بیایید فرض کنیم شما یک کامپیوتر در حال اجرا دارید کنترل ویندوزجدیدترین نسخه شما روی آن بازی های تیراندازی انجام می دهید، پایان نامه خود را می نویسید، با استفاده از یک سیستم ساده شده حسابداری را برای کارآفرینان فردی انجام می دهید و به طور کلی تا جایی که می توانید از آن لذت ببرید. اما ناگهان، کاملاً غیرمنطقی، احساس می کنید که چیزی از بیرون امنیت برخی از داده هایی را که در شما ذخیره شده است، تهدید می کند. کامپیوتر شخصی. شما با نگاهی داغ، انجمن های سایبری متعدد را مطالعه می کنید و با وحشت متوجه می شوید که تمام اطلاعات شما روی هارد دیسک به هیچ وجه محافظت نمی شود. و اگر رایانه مورد علاقه شما به سرقت رفته باشد و خطر سرقت برای تجهیزات قابل حمل آنقدر کم نباشد، مهاجم می تواند به همه محتویات دسترسی پیدا کند. هارد دیسک! آه، پایان نامه بی ارزش من!

بیایید سعی کنیم بفهمیم که آیا واقعاً امکان دسترسی غیرمجاز به فایل‌ها در صورت کار کردن رایانه وجود دارد یا خیر سیستم عامل Windows 10. مهندسان IBM و متعاقباً در مایکروسافت، تلاش زیادی را صرف اجرای یک سیستم جداسازی حقوق برای سیستم فایل NTFS کردند (زمانی که IBM HPFS بود). و اگر Win10 بر روی رایانه اجرا می شود، دسترسی به فایل های دیگران بدون اجازه بسیار بسیار دشوار است و اگر دسترسی مسدود شود، کاملا غیرممکن است. ویندوز به طور ایمن از فایل های کاربر محافظت می کند.

اما به محض اینکه وارد سیستم عامل دیگری، به عنوان مثال، لینوکس مینت شوید، تمام فایل های کاربر در دسترس شما خواهند بود. هر چی میخوای دانلود کن و می توانید از طریق فلش درایو یا CD-ROM به Mint بوت شوید، فقط باید به UEFI (BIOS) بروید و بوت شدن از درایوهای قابل جابجایی را فعال کنید، اگر قبلاً فعال نشده است، یا از منوی بوت استفاده کنید. با فرض اینکه یک رمز عبور برای ورود به UEFI تنظیم کرده اید و انتخاب درایو برای بوت شدن به عنوان کلاس را غیرفعال کرده اید، پس فایل های شما کمی محافظت می شوند. و یک مهاجم می تواند به سادگی پیچ کامپیوتر شما را باز کند و بیرون بکشد HDDو آن را به رایانه خود وصل کنید و سپس همه موارد مورد نیاز را دانلود کنید. پس از همه، داده ها در قالب فایل مانند یک نوت بوک باز در دستان او خواهند بود.

متخصصان فناوری اطلاعات می‌دانند که می‌توانید با استفاده از فناوری BitLocker، داده‌های رایانه خود را تا حدودی ایمن کنید. BitLocker چیز خوبی است، اما فقط به شما امکان می دهد کل پارتیشن ها را روی دیسک ها رمزگذاری کنید، چه فیزیکی و چه مجازی. در عین حال، ایمنی کلیدها از جمله ذخیره سازی در ماژول های TPM تضمین می شود. که بسیار راحت است. با این حال، رمزگذاری همه چیز و همه افراد همیشه راحت نیست، اگرچه، البته، استفاده رمزگذاری کاملدیسک معنای خاصی دارد. اما به دلایلی همه رمزگذاری جزئی فایل ها و دایرکتوری ها را فراموش می کنند.

در ویندوز 10، مانند نسخه های قبلی خود، یک سیستم فایل رمزگذاری شده وجود دارد که به معنای سیستم فایل رمزگذاری شده (EFS) است. این تابعاز نسخه Pro و بالاتر در دسترس است، بنابراین اگر نسخه Windows Home را دارید، باید حداقل به Pro ارتقا دهید. ویکی‌پدیا درباره نحوه و آنچه در EFS رمزگذاری می‌شود، مطالب زیادی نوشته است. من فقط سعی می کنم همه چیز را به ساده ترین شکل ممکن توضیح دهم و حداکثر کار را ارائه دهم دستورالعمل های دقیقبرای فعال کردن محافظت از فایل های خود

علاوه بر داشتن حداقل نسخه Pro، لازم است که زیر نظر کاربری کار کنید که رمز عبور دارد. رمز عبور باید وجود داشته باشد، بگذارید پیوندی به آن باشد سرویس ابریمایکروسافت یا یک رمز عبور کاملاً مستقل. اینکه آیا با استفاده از کد پین وارد سیستم می شوید یا با استفاده از یک الگو مهم نیست، مهم این است که رمز عبور با حساب شما مرتبط باشد. علاوه بر داشتن رمز عبور در حساب فعال، لازم است که فایل ها و دایرکتوری های محافظت شده روی یک دیسک یا پارتیشن با سیستم فایل NTFS قرار گیرند. به احتمال زیاد، این فایل سیستمی است که شما استفاده می کنید.

رمزگذاری داده ها برای کاربران و اکثریت قریب به اتفاق کاملاً شفاف است محصولات نرم افزاری، زیرا رمزگذاری در سطح سیستم فایل NTFS رخ می دهد. می توانید یک فایل یا کل پوشه را به طور همزمان رمزگذاری کنید. می توانید آن را به عنوان یک پوشه خالی رمزگذاری کنید و سپس فایل های جدیدی را به آن اضافه کنید و آنها نیز رمزگذاری می شوند یا می توانید پوشه ای را که فایل ها و دایرکتوری های داخل آن است رمزگذاری کنید. همه چیز انتخاب شماست.

هنگام کار با پوشه ها و فایل های رمزگذاری شده، موارد زیر را در نظر بگیرید:

1. فایل ها تا زمانی که به سیستم فایل دیگری غیر از NTFS منتقل شوند رمزگذاری می شوند. به عنوان مثال، شما یک فایل رمزگذاری شده را در یک درایو فلش کپی می کنید. اگر FAT32 باشد و به احتمال زیاد آنجا باشد، فایل رمزگشایی می شود.در نسخه دهم ویندوز مایکروسافتبا این وجود، من عملکردی را اجرا کردم که در آن فایل حتی اگر آن را به یک درایو فلش با FAT منتقل کنید رمزگذاری شده باقی می‌ماند، بنابراین اگر فایلی را به دوست خود نشت کردید باید مراقب باشید. بعدا بدون فحش دادن میتونه بازشون کنه؟ در صورت ارسال فایل از طریق پست الکترونیک- رمزگشایی خواهد شد (در غیر این صورت هیچ فایده ای برای ارسال آن از طریق پست وجود ندارد). هنگام انتقال یک فایل از طریق شبکه، رمزگشایی نیز رخ می دهد.
2. هنگام حرکت بین پارتیشن های NTFS، فایل رمزگذاری شده باقی می ماند. هنگام انتقال یک فایل از یک دیسک NTFS به دیسک NTFS دیگر، فایل رمزگذاری می شود. هنگامی که یک فایل را با سیستم فایل NTFS روی یک هارد دیسک قابل جابجایی کپی می کنید، در یک مکان جدید رمزگذاری می شود.
3. اگر گذرواژه حساب به اجبار توسط شخص ثالث، به عنوان مثال، یک سرپرست تغییر داده شود، یا رمز عبور یک حساب دامنه مرتبط یا سرویس ابری به اجبار تغییر داده شود، دسترسی به فایل‌های بدون گواهی پشتیبان (تولید شده در اولین رمزگذاری) دیگر نخواهد بود. ممکن بودن.

نکته آخر بسیار مهم است، مخصوصا برای افرادی که حافظه غیرقابل اعتمادی دارند و دائما رمزهای عبور را بازنشانی می کنند. در اینجا، چنین ترفندی می تواند منجر به فایل های رمزگذاری شده دائمی شود، مگر اینکه، البته، گواهی ذخیره شده را به سیستم وارد کنید. با این حال، زمانی که تغییر رمز عبور داوطلبانه باشد، مانند سیاست تغییر رمز عبور، از بین رفتن نابهنگام فایل های رمزگذاری شده رخ نخواهد داد.

شکاکان کاملاً به درستی متذکر می شوند که چنین محافظتی، با این حال، مانند BitLocker، فوق العاده قابل اعتماد نیست، آنها می گویند، هکرها می توانند رمز عبور را در صورت ضعیف بودن حدس بزنند و سرویس های اطلاعاتی همه چیز را رمزگشایی می کنند. در واقع، اگر رمز عبور شما کوتاه و ساده باشد، به سادگی می توانند حدس بزنند. و این همان چیزی است که سرویس‌های اطلاعاتی به دنبال آن هستند، تا توانایی فنی دسترسی به محتوای فایل‌های کاربران بسیار مشکوک را داشته باشند. علاوه بر این، هنگامی که وارد سیستم شدید، بلافاصله به تمام فایل های رمزگذاری شده با EFS خود دسترسی شفاف خواهید داشت. و اگر یک تروجان یا ویروس در رایانه شما وجود داشته باشد، دقیقاً به همان روش به فایل های با ارزش دسترسی پیدا می کند. بهداشت کامپیوتر باید به شدت رعایت شود.

دستورالعمل های دقیق برای فعال کردن رمزگذاری با استفاده از EFS تحت Win10 Pro در یک پوشه

در زیر دستورالعمل های گام به گام و دقیقی را در مورد نحوه رمزگذاری یک پوشه با فایل های موجود در آن ارائه می دهم. یک فایل جداگانه به همین روش رمزگذاری می شود.

مرحله 1. بیایید یک پوشه ایجاد کنیم. بگذارید اسمش "تصاویر من" باشد.

ایجاد دایرکتوری

گام 2. روی پوشه کلیک راست کرده و منوی زمینه"Properties" را انتخاب کنید.

روی پوشه کلیک راست کرده و این را دریافت کنید

مرحله 3. در منوی "Properties" با کلیک کردن روی دکمه "سایر..." به ویژگی های توسعه یافته پوشه بروید.

ویژگی های پوشه

مرحله 4. کادر کنار «رمزگذاری محتوا برای محافظت از داده‌ها» را علامت بزنید و روی تأیید کلیک کنید. اگر نیاز به لغو رمزگذاری دارید، تیک همان کادر را بردارید و فایل رمزگشایی خواهد شد.

در ویژگی های پوشه ویژگی های توسعه یافته

مرحله 5. با "Properties" پایان دهید و روی OK یا "Apply" کلیک کنید.

مرحله 6. ما در کادر محاوره ای پاسخ می دهیم که چه چیزی را به پوشه خود و تمام محتویات آن "اعمال" کنیم.

مورد رمزگذاری مورد نظر را انتخاب کنید

تمام، پوشه ما و تمام محتویات آن با استفاده از EFS رمزگذاری شده است. در صورت تمایل، می توانید بررسی کنید که پوشه ما و تمام فایل های موجود در آن به طور ایمن از افراد خارجی بسته شده باشد.

مرحله 7. مراحل 1-3 را طی می کنیم و می بینیم که چک باکس "رمزگذاری" فعال است. و در کنار آن دکمه "جزئیات" فعال است. روی "جزئیات" کلیک کنید.

بررسی آنچه رمزگذاری شده است

مرحله 8. در پنجره ای که ظاهر می شود، می بینیم که این فایل فقط یک گواهی برای دسترسی تنها یک کاربر دارد، به علاوه هیچ گواهی برای بازگرداندن دسترسی نصب نشده است.

پوشه با یک گواهی رمزگذاری شده است

همچنین می توانید بفهمید که یک فایل خاص در Windows Explorer رمزگذاری شده است؛ نماد قفل روی فایل ظاهر می شود.

گالری با تصاویر رمزگذاری شده فقط مالک حساب می تواند آنها را مشاهده کند.

این نماد در سایر نماهای فایل و نماهای Explorer ظاهر می شود. درست است، در برخی از پیکتوگرام ها دیدن آنها بسیار سخت است و باید از نزدیک نگاه کنید.

همان گالری، فقط به صورت جدول. در گوشه سمت راست بالای نماد قفل می شود.

پس از رمزگذاری اولین فایل‌ها، ویندوز از شما می‌خواهد که از گواهینامه کپی کنید. همان گواهی که به شما امکان می دهد در صورت بروز ناگهانی مشکلی در رایانه شما، فایل ها را رمزگشایی کنید (سیستم را دوباره نصب کنید، رمز عبور را بازنشانی کنید، دیسک را به رایانه دیگری منتقل کنید و غیره).

مرحله 9. برای ذخیره گواهی بازیابی پشتیبان، روی نماد بایگانی کلید کلیک کنید.

نماد سینی برای بایگانی گواهی پشتیبان برای بازیابی رمزگذاری

مرحله 10. در پنجره ای که ظاهر می شود، "Archive now" را انتخاب کنید.

انتخاب زمان بایگانی

مرحله 11. در کادر محاوره ای جادوگر فعال سازی، روی «بعدی» کلیک کنید.

پنجره ویزارد صدور گواهی

مرحله 12. اگر فقط از رمزگذاری EFS استفاده می کنید، می توانید مقادیر پیش فرض را رها کنید. و بر روی "Next" کلیک کنید.

تنظیمات صادرات گواهی پشتیبان

مرحله 13. حفاظت از گواهی صادر شده با رمز عبور منطقی است. ما یک رمز عبور وارد می کنیم، می تواند هر چیزی باشد، نه لزوماً از ایمیل شما یا برای ورود به ویندوز. و روی "بعدی" کلیک کنید.

رمز عبور را وارد کنید حفاظت اضافیگواهی بازیابی

مرحله 15. نتیجه را با کلیک بر روی OK تأیید کنید.

تکمیل جادوگر صادرات

و این همه است. گواهی بارگیری شده باید در مکانی امن کپی شود. به عنوان مثال، روی فلاپی دیسک، درایو فلش یا در یک ابر امن. گذاشتن گواهی بازیابی در رایانه شما ایده بدی است، بنابراین پس از ذخیره آن در یک "مکان امن"، فایل را از رایانه حذف می کنیم و در همان زمان سطل بازیافت را خالی می کنیم.

به هر حال، شما همچنین می توانید دایرکتوری هایی را رمزگذاری کنید که فایل های ابری روی رایانه شما در آنها همگام سازی شده است، به عنوان مثال، OneDrive، DropBox، Yandex Disk و بسیاری دیگر. اگر می خواهید چنین پوشه ای را رمزگذاری کنید، ابتدا باید برنامه همگام سازی ابری را خاموش کنید یا همگام سازی را متوقف کنید. همچنین ارزش آن را دارد که تمام فایل های باز موجود در فهرست را که در معرض رمزگذاری قرار دارند، ببندید، به عنوان مثال، بستن Word، Excel یا برنامه های دیگر. پس از این، می توانید رمزگذاری را در پوشه انتخاب شده فعال کنید. هنگامی که روند رمزگذاری کامل شد، می توانید همگام سازی را دوباره فعال کنید. در غیر این صورت، رمزگذاری ممکن است بر همه فایل‌های موجود در پوشه تأثیر نگذارد، زیرا سیستم تعبیه شده فقط می تواند فایل های قابل نوشتن را رمزگذاری کند. بله، هنگام همگام سازی با ابر، فایل ها رمزگشایی می شوند و در ابر دیگر رمزگذاری نمی شوند.

قبل از شروع رمزگذاری، باید از OneDrive خارج شوید.

اکنون زمان آن است که تست کنید رمزگذاری EFS چقدر خوب کار می کند. من یک فایل با متن در یک فهرست رمزگذاری شده ایجاد کردم. و سپس در بارگذاری می شود لینوکس مینتاز درایو فلش این نسخه از لینوکس می تواند به راحتی با هارد دیسک های NTFS کار کند، بنابراین دسترسی به محتویات هارد دیسک من دشوار نبود.

یک فایل با متن در یک پوشه رمزگذاری شده ایجاد کنید.

با این حال، وقتی سعی کردم فایل ها را از یک پوشه رمزگذاری شده باز کنم، ناامید شدم. حتی یک فایل هم باز نشد بینندگان لینوکس مینت شجاعانه گزارش دادند که به فایل های مشخص شده دسترسی ندارند. اما بقیه بدون هیچ مشکلی باز شدند.

فایل های رمزگذاری شده در Win10 از Mint قابل مشاهده هستند، اما باز نمی شوند.

"آره!" - مردان سیبری سختگیر گفتند. اما اگر یک فایل رمزگذاری شده را روی فلش درایو بنویسید، احتمالاً رمزگذاری شده باقی می ماند. و سپس آن را به رایانه دیگری منتقل کنید، با یک سیستم عامل دیگر، سپس ناگهان باز می شود؟ نه باز نمیشه یا بهتر است بگوییم باز می شود اما محتوای آن کاملاً ناخوانا خواهد بود. رمزگذاری شده است.

تلاشی برای باز کردن یک فایل متنی رمزگذاری شده ضبط شده روی فلش مموری.

به طور کلی امکان استفاده از EFS وجود دارد و در برخی موارد حتی ضروری است. بنابراین، اگر از ویندوز 10 از نسخه Pro و بالاتر استفاده می کنید، خطرات دسترسی افراد غریبه به رایانه شخصی یا لپ تاپ شما و اینکه آیا آنها قادر به دریافت فایل های محرمانه شما خواهند بود را ارزیابی کنید. شاید امروز چیزی باید رمزگذاری شود؟

شروع با ویندوز XP در تمام سیستم عامل ها سیستم های مایکروسافتفناوری رمزگذاری داده داخلی وجود دارد EFS (سیستم فایل رمزگذاری). رمزگذاری EFS بر اساس قابلیت های سیستم فایل NTFS 5.0 و معماری CryptoAPI است و برای رمزگذاری سریع فایل ها بر روی هارد دیسک کامپیوتر طراحی شده است.

اجازه دهید به طور خلاصه طرح رمزگذاری EFS را شرح دهیم. EFS از رمزگذاری کلید عمومی و خصوصی استفاده می کند. رمزگذاری EFS از کلیدهای خصوصی و عمومی کاربر استفاده می کند که اولین باری که کاربر از عملکرد رمزگذاری استفاده می کند ایجاد می شود. این کلیدها تا زمانی که حساب کاربری او وجود دارد بدون تغییر باقی می مانند. هنگام رمزگذاری یک فایل، EFS به طور تصادفی یک عدد منحصر به فرد تولید می کند، به اصطلاح کلید رمزگذاری فایل (FEK) با طول 128 بیت، که فایل ها با آن رمزگذاری می شوند. کلیدهای FEK با یک کلید اصلی رمزگذاری می شوند که با کلید کاربران سیستمی که به فایل دسترسی دارند رمزگذاری می شود. کلید خصوصی کاربر توسط هش رمز عبور کاربر محافظت می شود.

بنابراین، می‌توان نتیجه گرفت: کل زنجیره رمزگذاری EFS اساساً به طور جدی به ورود و رمز عبور کاربر مرتبط است. این بدان معنی است که امنیت داده ها به قدرت رمز عبور کاربر نیز بستگی دارد.

مهم. داده های رمزگذاری شده با استفاده از EFS را فقط می توان با استفاده از همان حساب رمزگشایی کرد. ورودی های ویندوزبا همان رمز عبوری که برای رمزگذاری استفاده می شود. سایر کاربران، از جمله مدیران، قادر به رمزگشایی و باز کردن این فایل ها نخواهند بود. این بدان معنی است که داده های خصوصی حتی به هر وسیله ای امن می مانند. اما درک طرف دیگر قضیه مهم است. اگر حساب کاربری یا رمز عبور آن تغییر کند (مگر اینکه مستقیماً توسط خود کاربر از جلسه خود تغییر داده شده باشد)، سیستم از کار بیفتد یا سیستم عامل دوباره نصب شود، داده های رمزگذاری شده غیر قابل دسترسی خواهند بود. به همین دلیل صادرات و ذخیره گواهی های رمزگذاری در مکانی امن بسیار مهم است (رویه در زیر توضیح داده شده است).

توجه داشته باشید. شروع با ویندوز ویستاسیستم‌های MS OS از فناوری رمزگذاری دیگری پشتیبانی می‌کنند - BitLocker. BitLocker در مقابل رمزگذاری EFS:

• برای رمزگذاری کل حجم دیسک استفاده می شود
• نیاز به سخت افزار دارد ماژول TPM(در صورت نیاز دستگاه خارجیذخیره سازی کلید، مانند فلش درایو USB یا هارد دیسک)

از نظر خارجی، برای کاربر، کار با فایل های خصوصی رمزگذاری شده با استفاده از EFS هیچ تفاوتی با کار با فایل های معمولی ندارد - سیستم عامل عملیات رمزگذاری/رمزگشایی را به صورت خودکار انجام می دهد (این عملکردها توسط درایور سیستم فایل انجام می شود).

نحوه فعال کردن رمزگذاری دایرکتوری EFS در ویندوز

بیایید مراحل رمزگذاری داده ها در ویندوز 8 با استفاده از EFS را مرحله به مرحله بررسی کنیم.

توجه داشته باشید. تحت هیچ شرایطی نباید رمزگذاری را برای دایرکتوری ها و پوشه های سیستم فعال کنید. در غیر این صورت، ویندوز ممکن است به سادگی بوت نشود، زیرا ... سیستم قادر به یافتن کلید خصوصی کاربر و رمزگشایی فایل ها نخواهد بود.

در فایل اکسپلورر، دایرکتوری یا فایل هایی را که می خواهید رمزگذاری کنید انتخاب کنید و با کلیک راست به ویژگی های آنها بروید ( خواص).

روی زبانه عمومیدر قسمت ویژگی ها، دکمه را پیدا کرده و کلیک کنید پیشرفته.

در پنجره ای که ظاهر می شود، کادر را علامت بزنید برای ایمن کردن داده ها، محتویات را رمزگذاری کنید(برای محافظت از داده ها، محتوا را رمزگذاری کنید).

دوبار روی OK کلیک کنید.

اگر یک دایرکتوری را رمزگذاری می کنید، سیستم از شما می پرسد که آیا می خواهید فقط دایرکتوری را رمزگذاری کنید یا دایرکتوری و همه عناصر فرعی آن را. عمل مورد نظر را انتخاب کنید، پس از آن پنجره خصوصیات دایرکتوری بسته می شود.

دایرکتوری ها و فایل های رمزگذاری شده در Windows Explorer به رنگ سبز نمایش داده می شوند (به یاد داشته باشید که اشیا با رنگ آبی برجسته شده اند). اگر یک پوشه را با تمام محتویات آن رمزگذاری کنید، هر آیتم جدیدی در داخل پوشه رمزگذاری شده نیز رمزگذاری می شود.

می توانید رمزگذاری/رمزگشایی EFS را مدیریت کنید خط فرمانبا استفاده از ابزار رمزگذاری به عنوان مثال، می توانید دایرکتوری C:\Secret را به صورت زیر رمزگذاری کنید:

رمز /e c:\Secret

فهرستی از تمام فایل‌های موجود در سیستم فایل که با استفاده از گواهی کاربر فعلی رمزگذاری شده‌اند را می‌توان با استفاده از دستور زیر نمایش داد:

رمز /u/n

رمزگذاری EFS پشتیبان کلید

پس از اینکه کاربر برای اولین بار داده های خود را با استفاده از EFS رمزگذاری کرد، یک پنجره پاپ آپ در سینی سیستم ظاهر می شود که به او می گوید کلید رمزگذاری را ذخیره کند.

از کلید رمزگذاری فایل خود نسخه پشتیبان تهیه کنید. این به شما کمک می کند تا برای همیشه دسترسی به فایل های رمزگذاری شده خود را از دست ندهید.

با کلیک بر روی پیام، ویزارد راه اندازی می شود کپی رزرو کنیدگواهی ها و گواهی های مرتبط کلیدهای خصوصیرمزگذاری EFS

توجه داشته باشید. اگر به طور تصادفی پنجره را ببندید یا ظاهر نشد، می توانید گواهینامه های EFS را با استفاده از " صادر کنید گواهی های رمزگذاری فایل را مدیریت کنید» در کنترل پنل کاربر.

انتخاب کنید از گواهی و کلید رمزگذاری فایل خود نسخه پشتیبان تهیه کنید

سپس یک رمز عبور برای محافظت از گواهی وارد کنید (ترجیحاً کاملاً پیچیده).

تنها چیزی که باقی می ماند نشان دادن مکانی است که می خواهید گواهی صادر شده را در آن ذخیره کنید (برای اهداف امنیتی، باید در آن کپی شود. سخت خارجیدیسک/ فلش درایو USBو در جای امن نگهداری کنید).

شایعات زیادی در مورد لنزهای کانن در اینترنت وجود دارد، صادقانه اعتراف می کنم، تا این اواخر من خودم در مورد تفاوت بین لنزهای EF و EF-S اشتباه می کردم. در این مقاله سعی کردم اطلاعاتی در مورد آنها جمع آوری کنم که به انتخاب به نفع یک اصلاح یا دیگری کمک می کند ، به اختلافات پایان می دهد و برخی از افسانه ها را از بین می برد.

بیایید ابتدا مخفف EF را رمزگشایی کنیم - از عبارت Electro-Focus ("Electrofocus") می آید. با پایه EF یک سیستم فوکوس خودکار تعبیه شده در اپتیک، یعنی. بین لنز و دوربین هیچ قسمت متحرکی وجود ندارد و فقط کنتاکت ها وجود دارد و موتور الکتریکی موجود در لنز وظیفه فوکوس و دیافراگم را بر عهده دارد. به هر حال، اولین لنز سری EF در سال 1987 ظاهر شد.

EF-S یک تغییر پایه برای دوربین های با ماتریس فرمت APS-C است که در سال 2003 ساخته شد. S مخفف Short Back Focus است. آخرین عنصر نوری در چنین لنزهایی نسبت به لنزهای EF به ماتریس نزدیکتر است. برای مقایسه، من تصویری از دو لنز با تغییرات پایه مختلف ارائه خواهم کرد.

لنز چپ EF، راست EF-S

همانطور که می بینید، در لنز سمت راست، آخرین لنز بعد از نخ مانت قرار دارد، یعنی. هنگامی که بر روی دوربین نصب می شود، به طور قابل توجهی به ماتریس نزدیک تر خواهد شد. در واقع، این تنها تفاوت، اما بسیار مهم است. واقعیت این است که اپتیک EF-S را نمی توان با دوربین های فول فریم استفاده کرد. با وجود سازگاری پایه، لنز بیرون زده می تواند به آینه دوربین آسیب برساند. علاوه بر این، لنزهای EF سازگار هستند و می توانند با هر دوربین Canon EOS (DSLR) استفاده شوند.

برای دوربین های با فرمت APS-C، فاصله کانونی لنز باید تنظیم شود. برای محاسبه فاصله کانونی معادل آنچه در یک سنسور فول فرمت به دست می آید، باید مقادیر نشان داده شده روی لنز را در 1.6 ضرب کنید. نظر گسترده ای در اینترنت وجود دارد که برای سری EF-S این ضروری نیست و مقادیر واقعی روی اپتیک نشان داده شده است، از قبل با در نظر گرفتن محاسبه مجدد. این اشتباه است. به عنوان مثال، من توضیحی در مورد لنز جدید Canon EF-S 18-55mm f/3.5-5.6 IS II از وب سایت رسمی شرکت ارائه خواهم کرد:

EF-S 18-55mm f/3.5-5.6 IS II یک لنز زوم با کیفیت بالا و استاندارد است که برای عکاسانی که ترجیح می دهند سبک سفر کنند، جذاب خواهد بود. با فاصله کانونی معادل 29-88 میلی متر در فرمت 35 میلی متر…

همانطور که می بینید، برای این لنزها از تبدیل استاندارد فاصله کانونی استفاده می شود و 18-55 به 29-88 میلی متر تبدیل می شود. یک سوال کاملا منطقی مطرح می شود: چرا کل این باغ را به خود مشغول کنید؟ واقعیت این است که این طراحی امکان ساخت لنزهای سبک تری را فراهم کرده است سایز کوچکتر. این طبق گفته کانن است، اما در واقع کاملاً ممکن است که این کار به گونه ای انجام شود که لنزهای ارزان قیمت با تجهیزات فول فریم گران قیمت استفاده نشوند.

نکته جالب دیگر: نه EF و نه EF-S به تولیدکنندگان اپتیک شخص ثالث مانند سیگما یا تامرون مجوز نداشتند. علیرغم ادعای این سازندگان مبنی بر سازگاری 100٪، Canon چنین تضمینی ارائه نمی دهد. بنابراین، هنگام خرید لنزهای غیر مارک، باید آنها را به دقت آزمایش کرد.

بیایید در مورد لنزهای کانن نتیجه گیری کنیم:

• فاصله کانونی در دوربین های APS-C برای همه انواع لنزها دوباره محاسبه می شود.
• زاویه فوق عریض در دوربین های برش خورده فقط با لنز 10-22 میلی متری EF-S در دسترس است.
• متأسفانه، چشم ماهی در دوربین های برش خورده به هیچ وجه در دسترس نیست.
• لنزهای EF برای هر دوربین کانن مناسب هستند.
• هنگام ارتقاء از دوربین APS-C به فول فریم، نمی توان از لنزهای EF-S استفاده کرد.

اگر قصد دارید در آینده به یک دوربین فول فریم ارتقا دهید، از قبل لنزها را خریداری کنید.

در لیست‌های پستی مختلف امنیت اینترنت، مدیران اغلب در مورد محصولات رمزگذاری فایل امن و با استفاده آسان برای ویندوز سؤال می‌پرسند. همان‌طور که اغلب، مدیران به راه‌های پیشگیری علاقه‌مند هستند مدیران سیستمبه پرونده های محرمانه شرکت نگاه کنید وقتی پیشنهاد می‌کنم از سیستم فایل رمزگذاری (EFS) خود ویندوز استفاده کنید، اکثر مردم می‌گویند که چیزی قوی‌تر و امن‌تر می‌خواهند.

اما برخلاف تصور عمومی، EFS واقعاً یک راه حل رمزگذاری قابل اعتماد، با استفاده آسان و ایمن است که می تواند حتی کنجکاوترین مدیر شبکه را نیز شرمنده کند. EFS وسیله ای عالی برای محافظت از فایل های حساس در شبکه ها و لپ تاپ ها است که اغلب هدف سرقت قرار می گیرند. متأسفانه، به دلیل امتناع کاربران از ارزیابی عینی هر محصول امنیتی مایکروسافت، شهرت EFS به طور غیر قابل قبولی آسیب دیده است. در واقع، EFS یکی از بهترین محصولاتنرم افزار امنیتی که تاکنون توسط مایکروسافت منتشر شده است، اما برای استفاده از آن به دانش مناسب نیاز دارد. این مقاله اصول EFS، هدف و عملکرد آن، عملیات اداری اساسی و خطاهای احتمالی را پوشش می دهد.

اصول EFS

مایکروسافت EFS را با ویندوز 2000 منتشر کرد و به طور مداوم نسخه های محصول را برای ویندوز XP و ویندوز سرور 2003 بهبود بخشیده است. کاربران EFS می توانند هر فایل یا پوشه ای را که مجوز خواندن و نوشتن در آن دارند رمزگذاری کنند. پس از رمزگذاری، هر زمان که مالک قانونی به آن دسترسی پیدا کند، منبع "در حال پرواز" رمزگشایی می شود. کاربرانی که سعی می کنند بدون مجوزهای EFS مناسب به یک فایل یا پوشه محافظت شده دسترسی پیدا کنند، نام فایل یا پوشه را می بینند، اما قادر به باز کردن، ویرایش، کپی، چاپ، ایمیل یا انتقال فایل یا پوشه نخواهند بود. جالب اینجاست که کاربرانی که دارای مجوز NTFS برای حذف یک فایل محافظت شده با EFS هستند، حتی اگر مجوز خواندن نداشته باشند، می توانند آن را حذف کنند. مانند اکثر محصولات رمزگذاری، EFS برای محافظت از حریم خصوصی طراحی شده است اما از از دست رفتن داده ها جلوگیری نمی کند. اگر کاربر غیرمجاز نتواند داده ها را به هر شکلی ببیند، کار EFS موفق در نظر گرفته می شود. برخی از کاربران ادعا می کنند که حتی دیدن نام یک فایل یا پوشه محافظت شده یک نقص نابخشودنی در ویندوز است.

ضمناً لازم نیست مالک یا داشتن باشد وضوح کاملبرای رمزگذاری فایل یا پوشه را کنترل کنید. برای انجام این کار، مجوزهای خواندن و نوشتن کافی است - همان مجوزهایی که برای دسترسی به منبع ضروری هستند. فقط کاربری که آن را رمزگذاری کرده است (و دیگرانی که اولین کاربر با آنها موافقت می کند منبع را به اشتراک بگذارد) به فایل یا پوشه دسترسی دارند. تنها استثنای کلی، عامل بازیابی اطلاعات (DRA) است. به طور پیش فرض (در بیشتر موارد)، ویندوز مدیر را به عنوان عامل DRA اختصاص می دهد تا مدیر بتواند به هر فایل یا پوشه ای که توسط EFS رمزگذاری شده است دسترسی داشته باشد. در یک محیط دامنه، DRA مدیر دامنه است. در یک محیط غیر دامنه، DRA مدیر محلی است.

ویژگی رمزگذاری فایل و پوشه به طور پیش فرض فعال است، اما کاربر باید هر فایل یا پوشه را به صورت جداگانه (یا غیر مستقیم از طریق قوانین وراثت عادی) انتخاب کند. EFS نیاز دارد که فایل یا پوشه در پارتیشن قرار گیرد دیسک NTFS. سپس، برای محافظت از یک فایل یا پوشه، فقط روی منبع موجود کلیک راست کنید Windows Explorer، گزینه Properties را انتخاب کنید و سپس روی دکمه Advanced در تب General کلیک کنید. (توجه: روی دکمه Advanced در تب Security کلیک نکنید.) در نهایت، باید چک باکس Encrypt contents to safe data را علامت بزنید.

اگر یک یا چند فایل را انتخاب کنید (برخلاف یک پوشه)، EFS از شما می‌پرسد که آیا فقط فایل(های) یا پوشه والد و فایل(های فعلی) رمزگذاری شود. اگر مورد دوم انتخاب شود، EFS پوشه را به عنوان رمزگذاری شده علامت گذاری می کند. همه فایل‌هایی که به پوشه اضافه می‌شوند به‌طور پیش‌فرض رمزگذاری می‌شوند، اگرچه هر فایلی که در پوشه بود اما در طول عملیات رمزگذاری EFS انتخاب نشده بود، رمزگذاری نشده باقی می‌ماند. در بسیاری از موارد، رمزگذاری کل پوشه به جای فایل‌های فردی ترجیح داده می‌شود، به‌ویژه از آنجایی که تعدادی از برنامه‌ها (به عنوان مثال، مایکروسافت ورد) فایل های موقت را در همان پوشه ایجاد کنید باز کردن فایل. پس از پایان برنامه (به عنوان مثال، در صورت راه اندازی مجدد اضطراری)، فایل های موقت اغلب حذف نشده باقی می مانند و به صورت تمیز ارائه می شوند. قالب متن، قابل دسترسی برای بازسازی توسط یک خارجی.

به طور پیش‌فرض، در نسخه‌های XP Professional و نسخه‌های جدیدتر، EFS فایل‌های رمزگذاری‌شده را به رنگ سبز برجسته می‌کند، اما می‌توان با انتخاب گزینه‌های پوشه از منوی Tools در Windows Explorer و سپس پاک کردن گزینه نمایش فایل‌های NTFS رمزگذاری‌شده یا فشرده به صورت رنگی، انتخاب‌های برجسته را با رنگ سبز حذف کرد. تب View در نمای جزئیات ویندوز اکسپلورر، فایل های فشرده دارای یک ویژگی E در ستون Attributes به همراه ویژگی معمول Archive (A) هستند در نتیجه مجموعه ویژگی ها شبیه AE خواهند بود. لازم به ذکر است که مکانیسم های داخلی ویندوز را نمی توان برای رمزگذاری و فشرده سازی فایل ها به طور همزمان استفاده کرد، اگرچه می توانید یک فایل را با استفاده از ابزارهای شخص ثالث مانند WinZip یا PKZIP فشرده کنید و سپس فایل فشرده را رمزگذاری کنید.

رمز قوی

EFS رمزگذاری قوی ارائه می دهد - به قدری قوی که اگر کلید خصوصی EFS (که برای بازیابی فایل های محافظت شده توسط رمزگذاری EFS استفاده می شود) را گم کنید، این احتمال وجود دارد که داده ها دیگر قابل خواندن نباشند. اگر تنظیمات EFS به درستی پیکربندی شده باشد، حتی یک مدیر نمی تواند به فایل یا پوشه رمزگذاری شده دسترسی داشته باشد مگر اینکه به عنوان یک عامل DRA تعیین شده باشد.

حداقل یک محصول در حال حاضر به صورت تجاری در دسترس است، Advanced EFS Data Recovery (AEFSDR) از ElcomSoft، که ادعا می کند می تواند فایل های محافظت شده با EFS را بازیابی کند. کاری که این برنامه انجام می دهد این است که رمز عبور مدیر محلی را بازیابی می کند (فرآیندی ساده در صورتی که پیکربندی ویندوز به درستی پیکربندی نشده باشد)، که سپس می تواند برای بازیابی کلید خصوصی EFS مدیر استفاده شود. کاربری که ابزاری برای حل رمز عبور مدیر دارد، می تواند هر عملی را در سیستم انجام دهد. دسترسی چنین کاربری به فایل های محافظت شده با EFS کمترین مشکلی خواهد بود که سازمان را تهدید می کند. خطر بازیابی غیرمجاز کلید خصوصی EFS با اختصاص نقش DRA در دامنه به حساب سرپرست دامنه به جای حساب مدیر محلی، که رمز عبور آن را تقریباً با استفاده از هر ابزار کرک می توان حدس زد، کاهش می یابد. XP سیاست جدیدی دارد که انجام این نوع حملات را دشوارتر می کند. اگر ابزار بازیابی نتواند رمز عبور فعلی و صحیح مدیر را بازیابی کند (بسیاری از ابزارها به جای بازیابی رمز عبور را بازنشانی می کنند)، پس حفاظت EFS همچنان فعال است.

EFS چگونه کار می کند؟

EFS از ترکیبی از رمزگذاری متقارن و نامتقارن استفاده می کند. با روش متقارن، فایل با استفاده از یک کلید رمزگذاری و بازیابی می شود. روش نامتقارن از یک کلید عمومی برای رمزگذاری و از یک کلید خصوصی دوم، اما مرتبط برای بازیابی اطلاعات استفاده می کند. اگر کاربری که به او حقوق بازیابی داده اعطا شده است، کلید خصوصی را برای کسی فاش نکند، منبع محافظت شده در خطر نیست.

EFS به طور پیش فرض برای همه فعال است سیستم های ویندوز 2000 به بعد. هنگامی که شخصی برای اولین بار از EFS برای محافظت از یک فایل یا پوشه استفاده می کند، ویندوز بررسی می کند که یک سرور PKI (زیرساخت کلید عمومی) موجود است که می تواند گواهی های دیجیتال EFS را تولید کند. Certificate Services در Windows 2003 و Windows 2000 می‌تواند گواهی‌های EFS را تولید کند، مانند برخی از محصولات PKI شخص ثالث. اگر ویندوز یک ارائه‌دهنده PKI قابل قبول را شناسایی نکند، سیستم عامل یک گواهی EFS را برای کاربر تولید کرده و امضا می‌کند (شکل 1). گواهینامه های EFS خودامضا ۱۰۰ سال عمر مفید دارند که بسیار بیشتر از طول عمر هر کاربر است.

اگر ویندوز سرور Certificate Services را شناسایی کند، به طور خودکار یک گواهینامه دو ساله برای کاربر ایجاد و ارسال می کند. این احتمالاً به این دلیل است که اگر یک سازمان یک سرویس PKI داخلی داشته باشد، سرور PKI می‌تواند به راحتی گواهی‌های EFS را پس از منقضی شدن نسخه اصلی صادر و تمدید کند. در هر صورت، گواهی های EFS را می توان با افزودن مشاهده کرد کنسول مایکروسافتکنسول مدیریت (MMC) با گواهینامه‌ها که به داخل محفظه شخصی می‌گردند.

کلید خصوصی کاربر EFS (که فایل های محافظت شده با EFS را باز می کند) با کلید اصلی کاربر رمزگذاری می شود و در نمایه کاربر در قسمت اسناد و تنظیمات، داده های برنامه، مایکروسافت، کریپتو، RSA ذخیره می شود. در صورت استفاده از نمایه رومینگ، کلید خصوصی در پوشه RSA روی دامنه کنترلر (DC) قرار می گیرد و در طی مراحل ثبت نام در رایانه کاربر دانلود می شود. کلید اصلی با استفاده از رمز عبور کاربر فعلی و الگوریتم RC4 56، 128، یا 512 بیتی تولید می شود. احتمالاً اصلی ترین چیزی که باید در مورد EFS بدانید این است که کلید خصوصی کاربر EFS در نمایه او قرار دارد و توسط یک کلید اصلی که از آن مشتق شده است محافظت می شود. رمز عبور فعلیکاربر. لطفاً توجه داشته باشید که قدرت رمزگذاری EFS با قدرت رمز عبور کاربر تعیین می شود. اگر مهاجم رمز عبور یک کاربر EFS را حدس بزند یا به عنوان یک کاربر قانونی وارد شود، یک شکاف در امنیت EFS ظاهر می شود.

اگر رمز عبور کاربر گم شود یا بازنشانی شود (اما توسط کاربر تغییر داده نشود)، ممکن است دسترسی به همه فایل‌های محافظت شده با EFS از بین برود. به همین دلیل، کپی های کلید خصوصی کاربر EFS باید در دو یا چند نسخه ایمن ذخیره شوند ذخیره سازی از راه دوریا یک یا چند عامل DRA را اختصاص دهید (و کلیدهای خصوصی آنها را صادر کنید و بسازید پشتیبان گیریدر دو یا چند مکان ذخیره از راه دور جداگانه و ایمن). عدم رعایت این قوانین ممکن است منجر به از دست رفتن اطلاعات شود.

هنگامی که یک فایل یا پوشه برای اولین بار رمزگذاری می شود، ویندوز یک کلید متقارن تصادفی را با استفاده از رمزگذاری داده 128 بیتی استاندارد X (DESX - پیش فرض در XP و Windows 2000) یا استاندارد رمزگذاری پیشرفته 256 بیتی (AES - در ویندوز) تولید می کند. 2003 XP) Pro Service Pack 1). هر دو الگوریتم به طور کلی استانداردهای دولتی شناخته شده هستند، اگرچه الگوریتم دوم مدرن تر است و برای استفاده توصیه می شود. همچنین می‌توانید استاندارد رمزگذاری متقارن دولتی قدیمی‌تر، 168 بیتی سه‌گانه DES (3DES) را فعال کنید، اگر خط‌مشی سازمان شما به استفاده از آن نیاز دارد. بیشتر اطلاعات دقیقمقاله مایکروسافت را ببینید «رمزگذاری فایل‌های سیستم فایل (EFS) وقتی آنها را باز می‌کنید خراب به نظر می‌رسند» ( http://support.microsoft.com/default.aspx?scid=kb;en-us;329741&sd=tech). کلید متقارن تولید شده به طور تصادفی به عنوان کلید رمزگذاری فایل (FEK) شناخته می شود. این کلید تنها کلیدی است که ویندوز برای رمزگذاری فایل ها و پوشه ها، صرف نظر از تعداد افرادی که به منبع محافظت شده با EFS دسترسی دارند، استفاده می کند.

پس از اتمام، ویندوز FEK را با استفاده از یک کلید عمومی 1024 بیتی RSA EFS رمزگذاری می کند و FEK را در ویژگی های توسعه یافته فایل ذخیره می کند. اگر DRA ها اختصاص داده شوند، سیستم عامل کپی رمزگذاری شده دیگری از FEK را با کلید EFS عمومی DRA ذخیره می کند. سپس ویندوز نمونه رمزگذاری شده FEK را در یک فایل ذخیره می کند. در XP و نسخه های بعدی، چندین کاربر می توانند به یک فایل یا پوشه خاص دسترسی EFS داشته باشند. هر کاربر مجاز FEK خود را خواهد داشت که با یک رمز منحصر به فرد رمزگذاری شده است کلید عمومی EFS. در ویندوز 2000 فقط یک DRA می توانید اختصاص دهید.

اگر یک کاربر مجاز به یک فایل محافظت شده دسترسی پیدا کند، ویندوز نمونه خود را از FEK رمزگذاری شده با استفاده از کلید EFS خصوصی مرتبط با کاربر بازیابی می کند. سپس با استفاده از FEK، فایل رمزگذاری شده باز می شود. برخلاف اولین نسخه های EFS در ویندوز 2000، EFS اکنون به طور ایمن تمام فایل ها و پوشه های رمزگذاری شده در حافظه را مدیریت می کند، بنابراین هیچ قطعه متن خالصی روی دیسک باقی نمانده است که به طور غیرقانونی قابل بازیابی باشد.

به اشتراک گذاری فایل های EFS

در ویندوز 2000، تنها یک کاربر می‌تواند همزمان از یک فایل با EFS محافظت کند، اما در XP Pro و نسخه‌های جدیدتر، چندین کاربر می‌توانند یک فایل EFS محافظت شده را به اشتراک بگذارند. هنگام کار با هم، اولین کاربری که از یک فایل یا پوشه محافظت می کند، دسترسی دیگران را کنترل می کند. پس از ایمن سازی اولیه یک فایل یا پوشه، کاربر می تواند با کلیک بر روی دکمه جزئیات، کاربران بیشتری را مشخص کند (شکل 2). تعداد کاربران اضافه شده محدود نیست. هر کاربر کپی مخصوص به خود را از FEK دارد که با کلید EFS خود رمزگذاری شده است. این نوآوری XP برای به اشتراک گذاری فایل های محافظت شده با EFS در بین گروه های کاربری بسیار راحت است. متأسفانه سازماندهی کنید همکاری با یکدیگراین فقط در سطح فایل های فردی امکان پذیر است، نه پوشه ها. یک کاربر باید یک فایل یا پوشه را رمزگذاری کند یا یک گواهی EFS را قبل از تخصیص آن به کاربران دیگر دریافت کند.

عامل DRA

حذف یک نمایه کاربر بسیار آسان است و مدیران اغلب رمزهای عبور کاربر را بازنشانی می کنند، بنابراین مدیران شبکه باید از کلیدهای EFS نسخه پشتیبان تهیه کنند یا یک یا چند DRA اختصاص دهند. می‌توانید با دسترسی به گواهی دیجیتال EFS در کنسول Certificates و انتخاب کادر تأیید Copy to file در برگه Details، یک نسخه پشتیبان از کلید خصوصی EFS کاربر دریافت کنید. در XP Pro و نسخه های بعدی، می توانید از دکمه Backup Keys نیز استفاده کنید که در زیر دکمه Details در اشتراک گذاریفایل های EFS دوستداران خط فرمان می توانند از دستور استفاده کنند

Cipher.exe /x

برای دریافت نسخه پشتیبان از کلیدهای EFS در ویندوز 2003، و همچنین در XP Pro SP1 و نسخه های بعدی. هنگام پاسخ دادن به درخواست‌های بعدی، می‌توانید کپی کنید و/یا کلید خصوصی مربوطه را صادر کنید. شما هرگز نباید کلید خصوصی یک کاربر EFS را حذف کنید، همانطور که ویندوز توصیه می کند در حین صادرات انجام دهید، زیرا این کار باعث می شود کاربر نتواند فایل های محافظت شده خود را رمزگشایی کند. بعد از اینکه کلید خصوصی را صادر کردید، باید کلید را در دو مکان ذخیره آفلاین جداگانه ذخیره کنید. تهیه نسخه پشتیبان از کلیدهای خصوصی EFS هر یک از کاربران کار فشرده ای است. با شروع ویندوز 2000، مایکروسافت به شما اجازه می دهد تا یک عامل DRA را انتخاب کنید. هر بار که شخصی یک فایل یا پوشه را رمزگذاری می کند، DRA به طور خودکار نمونه ای از FEK را دریافت می کند. در ویندوز 2000 (حالت گروه کاریدر ویندوز 2003 (حالت گروه کاری یا دامنه)، XP (فقط حالت دامنه)، و ویندوز 2003 (حالت گروه کاری یا دامنه)، به سرپرست به طور پیش فرض DRA اختصاص داده می شود، اگرچه مدیر می تواند حساب کاربری اختصاص داده شده به نقش DRA را تغییر دهد. متأسفانه، در حالت گروه کاری XP، عامل DRA تعریف نشده است. این تصمیم در پاسخ به انتقاداتی مبنی بر آسیب پذیر بودن فایل های محافظت شده با EFS در صورت به خطر افتادن رمز عبور مدیر گرفته شد. متأسفانه، بسیاری از سیستم‌های XP Pro در حالت گروه کاری اجرا می‌شوند و تنها چیزی که لازم است بازنشانی رمز عبور یا خرابی نمایه است تا همه کاربران EFS فایل‌های خود را از دست بدهند. هنگام استفاده از EFS (به یاد داشته باشید که به طور پیش فرض فعال است و در دسترس کاربران است)، باید اطمینان حاصل کنید که کاربران EFS از کلیدهای خصوصی کپی کرده اند یا یک یا چند DRA اختصاص داده اند.

اگر قصد دارید نقش DRA را به حساب کاربری دیگری غیر از حساب مدیر پیش فرض اختصاص دهید، جانشین باید دارای گواهی EFS Recovery Agent باشد. گواهی EFS Recovery Agent را می توان از Certificate Services درخواست کرد یا از یک محصول PKI شخص ثالث دیگر نصب کرد. اگر مستقر شود سرویس ویندوز 2003 Certificate Services، سپس می توانید به جای DRA، کلیدهای بازیابی را پیاده سازی کنید. در نهایت، Key Recovery Agents به جای بازیابی مستقیم فایل، کلید گم شده را بازیابی می کند.

برخلاف کلیدهای خصوصی کاربران عادی EFS، کلیدهای خصوصی EFS عوامل DRA باید صادر و از رایانه ها حذف شوند. اگر کلیدهای خصوصی عوامل DRA به سرقت رفته باشد، ممکن است همه فایل‌های دارای FEKهای محافظت شده توسط کلید عمومی DRA آسیب‌پذیر شوند. بنابراین، کلیدها باید به طور ایمن در دو مکان ذخیره سازی راه دور ذخیره شوند. اگر به کلیدهایی برای بازیابی فایل های رمزگذاری شده نیاز دارید، می توانید به راحتی کلیدهای خصوصی را وارد کرده و از آنها استفاده کنید.

اگرچه مدیر پیش فرض اغلب به عنوان عامل DRA تعیین می شود، شما باید به طور خاص یک یا دو کاربر را آماده کنید حساب ها، احتمال حذف تحت هر شرایطی کم است. کلید عمومی DRA همچنین هر FEK را کپی و محافظت می کند، بنابراین اگر یک حساب کاربری DRA به طور تصادفی حذف شود یا رمز عبور بازنشانی شود، بازیابی FEK محافظت شده با DRA دشوار است. اگر حساب های کاربری دارای وضعیت DRA تغییر کنند، ممکن است فایل های محافظت شده با EFS دارای FEK هایی باشند که توسط کلیدهای DRA قدیمی محافظت می شوند. هنگامی که ویندوز به فایل ها دسترسی پیدا می کند، FEK های محافظت شده با DRA به روز می شوند جدیدترین کلیدها DRA; با این حال، می توانید از دستور Cipher برای به روز رسانی انبوه همه FEK ها با استفاده از کلیدهای DRA فعلی استفاده کنید. صرف نظر از اینکه آیا کلید خصوصی DRA صادر شده و از سیستم حذف می شود، نگهداری کپی های گواهی بازیابی DRA در دو یا چند مکان ذخیره سازی امن خارج از سایت بسیار مهم است.

یادداشت های اضافی

EFS از فایل های کپی شده از طریق شبکه محافظت نمی کند. ویندوز تمام فایل‌های باز شده در اشتراک‌گذاری شبکه را در قالب متنی کپی می‌کند. اگر نیاز به رمزگذاری در زمان واقعی فایل های ذخیره شده روی دیسک و کپی شده از طریق شبکه دارید، باید از روش امنیتی دیگری استفاده کنید، IP Security (IPsec)، لایه سوکت های امن (SSL)، یا WWW Distributed Authoring and Versioning (WebDAV). علاوه بر این، در XP و نسخه‌های بعدی، می‌توانید حفاظت EFS را برای فایل‌های آفلاین فعال کنید.

EFS - مکانیسم حفاظت محلی. این برای رمزگذاری فایل ها در طراحی شده است دیسک های محلی. برای استفاده از EFS برای محافظت از فایل های ذخیره شده روی دیسک کامپیوترهای راه دور، برای تفویض اختیار باید یک رابطه اعتماد بین این ماشین ها وجود داشته باشد. کاربران لپ تاپ اغلب از EFS برای منابع سرور فایل استفاده می کنند. برای استفاده از EFS روی سرور، باید کادر Trust this computer for delegation به هر سرویس (فقط Kerberos) یا Trust this computer for delegation to specified services را در حساب رایانه سرور انتخاب کنید (شکل 3).

می توانید با مسدود کردن آن با استفاده از Group Policy از استفاده کاربران از EFS جلوگیری کنید. شما باید محفظه پیکربندی کامپیوتر را انتخاب کنید، روی تنظیمات ویندوز کلیک راست کرده و تنظیمات امنیتی، سیاست های کلید عمومی، سیستم فایل رمزگذاری را انتخاب کنید. سپس می توانید تیک Allow users to encrypt files using EFS را پاک کنید. می‌توانید EFS را در واحدهای سازمانی (OU) فعال یا غیرفعال کنید.

قبل از استفاده از EFS، باید مطمئن شوید که برنامه های شما با EFS و EFS API سازگار هستند. اگر برنامه‌ها ناسازگار باشند، ممکن است فایل‌های محافظت‌شده با EFS خراب شده یا بدتر از آن، بدون مجوز مناسب محافظت نمی‌شوند. به عنوان مثال، اگر یک فایل محافظت شده با EFS را با edit.com (قابل اجرا 16 بیتی) ذخیره و تغییر دهید. ترکیب ویندوز، سپس همه کاربران اضافی دسترسی به این فایل را از دست خواهند داد. اکثر برنامه های مایکروسافت (از جمله مایکروسافت آفیس، Notepad و Wordpad) کاملاً با EFS سازگار هستند.

اگر یک کاربر مجاز فایل های محافظت شده با EFS را در یک پارتیشن FAT کپی کند، حفاظت EFS حذف خواهد شد. یک کاربر غیرمجاز نباید اجازه انتقال یا کپی فایل ها را به هیچ یک از آنها داشته باشد پارتیشن های ویندوز. یک کاربر غیرمجاز می تواند علاوه بر سیستم بوت شود مجوزهای ویندوز NTFS، با استفاده از یک فلاپی دیسک قابل بوت یا یک برنامه CD-ROM که به شما امکان می دهد یک دایرکتوری مشترک NTFS را نصب کنید (مانند فلاپی دیسک قابل بوت Knoppix، NTFSDOS، Peter Nordahl-Hagen). در نتیجه، او می‌تواند فایل را کپی یا انتقال دهد، اما اگر کلید EFS کاربر مجاز را نداشته باشد، فایل رمزگذاری شده باقی می‌ماند.

بهترین شیوه ها

موارد زیر بهترین روش ها برای کار با EFS هستند.

1. تعداد را مشخص کنید و حساب های DRA را شناسایی کنید.
2. گواهی های DRA برای حساب های DRA ایجاد کنید.
3. گواهینامه های DRA را وارد کنید اکتیو دایرکتوری(آگهی).
4. کلیدهای خصوصی DRA را صادر و حذف کنید، آنها را در دو صندوق جداگانه، امن و آفلاین ذخیره کنید.
5. کاربران نهایی را با روش ها و ویژگی های کاربردی EFS آشنا کنید.
6. به طور دوره ای بازیابی فایل DRA را آزمایش کنید.
7. در صورت لزوم، به صورت دوره ای دستور Cipher را با پارامتر /u اجرا کنید تا FEK ها برای DRA های اضافه یا حذف شده به روز شوند.

EFS یک روش مطمئن و ایمن برای رمزگذاری فایل ها و پوشه ها در سیستم های ویندوز 2000 به بعد است. مدیران شبکه باید سیاست‌های DRA را ایجاد و اجرا کنند و به کاربران نهایی در مورد مزایا و محدودیت‌های EFS آموزش دهند.

راجر گرایمز - ویرایشگر ویندوز IT Pro و مشاور امنیت. او دارای گواهینامه های CPA، CISSP، CEH، CHFI، TICSA، MCT، MCSE: Security and Security+ است.

رمزگذاریفایلسیستم

سیستم فایل رمزگذاری یک سرویس کاملاً یکپارچه با NTFS است که در هسته ویندوز 2000 قرار دارد. هدف آن محافظت از داده های ذخیره شده روی دیسک از دسترسی غیرمجاز با رمزگذاری آن است. ظاهر این سرویس تصادفی نیست و مدت هاست که انتظار می رفت. واقعیت این است که امروز وجود دارد سیستم های فایلحفاظت لازم از داده ها را در برابر دسترسی غیرمجاز فراهم نمی کند.

اگرچه NTFS کنترل دسترسی و محافظت از داده ها را در برابر دسترسی های غیرمجاز فراهم می کند، در صورتی که دسترسی به پارتیشن NTFS بدون استفاده از سیستم عامل Windows NT، بلکه مستقیماً بر روی آن انجام شود، چه باید کرد. سطح فیزیکی? پس از همه، اجرای این کار نسبتاً آسان است، به عنوان مثال، با بوت شدن از فلاپی دیسک و اجرا کردن برنامه ویژه: به عنوان مثال، بسیار رایج است.البته می توانید این امکان را فراهم کنید و برای راه اندازی سیستم رمز عبور تعیین کنید، اما تمرین نشان می دهد که چنین محافظتی بی اثر است، به خصوص زمانی که چندین کاربر روی یک رایانه کار می کنند. و اگر مهاجم بتواند هارد دیسک را از رایانه حذف کند، هیچ رمز عبوری کمکی نخواهد کرد. با اتصال دیسک به کامپیوتر دیگر می توان محتویات آن را بدون مشکل خواند. بنابراین، مهاجم می تواند آزادانه اطلاعات محرمانه ذخیره شده در هارد دیسک را در اختیار بگیرد. تنها راهمحافظت در برابر خواندن فیزیکی داده ها رمزگذاری فایل است. ساده ترین مورد چنین رمزگذاری آرشیو کردن یک فایل با رمز عبور است. با این حال، تعدادی از اشکالات جدی وجود دارد. در مرحله اول، کاربر باید هر بار قبل از شروع و پس از اتمام کار، داده ها را به صورت دستی رمزگذاری و رمزگشایی کند (یعنی در مورد ما بایگانی و از حالت بایگانی خارج شود) که این خود امنیت داده ها را کاهش می دهد. کاربر ممکن است پس از اتمام کار، رمزگذاری (بایگانی) فایل را فراموش کند، یا (حتی معمول تر) به سادگی یک کپی از فایل را روی دیسک بگذارد. ثانیاً، رمزهای عبور ایجاد شده توسط کاربر معمولاً به راحتی قابل حدس زدن هستند. در هر صورت، تعداد کافی ابزار وجود دارد که به شما امکان می دهد آرشیوهای محافظت شده با رمز عبور را باز کنید. به عنوان یک قاعده، چنین ابزارهایی با جستجو در کلمات نوشته شده در فرهنگ لغت، حدس زدن رمز عبور را انجام می دهند. سیستم EFS برای غلبه بر این کاستی ها توسعه یافته است.

2.1. تکنولوژی رمزگذاری

EP$ از معماری CryptoAPI ویندوز استفاده می کند. این مبتنی بر فناوری رمزگذاری کلید عمومی است؛ برای رمزگذاری هر فایل، یک کلید رمزگذاری فایل به طور تصادفی تولید می شود. در این حالت می توان از هر الگوریتم رمزگذاری متقارن برای رمزگذاری فایل استفاده کرد. در حال حاضر، EFS از یک الگوریتم استفاده می کند - DESX، که اصلاح ویژه ای از استاندارد DES است که به طور گسترده استفاده می شود. کلیدهای رمزگذاری EFS در یک مخزن حافظه مقیم ذخیره می شوند (خود EFS در هسته ویندوز 2000 قرار دارد) که از دسترسی غیرمجاز به آنها از طریق فایل صفحه جلوگیری می کند.

به طور پیش‌فرض، EFS به گونه‌ای پیکربندی شده است که کاربر بتواند بلافاصله از رمزگذاری فایل استفاده کند. عملیات رمزگذاری و معکوس برای فایل ها و دایرکتوری ها پشتیبانی می شود. اگر دایرکتوری رمزگذاری شده باشد، تمام فایل ها و زیر شاخه های این دایرکتوری به طور خودکار رمزگذاری می شوند. لازم به ذکر است که اگر یک فایل رمزگذاری شده از یک پوشه رمزگذاری شده به یک پوشه رمزگذاری نشده منتقل یا تغییر نام داده شود، همچنان رمزگذاری شده باقی می ماند. عملیات رمزگذاری/رمزگشایی به دو صورت انجام می شود: راه های مختلف- با استفاده از Windows Explorer یا ابزار کنسول Cipher. برای رمزگذاری یک دایرکتوری از Windows Explorer، کاربر فقط باید یک یا چند دایرکتوری را انتخاب کند و کادر رمزگذاری را در پنجره ویژگی های پیشرفته دایرکتوری بررسی کند. تمام فایل‌ها و زیر شاخه‌هایی که بعداً در این فهرست ایجاد می‌شوند نیز رمزگذاری خواهند شد. بنابراین، شما می توانید یک فایل را به سادگی با کپی کردن (یا انتقال) آن به یک فهرست "رمزگذاری شده" رمزگذاری کنید. فایل های رمزگذاری شده به صورت رمزگذاری شده روی دیسک ذخیره می شوند. هنگامی که یک فایل خوانده می شود، داده ها به طور خودکار رمزگشایی می شوند و زمانی که نوشته می شوند، به طور خودکار رمزگذاری می شوند. کاربر می تواند با فایل های رمزگذاری شده مانند فایل های معمولی کار کند، یعنی اسناد را در ویرایشگر متن Microsoft Word باز و ویرایش کند، نقشه ها را در Adobe Photoshop یا ویرایش کند. ویرایشگر گرافیکیرنگ آمیزی و غیره.

لازم به ذکر است که تحت هیچ شرایطی فایل هایی را که هنگام راه اندازی سیستم مورد استفاده قرار می گیرند رمزگذاری نکنید؛ در این زمان کلید شخصی کاربر که رمزگشایی با آن انجام می شود هنوز در دسترس نیست. این ممکن است راه اندازی سیستم را غیرممکن کند! B EFS ارائه شده است حفاظت سادهاز چنین موقعیت هایی: فایل هایی با ویژگی "system" رمزگذاری نمی شوند. با این حال، مراقب باشید: این ممکن است یک حفره امنیتی ایجاد کند! بررسی کنید که آیا ویژگی فایل تنظیم شده است یا خیر<системный» для того, чтобы убедиться, что файл действительно будет зашифрован.

همچنین مهم است که به یاد داشته باشید که فایل های رمزگذاری شده را نمی توان با استفاده از ویندوز 2000 فشرده کرد و بالعکس. به عبارت دیگر، اگر دایرکتوری فشرده باشد، محتویات آن قابل رمزگذاری نیست و اگر محتویات دایرکتوری رمزگذاری شده باشد، نمی توان آن را فشرده کرد.

در صورتی که نیاز به رمزگشایی داده ها باشد، فقط باید تیک کادرهای رمزگذاری دایرکتوری های انتخاب شده در Windows Explorer را بردارید و فایل ها و زیر شاخه ها به طور خودکار رمزگشایی می شوند. لازم به ذکر است که این عملیات معمولاً مورد نیاز نیست، زیرا EFS یک تجربه "شفاف" با داده های رمزگذاری شده را برای کاربر فراهم می کند.