สมมติว่าคุณมีคอมพิวเตอร์ที่ทำงานอยู่ การควบคุมหน้าต่างเวอร์ชันล่าสุด คุณเล่นเกมยิงปืน เขียนวิทยานิพนธ์ จัดทำบัญชีสำหรับผู้ประกอบการแต่ละรายโดยใช้ระบบที่เรียบง่าย และโดยทั่วไป คุณจะสนุกให้มากที่สุดเท่าที่จะทำได้ แต่ทันใดนั้นอย่างไร้เหตุผลโดยสิ้นเชิง คุณเริ่มรู้สึกว่ามีบางสิ่งจากภายนอกกำลังคุกคามความปลอดภัยของข้อมูลบางส่วนที่จัดเก็บไว้ในของคุณ คอมพิวเตอร์ส่วนบุคคล- คุณด้วยสายตาที่ร้อนแรงได้อ่านฟอรัมไซเบอร์จำนวนมากและตระหนักด้วยความสยดสยองว่าข้อมูลทั้งหมดของคุณในฮาร์ดไดรฟ์ไม่ได้รับการปกป้อง แต่อย่างใด และหากคอมพิวเตอร์ที่คุณรักถูกขโมยและความเสี่ยงในการโจรกรรมอุปกรณ์พกพาไม่ได้ต่ำนักผู้โจมตีก็จะสามารถเข้าถึงเนื้อหาทั้งหมดได้ ฮาร์ดไดรฟ์- โอ้วิทยานิพนธ์อันล้ำค่าของฉัน!

ลองพิจารณาว่าเป็นไปได้จริงหรือไม่ที่จะเข้าถึงไฟล์โดยไม่ได้รับอนุญาตหากคอมพิวเตอร์กำลังทำงานอยู่ ระบบปฏิบัติการ Windows 10 วิศวกรของ IBM และต่อมาที่ Microsoft ได้ใช้ความพยายามอย่างมากในการใช้ระบบแยกสิทธิ์สำหรับระบบไฟล์ NTFS (เมื่อ IBM อยู่ที่นั่น ก็คือ HPFS) และหาก Win10 ทำงานบนคอมพิวเตอร์ ก็จะเป็นเรื่องยากมากที่จะเข้าถึงไฟล์ของผู้อื่นโดยไม่ได้รับอนุญาต และหากการเข้าถึงถูกบล็อก ก็เป็นไปไม่ได้เลย Windows ปกป้องไฟล์ผู้ใช้อย่างปลอดภัย

แต่ทันทีที่คุณบูตเข้าสู่ระบบปฏิบัติการอื่น เช่น Linux Mint ไฟล์ผู้ใช้ทั้งหมดจะอยู่ที่ปลายนิ้วของคุณ ดาวน์โหลดสิ่งที่คุณต้องการ และคุณสามารถบูตเข้าสู่ Mint ได้จากแฟลชไดรฟ์หรือจากซีดีรอมคุณเพียงแค่ต้องไปที่ UEFI (BIOS) และเปิดใช้งานการบูตจากไดรฟ์แบบถอดได้หากไม่เคยเปิดใช้งานมาก่อนหรือใช้เมนูการบู๊ต สมมติว่าคุณตั้งรหัสผ่านเพื่อเข้าสู่ระบบ UEFI และปิดใช้งานการเลือกไดรฟ์เพื่อบู๊ตเป็นคลาส ไฟล์ของคุณก็จะได้รับการป้องกันมากขึ้นเล็กน้อย และผู้โจมตีสามารถคลายเกลียวคอมพิวเตอร์ของคุณแล้วดึงออกมาได้ ฮาร์ดไดรฟ์และเชื่อมต่อกับคอมพิวเตอร์ของคุณ จากนั้นดาวน์โหลดทุกสิ่งที่จำเป็น ท้ายที่สุดแล้วข้อมูลในรูปแบบไฟล์จะอยู่ในมือของเขาเหมือนสมุดบันทึกที่เปิดอยู่

ผู้เชี่ยวชาญด้านไอทีรู้ดีว่าคุณสามารถรักษาความปลอดภัยข้อมูลบนคอมพิวเตอร์ของคุณได้โดยใช้เทคโนโลยี BitLocker BitLocker เป็นสิ่งที่ดี แต่ช่วยให้คุณสามารถเข้ารหัสเฉพาะพาร์ติชันทั้งหมดบนดิสก์ ไม่ว่าจะเป็นฟิสิคัลหรือเสมือน ในขณะเดียวกันก็มั่นใจในความปลอดภัยของกุญแจ รวมถึงการจัดเก็บในโมดูล TPM ซึ่งสะดวกมาก อย่างไรก็ตามการเข้ารหัสทุกอย่างและทุกคนนั้นไม่สะดวกเสมอไปแม้ว่าจะเป็นการใช้งานก็ตาม การเข้ารหัสเต็มรูปแบบดิสก์มีความหมายบางอย่าง แต่ด้วยเหตุผลบางอย่างทุกคนลืมเกี่ยวกับการเข้ารหัสไฟล์และไดเร็กทอรีบางส่วน

ใน Windows 10 เช่นเดียวกับการกลับชาติมาเกิดครั้งก่อน มีระบบไฟล์ที่เข้ารหัส ซึ่งหมายถึง ระบบไฟล์ที่เข้ารหัส (EFS) ฟังก์ชั่นนี้มีให้บริการตั้งแต่รุ่น Pro และสูงกว่า ดังนั้นหากคุณมีเวอร์ชัน Windows Home คุณจะต้องอัปเกรดเป็นรุ่น Pro เป็นอย่างน้อย Wikipedia ได้เขียนไว้มากมายเกี่ยวกับวิธีการและสิ่งที่ถูกเข้ารหัสใน EFS ฉันจะพยายามอธิบายทุกอย่างให้ง่ายที่สุดเท่าที่จะทำได้และให้ประโยชน์สูงสุด คำแนะนำโดยละเอียดเพื่อเปิดใช้งานการป้องกันไฟล์ของคุณ

นอกเหนือจากการมีรุ่น Pro ขั้นต่ำแล้ว ยังจำเป็นต้องทำงานภายใต้ผู้ใช้ที่มีรหัสผ่าน ต้องมีรหัสผ่าน ปล่อยให้เป็นลิงก์ไปยัง บริการคลาวด์ Microsoft หรือรหัสผ่านแบบสแตนด์อโลนโดยสมบูรณ์ ไม่ว่าคุณจะเข้าสู่ระบบโดยใช้รหัส PIN หรือใช้รูปแบบไม่สำคัญ สิ่งสำคัญคือรหัสผ่านจะเชื่อมโยงกับบัญชีของคุณ นอกจากการมีรหัสผ่านในบัญชีที่ใช้งานอยู่ ไฟล์และไดเร็กทอรีที่ได้รับการป้องกันยังจำเป็นจะต้องอยู่บนดิสก์หรือพาร์ติชันที่มีระบบไฟล์ NTFS เป็นไปได้มากว่านี่คือระบบไฟล์ที่คุณใช้

การเข้ารหัสข้อมูลเกิดขึ้นอย่างโปร่งใสสำหรับผู้ใช้และคนส่วนใหญ่ ผลิตภัณฑ์ซอฟต์แวร์, เพราะ การเข้ารหัสเกิดขึ้นในระดับระบบไฟล์ NTFS คุณสามารถเข้ารหัสไฟล์เดียวหรือทั้งโฟลเดอร์ได้ในคราวเดียว คุณสามารถเข้ารหัสเป็นโฟลเดอร์ว่าง จากนั้นเพิ่มไฟล์ใหม่เข้าไปและไฟล์เหล่านั้นจะถูกเข้ารหัสด้วย หรือคุณสามารถเข้ารหัสโฟลเดอร์ที่มีไฟล์และไดเร็กทอรีอยู่ข้างใน ทุกอย่างเป็นทางเลือกของคุณ

เมื่อทำงานกับโฟลเดอร์และไฟล์ที่เข้ารหัส ให้พิจารณาสิ่งต่อไปนี้:

1. ไฟล์จะถูกเข้ารหัสจนกว่าจะถ่ายโอนไปยังระบบไฟล์อื่นที่ไม่ใช่ NTFS ตัวอย่างเช่น คุณคัดลอกไฟล์ที่เข้ารหัสไปยังแฟลชไดรฟ์ หากเป็น FAT32 และมีแนวโน้มว่าจะอยู่ที่นั่น ไฟล์นั้นจะถูกถอดรหัสในรุ่นที่สิบ วินโดวส์ ไมโครซอฟต์อย่างไรก็ตาม ฉันใช้ฟังก์ชันที่ไฟล์ยังคงถูกเข้ารหัสแม้ว่าคุณจะโอนไฟล์ไปยังแฟลชไดรฟ์ที่มี FAT ดังนั้นคุณควรระมัดระวังหากคุณรั่วไฟล์ใด ๆ ให้เพื่อนของคุณ เขาจะสามารถเปิดมันในภายหลังโดยไม่ต้องสาบานได้หรือไม่? หากส่งไฟล์ผ่านทาง อีเมล- มันจะถูกถอดรหัส (มิฉะนั้นจะไม่มีประโยชน์ในการส่งทางไปรษณีย์) เมื่อถ่ายโอนไฟล์ผ่านเครือข่าย การถอดรหัสก็จะเกิดขึ้นเช่นกัน
2. เมื่อย้ายระหว่างพาร์ติชัน NTFS ไฟล์จะยังคงถูกเข้ารหัส เมื่อย้ายไฟล์จากดิสก์ NTFS หนึ่งไปยังดิสก์ NTFS อื่น ไฟล์นั้นจะถูกเข้ารหัส เมื่อคุณคัดลอกไฟล์ไปยังฮาร์ดไดรฟ์แบบถอดได้ด้วยระบบไฟล์ NTFS ไฟล์นั้นจะถูกเข้ารหัสในตำแหน่งใหม่
3. หากบุคคลที่สามบังคับให้เปลี่ยนรหัสผ่านบัญชี เช่น ผู้ดูแลระบบ หรือบังคับให้เปลี่ยนรหัสผ่านของบัญชีโดเมนที่เชื่อมโยงหรือบริการคลาวด์ การเข้าถึงไฟล์โดยไม่มีใบรับรองสำรอง (สร้างขึ้นระหว่างการเข้ารหัสครั้งแรก) จะไม่อีกต่อไป เป็นไปได้

ประเด็นสุดท้ายมีความสำคัญมาก โดยเฉพาะอย่างยิ่งสำหรับผู้ที่มีหน่วยความจำไม่น่าเชื่อถือซึ่งรีเซ็ตรหัสผ่านอยู่ตลอดเวลา เคล็ดลับดังกล่าวอาจส่งผลให้ไฟล์ได้รับการเข้ารหัสอย่างถาวร เว้นแต่คุณจะนำเข้าใบรับรองที่บันทึกไว้เข้าสู่ระบบ อย่างไรก็ตาม เมื่อการเปลี่ยนรหัสผ่านเป็นไปตามความสมัครใจ เช่น ตามนโยบายการเปลี่ยนรหัสผ่าน ไฟล์ที่เข้ารหัสจะไม่สูญหายในเวลาอันควร

ผู้คลางแคลงจะทราบอย่างถูกต้องว่าการป้องกันดังกล่าวเช่น BitLocker นั้นไม่น่าเชื่อถืออย่างยิ่ง พวกเขากล่าวว่าแฮกเกอร์สามารถเดารหัสผ่านได้หากรหัสผ่านอ่อนแอ และบริการข่าวกรองจะถอดรหัสทุกอย่าง แน่นอนว่าพวกเขาสามารถเดารหัสผ่านของคุณได้ถ้ามันสั้นและง่าย และนั่นคือสาเหตุที่บริการข่าวกรองเป็นบริการพิเศษที่มีความสามารถทางเทคนิคในการเข้าถึงเนื้อหาของไฟล์ของผู้ใช้ที่น่าสงสัยมากเกินไป ยิ่งไปกว่านั้น เมื่อคุณเข้าสู่ระบบ คุณจะสามารถเข้าถึงไฟล์ที่เข้ารหัส EFS ทั้งหมดของคุณได้อย่างโปร่งใสทันที และหากมีโทรจันหรือไวรัสในคอมพิวเตอร์ของคุณ มันจะสามารถเข้าถึงไฟล์อันมีค่าได้ในลักษณะเดียวกันทุกประการ ควรปฏิบัติตามสุขอนามัยของคอมพิวเตอร์อย่างเคร่งครัด

คำแนะนำโดยละเอียดสำหรับการเปิดใช้งานการเข้ารหัสโดยใช้ EFS ภายใต้ Win10 Pro บนโฟลเดอร์

ด้านล่างนี้ฉันเสนอคำแนะนำทีละขั้นตอนที่แม่นยำเกี่ยวกับวิธีเข้ารหัสโฟลเดอร์ที่มีไฟล์อยู่ในนั้น แต่ละไฟล์จะถูกเข้ารหัสในลักษณะเดียวกัน

ขั้นตอนที่ 1- มาสร้างโฟลเดอร์กันเถอะ ให้มันถูกเรียกว่า "รูปภาพของฉัน"

การสร้างไดเร็กทอรี

ขั้นตอนที่ 2- คลิกขวาที่โฟลเดอร์และ เมนูบริบทเลือก "คุณสมบัติ"

คลิกขวาที่โฟลเดอร์แล้วรับสิ่งนี้

ขั้นตอนที่ 3- ในเมนู "คุณสมบัติ" ไปที่คุณลักษณะเพิ่มเติมของโฟลเดอร์โดยคลิกปุ่ม "อื่นๆ..."

คุณสมบัติโฟลเดอร์

ขั้นตอนที่ 4- ทำเครื่องหมายที่ช่องถัดจาก "เข้ารหัสเนื้อหาเพื่อปกป้องข้อมูล" แล้วคลิกตกลง หากคุณต้องการยกเลิกการเข้ารหัส ให้ยกเลิกการเลือกช่องทำเครื่องหมายเดิม จากนั้นไฟล์จะถูกถอดรหัส

ในคุณสมบัติของโฟลเดอร์คุณสมบัติเพิ่มเติม

ขั้นตอนที่ 5- เสร็จสิ้นด้วย "คุณสมบัติ" แล้วคลิกตกลงหรือ "นำไปใช้"

ขั้นตอนที่ 6- เราตอบในกล่องโต้ตอบว่าจะ "ใช้" อะไรกับโฟลเดอร์ของเราและเนื้อหาทั้งหมด

เลือกรายการเข้ารหัสที่ต้องการ

เพียงเท่านี้ โฟลเดอร์ของเราและเนื้อหาทั้งหมดก็ได้รับการเข้ารหัสโดยใช้ EFS หากคุณต้องการ คุณสามารถตรวจสอบว่าโฟลเดอร์ของเราและไฟล์ทั้งหมดในนั้นปิดอย่างปลอดภัยจากบุคคลภายนอก

ขั้นตอนที่ 7- เราทำตามขั้นตอนที่ 1-3 และเห็นว่าช่องทำเครื่องหมาย "เข้ารหัส" ทำงานอยู่ และถัดจากนั้นปุ่ม "รายละเอียด" ก็เปิดใช้งานอยู่ คลิกที่ "รายละเอียด"

กำลังตรวจสอบสิ่งที่เข้ารหัสไว้

ขั้นตอนที่ 8- ในหน้าต่างที่ปรากฏขึ้น เราจะเห็นว่าไฟล์นี้มีใบรับรองเดียวสำหรับการเข้าถึงโดยผู้ใช้เพียงรายเดียว และไม่มีการติดตั้งใบรับรองสำหรับการกู้คืนการเข้าถึงด้วย

โฟลเดอร์ถูกเข้ารหัสด้วยใบรับรองเดียว

นอกจากนี้คุณยังสามารถเข้าใจได้ว่าไฟล์บางไฟล์ได้รับการเข้ารหัสใน Windows Explorer โดยมีไอคอนล็อคปรากฏบนไฟล์

แกลเลอรี่พร้อมรูปภาพที่เข้ารหัส มีเพียงเจ้าของบัญชีเท่านั้นที่สามารถดูได้

ไอคอนจะปรากฏในมุมมองไฟล์และมุมมอง Explorer อื่นๆ ทั้งหมด จริงอยู่ ในภาพสัญลักษณ์บางภาพมองเห็นได้ยากมากและคุณต้องมองอย่างใกล้ชิด

แกลเลอรีเดียวกันเฉพาะในรูปแบบตารางเท่านั้น ล็อคที่มุมขวาบนของไอคอน

หลังจากที่ไฟล์แรกได้รับการเข้ารหัสแล้ว Windows จะแจ้งให้คุณทำสำเนาใบรับรอง ใบรับรองเดียวกันที่จะช่วยให้คุณสามารถถอดรหัสไฟล์ได้หากมีสิ่งผิดปกติเกิดขึ้นกับคอมพิวเตอร์ของคุณ (ติดตั้งระบบใหม่, รีเซ็ตรหัสผ่าน, ถ่ายโอนดิสก์ไปยังคอมพิวเตอร์เครื่องอื่น ฯลฯ )

ขั้นตอนที่ 9- หากต้องการบันทึกใบรับรองการกู้คืนข้อมูลสำรอง ให้คลิกที่ไอคอนการเก็บคีย์

ไอคอนถาดเรียกร้องให้เก็บใบรับรองสำรองเพื่อกู้คืนการเข้ารหัส

ขั้นตอนที่ 10- ในหน้าต่างที่ปรากฏขึ้น ให้เลือก “เก็บถาวรทันที”

การเลือกเวลาที่จะเก็บถาวร

ขั้นตอนที่ 11- ในกล่องโต้ตอบตัวช่วยสร้างการเปิดใช้งานคลิก "ถัดไป"

หน้าต่างตัวช่วยสร้างการส่งออกใบรับรอง

ขั้นตอนที่ 12- หากคุณใช้การเข้ารหัส EFS เท่านั้น คุณสามารถคงค่าเริ่มต้นไว้ได้ และคลิกที่ "ถัดไป"

การตั้งค่าการส่งออกใบรับรองสำรอง

ขั้นตอนที่ 13- การปกป้องใบรับรองที่ส่งออกด้วยรหัสผ่านเป็นเรื่องที่สมเหตุสมผล เราป้อนรหัสผ่าน อาจเป็นอะไรก็ได้ ไม่จำเป็นต้องมาจากอีเมลของคุณหรือเข้าสู่ระบบ Windows และคลิก "ถัดไป"

ใส่รหัสผ่านสำหรับ การป้องกันเพิ่มเติมใบรับรองการกู้คืน

ขั้นตอนที่ 15- ยืนยันผลลัพธ์โดยคลิกตกลง

เสร็จสิ้นวิซาร์ดการส่งออก

และนั่นคือทั้งหมด ควรคัดลอกใบรับรองที่ดาวน์โหลดไปยังที่ปลอดภัย ตัวอย่างเช่น บนฟล็อปปี้ดิสก์ แฟลชไดรฟ์ หรือในระบบคลาวด์ที่ปลอดภัย การทิ้งใบรับรองการกู้คืนไว้ในคอมพิวเตอร์ของคุณถือเป็นความคิดที่ไม่ดี ดังนั้นหลังจากบันทึกลงใน "ที่ปลอดภัย" เราจะลบไฟล์ออกจากคอมพิวเตอร์และในเวลาเดียวกันก็ทำให้ถังรีไซเคิลว่างเปล่า

คุณยังสามารถเข้ารหัสไดเร็กทอรีที่จะซิงโครไนซ์ไฟล์คลาวด์บนคอมพิวเตอร์ของคุณเช่น OneDrive, DropBox, Yandex Disk และอื่น ๆ อีกมากมาย หากคุณต้องการเข้ารหัสโฟลเดอร์ดังกล่าว คุณควรปิดแอปพลิเคชันการซิงโครไนซ์บนคลาวด์ก่อนหรือหยุดการซิงโครไนซ์ชั่วคราว นอกจากนี้ยังควรปิดไฟล์ที่เปิดอยู่ทั้งหมดในไดเร็กทอรีที่จะต้องถูกเข้ารหัสเช่นการปิด Word, Excel หรือโปรแกรมอื่น ๆ หลังจากนี้ คุณสามารถเปิดใช้งานการเข้ารหัสในโฟลเดอร์ที่เลือกได้ เมื่อขั้นตอนการเข้ารหัสเสร็จสิ้น คุณสามารถเปิดใช้งานการซิงโครไนซ์ได้อีกครั้ง มิฉะนั้นการเข้ารหัสอาจไม่ส่งผลต่อไฟล์ทั้งหมดในโฟลเดอร์เพราะว่า ระบบฝังตัวสามารถเข้ารหัสเฉพาะไฟล์ที่เขียนได้เท่านั้น ใช่ เมื่อซิงโครไนซ์กับคลาวด์ ไฟล์จะถูกถอดรหัส และในระบบคลาวด์จะไม่ถูกเข้ารหัสอีกต่อไป

คุณต้องออกจากระบบ OneDrive ก่อนจึงจะสามารถเริ่มการเข้ารหัสได้

ตอนนี้เป็นเวลาที่จะทดสอบว่าการเข้ารหัส EFS ทำงานได้ดีเพียงใด ฉันสร้างไฟล์ที่มีข้อความในไดเร็กทอรีที่เข้ารหัส แล้วโหลดเข้า. ลินุกซ์มิ้นท์จากแฟลชไดรฟ์ Linux เวอร์ชันนี้สามารถทำงานกับฮาร์ดไดรฟ์ NTFS ได้อย่างง่ายดาย ดังนั้นการเข้าถึงเนื้อหาในฮาร์ดไดรฟ์ของฉันจึงไม่ใช่เรื่องยาก

สร้างไฟล์ที่มีข้อความในโฟลเดอร์ที่เข้ารหัส

อย่างไรก็ตาม เมื่อฉันพยายามเปิดไฟล์จากโฟลเดอร์ที่เข้ารหัส ฉันรู้สึกผิดหวัง ไม่สามารถเปิดไฟล์ได้แม้แต่ไฟล์เดียว ผู้ดู Linux Mint รายงานอย่างกล้าหาญว่าพวกเขาไม่สามารถเข้าถึงไฟล์ที่ระบุได้ แต่คนอื่นๆ ก็เปิดออกโดยไม่มีปัญหาใดๆ

ไฟล์ที่เข้ารหัสใน Win10 สามารถมองเห็นได้จาก Mint แต่ไม่สามารถเปิดได้

"ใช่!" - ชายไซบีเรียผู้เข้มงวดกล่าว แต่ถ้าคุณเขียนไฟล์ที่เข้ารหัสลงในแฟลชไดรฟ์ ไฟล์นั้นอาจจะยังถูกเข้ารหัสอยู่ แล้วโอนไปคอมเครื่องอื่นภายใต้ระบบปฏิบัติการอื่น แล้วจู่ๆ ก็เปิดขึ้นมา? ไม่ มันจะไม่เปิด หรือค่อนข้างจะเปิดขึ้น แต่เนื้อหาจะไม่สามารถอ่านได้ทั้งหมด มันถูกเข้ารหัส

ความพยายามที่จะเปิดไฟล์ข้อความที่เข้ารหัสซึ่งบันทึกไว้ในแฟลชไดรฟ์

โดยทั่วไป คุณสามารถใช้ EFS ได้ และในบางกรณีก็จำเป็นด้วยซ้ำ ดังนั้น หากคุณใช้ Windows 10 ตั้งแต่รุ่น Pro และสูงกว่า ให้ประเมินความเสี่ยงที่คนแปลกหน้าจะเข้าถึงพีซีหรือแล็ปท็อปของคุณ และพวกเขาจะสามารถรับไฟล์ที่เป็นความลับของคุณหรือไม่ บางทีบางสิ่งบางอย่างควรได้รับการเข้ารหัสในวันนี้?

เริ่มต้นด้วย Windows XP ในทุกระบบปฏิบัติการ ระบบไมโครซอฟต์มีเทคโนโลยีการเข้ารหัสข้อมูลในตัว EFS (ระบบไฟล์เข้ารหัส)- การเข้ารหัส EFS ขึ้นอยู่กับความสามารถของระบบไฟล์ NTFS 5.0 และสถาปัตยกรรม CryptoAPI และได้รับการออกแบบมาเพื่อเข้ารหัสไฟล์บนฮาร์ดไดรฟ์ของคอมพิวเตอร์อย่างรวดเร็ว

มาอธิบายรูปแบบการเข้ารหัส EFS โดยย่อ EFS ใช้การเข้ารหัสคีย์สาธารณะและคีย์ส่วนตัว การเข้ารหัส EFS ใช้คีย์ส่วนตัวและคีย์สาธารณะของผู้ใช้ ซึ่งสร้างขึ้นในครั้งแรกที่ผู้ใช้ใช้ฟังก์ชันการเข้ารหัส คีย์เหล่านี้ยังคงไม่เปลี่ยนแปลงตราบใดที่บัญชีของเขายังมีอยู่ เมื่อเข้ารหัสไฟล์ EFS จะสุ่มสร้างหมายเลขเฉพาะที่เรียกว่า File Encryption Key (FEK) ซึ่งมีความยาว 128 บิต ซึ่งไฟล์จะถูกเข้ารหัส คีย์ FEK ถูกเข้ารหัสด้วยคีย์หลัก ซึ่งถูกเข้ารหัสด้วยคีย์ของผู้ใช้ระบบที่สามารถเข้าถึงไฟล์ได้ รหัสส่วนตัวของผู้ใช้ได้รับการป้องกันโดยแฮชของรหัสผ่านของผู้ใช้

ดังนั้น เราสามารถสรุปได้ว่า: สายการเข้ารหัส EFS ทั้งหมดเชื่อมโยงกับข้อมูลเข้าสู่ระบบและรหัสผ่านของผู้ใช้อย่างเคร่งครัด ซึ่งหมายความว่าความปลอดภัยของข้อมูลยังขึ้นอยู่กับความรัดกุมของรหัสผ่านของผู้ใช้ด้วย

สำคัญ- ข้อมูลที่เข้ารหัสด้วย EFS สามารถถอดรหัสได้โดยใช้บัญชีเดียวกันเท่านั้น รายการ Windowsด้วยรหัสผ่านเดียวกับที่ใช้ในการเข้ารหัส ผู้ใช้รายอื่น รวมถึงผู้ดูแลระบบ จะไม่สามารถถอดรหัสและเปิดไฟล์เหล่านี้ได้ ซึ่งหมายความว่าข้อมูลส่วนตัวจะยังคงปลอดภัยไม่ว่าจะด้วยวิธีใดก็ตาม แต่สิ่งสำคัญคือต้องเข้าใจอีกด้านหนึ่งของปัญหา หากบัญชีหรือรหัสผ่านมีการเปลี่ยนแปลง (เว้นแต่ผู้ใช้จะเปลี่ยนโดยตรงจากเซสชันของเขา) ระบบล่มหรือมีการติดตั้งระบบปฏิบัติการใหม่ ข้อมูลที่เข้ารหัสจะไม่สามารถเข้าถึงได้ ด้วยเหตุนี้จึงเป็นสิ่งสำคัญอย่างยิ่งในการส่งออกและจัดเก็บใบรับรองการเข้ารหัสไว้ในที่ปลอดภัย (ขั้นตอนจะอธิบายไว้ด้านล่าง)

บันทึก- เริ่มตั้งแต่ วินโดวส์วิสต้าระบบ MS OS รองรับเทคโนโลยีการเข้ารหัสอื่น – BitLocker BitLocker ซึ่งตรงข้ามกับการเข้ารหัส EFS:

• ใช้เพื่อเข้ารหัสโวลุ่มดิสก์ทั้งหมด
• ต้องใช้ฮาร์ดแวร์ โมดูลทีพีเอ็ม(ถ้าจำเป็น อุปกรณ์ภายนอกที่เก็บข้อมูลสำคัญ เช่น แฟลชไดรฟ์ USB หรือฮาร์ดไดรฟ์)

ภายนอกสำหรับผู้ใช้ การทำงานกับไฟล์ส่วนตัวที่เข้ารหัสโดยใช้ EFS นั้นไม่แตกต่างจากการทำงานกับไฟล์ปกติ - ระบบปฏิบัติการจะทำการเข้ารหัส/ถอดรหัสโดยอัตโนมัติ (ฟังก์ชันเหล่านี้ดำเนินการโดยไดรเวอร์ระบบไฟล์)

วิธีเปิดใช้งานการเข้ารหัสไดเรกทอรี EFS บน Windows

มาดูขั้นตอนการเข้ารหัสข้อมูลใน Windows 8 โดยใช้ EFS ทีละขั้นตอน

บันทึก- คุณไม่ควรเปิดใช้งานการเข้ารหัสสำหรับไดเร็กทอรีและโฟลเดอร์ระบบไม่ว่าในกรณีใด มิฉะนั้น Windows อาจไม่สามารถบู๊ตได้เนื่องจาก... ระบบจะไม่สามารถค้นหาคีย์ส่วนตัวของผู้ใช้และถอดรหัสไฟล์ได้

ใน File Explorer เลือกไดเร็กทอรีหรือไฟล์ที่คุณต้องการเข้ารหัส จากนั้นคลิกขวาไปที่คุณสมบัติ ( คุณสมบัติ).

บนแท็บ ทั่วไปในส่วนแอตทริบิวต์ ให้ค้นหาและคลิกปุ่ม ขั้นสูง.

ในหน้าต่างที่ปรากฏขึ้น ให้เลือกช่องทำเครื่องหมาย เข้ารหัสเนื้อหาเพื่อความปลอดภัยของข้อมูล(เข้ารหัสเนื้อหาเพื่อปกป้องข้อมูล)

คลิกตกลงสองครั้ง

หากคุณกำลังเข้ารหัสไดเร็กทอรี ระบบจะถามว่าคุณต้องการเข้ารหัสเฉพาะไดเร็กทอรีหรือไดเร็กทอรีและองค์ประกอบย่อยทั้งหมดหรือไม่ เลือกการกระทำที่ต้องการหลังจากนั้นหน้าต่างคุณสมบัติไดเร็กทอรีจะปิดลง

ไดเร็กทอรีและไฟล์ที่เข้ารหัสใน Windows Explorer จะแสดงเป็นสีเขียว (โปรดจำไว้ว่าออบเจ็กต์จะถูกเน้นด้วยสีน้ำเงิน) หากคุณเลือกที่จะเข้ารหัสโฟลเดอร์ที่มีเนื้อหาทั้งหมด รายการใหม่ใดๆ ภายในโฟลเดอร์ที่เข้ารหัสก็จะถูกเข้ารหัสเช่นกัน

คุณสามารถจัดการการเข้ารหัส/ถอดรหัส EFS ได้จาก บรรทัดคำสั่งโดยใช้ยูทิลิตี้การเข้ารหัส ตัวอย่างเช่น คุณสามารถเข้ารหัสไดเร็กทอรี C:\Secret ได้ดังนี้:

รหัส /ec:\Secret

รายการไฟล์ทั้งหมดในระบบไฟล์ที่เข้ารหัสโดยใช้ใบรับรองของผู้ใช้ปัจจุบันสามารถแสดงได้โดยใช้คำสั่ง:

รหัส /u/n

การเข้ารหัส EFS สำรองที่สำคัญ

หลังจากที่ผู้ใช้เข้ารหัสข้อมูลโดยใช้ EFS เป็นครั้งแรก หน้าต่างป๊อปอัปจะปรากฏขึ้นในถาดระบบเพื่อแจ้งให้บันทึกคีย์เข้ารหัส

สำรองคีย์การเข้ารหัสไฟล์ของคุณ- สิ่งนี้ช่วยให้คุณหลีกเลี่ยงการสูญเสียการเข้าถึงไฟล์ที่เข้ารหัสของคุณอย่างถาวร

การคลิกที่ข้อความจะเป็นการเปิดตัวช่วยสร้าง การสำรองข้อมูลใบรับรองและสิ่งที่เกี่ยวข้อง คีย์ส่วนตัวการเข้ารหัส EFS

บันทึก- หากคุณปิดหน้าต่างโดยไม่ตั้งใจหรือไม่ปรากฏขึ้น คุณสามารถส่งออกใบรับรอง EFS ได้โดยใช้คำสั่ง " จัดการใบรับรองการเข้ารหัสไฟล์» ในแผงควบคุมผู้ใช้

เลือก สำรองใบรับรองการเข้ารหัสไฟล์และคีย์ของคุณ

จากนั้นป้อนรหัสผ่านเพื่อป้องกันใบรับรอง (ควรค่อนข้างซับซ้อน)

สิ่งที่เหลืออยู่คือการระบุตำแหน่งที่คุณต้องการบันทึกใบรับรองที่ส่งออก (เพื่อความปลอดภัยจะต้องคัดลอกไปที่ ภายนอกยากดิสก์/ แฟลชไดรฟ์ USBและเก็บไว้ในที่ปลอดภัย)

ฉันยอมรับตามตรงว่ามีข่าวลือมากมายเกี่ยวกับเลนส์ Canon บนอินเทอร์เน็ต จนกระทั่งเมื่อไม่นานมานี้ฉันเองก็เข้าใจผิดเกี่ยวกับความแตกต่างระหว่างเลนส์ EF และ EF-S ในบทความนี้ฉันพยายามรวบรวมข้อมูลบางอย่างเกี่ยวกับพวกเขาซึ่งจะช่วยในการตัดสินใจเลือกการแก้ไขอย่างใดอย่างหนึ่งยุติข้อพิพาทและขจัดความเชื่อผิด ๆ บางอย่าง

ก่อนอื่นเรามาถอดรหัสตัวย่อ EF กันก่อน - มาจากวลี Electro-Focus (“ Electrofocus”) เมาท์ EF มาพร้อมระบบโฟกัสอัตโนมัติที่ติดตั้งอยู่ในออปติก เช่น ไม่มีส่วนที่เคลื่อนไหวระหว่างเลนส์และกล้อง มีเพียงส่วนสัมผัสเท่านั้น และมอเตอร์ไฟฟ้าในเลนส์มีหน้าที่ในการโฟกัสและรูรับแสง อย่างไรก็ตาม เลนส์ซีรีส์ EF ตัวแรกปรากฏขึ้นในปี 1987

EF-S เป็นการดัดแปลงเมาท์สำหรับกล้องที่มีเมทริกซ์รูปแบบ APS-C ซึ่งพัฒนาขึ้นในปี 2546 "S" ย่อมาจาก Short Back Focus ชิ้นเลนส์สุดท้ายในเลนส์ประเภทนี้จะอยู่ใกล้กับเมทริกซ์มากกว่าเลนส์ EF เพื่อการเปรียบเทียบ ฉันจะให้ภาพของเลนส์สองตัวที่มีการปรับเปลี่ยนเมาท์ที่แตกต่างกัน

เลนส์ซ้าย EF, ขวา EF-S

อย่างที่คุณเห็น เลนส์ตัวสุดท้ายจะอยู่หลังเกลียวเมาท์ที่เลนส์ด้านขวา เช่น เมื่อติดตั้งเข้ากับตัวกล้องจะอยู่ใกล้กับเมทริกซ์มากขึ้นอย่างเห็นได้ชัด อันที่จริงนี่เป็นเพียงข้อแตกต่างที่สำคัญมากเท่านั้น ความจริงก็คือเลนส์ EF-S ไม่สามารถใช้กับกล้องฟูลเฟรมได้ แม้ว่าเมาท์จะเข้ากันได้กับเมาท์ แต่เลนส์ที่ยื่นออกมาก็อาจทำให้กระจกกล้องเสียหายได้ นอกจากนี้ เลนส์ EF ยังเข้ากันได้และสามารถใช้ได้กับกล้อง Canon EOS (DSLR) ทุกรุ่น

สำหรับกล้องรูปแบบ APS-C จะต้องปรับทางยาวโฟกัสของเลนส์ ในการคำนวณทางยาวโฟกัสเทียบเท่ากับที่ได้รับจากเซนเซอร์ฟูลฟอร์แมต คุณต้องคูณค่าที่ระบุบนเลนส์ด้วย 1.6 มีความเห็นอย่างกว้างขวางบนอินเทอร์เน็ตว่าไม่จำเป็นสำหรับซีรี่ส์ EF-S และค่าที่แท้จริงจะถูกระบุบนเลนส์โดยคำนึงถึงการคำนวณใหม่แล้ว นี่เป็นสิ่งที่ผิด ตามตัวอย่าง ฉันจะให้คำอธิบายของเลนส์ Canon EF-S 18-55 มม. f/3.5-5.6 IS II ใหม่จากเว็บไซต์อย่างเป็นทางการของบริษัท:

EF-S 18-55mm f/3.5-5.6 IS II เป็นเลนส์ซูมมาตรฐานคุณภาพสูงที่จะดึงดูดช่างภาพที่ชื่นชอบการเดินทางแบบเบาๆ ด้วยทางยาวโฟกัสเทียบเท่า 29-88 มม. ในรูปแบบ 35 มม....

อย่างที่คุณเห็น สำหรับเลนส์เหล่านี้ จะใช้การแปลงทางยาวโฟกัสมาตรฐาน และ 18-55 จะกลายเป็น 29-88 มม. มีคำถามเชิงตรรกะอย่างสมบูรณ์: ทำไมต้องกังวลกับสวนทั้งหมดนี้? ความจริงก็คือการออกแบบนี้ทำให้สามารถสร้างเลนส์ที่เบากว่าได้ ขนาดที่เล็กกว่า- นี่เป็นไปตามข้อมูลของ Canon แต่ในความเป็นจริง เป็นไปได้ค่อนข้างมากที่จะทำเช่นนี้เพื่อไม่ให้ใช้เลนส์ราคาถูกกับอุปกรณ์ฟูลเฟรมราคาแพง

สิ่งที่น่าสนใจอีกอย่างหนึ่ง: ทั้ง EF และ EF-S ไม่ได้รับใบอนุญาตจากผู้ผลิตเลนส์บุคคลที่สาม เช่น Sigma หรือ Tamron แม้ว่าผู้ผลิตเหล่านี้จะอ้างว่าสามารถใช้งานร่วมกันได้ 100% แต่ Canon ก็ไม่ได้ให้การรับประกันดังกล่าว ดังนั้นในการซื้อเลนส์ที่ไม่มียี่ห้อ จะต้องได้รับการทดสอบอย่างระมัดระวังเป็นพิเศษ

เรามาสรุปเกี่ยวกับเลนส์ Canon กันดีกว่า:

• ทางยาวโฟกัสของกล้อง APS-C ได้รับการคำนวณใหม่สำหรับเลนส์ทุกประเภท
• เลนส์มุมกว้างพิเศษในกล้องครอปใช้ได้เฉพาะกับเลนส์ EF-S 10-22 มม. เท่านั้น
• น่าเสียดายที่ฟิชอายในกล้องที่ครอบตัดไม่สามารถใช้งานได้เลย
• เลนส์ EF เหมาะสำหรับกล้อง Canon ทุกรุ่น
• เมื่ออัพเกรดจากกล้อง APS-C เป็นฟูลเฟรม คุณจะไม่สามารถใช้เลนส์ EF-S ได้

หากคุณวางแผนที่จะอัพเกรดเป็นกล้องฟูลเฟรมในอนาคต ให้พิจารณาซื้อเลนส์ล่วงหน้า

ในรายชื่ออีเมลด้านความปลอดภัยทางอินเทอร์เน็ตต่างๆ ผู้ดูแลระบบมักจะถามคำถามเกี่ยวกับผลิตภัณฑ์เข้ารหัสไฟล์ที่ปลอดภัยและใช้งานง่ายสำหรับ Windows บ่อยครั้งที่ผู้จัดการสนใจวิธีการป้องกัน ผู้ดูแลระบบตรวจสอบไฟล์ที่เป็นความลับของบริษัท เมื่อฉันแนะนำให้ใช้ Encrypting File System (EFS) ของ Windows คนส่วนใหญ่บอกว่าพวกเขาต้องการบางสิ่งที่แข็งแกร่งและปลอดภัยยิ่งขึ้น

แต่ตรงกันข้ามกับความเชื่อที่แพร่หลาย EFS เป็นโซลูชันการเข้ารหัสที่เชื่อถือได้ ใช้งานง่าย และปลอดภัยอย่างแท้จริง ซึ่งอาจทำให้ผู้ดูแลระบบเครือข่ายที่อยากรู้อยากเห็นที่สุดต้องอับอาย EFS เป็นวิธีที่ดีเยี่ยมในการปกป้องไฟล์สำคัญบนเครือข่ายและแล็ปท็อป ซึ่งมักตกเป็นเป้าของการโจรกรรม น่าเสียดายที่ชื่อเสียงของ EFS ได้รับผลกระทบอย่างไม่สมควร เนื่องจากผู้ใช้ปฏิเสธที่จะประเมินผลิตภัณฑ์รักษาความปลอดภัยใดๆ จาก Microsoft อย่างเป็นกลาง ในความเป็นจริง EFS เป็นหนึ่งใน ผลิตภัณฑ์ที่ดีที่สุดซอฟต์แวร์ความปลอดภัยที่ Microsoft เปิดตัว แต่ต้องมีความรู้ที่เหมาะสมจึงจะใช้งานได้ บทความนี้ครอบคลุมพื้นฐานของ EFS วัตถุประสงค์และฟังก์ชันการทำงาน การดำเนินการดูแลระบบขั้นพื้นฐาน และข้อผิดพลาดที่อาจเกิดขึ้น

หลักการของ EFS

Microsoft เปิดตัว EFS พร้อม Windows 2000 และมีการปรับปรุงเวอร์ชันของผลิตภัณฑ์อย่างต่อเนื่องสำหรับ Windows XP และ Windows Server 2003 ผู้ใช้ EFS สามารถเข้ารหัสไฟล์หรือโฟลเดอร์ใด ๆ ที่พวกเขามีสิทธิ์ในการอ่านและเขียน หลังจากการเข้ารหัส ทรัพยากรจะถูกถอดรหัส “ทันที” ทุกครั้งที่เจ้าของโดยชอบธรรมเข้าถึงทรัพยากรนั้น ผู้ใช้ที่พยายามเข้าถึงไฟล์หรือโฟลเดอร์ที่ได้รับการป้องกันโดยไม่มีสิทธิ์ EFS ที่เหมาะสม จะเห็นชื่อไฟล์หรือโฟลเดอร์ แต่จะไม่สามารถเปิด แก้ไข คัดลอก พิมพ์ ส่งอีเมล หรือย้ายไฟล์หรือโฟลเดอร์ได้ ที่น่าสนใจก็คือ ผู้ใช้ที่มีสิทธิ์ NTFS ในการลบไฟล์ที่มีการป้องกันโดย EFS จะสามารถลบมันได้ แม้ว่าพวกเขาจะไม่มีสิทธิ์ในการอ่านก็ตาม เช่นเดียวกับผลิตภัณฑ์เข้ารหัสส่วนใหญ่ EFS ได้รับการออกแบบมาเพื่อปกป้องความเป็นส่วนตัวแต่ไม่ได้ป้องกันข้อมูลสูญหาย งาน EFS จะถือว่าสำเร็จหากผู้ใช้ที่ไม่ได้รับอนุญาตไม่สามารถมองเห็นข้อมูลในรูปแบบใดๆ ได้ ผู้ใช้บางคนอ้างว่าแม้ความสามารถในการดูชื่อไฟล์หรือโฟลเดอร์ที่ได้รับการป้องกันก็เป็นข้อบกพร่องที่ไม่อาจให้อภัยได้ใน Windows

อีกทั้งไม่จำเป็นต้องเป็นเจ้าของหรือมี ความละเอียดเต็มควบคุมไฟล์หรือโฟลเดอร์เพื่อเข้ารหัส ในการดำเนินการนี้ สิทธิ์ในการอ่านและเขียนก็เพียงพอแล้ว ซึ่งเป็นสิทธิ์เดียวกับที่จำเป็นในการเข้าถึงทรัพยากร เฉพาะผู้ใช้ที่เข้ารหัส (และบุคคลอื่นที่ผู้ใช้รายแรกตกลงที่จะแชร์ทรัพยากรด้วย) เท่านั้นที่สามารถเข้าถึงไฟล์หรือโฟลเดอร์ได้ ข้อยกเว้นทั่วไปเพียงอย่างเดียวคือตัวแทนการกู้คืนข้อมูล (DRA) ตามค่าเริ่มต้น (ในกรณีส่วนใหญ่) Windows จะกำหนดผู้ดูแลระบบเป็นตัวแทน DRA เพื่อให้ผู้ดูแลระบบสามารถเข้าถึงไฟล์หรือโฟลเดอร์ใดๆ ที่เข้ารหัสโดย EFS ในสภาพแวดล้อมของโดเมน DRA คือผู้ดูแลระบบโดเมน ในสภาพแวดล้อมที่ไม่ใช่โดเมน DRA คือผู้ดูแลระบบภายใน

คุณลักษณะการเข้ารหัสไฟล์และโฟลเดอร์จะเปิดใช้งานตามค่าเริ่มต้น แต่ผู้ใช้จะต้องเลือกแต่ละไฟล์หรือโฟลเดอร์ทีละรายการ (หรือโดยอ้อมผ่านกฎการสืบทอดปกติ) EFS กำหนดให้ไฟล์หรือโฟลเดอร์อยู่ในพาร์ติชัน ดิสก์ NTFS- จากนั้น เพื่อปกป้องไฟล์หรือโฟลเดอร์ เพียงคลิกขวาที่ทรัพยากรใน วินโดวส์เอ็กซ์พลอเรอร์เลือก Properties จากนั้นคลิกที่ปุ่ม Advanced ในแท็บ General (หมายเหตุ: อย่าคลิกปุ่มขั้นสูงในแท็บความปลอดภัย) สุดท้ายนี้ คุณต้องทำเครื่องหมายในช่องเข้ารหัสเนื้อหาเพื่อความปลอดภัยของข้อมูล

หากคุณเลือกไฟล์ตั้งแต่หนึ่งไฟล์ขึ้นไป (ตรงข้ามกับโฟลเดอร์) EFS จะถามว่าจะเข้ารหัสเฉพาะไฟล์หรือโฟลเดอร์หลักและไฟล์ปัจจุบันหรือไม่ หากเลือกอย่างหลัง EFS จะทำเครื่องหมายโฟลเดอร์ว่าเข้ารหัส ไฟล์ทั้งหมดที่เพิ่มลงในโฟลเดอร์จะถูกเข้ารหัสตามค่าเริ่มต้น แม้ว่าไฟล์ใดๆ ที่อยู่ในโฟลเดอร์แต่ไม่ได้เลือกระหว่างการดำเนินการเข้ารหัส EFS จะยังคงไม่ถูกเข้ารหัสก็ตาม ในหลายกรณี ควรเข้ารหัสทั้งโฟลเดอร์แทนที่จะเข้ารหัสแต่ละไฟล์ โดยเฉพาะอย่างยิ่งเมื่อมีโปรแกรมจำนวนหนึ่ง (เช่น ไมโครซอฟต์ เวิร์ด) สร้างไฟล์ชั่วคราวในโฟลเดอร์เดียวกับ เปิดไฟล์- หลังจากที่โปรแกรมถูกยกเลิก (เช่น ในกรณีที่รีบูตฉุกเฉิน) ไฟล์ชั่วคราวมักจะไม่ถูกลบและถูกนำเสนอในรูปแบบใหม่ทั้งหมด รูปแบบข้อความบุคคลภายนอกสามารถเข้าถึงได้เพื่อการฟื้นฟู

ตามค่าเริ่มต้น ในเวอร์ชัน XP Professional และใหม่กว่า EFS จะไฮไลต์ไฟล์ที่เข้ารหัสเป็นสีเขียว แต่การไฮไลต์สามารถยกเลิกการเลือกได้โดยเลือกตัวเลือกโฟลเดอร์จากเมนูเครื่องมือใน Windows Explorer จากนั้นล้างกล่องกาเครื่องหมายแสดงไฟล์ NTFS ที่เข้ารหัสหรือบีบอัดเป็นสี แท็บมุมมอง ในมุมมองรายละเอียดของ Windows Explorer ไฟล์บีบอัดจะมีแอตทริบิวต์ E ในคอลัมน์แอตทริบิวต์พร้อมกับแอตทริบิวต์ Archive (A) ตามปกติ ดังนั้น ชุดของคุณลักษณะจะมีลักษณะเหมือน AE ควรสังเกตว่ากลไกในตัวของ Windows ไม่สามารถใช้เข้ารหัสและบีบอัดไฟล์พร้อมกันได้ แม้ว่าคุณจะสามารถบีบอัดไฟล์โดยใช้ยูทิลิตี้ของบริษัทอื่น เช่น WinZip หรือ PKZIP แล้วจึงเข้ารหัสไฟล์ที่บีบอัดได้

รหัสที่แข็งแกร่ง

EFS มีการเข้ารหัสที่รัดกุม - แข็งแกร่งมากจนหากคุณทำคีย์ส่วนตัว EFS หาย (ใช้ในการกู้คืนไฟล์ที่ได้รับการป้องกันโดยการเข้ารหัส EFS) ก็มีแนวโน้มว่าข้อมูลจะไม่สามารถอ่านได้อีกต่อไป หากตั้งค่า EFS อย่างถูกต้อง แม้แต่ผู้ดูแลระบบก็ไม่สามารถเข้าถึงไฟล์หรือโฟลเดอร์ที่เข้ารหัสได้ เว้นแต่ถูกกำหนดให้เป็นตัวแทน DRA

ปัจจุบันมีผลิตภัณฑ์อย่างน้อยหนึ่งรายการที่มีจำหน่ายในท้องตลาด นั่นคือ Advanced EFS Data Recovery (AEFSDR) จาก ElcomSoft ซึ่งอ้างว่าสามารถกู้คืนไฟล์ที่มีการป้องกันโดย EFS ได้ สิ่งที่โปรแกรมทำคือกู้คืนรหัสผ่านของผู้ดูแลระบบภายใน (กระบวนการง่ายๆ หากการกำหนดค่า Windows ได้รับการกำหนดค่าไม่ดี) ซึ่งสามารถใช้เพื่อดึงข้อมูลคีย์ส่วนตัว EFS ของผู้ดูแลระบบได้ ผู้ใช้ที่มีเครื่องมือในการแก้รหัสผ่านผู้ดูแลระบบสามารถดำเนินการใด ๆ ในระบบได้ การเข้าถึงไฟล์ที่ได้รับการป้องกันโดย EFS ของผู้ใช้ดังกล่าวจะถือเป็นปัญหาที่คุกคามองค์กรน้อยที่สุด ความเสี่ยงของการกู้คืนคีย์ส่วนตัว EFS ที่ไม่ได้รับอนุญาตจะลดลงโดยการกำหนดบทบาท DRA ในโดเมนให้กับบัญชีผู้ดูแลระบบโดเมน แทนที่จะเป็นบัญชีผู้ดูแลระบบในเครื่อง ซึ่งสามารถเดารหัสผ่านได้โดยใช้เครื่องมือถอดรหัสเกือบทุกชนิด XP มีนโยบายใหม่ที่ทำให้การโจมตีประเภทนี้ยากขึ้น หากเครื่องมือการกู้คืนไม่สามารถเรียกรหัสผ่านผู้ดูแลระบบปัจจุบันและถูกต้องได้ (เครื่องมือจำนวนมากรีเซ็ตรหัสผ่านแทนที่จะกู้คืน) การป้องกัน EFS จะยังคงมีผลอยู่

EFS ทำงานอย่างไร?

EFS ใช้การผสมผสานระหว่างการเข้ารหัสแบบสมมาตรและไม่สมมาตร ด้วยวิธีสมมาตร ไฟล์จะถูกเข้ารหัสและกู้คืนโดยใช้คีย์เดียว วิธีที่ไม่สมมาตรใช้คีย์สาธารณะสำหรับการเข้ารหัสและคีย์ที่สอง แต่เกี่ยวข้องกับคีย์ส่วนตัวสำหรับการกู้คืนข้อมูล หากผู้ใช้ที่ได้รับสิทธิ์ในการกู้คืนข้อมูลไม่เปิดเผยคีย์ส่วนตัวให้กับใครก็ตาม ทรัพยากรที่ได้รับการป้องกันจะไม่ตกอยู่ในความเสี่ยง

EFS ถูกเปิดใช้งานตามค่าเริ่มต้นสำหรับทุกคน ระบบวินโดวส์ 2000 และหลังจากนั้น เมื่อมีคนใช้ EFS เป็นครั้งแรกเพื่อปกป้องไฟล์หรือโฟลเดอร์ Windows จะตรวจสอบว่าเซิร์ฟเวอร์ PKI (โครงสร้างพื้นฐานคีย์สาธารณะ) พร้อมใช้งานที่สามารถสร้างใบรับรองดิจิทัล EFS ได้ บริการใบรับรองใน Windows 2003 และ Windows 2000 สามารถสร้างใบรับรอง EFS ได้ เช่นเดียวกับผลิตภัณฑ์ PKI ของบริษัทอื่นบางรายการ หาก Windows ตรวจไม่พบผู้ให้บริการ PKI ที่ยอมรับได้ ระบบปฏิบัติการจะสร้างและลงนามใบรับรอง EFS ด้วยตนเองสำหรับผู้ใช้ (รูปที่ 1) ใบรับรอง EFS ที่ลงนามด้วยตนเองมีอายุการเก็บรักษา 100 ปี ซึ่งนานกว่าอายุการใช้งานของผู้ใช้ใดๆ มาก

หาก Windows ตรวจพบเซิร์ฟเวอร์ Certificate Services ระบบจะสร้างและส่งใบรับรองสองปีให้กับผู้ใช้โดยอัตโนมัติ อาจเป็นเพราะหากองค์กรมีบริการ PKI ภายใน เซิร์ฟเวอร์ PKI จะสามารถออกและต่ออายุใบรับรอง EFS ได้อย่างง่ายดายหลังจากที่ใบรับรองเดิมหมดอายุ ไม่ว่าในกรณีใด สามารถดูใบรับรอง EFS ได้โดยการเพิ่ม คอนโซลของไมโครซอฟต์คอนโซลการจัดการ (MMC) ที่มีสแนปอินใบรับรองและมองเข้าไปในคอนเทนเนอร์ส่วนบุคคล

คีย์ส่วนตัวของผู้ใช้ EFS (ซึ่งเปิดไฟล์ที่มีการป้องกัน EFS) จะถูกเข้ารหัสด้วยคีย์หลักของผู้ใช้ และจัดเก็บไว้ในโปรไฟล์ของผู้ใช้ภายใต้เอกสารและการตั้งค่า ข้อมูลแอปพลิเคชัน Microsoft, Crypto, RSA หากคุณใช้โปรไฟล์ข้ามเขต คีย์ส่วนตัวจะอยู่ในโฟลเดอร์ RSA บนตัวควบคุมโดเมน (DC) และจะถูกดาวน์โหลดลงในคอมพิวเตอร์ของผู้ใช้ในระหว่างขั้นตอนการลงทะเบียน คีย์หลักถูกสร้างขึ้นโดยใช้รหัสผ่านผู้ใช้ปัจจุบันและอัลกอริทึม RC4 56-, 128- หรือ 512 บิต สิ่งสำคัญที่คุณต้องรู้เกี่ยวกับ EFS ก็คือคีย์ส่วนตัวของผู้ใช้ EFS นั้นอยู่ในโปรไฟล์ของเขา และได้รับการป้องกันโดยคีย์หลักที่ได้รับมาจาก รหัสผ่านปัจจุบันผู้ใช้ โปรดทราบว่าความรัดกุมของการเข้ารหัส EFS นั้นพิจารณาจากความรัดกุมของรหัสผ่านของผู้ใช้ หากผู้โจมตีคาดเดารหัสผ่านของผู้ใช้ EFS หรือเข้าสู่ระบบในฐานะผู้ใช้ที่ถูกต้อง รอยแตกจะปรากฏขึ้นในการรักษาความปลอดภัยของ EFS

หากรหัสผ่านของผู้ใช้สูญหายหรือถูกรีเซ็ต (แต่ผู้ใช้ไม่ได้เปลี่ยน) การเข้าถึงไฟล์ที่มีการป้องกัน EFS ทั้งหมดอาจสูญหาย ด้วยเหตุนี้ สำเนาของคีย์ส่วนตัวของผู้ใช้ EFS จึงควรเก็บไว้ในที่ปลอดภัยตั้งแต่สองรายการขึ้นไป ที่เก็บข้อมูลระยะไกลหรือมอบหมายตัวแทน DRA หนึ่งรายการขึ้นไป (และส่งออกคีย์ส่วนตัวและสร้าง การสำรองข้อมูลในที่เก็บข้อมูลระยะไกลที่ปลอดภัยและแยกกันตั้งแต่สองแห่งขึ้นไป) การไม่ปฏิบัติตามกฎเหล่านี้อาจส่งผลให้ข้อมูลสูญหาย

เมื่อไฟล์หรือโฟลเดอร์ถูกเข้ารหัสเป็นครั้งแรก Windows จะสร้างคีย์สมมาตรแบบสุ่มโดยใช้ Data Encryption Standard X 128 บิต (DESX - ค่าเริ่มต้นบน XP และ Windows 2000) หรือ Advanced Encryption Standard 256 บิต (AES - บน Windows 2003 XP) โปร Service Pack 1) โดยทั่วไปอัลกอริธึมทั้งสองจะได้รับการยอมรับโดยทั่วไปว่าเป็นมาตรฐานของรัฐบาล แม้ว่าอัลกอริธึมที่สองจะทันสมัยกว่าและแนะนำให้ใช้ก็ตาม คุณยังสามารถเปิดใช้งานมาตรฐานการเข้ารหัสแบบสมมาตรของรัฐบาลแบบเก่าอย่าง Triple DES (3DES) 168 บิตได้ หากนโยบายขององค์กรของคุณกำหนดให้มีการใช้ มากกว่า ข้อมูลรายละเอียดดูบทความ Microsoft “ไฟล์ Encrypting File System (EFS) ปรากฏเสียหายเมื่อคุณเปิดไฟล์” ( http://support.microsoft.com/default.aspx?scid=kb;en-us;329741&sd=tech- คีย์สมมาตรที่สร้างขึ้นแบบสุ่มเรียกว่าคีย์การเข้ารหัสไฟล์ (FEK) คีย์นี้เป็นคีย์เดียวที่ Windows ใช้ในการเข้ารหัสไฟล์และโฟลเดอร์ โดยไม่คำนึงถึงจำนวนคนที่เข้าถึงทรัพยากรที่ได้รับการป้องกันโดย EFS

เมื่อเสร็จแล้ว Windows จะเข้ารหัส FEK โดยใช้คีย์สาธารณะ RSA EFS 1024 บิต และจัดเก็บ FEK ไว้ในแอตทริบิวต์เพิ่มเติมของไฟล์ หากมีการกำหนด DRA ระบบปฏิบัติการจะจัดเก็บสำเนา FEK ที่เข้ารหัสอีกชุดหนึ่งไว้ด้วยคีย์ EFS สาธารณะของ DRA จากนั้น Windows จะบันทึกอินสแตนซ์ที่เข้ารหัสของ FEK ลงในไฟล์ ใน XP และเวอร์ชันใหม่กว่า ผู้ใช้หลายคนสามารถให้ EFS เข้าถึงไฟล์หรือโฟลเดอร์เฉพาะได้ ผู้ใช้ที่ได้รับอนุญาตแต่ละคนจะมี FEK ของตัวเองซึ่งเข้ารหัสด้วยรหัสเฉพาะ กุญแจสาธารณะอีเอฟเอส. ใน Windows 2000 คุณสามารถกำหนด DRA ได้เพียงตัวเดียวเท่านั้น

หากผู้ใช้ที่ได้รับอนุญาตเข้าถึงไฟล์ที่ได้รับการป้องกัน Windows จะกู้คืนอินสแตนซ์ของ FEK ที่เข้ารหัสโดยใช้คีย์ EFS ส่วนตัวที่เกี่ยวข้องกับผู้ใช้ จากนั้นเมื่อใช้ FEK ไฟล์ที่เข้ารหัสจะถูกปลดล็อค ต่างจาก EFS เวอร์ชันแรกใน Windows 2000 ตรงที่ปัจจุบัน EFS จัดการไฟล์และโฟลเดอร์ที่เข้ารหัสทั้งหมดในหน่วยความจำได้อย่างปลอดภัย ดังนั้นจึงไม่มีส่วนของข้อความล้วนเหลืออยู่บนดิสก์ที่สามารถกู้คืนอย่างผิดกฎหมายได้

การแชร์ไฟล์ EFS

ใน Windows 2000 ผู้ใช้เพียงรายเดียวเท่านั้นที่สามารถป้องกันไฟล์ด้วย EFS ได้ในแต่ละครั้ง แต่ใน XP Pro และใหม่กว่า ผู้ใช้หลายคนสามารถแชร์ไฟล์ EFS ที่ได้รับการป้องกันได้ เมื่อทำงานร่วมกัน ผู้ใช้คนแรกที่ปกป้องไฟล์หรือโฟลเดอร์จะควบคุมการเข้าถึงของผู้อื่น หลังจากรักษาความปลอดภัยไฟล์หรือโฟลเดอร์ในขั้นต้นแล้ว ผู้ใช้สามารถระบุผู้ใช้เพิ่มเติมได้โดยคลิกปุ่มรายละเอียด (รูปที่ 2) ไม่จำกัดจำนวนผู้ใช้ที่เพิ่ม ผู้ใช้แต่ละคนมีสำเนา FEK ของตนเอง ซึ่งเข้ารหัสด้วยคีย์ EFS นวัตกรรม XP นี้สะดวกมากสำหรับการแชร์ไฟล์ที่มีการป้องกัน EFS ระหว่างกลุ่มผู้ใช้ เสียดายจัด ทำงานร่วมกันสิ่งนี้สามารถทำได้ในระดับของแต่ละไฟล์เท่านั้น ไม่ใช่โฟลเดอร์ ผู้ใช้ต้องเข้ารหัสไฟล์หรือโฟลเดอร์เดียวหรือได้รับใบรับรอง EFS ก่อนจึงจะสามารถกำหนดให้กับผู้ใช้เพิ่มเติมได้

ตัวแทนดีอาร์เอ

การลบโปรไฟล์ผู้ใช้ทำได้ง่ายมาก และผู้ดูแลระบบมักจะรีเซ็ตรหัสผ่านผู้ใช้ ดังนั้นผู้ดูแลระบบเครือข่ายควรสำรองคีย์ EFS หรือกำหนด DRA อย่างน้อยหนึ่งรายการ คุณสามารถรับสำเนาสำรองของคีย์ส่วนตัว EFS ของผู้ใช้ได้โดยเข้าไปที่ใบรับรองดิจิทัล EFS ในคอนโซลใบรับรอง และเลือกช่องทำเครื่องหมายคัดลอกไปยังไฟล์บนแท็บรายละเอียด ใน XP Pro และเวอร์ชันใหม่กว่า คุณยังสามารถใช้ปุ่มคีย์สำรอง ซึ่งอยู่ใต้ปุ่มรายละเอียดใน การแบ่งปันไฟล์ EFS ผู้ชื่นชอบบรรทัดคำสั่งสามารถใช้คำสั่งได้

Cipher.exe /x

เพื่อรับสำเนาสำรองของคีย์ EFS ใน Windows 2003 รวมถึงใน XP Pro SP1 และเวอร์ชันที่ใหม่กว่า เมื่อตอบสนองต่อข้อความแจ้งที่ตามมา คุณสามารถทำสำเนาและ/หรือส่งออกคีย์ส่วนตัวที่เกี่ยวข้องได้ คุณไม่ควรลบคีย์ส่วนตัวของผู้ใช้ EFS ดังที่ Windows แนะนำให้คุณทำระหว่างการส่งออก เนื่องจากจะป้องกันไม่ให้ผู้ใช้ถอดรหัสไฟล์ที่ได้รับการป้องกัน หลังจากที่คุณส่งออกคีย์ส่วนตัวแล้ว คุณควรจัดเก็บคีย์ไว้ในที่เก็บข้อมูลออฟไลน์ที่แยกจากกันสองแห่ง การสำรองข้อมูลคีย์ส่วนตัว EFS ของผู้ใช้แต่ละรายต้องใช้แรงงานมาก เริ่มตั้งแต่ Windows 2000 Microsoft อนุญาตให้คุณเลือกตัวแทน DRA ทุกครั้งที่มีคนเข้ารหัสไฟล์หรือโฟลเดอร์ DRA จะได้รับอินสแตนซ์ของ FEK โดยอัตโนมัติ ใน Windows 2000 (mode คณะทำงานบน Windows 2003 (โหมดเวิร์กกรุ๊ปหรือโดเมน), XP (โหมดโดเมนเท่านั้น) และ Windows 2003 (โหมดเวิร์กกรุ๊ปหรือโดเมน) DRA ถูกกำหนดให้กับผู้ดูแลระบบตามค่าเริ่มต้น แม้ว่าผู้ดูแลระบบจะสามารถเปลี่ยนบัญชีผู้ใช้ที่กำหนดให้กับบทบาท DRA . ขออภัย ในโหมดเวิร์กกรุ๊ป XP ไม่มีการกำหนดเอเจนต์ DRA การตัดสินใจครั้งนี้เกิดขึ้นเพื่อตอบสนองต่อการวิพากษ์วิจารณ์ว่าไฟล์ที่ได้รับการป้องกันโดย EFS มีความเสี่ยงหากรหัสผ่านของผู้ดูแลระบบถูกบุกรุก น่าเสียดายที่ระบบ XP Pro จำนวนมากทำงานในโหมดเวิร์กกรุ๊ป และสิ่งที่ต้องทำก็แค่รีเซ็ตรหัสผ่านหรือโปรไฟล์เสียหายเพื่อให้ผู้ใช้ EFS ทุกคนสูญเสียไฟล์ของตน เมื่อใช้ EFS (โปรดจำไว้ว่าจะเปิดใช้งานตามค่าเริ่มต้นและพร้อมใช้งานสำหรับผู้ใช้) คุณควรตรวจสอบให้แน่ใจว่าผู้ใช้ EFS ได้ทำสำเนาคีย์ส่วนตัวหรือมีการกำหนด DRA อย่างน้อยหนึ่งรายการ

หากคุณวางแผนที่จะกำหนดบทบาท DRA ให้กับบัญชีผู้ใช้อื่นที่ไม่ใช่บัญชีผู้ดูแลระบบเริ่มต้น ผู้สืบทอดจะต้องได้รับการรับรอง EFS Recovery Agent สามารถขอใบรับรอง EFS Recovery Agent ได้จาก Certificate Services หรือติดตั้งจากผลิตภัณฑ์ PKI ของบริษัทอื่น ถ้าจะปรับใช้ บริการวินโดวส์ 2003 Certificate Services จากนั้นคุณสามารถใช้ Key Recovery Agents แทน DRA ได้ ในที่สุด Key Recovery Agents จะกู้คืนคีย์ที่สูญหายแทนการกู้คืนไฟล์โดยตรง

ไม่เหมือนกุญแจส่วนตัว ผู้ใช้ทั่วไป EFS, คีย์ EFS ส่วนตัวของตัวแทน DRA ควรถูกส่งออกและลบออกจากคอมพิวเตอร์ หากคีย์ส่วนตัวของตัวแทน DRA ถูกขโมย ไฟล์ทั้งหมดที่มี FEK ที่ได้รับการป้องกันโดยคีย์สาธารณะ DRA อาจกลายเป็นช่องโหว่ ดังนั้นควรส่งออกและจัดเก็บคีย์อย่างปลอดภัยในสถานที่จัดเก็บข้อมูลระยะไกลสองแห่ง หากคุณต้องการคีย์เพื่อกู้คืนไฟล์ที่เข้ารหัส คุณสามารถนำเข้าและใช้คีย์ส่วนตัวได้อย่างง่ายดาย

แม้ว่าผู้ดูแลระบบเริ่มต้นมักจะถูกกำหนดให้เป็นตัวแทน DRA แต่คุณควรเตรียมผู้ใช้หนึ่งหรือสองคนโดยเฉพาะ บัญชีโอกาสที่จะถูกนำออกไม่ว่าในกรณีใด ๆ ก็มีน้อย คีย์สาธารณะของ DRA ยังคัดลอกและปกป้อง FEK แต่ละรายการ ดังนั้น หากบัญชีผู้ใช้ DRA ถูกลบโดยไม่ตั้งใจหรือรีเซ็ตรหัสผ่าน การกู้คืน FEK ที่ป้องกันโดย DRA เป็นเรื่องยาก หากบัญชีผู้ใช้ที่มีสถานะ DRA มีการเปลี่ยนแปลง อาจเป็นไปได้ว่าไฟล์ที่ได้รับการป้องกันโดย EFS จะมี FEK ที่ได้รับการป้องกันด้วยคีย์ DRA เก่า เมื่อ Windows เข้าถึงไฟล์ FEK ที่มีการป้องกันด้วย DRA จะได้รับการอัปเดต คีย์ล่าสุดดรา; อย่างไรก็ตาม คุณสามารถใช้คำสั่ง Cipher เพื่อบังคับให้อัปเดต FEK ทั้งหมดจำนวนมากโดยใช้คีย์ DRA ปัจจุบัน ไม่ว่าคีย์ส่วนตัว DRA จะถูกส่งออกและลบออกจากระบบหรือไม่ก็ตาม สิ่งสำคัญมากคือต้องรักษาสำเนาของใบรับรองการกู้คืน DRA ไว้ในที่จัดเก็บข้อมูลนอกสถานที่ที่ปลอดภัยตั้งแต่สองแห่งขึ้นไป

หมายเหตุเพิ่มเติม

EFS ไม่ป้องกันไฟล์ที่คัดลอกผ่านเครือข่าย Windows คัดลอกไฟล์ทั้งหมดที่เปิดบนเครือข่ายที่ใช้ร่วมกันในรูปแบบข้อความล้วนๆ หากคุณต้องการเข้ารหัสไฟล์แบบเรียลไทม์ที่จัดเก็บไว้ในดิสก์และคัดลอกผ่านเครือข่าย คุณควรใช้วิธีการรักษาความปลอดภัยอื่น เช่น IP Security (IPsec), Secure Sockets Layer (SSL) หรือ WWW Distributed Authoring and Versioning (WebDAV) นอกจากนี้ ใน XP และเวอร์ชันที่ใหม่กว่า คุณสามารถเปิดใช้งานการป้องกัน EFS สำหรับไฟล์ออฟไลน์ได้

EFS - กลไก การป้องกันในท้องถิ่น- มันถูกออกแบบมาเพื่อเข้ารหัสไฟล์บน ดิสก์ในเครื่อง- เพื่อใช้ EFS เพื่อปกป้องไฟล์ที่จัดเก็บไว้ในดิสก์ คอมพิวเตอร์ระยะไกลจะต้องมีความสัมพันธ์ที่เชื่อถือได้ระหว่างเครื่องเหล่านี้เพื่อมอบอำนาจ ผู้ใช้แล็ปท็อปมักใช้ EFS สำหรับทรัพยากรเซิร์ฟเวอร์ไฟล์ หากต้องการใช้ EFS บนเซิร์ฟเวอร์ คุณต้องเลือกกล่องกาเครื่องหมาย เชื่อถือคอมพิวเตอร์เครื่องนี้สำหรับการมอบหมายบริการใดๆ (Kerberos เท่านั้น) หรือ เชื่อถือคอมพิวเตอร์เครื่องนี้สำหรับการมอบหมายบริการที่ระบุเท่านั้น ในบัญชีคอมพิวเตอร์ของเซิร์ฟเวอร์ (รูปที่ 3)

คุณสามารถป้องกันไม่ให้ผู้ใช้ใช้ EFS ได้โดยการบล็อกโดยใช้นโยบายกลุ่ม เลือกคอนเทนเนอร์การกำหนดค่าคอมพิวเตอร์ คลิกขวาที่การตั้งค่า Windows และเลือกการตั้งค่าความปลอดภัย นโยบายคีย์สาธารณะ การเข้ารหัสระบบไฟล์ จากนั้น คุณสามารถล้างช่องทำเครื่องหมายอนุญาตให้ผู้ใช้เข้ารหัสไฟล์โดยใช้ EFS ได้ คุณสามารถเปิดหรือปิดใช้งาน EFS ในแต่ละหน่วยองค์กร (OU)

ก่อนที่จะใช้ EFS คุณต้องตรวจสอบให้แน่ใจว่าแอปพลิเคชันของคุณเข้ากันได้กับ EFS และ EFS API หากแอปพลิเคชันเข้ากันไม่ได้ ไฟล์ที่ได้รับการป้องกันโดย EFS อาจเสียหายหรือแย่กว่านั้นคือไม่ได้รับการป้องกันโดยไม่ได้รับอนุญาตอย่างเหมาะสม ตัวอย่างเช่น หากคุณบันทึกและแก้ไขไฟล์ที่มีการป้องกัน EFS โดยใช้ edit.com (ปฏิบัติการ 16 บิต) จาก องค์ประกอบของหน้าต่างจากนั้นผู้ใช้เพิ่มเติมทั้งหมดจะสูญเสียการเข้าถึงไฟล์นี้ แอปพลิเคชัน Microsoft ส่วนใหญ่ (รวมถึง ไมโครซอฟต์ ออฟฟิศ, Notepad และ Wordpad) สามารถใช้งานร่วมกับ EFS ได้อย่างสมบูรณ์

หากผู้ใช้ที่ได้รับอนุญาตคัดลอกไฟล์ที่มีการป้องกัน EFS ไปยังพาร์ติชัน FAT การป้องกัน EFS จะถูกลบออก ผู้ใช้ที่ไม่ได้รับอนุญาตไม่ควรได้รับอนุญาตให้ย้ายหรือคัดลอกไฟล์ไปที่ใดๆ พาร์ติชัน Windows- ผู้ใช้ที่ไม่ได้รับอนุญาตสามารถบู๊ตได้นอกเหนือจากระบบ สิทธิ์ของ Windows NTFS โดยใช้ฟล็อปปี้ดิสก์ที่สามารถบูตได้หรือโปรแกรมซีดีรอมที่ให้คุณเมานต์ไดเร็กทอรีแชร์ NTFS (เช่น Knoppix, NTFSDOS, ฟล็อปปี้ดิสก์ที่สามารถบูตได้ Peter Nordahl-Hagen) เป็นผลให้เขาสามารถคัดลอกหรือย้ายไฟล์ได้ แต่หากเขาไม่มีคีย์ EFS ของผู้ใช้ที่ได้รับอนุญาต ไฟล์นั้นจะยังคงถูกเข้ารหัส

แนวทางปฏิบัติที่ดีที่สุด

ต่อไปนี้เป็นแนวปฏิบัติที่ดีที่สุดสำหรับการทำงานกับ EFS

1. กำหนดหมายเลขและระบุบัญชี DRA
2. สร้างใบรับรอง DRA สำหรับบัญชี DRA
3. นำเข้าใบรับรอง DRA เข้าสู่ ไดเรกทอรีที่ใช้งานอยู่(ค.ศ.)
4. ส่งออกและลบคีย์ส่วนตัว DRA โดยจัดเก็บไว้ในห้องนิรภัยออฟไลน์ที่ปลอดภัยแยกกันสองแห่ง
5. แนะนำผู้ใช้ให้รู้จักวิธีการสมัครและคุณสมบัติของ EFS
6. ทดสอบการกู้คืนไฟล์ DRA เป็นระยะ
7. หากจำเป็น ให้รันคำสั่ง Cipher ด้วยพารามิเตอร์ /u เป็นระยะๆ เพื่ออัปเดต FEK สำหรับ DRA ที่เพิ่มหรือลบออก

EFS เป็นวิธีการเข้ารหัสไฟล์และโฟลเดอร์ที่เชื่อถือได้และปลอดภัยบนระบบ Windows 2000 และใหม่กว่า ผู้ดูแลระบบเครือข่ายควรสร้างและบังคับใช้นโยบาย DRA และให้ความรู้แก่ผู้ใช้เกี่ยวกับคุณประโยชน์และข้อจำกัดของ EFS

โรเจอร์ กริมส์ - ตัวแก้ไข Windowsผู้เชี่ยวชาญด้านไอทีและที่ปรึกษาด้านความปลอดภัย เขามีใบรับรอง CPA, CISSP, CEH, CHFI, TICSA, MCT, MCSE: Security and Security+

กำลังเข้ารหัสไฟล์ระบบ

ระบบไฟล์การเข้ารหัสเป็นบริการที่รวมเข้ากับ NTFS อย่างแน่นหนาซึ่งอยู่ในเคอร์เนล Windows 2000 จุดประสงค์คือเพื่อปกป้องข้อมูลที่จัดเก็บไว้ในดิสก์จากการเข้าถึงโดยไม่ได้รับอนุญาตโดยการเข้ารหัส การปรากฏตัวของบริการนี้ไม่ใช่เรื่องบังเอิญและคาดหวังมานานแล้ว ความจริงก็คือว่ามีอยู่ในปัจจุบันนี้ ระบบไฟล์ไม่ได้ให้การปกป้องข้อมูลที่จำเป็นจากการเข้าถึงโดยไม่ได้รับอนุญาต

แม้ว่า NTFS จะให้การควบคุมการเข้าถึงและการป้องกันข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต แต่จะทำอย่างไรในกรณีที่การเข้าถึงพาร์ติชัน NTFS ดำเนินการโดยไม่ได้ใช้ระบบปฏิบัติการ Windows NT แต่โดยตรงบน ระดับทางกายภาพ- ท้ายที่สุดแล้ว การดำเนินการนี้ค่อนข้างง่าย เช่น โดยการบูตจากฟล็อปปี้ดิสก์และทำงาน โปรแกรมพิเศษ: ตัวอย่างเช่นที่พบบ่อยมาก แน่นอนว่าคุณสามารถระบุความเป็นไปได้นี้และตั้งรหัสผ่านเพื่อเริ่มระบบ แต่การปฏิบัติแสดงให้เห็นว่าการป้องกันดังกล่าวไม่ได้ผลโดยเฉพาะอย่างยิ่งเมื่อมีผู้ใช้หลายคนทำงานบนคอมพิวเตอร์เครื่องเดียวกัน และหากผู้โจมตีสามารถลบฮาร์ดไดรฟ์ออกจากคอมพิวเตอร์ได้ รหัสผ่านก็จะไม่ช่วยอะไร เมื่อเชื่อมต่อดิสก์เข้ากับคอมพิวเตอร์เครื่องอื่น เนื้อหาในดิสก์จึงสามารถอ่านได้โดยไม่มีปัญหา ดังนั้นผู้โจมตีจึงสามารถครอบครองข้อมูลที่เป็นความลับที่จัดเก็บไว้ในฮาร์ดไดรฟ์ได้อย่างอิสระ วิธีเดียวเท่านั้นการป้องกันจากการอ่านข้อมูลทางกายภาพคือการเข้ารหัสไฟล์ กรณีที่ง่ายที่สุดของการเข้ารหัสดังกล่าวคือการเก็บถาวรไฟล์ด้วยรหัสผ่าน อย่างไรก็ตาม มีข้อเสียร้ายแรงหลายประการ ประการแรก ผู้ใช้จำเป็นต้องเข้ารหัสและถอดรหัสข้อมูลด้วยตนเอง (ในกรณีของเรา คือ เก็บถาวรและยกเลิกการเก็บถาวร) ข้อมูลทุกครั้งก่อนเริ่มและหลังทำงานเสร็จ ซึ่งในตัวมันเองจะลดความปลอดภัยของข้อมูลลง ผู้ใช้อาจลืมเข้ารหัส (เก็บถาวร) ไฟล์หลังจากทำงานเสร็จหรือ (ที่ธรรมดากว่านั้น) เพียงแค่ทิ้งสำเนาของไฟล์ไว้ในดิสก์ ประการที่สอง รหัสผ่านที่ผู้ใช้สร้างขึ้นมักจะเดาได้ง่าย ไม่ว่าในกรณีใด มียูทิลิตี้จำนวนเพียงพอที่ช่วยให้คุณสามารถแตกไฟล์เก็บถาวรที่มีการป้องกันด้วยรหัสผ่านได้ ตามกฎแล้วยูทิลิตี้ดังกล่าวทำการเดารหัสผ่านโดยค้นหาคำที่เขียนในพจนานุกรม ระบบ EFS ได้รับการพัฒนาเพื่อเอาชนะข้อบกพร่องเหล่านี้

2.1. เทคโนโลยีการเข้ารหัส

EP$ ใช้สถาปัตยกรรม Windows CryptoAPI ขึ้นอยู่กับเทคโนโลยีการเข้ารหัสคีย์สาธารณะ เพื่อเข้ารหัสแต่ละไฟล์ คีย์การเข้ารหัสไฟล์จะถูกสร้างขึ้นแบบสุ่ม ในกรณีนี้ สามารถใช้อัลกอริธึมการเข้ารหัสแบบสมมาตรเพื่อเข้ารหัสไฟล์ได้ ปัจจุบัน EFS ใช้อัลกอริธึมเดียว - DESX ซึ่งเป็นการดัดแปลงพิเศษของมาตรฐาน DES ที่ใช้กันอย่างแพร่หลาย คีย์การเข้ารหัส EFS จะถูกจัดเก็บไว้ในพูลหน่วยความจำภายใน (EFS เองอยู่ในเคอร์เนล Windows 2000) ซึ่งป้องกันการเข้าถึงคีย์เหล่านั้นผ่านไฟล์เพจโดยไม่ได้รับอนุญาต

ตามค่าเริ่มต้น EFS จะได้รับการกำหนดค่าเพื่อให้ผู้ใช้สามารถเริ่มใช้การเข้ารหัสไฟล์ได้ทันที รองรับการเข้ารหัสและการย้อนกลับสำหรับไฟล์และไดเร็กทอรี หากไดเร็กทอรีถูกเข้ารหัส ไฟล์และไดเร็กทอรีย่อยทั้งหมดของไดเร็กทอรีนี้จะถูกเข้ารหัสโดยอัตโนมัติ ควรสังเกตว่าหากไฟล์ที่เข้ารหัสถูกย้ายหรือเปลี่ยนชื่อจากไดเร็กทอรีที่เข้ารหัสไปเป็นไดเร็กทอรีที่ไม่ได้เข้ารหัส ไฟล์นั้นจะยังคงถูกเข้ารหัส การดำเนินการเข้ารหัส/ถอดรหัสสามารถทำได้สองวิธี: ในรูปแบบต่างๆ- ใช้ Windows Explorer หรือยูทิลิตี้คอนโซล Cipher ในการเข้ารหัสไดเร็กทอรีจาก Windows Explorer ผู้ใช้เพียงแค่ต้องเลือกไดเร็กทอรีอย่างน้อยหนึ่งไดเร็กทอรีและทำเครื่องหมายในช่องเข้ารหัสในหน้าต่างคุณสมบัติขั้นสูงของไดเร็กทอรี ไฟล์และไดเร็กทอรีย่อยทั้งหมดที่สร้างขึ้นภายหลังในไดเร็กทอรีนี้จะถูกเข้ารหัสด้วย ดังนั้นคุณจึงสามารถเข้ารหัสไฟล์ได้โดยเพียงแค่คัดลอก (หรือย้าย) ไปยังไดเร็กทอรีที่ "เข้ารหัส" ไฟล์ที่เข้ารหัสจะถูกจัดเก็บไว้ในดิสก์ในรูปแบบที่เข้ารหัส เมื่ออ่านไฟล์ ข้อมูลจะถูกถอดรหัสโดยอัตโนมัติ และเมื่อเขียนข้อมูล ข้อมูลจะถูกเข้ารหัสโดยอัตโนมัติ ผู้ใช้สามารถทำงานกับไฟล์ที่เข้ารหัสได้ในลักษณะเดียวกับไฟล์ทั่วไป กล่าวคือ เปิดและแก้ไขเอกสารในโปรแกรมแก้ไขข้อความ Microsoft Word แก้ไขภาพวาดใน Adobe Photoshop หรือ โปรแกรมแก้ไขกราฟิกทาสีและอื่นๆ.

ควรสังเกตว่าคุณไม่ควรเข้ารหัสไฟล์ที่ใช้เมื่อระบบเริ่มทำงานไม่ว่าในกรณีใด ในขณะนี้ คีย์ส่วนตัวของผู้ใช้ซึ่งใช้ในการถอดรหัสยังไม่พร้อมใช้งาน นี่อาจทำให้ไม่สามารถเริ่มระบบได้! B EFS จัดให้ การป้องกันที่เรียบง่ายจากสถานการณ์ดังกล่าว: ไฟล์ที่มีคุณลักษณะ “ระบบ” จะไม่ถูกเข้ารหัส อย่างไรก็ตาม โปรดระวัง: นี่อาจสร้างช่องโหว่ด้านความปลอดภัยได้! ตรวจสอบว่าได้ตั้งค่าแอตทริบิวต์ของไฟล์แล้วหรือไม่<системный» для того, чтобы убедиться, что файл действительно будет зашифрован.

สิ่งสำคัญคือต้องจำไว้ว่าไฟล์ที่เข้ารหัสไม่สามารถบีบอัดโดยใช้ Windows 2000 และในทางกลับกัน กล่าวอีกนัยหนึ่ง หากไดเร็กทอรีถูกบีบอัด เนื้อหาของไดเร็กทอรีจะไม่สามารถเข้ารหัสได้ และหากเนื้อหาของไดเร็กทอรีถูกเข้ารหัส ก็จะไม่สามารถบีบอัดได้

ในกรณีที่จำเป็นต้องถอดรหัสข้อมูล คุณเพียงแค่ต้องยกเลิกการเลือกช่องเข้ารหัสสำหรับไดเร็กทอรีที่เลือกใน Windows Explorer จากนั้นไฟล์และไดเร็กทอรีย่อยจะถูกถอดรหัสโดยอัตโนมัติ ควรสังเกตว่าโดยปกติแล้วการดำเนินการนี้ไม่จำเป็น เนื่องจาก EFS มอบประสบการณ์ที่ "โปร่งใส" ด้วยข้อมูลที่เข้ารหัสแก่ผู้ใช้