und Dateien werden im Windows Explorer grün angezeigt (denken Sie daran, dass Objekte blau hervorgehoben sind). Wenn Sie einen Ordner mit seinem gesamten Inhalt verschlüsseln, werden alle neuen Elemente im verschlüsselten Ordner ebenfalls verschlüsselt.

Sie können die EFS-Verschlüsselung/Entschlüsselung verwalten Befehlszeile Verwenden des Cipher-Dienstprogramms. Sie können beispielsweise das Verzeichnis C:\Secret wie folgt verschlüsseln:

Chiffre /e c:\Secret

Eine Liste aller Dateien im Dateisystem, die mit dem Zertifikat des aktuellen Benutzers verschlüsselt wurden, kann mit dem folgenden Befehl angezeigt werden:

Chiffre /u/n

Schlüsselsicherung EFS-Verschlüsselung

Nachdem der Benutzer seine Daten zum ersten Mal mit EFS verschlüsselt, wird in der Taskleiste ein Popup-Fenster angezeigt, in dem er aufgefordert wird, den Verschlüsselungsschlüssel zu speichern.

Sichern Sie Ihren Dateiverschlüsselungsschlüssel. Dadurch vermeiden Sie, dass Sie den Zugriff auf Ihre verschlüsselten Dateien dauerhaft verlieren.

Durch Klicken auf die Nachricht wird der Assistent gestartet Sicherung Zertifikate und dazugehörige Zertifikate private Schlüssel EFS-Verschlüsselung.

Notiz. Wenn Sie das Fenster versehentlich schließen oder es nicht angezeigt wird, können Sie EFS-Zertifikate mit der Funktion „Exportieren“ exportieren. Dateiverschlüsselungszertifikate verwalten» in der Benutzersteuerung.

Wählen Sichern Sie Ihr Dateiverschlüsselungszertifikat und Ihren Schlüssel

Geben Sie dann ein Passwort zum Schutz des Zertifikats ein (am besten recht komplex).

Sie müssen nur noch den Speicherort angeben, an dem Sie das exportierte Zertifikat speichern möchten (aus Sicherheitsgründen muss es kopiert werden). extern hart Scheibe/ USB-Stick und an einem sicheren Ort aufbewahren).

Es gibt viele Gerüchte über Canon-Objektive im Internet, ich gebe ehrlich zu, bis vor kurzem habe ich mich selbst über den Unterschied zwischen EF- und EF-S-Objektiven geirrt. In diesem Artikel habe ich versucht, einige Informationen über sie zu sammeln, die dabei helfen werden, eine Entscheidung für die eine oder andere Modifikation zu treffen, Streitigkeiten ein Ende zu setzen und einige Mythen zu zerstreuen.

Entschlüsseln wir zunächst die Abkürzung EF – sie kommt von der Phrase Electro-Focus („Elektrofokus“). Beim EF-Mount ist ein automatisches Fokussiersystem in der Optik integriert, d.h. Zwischen Objektiv und Kamera gibt es keine beweglichen Teile, sondern nur Kontakte, für Fokussierung und Blende ist der Elektromotor im Objektiv zuständig. Das erste Objektiv der EF-Serie erschien übrigens bereits 1987.

EF-S ist eine Modifikation der 2003 entwickelten Halterung für Kameras mit APS-C-Formatmatrix. Das „S“ steht für Short Back Focus. Das letzte optische Element liegt bei solchen Objektiven näher an der Matrix als bei EF-Objektiven. Zum Vergleich zeige ich ein Bild von zwei Objektiven mit unterschiedlichen Fassungsmodifikationen.

Linkes Objektiv EF, rechtes EF-S

Wie Sie sehen können, befindet sich beim rechten Objektiv das letzte Objektiv hinter dem Fassungsgewinde, also Bei der Installation an der Kamera liegt es deutlich näher an der Matrix. Tatsächlich ist dies der einzige, aber sehr wichtige Unterschied. Tatsache ist, dass EF-S-Optiken nicht mit Vollformatkameras verwendet werden können. Trotz der Kompatibilität der Halterung kann ein hervorstehendes Objektiv den Kameraspiegel beschädigen. Darüber hinaus sind EF-Objektive kompatibel und können mit allen Canon EOS-Kameras (DSLRs) verwendet werden.

Bei Kameras im APS-C-Format müssen die Objektivbrennweiten angepasst werden. Um die Brennweite zu berechnen, die der eines Vollformatsensors entspricht, müssen Sie die auf dem Objektiv angegebenen Werte mit 1,6 multiplizieren. Im Internet herrscht die weit verbreitete Meinung vor, dass dies für die EF-S-Serie nicht notwendig sei und auf der Optik die tatsächlichen Werte angegeben seien, bereits unter Berücksichtigung der Neuberechnung. Das ist falsch. Als Beispiel werde ich eine Beschreibung des neuen Canon EF-S 18-55mm f/3.5-5.6 IS II Objektivs von der offiziellen Website des Unternehmens geben:

Das EF-S 18-55mm f/3.5-5.6 IS II ist ein hochwertiges Standard-Zoomobjektiv, das Fotografen ansprechen wird, die lieber mit leichtem Gepäck reisen. Mit einem Brennweitenäquivalent von 29-88 mm im Kleinbildformat…

Wie Sie sehen, wird für diese Objektive die Standardbrennweitenumrechnung verwendet und aus 18-55 wird 29-88 mm. Es stellt sich eine völlig logische Frage: Warum sollte man sich mit diesem ganzen Garten beschäftigen? Tatsache ist, dass dieses Design die Herstellung leichterer Linsen ermöglichte kleinere Größe. Laut Canon ist dies zwar so, aber tatsächlich ist es durchaus möglich, dass dies so geschieht, dass günstige Objektive nicht mit teuren Vollformatgeräten verwendet werden.

Ein weiterer interessanter Punkt: Weder das EF noch das EF-S wurden an Dritthersteller von Optiken wie Sigma oder Tamron lizenziert. Trotz der Behauptung dieser Hersteller einer 100-prozentigen Kompatibilität gibt Canon eine solche Garantie nicht. Daher müssen beim Kauf von Fremdobjektiven diese besonders sorgfältig getestet werden.

Lassen Sie uns Schlussfolgerungen zu Canon-Objektiven ziehen:

• Die Brennweite von APS-C-Kameras wird für alle Objektivtypen neu berechnet.
• Der Ultraweitwinkel ist bei beschnittenen Kameras nur mit dem EF-S 10-22-mm-Objektiv verfügbar.
• Leider ist Fisheye bei beschnittenen Kameras überhaupt nicht verfügbar;
• EF-Objektive sind für alle Canon-Kameras geeignet;
• Beim Upgrade von einer APS-C-Kamera auf Vollformat können EF-S-Objektive nicht verwendet werden.

Wenn Sie in Zukunft auf eine Vollformatkamera umsteigen möchten, sollten Sie den Kauf von Objektiven im Voraus in Betracht ziehen.

Auf verschiedenen Mailinglisten für Internetsicherheit stellen Administratoren häufig Fragen zu sicheren, benutzerfreundlichen Dateiverschlüsselungsprodukten für Windows. Ebenso häufig sind Führungskräfte an Möglichkeiten zur Vorbeugung interessiert Systemadministratoren Einblick in vertrauliche Firmenakten nehmen. Wenn ich vorschlage, das Windows-eigene Encrypting File System (EFS) zu verwenden, sagen die meisten Leute, dass sie etwas Stärkeres und Sichereres wollen.

Doch entgegen der landläufigen Meinung ist EFS tatsächlich eine zuverlässige, benutzerfreundliche und sichere Verschlüsselungslösung, die selbst den neugierigsten Netzwerkadministrator in den Schatten stellen kann. EFS ist ein hervorragendes Mittel zum Schutz sensibler Dateien in Netzwerken und Laptops, die oft Ziel von Diebstählen sind. Leider hat der Ruf von EFS unverdient gelitten, weil die Benutzer sich weigerten, Sicherheitsprodukte von Microsoft objektiv zu bewerten. Tatsächlich ist EFS eines davon beste Produkte Sicherheitssoftware, die jemals von Microsoft veröffentlicht wurde, für deren Verwendung jedoch entsprechende Kenntnisse erforderlich sind. Dieser Artikel behandelt die Grundlagen von EFS, seinen Zweck und seine Funktionalität, grundlegende Verwaltungsvorgänge und mögliche Fehler.

EFS-Prinzipien

Microsoft hat EFS mit Windows 2000 veröffentlicht und die Versionen des Produkts für Windows XP und Windows Server 2003 kontinuierlich verbessert. EFS-Benutzer können jede Datei oder jeden Ordner verschlüsseln, für den sie Lese- und Schreibberechtigungen haben. Nach der Verschlüsselung wird die Ressource „on the fly“ entschlüsselt, wann immer der rechtmäßige Eigentümer darauf zugreift. Benutzer, die versuchen, ohne die entsprechenden EFS-Berechtigungen auf eine geschützte Datei oder einen geschützten Ordner zuzugreifen, sehen den Datei- oder Ordnernamen, können die Datei oder den Ordner jedoch nicht öffnen, bearbeiten, kopieren, drucken, per E-Mail versenden oder verschieben. Interessanterweise können Benutzer, die über NTFS-Berechtigungen zum Löschen einer EFS-geschützten Datei verfügen, diese auch dann löschen, wenn sie keine Leseberechtigung haben. Wie die meisten Verschlüsselungsprodukte ist EFS darauf ausgelegt, die Privatsphäre zu schützen, verhindert jedoch keinen Datenverlust. Die EFS-Aufgabe gilt als erfolgreich, wenn der nicht autorisierte Benutzer die Daten in keiner Form sehen kann. Einige Benutzer behaupten, dass bereits die Möglichkeit, den Namen einer geschützten Datei oder eines geschützten Ordners zu sehen, ein unverzeihlicher Fehler in Windows sei.

Darüber hinaus ist es nicht erforderlich, Eigentümer zu sein oder zu haben Volle Auflösung Steuern Sie eine Datei oder einen Ordner, um sie zu verschlüsseln. Dazu reichen Lese- und Schreibberechtigungen aus – dieselben, die für den Zugriff auf die Ressource erforderlich sind. Nur der Benutzer, der sie verschlüsselt hat (und andere, mit denen der erste Benutzer sich bereit erklärt, die Ressource zu teilen), hat Zugriff auf die Datei oder den Ordner. Die einzige allgemeine Ausnahme ist der Data Recovery Agent (DRA). Standardmäßig (in den meisten Fällen) weist Windows den Administrator als DRA-Agenten zu, sodass der Administrator auf jede durch EFS verschlüsselte Datei oder jeden Ordner zugreifen kann. In einer Domänenumgebung ist DRA der Domänenadministrator. In einer Umgebung ohne Domäne ist DRA der lokale Administrator.

Die Datei- und Ordnerverschlüsselungsfunktion ist standardmäßig aktiviert, der Benutzer muss jedoch jede Datei oder jeden Ordner einzeln auswählen (oder indirekt über normale Vererbungsregeln). EFS erfordert, dass sich die Datei oder der Ordner auf der Partition befindet NTFS-Festplatte. Um dann eine Datei oder einen Ordner zu schützen, klicken Sie einfach mit der rechten Maustaste auf die Ressource in Windows Explorer, wählen Sie „Eigenschaften“ und klicken Sie dann auf der Registerkarte „Allgemein“ auf die Schaltfläche „Erweitert“. (Hinweis: Klicken Sie nicht auf die Schaltfläche „Erweitert“ auf der Registerkarte „Sicherheit“.) Abschließend müssen Sie das Kontrollkästchen „Inhalt verschlüsseln, um Daten zu sichern“ aktivieren.

Wenn Sie eine oder mehrere Dateien (im Gegensatz zu einem Ordner) auswählen, fragt EFS, ob nur die Datei(en) oder der übergeordnete Ordner und die aktuelle(n) Datei(en) verschlüsselt werden sollen. Wenn Letzteres ausgewählt ist, markiert EFS den Ordner als verschlüsselt. Alle Dateien, die dem Ordner hinzugefügt werden, werden standardmäßig verschlüsselt. Alle Dateien, die sich im Ordner befanden, aber während des EFS-Verschlüsselungsvorgangs nicht ausgewählt wurden, bleiben jedoch unverschlüsselt. In vielen Fällen ist es vorzuziehen, einen gesamten Ordner statt einzelner Dateien zu verschlüsseln, insbesondere da eine Reihe von Programmen (z. B. Microsoft Word) Erstellen Sie temporäre Dateien im selben Ordner wie Datei öffnen. Nach Beendigung des Programms (z. B. bei einem Notfall-Neustart) bleiben temporäre Dateien häufig ungelöscht und werden in einem sauberen Zustand angezeigt Textformat, zugänglich für die Restaurierung durch einen Außenstehenden.

Standardmäßig hebt EFS in Versionen von XP Professional und höher verschlüsselte Dateien grün hervor. Die Hervorhebung kann jedoch deaktiviert werden, indem Sie im Windows Explorer im Menü „Extras“ die Option „Ordneroptionen“ auswählen und dann das Kontrollkästchen „Verschlüsselte oder komprimierte NTFS-Dateien in Farbe anzeigen“ deaktivieren die Registerkarte „Ansicht“. In der Detailansicht des Windows Explorers haben komprimierte Dateien neben dem regulären Archivattribut (A) ein E-Attribut. Daher sieht der Attributsatz wie AE aus. Es ist zu beachten, dass die in Windows integrierten Mechanismen nicht zum gleichzeitigen Verschlüsseln und Komprimieren von Dateien verwendet werden können. Sie können jedoch eine Datei mit einem Dienstprogramm eines Drittanbieters wie WinZip oder PKZIP komprimieren und die komprimierte Datei dann verschlüsseln.

Starke Chiffre

EFS bietet eine starke Verschlüsselung – so stark, dass die Daten wahrscheinlich nicht mehr lesbar sind, wenn Sie den privaten EFS-Schlüssel (der zum Wiederherstellen von durch die EFS-Verschlüsselung geschützten Dateien verwendet wird) verlieren. Wenn die EFS-Einstellungen korrekt konfiguriert sind, kann selbst ein Administrator nicht auf eine verschlüsselte Datei oder einen verschlüsselten Ordner zugreifen, es sei denn, er/sie ist als DRA-Agent gekennzeichnet.

Derzeit ist mindestens ein Produkt im Handel erhältlich, Advanced EFS Data Recovery (AEFSDR) von ElcomSoft, das behauptet, EFS-geschützte Dateien wiederherstellen zu können. Das Programm stellt das Passwort des lokalen Administrators wieder her (ein einfacher Vorgang, wenn die Windows-Konfiguration schlecht konfiguriert ist), das dann zum Abrufen des privaten EFS-Schlüssels des Administrators verwendet werden kann. Ein Benutzer, der über ein Tool zum Lösen des Administratorkennworts verfügt, kann beliebige Aktionen im System ausführen. Der Zugriff eines solchen Benutzers auf EFS-geschützte Dateien stellt das geringste Problem für das Unternehmen dar. Das Risiko einer unbefugten Wiederherstellung des privaten EFS-Schlüssels wird gemindert, indem die DRA-Rolle in der Domäne dem Domänenadministratorkonto und nicht dem lokalen Administratorkonto zugewiesen wird, dessen Passwort mit fast jedem Cracking-Tool erraten werden kann. XP verfügt über eine neue Richtlinie, die die Durchführung dieser Art von Angriffen erschwert. Wenn das Wiederherstellungstool das aktuelle – und korrekte – Administratorkennwort nicht abrufen kann (viele Tools setzen das Kennwort zurück, anstatt es wiederherzustellen), ist der EFS-Schutz weiterhin wirksam.

Wie funktioniert EFS?

EFS verwendet eine Kombination aus symmetrischer und asymmetrischer Verschlüsselung. Bei der symmetrischen Methode wird die Datei mit einem einzigen Schlüssel verschlüsselt und wiederhergestellt. Die asymmetrische Methode verwendet einen öffentlichen Schlüssel zur Verschlüsselung und einen zweiten, aber zugehörigen privaten Schlüssel zur Datenwiederherstellung. Wenn der Benutzer, dem Datenwiederherstellungsrechte gewährt wurden, den privaten Schlüssel niemandem preisgibt, ist die geschützte Ressource nicht gefährdet.

EFS ist standardmäßig für alle aktiviert Windows-Systeme 2000 und später. Wenn jemand EFS zum ersten Mal zum Schutz einer Datei oder eines Ordners verwendet, prüft Windows, ob ein PKI-Server (Public Key Infrastructure) verfügbar ist, der digitale EFS-Zertifikate generieren kann. Zertifikatsdienste in Windows 2003 und Windows 2000 können EFS-Zertifikate generieren, ebenso wie einige PKI-Produkte von Drittanbietern. Wenn Windows keinen akzeptablen PKI-Anbieter erkennt, generiert das Betriebssystem ein EFS-Zertifikat für den Benutzer und signiert es selbst (Abbildung 1). Selbstsignierte EFS-Zertifikate haben eine Haltbarkeitsdauer von 100 Jahren, viel länger als die Lebensdauer eines jeden Benutzers.

Wenn Windows einen Zertifikatdienstserver erkennt, generiert es automatisch ein zweijähriges Zertifikat und sendet es an den Benutzer. Dies liegt wahrscheinlich daran, dass, wenn eine Organisation über einen internen PKI-Dienst verfügt, der PKI-Server problemlos EFS-Zertifikate ausstellen und erneuern kann, nachdem das Original abgelaufen ist. In jedem Fall können EFS-Zertifikate durch Hinzufügen eingesehen werden Microsoft-Konsole Management Console (MMC) mit dem Zertifikate-Snap-In und Blick in den persönlichen Container.

Der private Schlüssel des EFS-Benutzers (der EFS-geschützte Dateien öffnet) wird mit dem Hauptschlüssel des Benutzers verschlüsselt und im Profil des Benutzers unter „Dokumente und Einstellungen“, „Anwendungsdaten“, „Microsoft“, „Krypto“ und „RSA“ gespeichert. Wenn ein Roaming-Profil verwendet wird, befindet sich der private Schlüssel im RSA-Ordner auf dem Domänencontroller (DC) und wird während des Registrierungsvorgangs auf den Computer des Benutzers heruntergeladen. Der Hauptschlüssel wird mithilfe des aktuellen Benutzerkennworts und des 56-, 128- oder 512-Bit-RC4-Algorithmus generiert. Das Wichtigste, was Sie wahrscheinlich über EFS wissen müssen, ist, dass sich der private Schlüssel des EFS-Benutzers in seinem Profil befindet und durch einen von ihm abgeleiteten Hauptschlüssel geschützt ist aktuelles Passwort Benutzer. Bitte beachten Sie, dass die Stärke der EFS-Verschlüsselung von der Stärke des Passworts des Benutzers abhängt. Wenn ein Angreifer das Passwort eines EFS-Benutzers errät oder sich als legitimer Benutzer anmeldet, entsteht ein Riss in der EFS-Sicherheit.

Wenn das Passwort eines Benutzers verloren geht oder zurückgesetzt wird (aber nicht vom Benutzer geändert wird), kann der Zugriff auf alle EFS-geschützten Dateien verloren gehen. Aus diesem Grund sollten Kopien des privaten Schlüssels des EFS-Benutzers an zwei oder mehreren sicheren Orten gespeichert werden Remote-Speicher oder weisen Sie einen oder mehrere DRA-Agenten zu (und exportieren Sie deren private Schlüssel und erstellen Sie Backups an zwei oder mehr separaten und sicheren Remote-Speicherorten). Die Nichtbeachtung dieser Regeln kann zu Datenverlust führen.

Wenn eine Datei oder ein Ordner zum ersten Mal verschlüsselt wird, generiert Windows einen zufälligen symmetrischen Schlüssel mit dem 128-Bit Data Encryption Standard X (DESX – Standard unter XP und Windows 2000) oder dem 256-Bit Advanced Encryption Standard (AES – unter Windows). 2003 XP) Pro Service Pack 1). Bei beiden Algorithmen handelt es sich um allgemein anerkannte staatliche Standards, wobei der zweite moderner ist und zur Verwendung empfohlen wird. Sie können auch den älteren symmetrischen Verschlüsselungsstandard der Regierung, 168-Bit Triple DES (3DES), aktivieren, wenn die Richtlinien Ihrer Organisation seine Verwendung erfordern. Mehr detaillierte Informationen Weitere Informationen finden Sie im Microsoft-Artikel „Encrypting File System (EFS)-Dateien erscheinen beschädigt, wenn Sie sie öffnen“ ( http://support.microsoft.com/default.aspx?scid=kb;en-us;329741&sd=tech). Der zufällig generierte symmetrische Schlüssel wird als Dateiverschlüsselungsschlüssel (FEK) bezeichnet. Dieser Schlüssel ist der einzige, den Windows zum Verschlüsseln von Dateien und Ordnern verwendet, unabhängig von der Anzahl der Personen, die auf die EFS-geschützte Ressource zugreifen.

Sobald dies erledigt ist, verschlüsselt Windows den FEK mit einem öffentlichen 1024-Bit-RSA-EFS-Schlüssel und speichert den FEK in den erweiterten Attributen der Datei. Wenn DRAs zugewiesen werden, speichert das Betriebssystem eine weitere, verschlüsselte Kopie des FEK mit dem öffentlichen EFS-Schlüssel des DRA. Anschließend speichert Windows die verschlüsselte Instanz des FEK in einer Datei. In XP und späteren Versionen können mehrere Benutzer EFS-Zugriff auf eine bestimmte Datei oder einen bestimmten Ordner haben. Jeder autorisierte Benutzer verfügt über einen eigenen FEK, der mit einem eindeutigen Schlüssel verschlüsselt ist öffentlicher Schlüssel EFS. Unter Windows 2000 können Sie nur einen DRA zuweisen.

Wenn ein autorisierter Benutzer auf eine geschützte Datei zugreift, stellt Windows seine Instanz des verschlüsselten FEK mithilfe des mit dem Benutzer verknüpften privaten EFS-Schlüssels wieder her. Anschließend wird die verschlüsselte Datei mithilfe von FEK entsperrt. Im Gegensatz zu den ersten Versionen von EFS in Windows 2000 verwaltet EFS jetzt sicher alle verschlüsselten Dateien und Ordner im Speicher, sodass keine reinen Textfragmente auf der Festplatte zurückbleiben, die illegal wiederhergestellt werden könnten.

EFS-Dateien teilen

In Windows 2000 kann jeweils nur ein Benutzer eine Datei mit EFS schützen, in XP Pro und höher können jedoch mehrere Benutzer eine geschützte EFS-Datei gemeinsam nutzen. Bei der Zusammenarbeit kontrolliert der erste Benutzer, der eine Datei oder einen Ordner schützt, den Zugriff für die anderen. Nach der ersten Sicherung einer Datei oder eines Ordners kann der Benutzer durch Klicken auf die Schaltfläche „Details“ weitere Benutzer angeben (Abbildung 2). Die Anzahl der hinzugefügten Benutzer ist nicht begrenzt. Jeder Benutzer verfügt über eine eigene Kopie des FEK, verschlüsselt mit seinem EFS-Schlüssel. Diese XP-Innovation ist sehr praktisch für die gemeinsame Nutzung EFS-geschützter Dateien zwischen Benutzergruppen. Leider organisieren zusammenarbeiten Dies ist nur auf der Ebene einzelner Dateien möglich, nicht auf Ordnerebene. Ein Benutzer muss eine Datei oder einen Ordner verschlüsseln oder ein EFS-Zertifikat erhalten, bevor er weiteren Benutzern zugewiesen werden kann.

DRA-Agent

Es ist sehr einfach, ein Benutzerprofil zu löschen, und Administratoren setzen häufig Benutzerkennwörter zurück. Daher sollten Netzwerkadministratoren EFS-Schlüssel sichern oder einen oder mehrere DRAs zuweisen. Sie können eine Sicherungskopie des privaten EFS-Schlüssels eines Benutzers erhalten, indem Sie in der Zertifikatskonsole auf das digitale EFS-Zertifikat zugreifen und auf der Registerkarte „Details“ das Kontrollkästchen „In Datei kopieren“ aktivieren. In XP Pro und späteren Versionen können Sie auch die Schaltfläche „Backup-Schlüssel“ verwenden, die sich unter der Schaltfläche „Details“ im befindet Teilen EFS-Dateien. Befehlszeilenliebhaber können den Befehl verwenden

Cipher.exe /x

um Sicherungskopien von EFS-Schlüsseln in Windows 2003 sowie in XP Pro SP1 und späteren Versionen zu erhalten. Wenn Sie auf nachfolgende Eingabeaufforderungen reagieren, können Sie Kopien erstellen und/oder den entsprechenden privaten Schlüssel exportieren. Sie sollten niemals den privaten Schlüssel eines EFS-Benutzers löschen, wie Windows dies beim Export empfiehlt, da der Benutzer dadurch seine geschützten Dateien nicht entschlüsseln kann. Nachdem Sie den privaten Schlüssel exportiert haben, sollten Sie den Schlüssel an zwei separaten Offline-Speicherorten speichern. Das Sichern der privaten EFS-Schlüssel einzelner Benutzer ist arbeitsintensiv. Ab Windows 2000 ermöglicht Microsoft die Auswahl eines DRA-Agenten. Jedes Mal, wenn jemand eine Datei oder einen Ordner verschlüsselt, erhält DRA automatisch eine Instanz des FEK. Unter Windows 2000 (Modus Arbeitsgruppe Unter Windows 2003 (Arbeitsgruppen- oder Domänenmodus), XP (nur Domänenmodus) und Windows 2003 (Arbeitsgruppen- oder Domänenmodus) wird dem Administrator standardmäßig der DRA zugewiesen, obwohl der Administrator das der DRA-Rolle zugewiesene Benutzerkonto ändern kann. Leider ist im XP-Arbeitsgruppenmodus der DRA-Agent nicht definiert. Diese Entscheidung wurde als Reaktion auf die Kritik getroffen, dass EFS-geschützte Dateien angreifbar seien, wenn das Administratorkennwort kompromittiert werde. Leider laufen viele XP Pro-Systeme im Arbeitsgruppenmodus und es genügt ein Zurücksetzen des Passworts oder eine Profilbeschädigung, damit alle EFS-Benutzer ihre Dateien verlieren. Wenn Sie EFS verwenden (denken Sie daran, dass es standardmäßig aktiv und für Benutzer verfügbar ist), sollten Sie sicherstellen, dass EFS-Benutzer Kopien privater Schlüssel erstellt oder einen oder mehrere DRAs zugewiesen haben.

Wenn Sie planen, die DRA-Rolle einem anderen Benutzerkonto als dem Standardadministratorkonto zuzuweisen, muss der Nachfolger EFS Recovery Agent-zertifiziert sein. Das EFS Recovery Agent-Zertifikat kann von den Zertifikatsdiensten angefordert oder von einem anderen PKI-Produkt eines Drittanbieters installiert werden. Falls bereitgestellt Windows-Dienst 2003-Zertifikatdienste verwenden, können Sie Key Recovery Agents anstelle von DRAs implementieren. Letztendlich stellen Key Recovery Agents den verlorenen Schlüssel wieder her, anstatt die Datei direkt wiederherzustellen.

Im Gegensatz zu privaten Schlüsseln normale Benutzer EFS, private EFS-Schlüssel von DRA-Agenten, sollten exportiert und von Computern entfernt werden. Wenn die privaten Schlüssel von DRA-Agenten gestohlen werden, können alle Dateien mit FEKs, die durch den öffentlichen DRA-Schlüssel geschützt sind, angreifbar werden. Daher sollten die Schlüssel exportiert und an zwei entfernten Speicherorten sicher aufbewahrt werden. Wenn Sie Schlüssel zum Wiederherstellen verschlüsselter Dateien benötigen, können Sie private Schlüssel einfach importieren und verwenden.

Obwohl der Standardadministrator oft als DRA-Agent bezeichnet wird, sollten Sie einen oder zwei Benutzer gezielt vorbereiten Konten, ist die Wahrscheinlichkeit einer Entfernung unter allen Umständen gering. Der öffentliche DRA-Schlüssel kopiert und schützt außerdem jeden FEK. Wenn also ein DRA-Benutzerkonto versehentlich gelöscht oder ein Kennwort zurückgesetzt wird, ist es schwierig, einen DRA-geschützten FEK wiederherzustellen. Wenn Benutzerkonten mit DRA-Status geändert werden, ist es möglich, dass EFS-geschützte Dateien über FEKs verfügen, die durch die alten DRA-Schlüssel geschützt sind. Wenn Windows auf Dateien zugreift, werden DRA-geschützte FEKs aktualisiert die neuesten Schlüssel DRA; Sie können jedoch den Befehl „Cipher“ verwenden, um eine Massenaktualisierung aller FEKs mit den aktuellen DRA-Schlüsseln zu erzwingen. Unabhängig davon, ob der private DRA-Schlüssel exportiert und aus dem System entfernt wird, ist es sehr wichtig, Kopien des DRA-Wiederherstellungszertifikats an zwei oder mehr sicheren externen Speicherorten aufzubewahren.

Zusätzliche Hinweise

EFS schützt keine über das Netzwerk kopierten Dateien. Windows kopiert alle auf einer Netzwerkfreigabe geöffneten Dateien in einem reinen Textformat. Wenn Sie auf der Festplatte gespeicherte und über ein Netzwerk kopierte Dateien in Echtzeit verschlüsseln müssen, sollten Sie eine andere Sicherheitsmethode verwenden: IP-Sicherheit (IPsec), Secure Sockets Layer (SSL) oder WWW Distributed Authoring and Versioning (WebDAV). Darüber hinaus können Sie in XP und späteren Versionen den EFS-Schutz für Offlinedateien aktivieren.

EFS - Mechanismus lokaler Schutz. Es wurde entwickelt, um Dateien zu verschlüsseln lokale Festplatten. Verwendung von EFS zum Schutz von auf Datenträgern gespeicherten Dateien Remote-Computer, muss zwischen diesen Maschinen eine Vertrauensbeziehung bestehen, um Autorität delegieren zu können. Laptop-Benutzer verwenden EFS häufig für Dateiserverressourcen. Um EFS auf dem Server zu verwenden, müssen Sie im Computerkonto des Servers das Kontrollkästchen Diesem Computer für die Delegierung an einen beliebigen Dienst vertrauen (nur Kerberos) oder Diesem Computer nur für die Delegierung an bestimmte Dienste vertrauen aktivieren (Abbildung 3).

Sie können Benutzer daran hindern, EFS zu verwenden, indem Sie es mithilfe von Gruppenrichtlinien blockieren. Sie sollten den Computerkonfigurationscontainer auswählen, mit der rechten Maustaste auf Windows-Einstellungen klicken und Sicherheitseinstellungen, Richtlinien für öffentliche Schlüssel und verschlüsselndes Dateisystem auswählen. Anschließend können Sie das Kontrollkästchen „Benutzern erlauben, Dateien mit EFS zu verschlüsseln“ deaktivieren. Sie können EFS in einzelnen Organisationseinheiten (OUs) aktivieren oder deaktivieren.

Bevor Sie EFS verwenden, müssen Sie sicherstellen, dass Ihre Anwendungen mit EFS und der EFS-API kompatibel sind. Wenn Anwendungen inkompatibel sind, sind EFS-geschützte Dateien möglicherweise beschädigt oder, schlimmer noch, ohne entsprechende Autorisierung nicht geschützt. Wenn Sie beispielsweise eine EFS-geschützte Datei mit edit.com (16-Bit-ausführbare Datei) von speichern und ändern Windows-Komposition, dann verlieren alle weiteren Benutzer den Zugriff auf diese Datei. Die meisten Microsoft-Anwendungen (einschließlich Microsoft Office, Notepad und Wordpad) sind vollständig mit EFS kompatibel.

Wenn ein autorisierter Benutzer EFS-geschützte Dateien auf eine FAT-Partition kopiert, wird der EFS-Schutz entfernt. Einem unbefugten Benutzer sollte es nicht gestattet sein, Dateien dorthin zu verschieben oder zu kopieren Windows-Partitionen. Ein nicht autorisierter Benutzer kann zusätzlich zum System booten Windows-Berechtigungen NTFS, mit einer bootfähigen Diskette oder einem CD-ROM-Programm, mit dem Sie ein freigegebenes NTFS-Verzeichnis mounten können (z. B. Knoppix, NTFSDOS, bootfähige Peter Nordahl-Hagen-Diskette). Dadurch kann er die Datei kopieren oder verschieben, wenn er jedoch nicht über den EFS-Schlüssel des autorisierten Benutzers verfügt, bleibt die Datei verschlüsselt.

Best Practices

Im Folgenden finden Sie Best Practices für die Arbeit mit EFS.

1. Definieren Sie die Nummer und identifizieren Sie DRA-Konten.
2. Generieren Sie DRA-Zertifikate für DRA-Konten.
3. Importieren Sie DRA-Zertifikate in Active Directory(ANZEIGE).
4. Exportieren und löschen Sie private DRA-Schlüssel und speichern Sie sie in zwei separaten, sicheren Offline-Tresoren.
5. Machen Sie Endbenutzer mit den Anwendungsmethoden und -funktionen von EFS vertraut.
6. Testen Sie die DRA-Dateiwiederherstellung regelmäßig.
7. Führen Sie bei Bedarf regelmäßig den Cipher-Befehl mit dem Parameter /u aus, um die FEKs für hinzugefügte oder entfernte DRAs zu aktualisieren.

EFS ist eine zuverlässige und sichere Methode zum Verschlüsseln von Dateien und Ordnern auf Systemen mit Windows 2000 und höher. Netzwerkadministratoren sollten DRA-Richtlinien erstellen und durchsetzen und Endbenutzer über die Vorteile und Einschränkungen von EFS aufklären.

Roger Grimes - Windows-Editor IT-Profi und Sicherheitsberater. Er verfügt über die Zertifikate CPA, CISSP, CEH, CHFI, TICSA, MCT, MCSE: Security und Security+.

VerschlüsselnDateiSystem

Das verschlüsselnde Dateisystem ist ein eng in NTFS integrierter Dienst, der sich im Windows 2000-Kernel befindet. Sein Zweck besteht darin, auf der Festplatte gespeicherte Daten durch Verschlüsselung vor unbefugtem Zugriff zu schützen. Das Erscheinen dieses Dienstes ist kein Zufall und wurde schon lange erwartet. Tatsache ist, dass es heute existiert Dateisysteme bieten nicht den erforderlichen Schutz der Daten vor unbefugtem Zugriff.

Obwohl NTFS Zugriffskontrolle und Datenschutz vor unbefugtem Zugriff bietet, was ist zu tun, wenn der Zugriff auf die NTFS-Partition nicht über das Windows NT-Betriebssystem, sondern direkt über erfolgt? körperliche Ebene? Dies lässt sich schließlich relativ einfach umsetzen, indem man beispielsweise von einer Diskette bootet und ausführt Sonderprogramm: zum Beispiel eine sehr häufige Möglichkeit. Natürlich können Sie diese Möglichkeit vorsehen und ein Passwort zum Starten des Systems festlegen, aber die Praxis zeigt, dass ein solcher Schutz wirkungslos ist, insbesondere wenn mehrere Benutzer am selben Computer arbeiten. Und wenn ein Angreifer die Festplatte aus dem Computer entfernen kann, helfen keine Passwörter. Durch den Anschluss der Diskette an einen anderen Computer kann deren Inhalt problemlos gelesen werden. Somit kann ein Angreifer vertrauliche Informationen, die auf der Festplatte gespeichert sind, frei an sich reißen. Der einzige Weg Der Schutz vor dem physischen Auslesen von Daten ist die Dateiverschlüsselung. Der einfachste Fall einer solchen Verschlüsselung ist die Archivierung einer Datei mit einem Passwort. Es gibt jedoch eine Reihe gravierender Nachteile. Erstens muss der Benutzer die Daten jedes Mal vor Beginn und nach Abschluss der Arbeit manuell verschlüsseln und entschlüsseln (d. h. in unserem Fall archivieren und dearchivieren), was wiederum die Sicherheit der Daten verringert. Der Benutzer vergisst möglicherweise, die Datei nach Abschluss der Arbeit zu verschlüsseln (zu archivieren) oder (was noch häufiger vorkommt) einfach eine Kopie der Datei auf der Festplatte zu belassen. Zweitens sind von Benutzern erstellte Passwörter normalerweise leicht zu erraten. In jedem Fall gibt es eine ausreichende Anzahl von Dienstprogrammen, mit denen Sie passwortgeschützte Archive entpacken können. In der Regel führen solche Dienstprogramme das Erraten von Passwörtern durch, indem sie im Wörterbuch geschriebene Wörter durchsuchen. Um diese Mängel zu beheben, wurde das EFS-System entwickelt.

2.1. Verschlüsselungstechnologie

EP$ verwendet die Windows CryptoAPI-Architektur. Es basiert auf der Public-Key-Verschlüsselungstechnologie; zur Verschlüsselung jeder Datei wird ein Dateiverschlüsselungsschlüssel zufällig generiert. In diesem Fall kann jeder symmetrische Verschlüsselungsalgorithmus zum Verschlüsseln der Datei verwendet werden. Derzeit verwendet EFS einen Algorithmus – DESX, eine spezielle Modifikation des weit verbreiteten DES-Standards. EFS-Verschlüsselungsschlüssel werden in einem residenten Speicherpool gespeichert (EFS selbst befindet sich im Windows 2000-Kernel), wodurch ein unbefugter Zugriff auf sie über die Auslagerungsdatei verhindert wird.

Standardmäßig ist EFS so konfiguriert, dass der Benutzer sofort mit der Dateiverschlüsselung beginnen kann. Verschlüsselungs- und Umkehrvorgänge werden für Dateien und Verzeichnisse unterstützt. Wenn ein Verzeichnis verschlüsselt ist, werden alle Dateien und Unterverzeichnisse dieses Verzeichnisses automatisch verschlüsselt. Es ist zu beachten, dass eine verschlüsselte Datei, wenn sie von einem verschlüsselten Verzeichnis in ein unverschlüsseltes Verzeichnis verschoben oder umbenannt wird, weiterhin verschlüsselt bleibt. Verschlüsselungs-/Entschlüsselungsvorgänge können auf zwei Arten durchgeführt werden: auf verschiedene Weise- mit dem Windows Explorer oder dem Cipher-Konsolendienstprogramm. Um ein Verzeichnis im Windows Explorer zu verschlüsseln, muss der Benutzer lediglich ein oder mehrere Verzeichnisse auswählen und das Verschlüsselungskästchen im Fenster mit den erweiterten Eigenschaften des Verzeichnisses aktivieren. Alle später in diesem Verzeichnis erstellten Dateien und Unterverzeichnisse werden ebenfalls verschlüsselt. So können Sie eine Datei verschlüsseln, indem Sie sie einfach in ein „verschlüsseltes“ Verzeichnis kopieren (oder verschieben). Verschlüsselte Dateien werden in verschlüsselter Form auf der Festplatte gespeichert. Beim Lesen einer Datei werden die Daten automatisch entschlüsselt und beim Schreiben automatisch verschlüsselt. Der Benutzer kann mit verschlüsselten Dateien auf die gleiche Weise wie mit normalen Dateien arbeiten, d. h. Dokumente im Microsoft Word-Texteditor öffnen und bearbeiten, Zeichnungen in Adobe Photoshop bearbeiten oder Grafikeditor Malen und so weiter.

Es ist zu beachten, dass Sie zu diesem Zeitpunkt auf keinen Fall Dateien verschlüsseln sollten, die beim Systemstart verwendet werden, da der persönliche Schlüssel des Benutzers, mit dem die Entschlüsselung durchgeführt wird, noch nicht verfügbar ist. Dies kann dazu führen, dass das System nicht startet! B EFS bereitgestellt einfacher Schutz aus solchen Situationen: Dateien mit dem Attribut „System“ werden nicht verschlüsselt. Seien Sie jedoch vorsichtig: Dies kann zu einer Sicherheitslücke führen! Überprüfen Sie, ob das Dateiattribut festgelegt ist<системный» для того, чтобы убедиться, что файл действительно будет зашифрован.

Es ist auch wichtig zu bedenken, dass verschlüsselte Dateien nicht unter Windows 2000 komprimiert werden können und umgekehrt. Mit anderen Worten: Wenn ein Verzeichnis komprimiert ist, kann sein Inhalt nicht verschlüsselt werden, und wenn der Inhalt des Verzeichnisses verschlüsselt ist, kann er nicht komprimiert werden.

Falls eine Datenentschlüsselung erforderlich ist, müssen Sie lediglich die Verschlüsselungskästchen für die ausgewählten Verzeichnisse im Windows Explorer deaktivieren und die Dateien und Unterverzeichnisse werden automatisch entschlüsselt. Es ist zu beachten, dass dieser Vorgang normalerweise nicht erforderlich ist, da EFS dem Benutzer ein „transparentes“ Erlebnis mit verschlüsselten Daten bietet.