Faraz qilaylik, sizda kompyuter ishlayapti Windows boshqaruvi eng so'nggi versiya. Unda otishma o‘yinlarini o‘ynaysiz, dissertatsiya yozasiz, soddalashtirilgan tizimdan foydalangan holda yakka tartibdagi tadbirkorlar hisobini yuritasiz va umuman, imkon qadar zavqlanasiz. Ammo to'satdan, mutlaqo asossiz ravishda, siz tashqi tomondan biror narsa sizning kompyuteringizda saqlanadigan ba'zi ma'lumotlarning xavfsizligiga tahdid solayotganini his qila boshlaysiz. shaxsiy kompyuter. Siz qizg'in ko'rinish bilan ko'plab kiberforumlarni o'qiysiz va qattiq diskingizdagi barcha ma'lumotlaringiz hech qanday tarzda himoyalanmaganligini dahshat bilan tushunasiz. Va agar sizning sevimli kompyuteringiz o'g'irlangan bo'lsa va portativ uskunalarni o'g'irlash xavfi unchalik past bo'lmasa, tajovuzkor barcha tarkibga kira oladi. qattiq disk! Oh, mening bebaho dissertatsiyam!

Keling, agar kompyuter ishlayotgan bo'lsa, fayllarga ruxsatsiz kirish haqiqatan ham mumkinmi yoki yo'qligini aniqlashga harakat qilaylik operatsion tizim Windows 10. IBM va keyinchalik Microsoft-dagi muhandislar NTFS fayl tizimi uchun huquqlarni ajratish tizimini joriy qilish uchun ko'p kuch sarfladilar (IBM HPFS bo'lganida). Va agar Win10 kompyuterda ishlayotgan bo'lsa, boshqa odamlarning fayllariga ruxsatsiz kirish juda qiyin va agar kirish bloklangan bo'lsa, bu mutlaqo mumkin emas. Windows foydalanuvchi fayllarini ishonchli himoya qiladi.

Ammo boshqa operatsion tizimga, masalan, Linux Mintga yuklash bilanoq, barcha foydalanuvchi fayllari barmoq uchida bo'ladi. O'zingiz xohlagan narsani yuklab oling. Va siz Mint-ni flesh-diskdan yoki CD-ROMdan yuklashingiz mumkin, shunchaki UEFI (BIOS) ga kirishingiz va olinadigan drayverlardan yuklashni faollashtirishingiz kerak, agar u ilgari faollashtirilmagan bo'lsa yoki yuklash menyusidan foydalaning. Agar siz UEFI-ga kirish uchun parol o'rnatgan bo'lsangiz va sinf sifatida yuklash uchun diskni tanlashni o'chirib qo'ysangiz, fayllaringiz biroz himoyalangan bo'ladi. Va buzg'unchi shunchaki kompyuteringizni burab qo'yishi, tortib olishi mumkin qattiq disk va uni kompyuteringizga ulang va keyin barcha kerakli narsalarni yuklab oling. Axir, fayllar ko'rinishidagi ma'lumotlar ochiq daftar kabi uning qo'lida bo'ladi.

IT-mutaxassislari BitLocker texnologiyasidan foydalangan holda kompyuteringizdagi ma'lumotlarni biroz himoya qilishingiz mumkinligini bilishadi. BitLocker - bu yaxshi narsa, lekin u faqat jismoniy yoki virtual disklardagi butun bo'limlarni shifrlash imkonini beradi. Shu bilan birga, kalitlarning xavfsizligi, shu jumladan TPM modullarida saqlash ta'minlanadi. Bu juda qulay. Biroq, hamma narsani va har kimni shifrlash har doim ham qulay emas, garchi, albatta, foydalanish to'liq shifrlash disk ma'lum bir ma'noga ega. Lekin negadir hamma fayllar va kataloglarni qisman shifrlashni unutadi.

Windows 10-da, avvalgi reenkarnasyonlarda bo'lgani kabi, shifrlangan fayl tizimi mavjud, ya'ni Shifrlangan fayl tizimi (EFS). Bu funksiya Pro va undan yuqori versiyalarida mavjud, shuning uchun sizda Windows Home versiyasi bo'lsa, kamida Pro versiyasiga yangilashingiz kerak. Vikipediya EFSda qanday va nima shifrlanganligi haqida ko'p yozgan. Men hamma narsani iloji boricha sodda tushuntirishga harakat qilaman va ko'proq narsani beraman batafsil ko'rsatmalar fayllaringiz uchun himoyani yoqish uchun.

Minimal Pro versiyasiga ega bo'lishdan tashqari, siz parolga ega bo'lgan foydalanuvchi ostida ishlashingiz kerak. Parol mavjud bo'lishi kerak, u havola bo'lsin bulut xizmati Microsoft yoki butunlay mustaqil parol. PIN-kod yordamida tizimga kirasizmi yoki naqshdan foydalanasizmi, muhim emas, muhimi, hisob qaydnomangiz bilan parol bog'langanligidir. Faol hisob qaydnomasida parolga ega bo'lishdan tashqari, himoyalangan fayllar va kataloglar NTFS fayl tizimiga ega disk yoki bo'limda joylashgan bo'lishi kerak. Ehtimol, bu siz foydalanadigan fayl tizimi.

Ma'lumotlarni shifrlash foydalanuvchilar uchun va ularning aksariyati uchun mutlaqo shaffof bo'ladi dasturiy mahsulotlar, chunki shifrlash NTFS fayl tizimi darajasida sodir bo'ladi. Siz bir vaqtning o'zida bitta faylni yoki butun papkani shifrlashingiz mumkin. Siz uni bo'sh papka sifatida shifrlashingiz va keyin unga yangi fayllar qo'shishingiz mumkin va ular ham shifrlanadi yoki ichidagi fayllar va kataloglar bilan jildni shifrlashingiz mumkin. Hammasi sizning tanlovingiz.

Shifrlangan papkalar va fayllar bilan ishlashda quyidagilarni hisobga oling:

1. Fayllar NTFS dan boshqa har qanday fayl tizimiga o'tkazilgunga qadar shifrlanadi. Misol uchun, siz shifrlangan faylni flesh-diskga ko'chirasiz. Agar u FAT32 bo'lsa va u erda bo'lsa, fayl shifrlangan bo'ladi. O'ninchi versiyada Windows Microsoft Shunday bo'lsa-da, men faylni FAT bilan flesh-diskga o'tkazgan bo'lsangiz ham shifrlangan bo'lib qoladigan funktsiyani amalga oshirdim, shuning uchun do'stingizga biron bir faylni sizib yuborsangiz, hushyor bo'lishingiz kerak. Ularni keyin so‘kinmasdan ochib bera oladimi? orqali fayl yuborsangiz elektron pochta- u hal qilinadi (aks holda uni pochta orqali jo'natishning ma'nosi yo'q). Faylni tarmoq orqali uzatishda shifrni ochish ham sodir bo'ladi.
2. NTFS bo'limlari o'rtasida harakatlanayotganda fayl shifrlangan bo'lib qoladi. Faylni bitta NTFS diskidan boshqa NTFS diskiga ko'chirishda fayl shifrlanadi. Faylni NTFS fayl tizimi bilan olinadigan qattiq diskka nusxalaganingizda, u yangi joyda shifrlanadi.
3. Agar hisob paroli uchinchi shaxs, masalan, administrator tomonidan majburan o'zgartirilsa yoki bog'langan domen hisobi yoki bulut xizmatining paroli majburan o'zgartirilsa, zaxira sertifikati bo'lmagan fayllarga kirish (birinchi shifrlash paytida yaratilgan) endi to'xtatiladi. mumkin bo'lsin.

Oxirgi nuqta, ayniqsa, parollarni doimiy ravishda qayta tiklaydigan ishonchsiz xotiraga ega bo'lgan odamlar uchun juda muhimdir. Bu erda, bunday hiyla, agar siz, albatta, saqlangan sertifikatni tizimga import qilmasangiz, doimiy shifrlangan fayllarga olib kelishi mumkin. Biroq, parolni o'zgartirish ixtiyoriy bo'lsa, masalan, parolni o'zgartirish siyosatiga muvofiq, shifrlangan fayllarning o'z vaqtida yo'qolishi sodir bo'lmaydi.

Skeptiklar to'g'ri ta'kidlashadiki, bunday himoya, xuddi BitLocker singari, unchalik ishonchli emas, deyishadi, xakerlar parol zaif bo'lsa, uni taxmin qilishlari mumkin va razvedka xizmatlari hamma narsani hal qiladi. Haqiqatan ham, ular sizning parolingiz qisqa va sodda bo'lsa, shunchaki taxmin qilishlari mumkin. Va bu razvedka xizmatlari o'ta shubhali foydalanuvchilarning fayllari tarkibiga kirishning texnik qobiliyatiga ega bo'lish uchundir. Bundan tashqari, tizimga kirganingizdan so'ng, siz barcha EFS shifrlangan fayllaringizga darhol ochiq kirish huquqiga ega bo'lasiz. Va agar sizning kompyuteringizda troyan yoki virus bo'lsa, u xuddi shu tarzda qimmatbaho fayllarga kirish huquqiga ega bo'ladi. Kompyuter gigienasiga qat'iy rioya qilish kerak.

Jilddagi Win10 Pro ostida EFS yordamida shifrlashni yoqish bo'yicha batafsil ko'rsatmalar

Quyida men papkani undagi fayllar bilan shifrlash bo'yicha bosqichma-bosqich, aniq ko'rsatmalarni taklif qilaman. Shaxsiy fayl xuddi shu tarzda shifrlangan.

1-qadam. Keling, papka yarataylik. U "Mening rasmlarim" deb nomlansin.

Katalog yaratish

2-qadam. Jildni o'ng tugmasini bosing va kontekst menyusi"Xususiyatlar" ni tanlang.

Jildni o'ng tugmasini bosing va buni oling

3-qadam. "Xususiyatlar" menyusida "Boshqa ..." tugmasini bosish orqali jildning kengaytirilgan atributlariga o'ting.

Jild xususiyatlari

4-qadam. "Ma'lumotlarni himoya qilish uchun tarkibni shifrlash" yonidagi katakchani belgilang va OK tugmasini bosing. Agar siz shifrlashni bekor qilishingiz kerak bo'lsa, xuddi shu belgini olib tashlang va fayl shifrdan chiqariladi.

Jild xususiyatlarida kengaytirilgan atributlar

5-qadam. "Xususiyatlar" bilan tugating va "OK" yoki "Ilova" tugmasini bosing.

6-qadam. Biz dialog oynasida papkamizga va uning barcha tarkibiga nima "qo'llash" kerakligiga javob beramiz.

Kerakli shifrlash elementini tanlang

Mana, bizning papkamiz va uning barcha tarkibi EFS yordamida shifrlangan. Agar xohlasangiz, bizning papkamiz va undagi barcha fayllar begonalar tomonidan xavfsiz tarzda yopilganligini tekshirishingiz mumkin.

7-qadam. Biz 1-3 bosqichlardan o'tamiz va "shifrlash" katakchasi faol ekanligini ko'ramiz. Va uning yonida "Tafsilotlar" tugmasi faol. "Tafsilotlar" ni bosing.

Shifrlangan narsa tekshirilmoqda

8-qadam. Ko'rsatilgan oynada biz ushbu faylda faqat bitta foydalanuvchi kirishi uchun faqat bitta sertifikat mavjudligini ko'ramiz, bundan tashqari kirishni tiklash uchun sertifikatlar o'rnatilmagan.

Jild bitta sertifikat bilan shifrlangan

Bundan tashqari, ma'lum bir fayl Windows Explorer-da shifrlanganligini tushunishingiz mumkin; faylda qulf belgisi paydo bo'ladi.

Shifrlangan rasmlar bilan galereya. Ularni faqat hisob egasi ko'rishi mumkin.

Belgi barcha boshqa fayl ko'rinishlarida va Explorer ko'rinishlarida paydo bo'ladi. To'g'ri, ba'zi piktogrammalarda ularni ko'rish juda qiyin va siz diqqat bilan qarashingiz kerak.

Xuddi shu galereya, faqat stol shaklida. Belgining yuqori o'ng burchagidagi qulflar.

Birinchi fayllar shifrlangandan so'ng, Windows sertifikat nusxasini yaratishni taklif qiladi. Agar kompyuteringizda to'satdan biror narsa noto'g'ri bo'lsa (tizimni qayta o'rnatgan, parolni qayta o'rnatgan, diskni boshqa kompyuterga o'tkazgan va h.k.) fayllarni parolini ochishga imkon beradigan xuddi shu sertifikat.

9-qadam. Zaxira nusxasini tiklash sertifikatini saqlash uchun kalit arxivlash belgisini bosing.

Shifrlashni tiklash uchun zaxira sertifikatini arxivlashga chaqiruvchi laganda belgisi

10-qadam. Ko'rsatilgan oynada "Hozir arxivlash" -ni tanlang.

Qachon arxivlashni tanlash

11-qadam. Faollashtirish ustasi dialog oynasida "Keyingi" tugmasini bosing.

Sertifikatlarni eksport qilish ustasi oynasi

12-qadam. Agar siz faqat EFS shifrlashdan foydalansangiz, standart qiymatlarni qoldirishingiz mumkin. Va "Keyingi" tugmasini bosing.

Zaxira sertifikat eksport sozlamalari

13-qadam. Eksport qilingan sertifikatni parol bilan himoya qilish mantiqan. Biz parolni kiritamiz, u har qanday narsa bo'lishi mumkin, bu sizning elektron pochtangizdan yoki Windows tizimiga kirish uchun emas. Va "Keyingi" tugmasini bosing.

uchun parolni kiriting qo'shimcha himoya tiklash sertifikati

15-qadam. OK tugmasini bosish orqali natijani tasdiqlang.

Eksport ustasini tugatish

Va bu hammasi. Yuklab olingan sertifikat xavfsiz joyga ko'chirilishi kerak. Masalan, floppi diskda, flesh-diskda yoki xavfsiz bulutda. Qayta tiklash sertifikatini kompyuteringizda qoldirish yomon fikrdir, shuning uchun uni "xavfsiz joyda" saqlaganimizdan so'ng, biz faylni kompyuterdan o'chirib tashlaymiz va shu bilan birga qayta ishlash qutisini bo'shatamiz.

Aytgancha, siz kompyuteringizdagi bulut fayllari sinxronlashtiriladigan kataloglarni ham shifrlashingiz mumkin, masalan, OneDrive, DropBox, Yandex Disk va boshqalar. Agar siz bunday papkani shifrlamoqchi bo'lsangiz, avval bulutli sinxronizatsiya dasturini o'chirib qo'yishingiz yoki sinxronizatsiyani to'xtatib qo'yishingiz kerak. Shuningdek, shifrlash kerak bo'lgan katalogdagi barcha ochiq fayllarni yopish kerak, masalan, Word, Excel yoki boshqa dasturlarni yopish. Shundan so'ng siz tanlangan papkada shifrlashni yoqishingiz mumkin. Shifrlash jarayoni tugagach, sinxronlashni yana yoqishingiz mumkin. Aks holda, shifrlash papkadagi barcha fayllarga ta'sir qilmasligi mumkin, chunki O'rnatilgan tizim faqat yoziladigan fayllarni shifrlashi mumkin. Ha, bulutga sinxronlashda fayllar shifrdan chiqariladi va bulutda ular endi shifrlanmaydi.

Shifrlash boshlanishidan oldin OneDrive tizimidan chiqishingiz kerak.

Endi EFS shifrlash qanchalik yaxshi ishlashini tekshirish vaqti keldi. Men shifrlangan katalogda matnli fayl yaratdim. Va keyin yuklangan Linux Mint flesh-diskdan. Linuxning ushbu versiyasi NTFS qattiq disklari bilan oson ishlaydi, shuning uchun mening qattiq diskim tarkibiga kirish qiyin emas edi.

Shifrlangan papkada matnli fayl yarating.

Biroq, shifrlangan papkadan fayllarni ochmoqchi bo'lganimda, hafsalam pir bo'ldi. Bitta faylni ochib bo'lmadi. Linux Mint tomoshabinlari ko'rsatilgan fayllarga kirish imkoni yo'qligini jasorat bilan xabar qilishdi. Ammo qolganlarning hammasi muammosiz ochildi.

Win10-da shifrlangan fayllar Mint-dan ko'rinadi, lekin ularni ochib bo'lmaydi.

“Ha!” - dedi qattiqqo'l sibirliklar. Ammo agar siz flesh-diskga shifrlangan fayl yozsangiz, u shifrlangan bo'lib qoladi. Va keyin uni boshqa kompyuterga, boshqa operatsion tizimga o'tkazing, keyin birdan ochiladi? Yo'q, u ochilmaydi. To'g'rirog'i, u ochiladi, lekin uning mazmunini butunlay o'qib bo'lmaydi. U shifrlangan.

Fleshli diskda yozilgan shifrlangan matn faylini ochishga urinish.

Umuman olganda, EFS dan foydalanish mumkin va ba'zi hollarda hatto zarur. Shuning uchun, agar siz Windows 10-ning Pro va undan yuqori versiyalarida ishlayotgan bo'lsangiz, begonalar sizning shaxsiy kompyuteringiz yoki noutbukingizga kirish xavfini va ular sizning maxfiy fayllaringizni qo'lga kirita oladimi yoki yo'qligini baholang. Ehtimol, bugun biror narsa shifrlangan bo'lishi kerakmi?

Barcha operatsion tizimlarda Windows XP bilan boshlanadi Microsoft tizimlari o'rnatilgan ma'lumotlarni shifrlash texnologiyasi mavjud EFS (shifrlash fayl tizimi). EFS shifrlash NTFS 5.0 fayl tizimi va CryptoAPI arxitekturasining imkoniyatlariga asoslanadi va kompyuterning qattiq diskidagi fayllarni tez shifrlash uchun mo'ljallangan.

Keling, EFS shifrlash sxemasini qisqacha tavsiflab beraylik. EFS ochiq va shaxsiy kalitlarni shifrlashdan foydalanadi. EFS shifrlash foydalanuvchining shaxsiy va ochiq kalitlaridan foydalanadi, ular foydalanuvchi shifrlash funksiyasidan birinchi marta foydalanganda yaratiladi. Uning hisobi mavjud ekan, bu kalitlar o'zgarishsiz qoladi. Faylni shifrlashda EFS tasodifiy 128 bit uzunlikdagi Fayl shifrlash kaliti (FEK) deb ataladigan yagona raqamni hosil qiladi, uning yordamida fayllar shifrlanadi. FEK kalitlari asosiy kalit bilan shifrlangan bo'lib, u faylga kirish huquqiga ega bo'lgan tizim foydalanuvchilarining kaliti bilan shifrlangan. Foydalanuvchining shaxsiy kaliti foydalanuvchi parolining xeshi bilan himoyalangan.

Shunday qilib, biz xulosa qilishimiz mumkin: butun EFS shifrlash zanjiri asosan foydalanuvchining login va paroliga bog'langan. Bu shuni anglatadiki, ma'lumotlar xavfsizligi foydalanuvchi parolining kuchiga ham bog'liq.

Muhim. EFS yordamida shifrlangan ma'lumotlar faqat bir xil hisob yordamida shifrlanishi mumkin. Windows yozuvlari shifrlash uchun ishlatiladigan bir xil parol bilan. Boshqa foydalanuvchilar, jumladan, administratorlar bu fayllarni parolini hal qila olmaydi va ocha olmaydi. Bu shuni anglatadiki, shaxsiy ma'lumotlar, hatto har qanday usulda ham xavfsiz bo'lib qoladi. Ammo masalaning boshqa tomonini tushunish kerak. Agar hisob yoki uning paroli o'zgartirilsa (agar u foydalanuvchining o'zi seansidan to'g'ridan-to'g'ri o'zgartirilmagan bo'lsa), tizim ishlamay qolsa yoki OT qayta o'rnatilsa, shifrlangan ma'lumotlarga kirish imkoni bo'lmaydi. Shuning uchun shifrlash sertifikatlarini xavfsiz joyda eksport qilish va saqlash juda muhim (tartibi quyida tasvirlangan).

Eslatma. bilan boshlanadi Windows Vista MS OS tizimlari boshqa shifrlash texnologiyasini qo'llab-quvvatlaydi - BitLocker. BitLocker EFS shifrlashdan farqli o'laroq:

• butun disk hajmini shifrlash uchun ishlatiladi
• apparat talab qiladi TPM moduli(agar kerak bo'lsa tashqi qurilma USB flesh-disk yoki qattiq disk kabi kalit xotirasi)

Tashqi tomondan, foydalanuvchi uchun EFS yordamida shifrlangan shaxsiy fayllar bilan ishlash oddiy fayllar bilan ishlashdan farq qilmaydi - OT avtomatik ravishda shifrlash/shifrni ochish operatsiyalarini bajaradi (bu funksiyalar fayl tizimi drayveri tomonidan amalga oshiriladi).

Windows-da EFS katalogini shifrlashni qanday yoqish mumkin

Keling, Windows 8 da EFS yordamida ma'lumotlarni shifrlash tartibini bosqichma-bosqich ko'rib chiqaylik.

Eslatma. Hech qanday holatda tizim kataloglari va papkalari uchun shifrlashni yoqmasligingiz kerak. Aks holda, Windows oddiygina ishga tushmasligi mumkin, chunki... tizim foydalanuvchining shaxsiy kalitini topa olmaydi va fayllarni shifrini hal qila olmaydi.

File Explorer-da shifrlamoqchi bo'lgan katalog yoki fayllarni tanlang va sichqonchaning o'ng tugmasi bilan ularning xususiyatlariga o'ting ( Xususiyatlari).

Yorliqda General atributlar bo'limida tugmani toping va bosing Murakkab.

Ko'rsatilgan oynada katakchani belgilang Ma'lumotlarni himoya qilish uchun tarkibni shifrlash(Ma'lumotlarni himoya qilish uchun kontentni shifrlash).

OK tugmasini ikki marta bosing.

Agar siz katalogni shifrlayotgan bo'lsangiz, tizim sizdan faqat katalog yoki katalog va uning barcha kichik elementlarini shifrlashni xohlaysizmi, deb so'raydi. Kerakli amalni tanlang, shundan so'ng katalog xususiyatlari oynasi yopiladi.

Windows Explorer-dagi shifrlangan kataloglar va fayllar yashil rangda ko'rsatiladi (ob'ektlar ko'k rang bilan ajratilganligini unutmang). Agar siz jildni barcha mazmuni bilan shifrlashni tanlasangiz, shifrlangan jild ichidagi har qanday yangi elementlar ham shifrlanadi.

Siz EFS shifrlash/parchalanishini quyidagidan boshqarishingiz mumkin buyruq qatori shifrlash yordam dasturidan foydalanish. Masalan, siz C:\Secret katalogini shunday shifrlashingiz mumkin:

Shifr /e c:\Secret

Joriy foydalanuvchi sertifikati yordamida shifrlangan fayl tizimidagi barcha fayllar ro'yxati buyruq yordamida ko'rsatilishi mumkin:

Shifr /u/n

EFS shifrlash kalitining zaxira nusxasi

Foydalanuvchi o'z ma'lumotlarini EFS yordamida birinchi marta shifrlagandan so'ng, tizim tepsisida shifrlash kalitini saqlashni aytadigan qalqib chiquvchi oyna paydo bo'ladi.

Fayl shifrlash kalitining zaxira nusxasini yarating. Bu shifrlangan fayllarga kirish huquqini butunlay yo'qotmaslikka yordam beradi.

Xabarni bosish sehrgarni ishga tushiradi Zaxira nusxasi sertifikatlar va tegishli bo'lganlar shaxsiy kalitlar EFS shifrlash.

Eslatma. Agar siz tasodifan oynani yopsangiz yoki u ko'rinmasa, EFS sertifikatlarini "" yordamida eksport qilishingiz mumkin. Fayl shifrlash sertifikatlarini boshqaring» foydalanuvchi boshqaruv panelida.

Tanlang Fayl shifrlash sertifikati va kalitingizni zaxiralang

Keyin sertifikatni himoya qilish uchun parolni kiriting (afzal ancha murakkab).

Eksport qilingan sertifikatni saqlamoqchi bo'lgan joyni ko'rsatish qoladi (xavfsizlik maqsadida u quyidagi manzilga nusxalanishi kerak). tashqi qattiq disk/ usb flesh haydovchi va xavfsiz joyda saqlang).

Internetda Canon linzalari haqida juda ko'p mish-mishlar bor, men rostini aytsam, yaqin vaqtgacha men o'zim EF va EF-S linzalari o'rtasidagi farq haqida yanglishardim. Ushbu maqolada men ular haqida ba'zi ma'lumotlarni to'plashga harakat qildim, bu u yoki bu modifikatsiya foydasiga tanlov qilishga, nizolarga chek qo'yishga va ba'zi afsonalarni yo'q qilishga yordam beradi.

Keling, avval EF qisqartmasini hal qilaylik - bu Electro-Focus ("Elektrofokus") iborasidan kelib chiqqan. EF o'rnatish bilan optikaga o'rnatilgan avtomatik fokuslash tizimi keladi, ya'ni. Ob'ektiv va kamera o'rtasida harakatlanuvchi qismlar yo'q, faqat kontaktlar va ob'ektivdagi elektr motor fokus va diafragma uchun javobgardir. Aytgancha, birinchi EF seriyali linzalari 1987 yilda paydo bo'lgan.

EF-S - bu 2003 yilda ishlab chiqilgan APS-C formatidagi matritsali kameralar uchun o'rnatish moslamasining modifikatsiyasi. "S" qisqa orqa fokusni anglatadi. Bunday linzalardagi oxirgi optik element EF linzalariga qaraganda matritsaga yaqinroq joylashgan. Taqqoslash uchun, men turli xil o'rnatish modifikatsiyalari bilan ikkita linzaning rasmini beraman.

Chap ob'ektiv EF, o'ng EF-S

Ko'rib turganingizdek, o'ng linzada oxirgi linzalar o'rnatish ipidan keyin joylashgan, ya'ni. kameraga o'rnatilganda, u matritsaga sezilarli darajada yaqinroq bo'ladi. Aslida, bu yagona, ammo juda muhim farq. Gap shundaki, EF-S optikasi to'liq kadrli kameralar bilan ishlatilmaydi. O'rnatish mosligiga qaramay, chiqadigan linzalar kamera oynasiga zarar etkazishi mumkin. Bundan tashqari, EF linzalari mos keladi va har qanday Canon EOS kameralari (DSLR) bilan ishlatilishi mumkin.

APS-C formatidagi kameralar uchun linzalarning fokus uzunligini sozlash kerak. To'liq formatli sensorda olingan fokus uzunligini hisoblash uchun siz ob'ektivda ko'rsatilgan qiymatlarni 1,6 ga ko'paytirishingiz kerak. Internetda EF-S seriyasi uchun bu kerak emas va haqiqiy qiymatlar qayta hisoblashni hisobga olgan holda optikada ko'rsatilgan degan keng tarqalgan fikr mavjud. Bu unday emas. Misol tariqasida kompaniyaning rasmiy veb-saytidan yangi Canon EF-S 18-55mm f/3.5-5.6 IS II linzalarining tavsifini beraman:

EF-S 18-55mm f/3.5-5.6 IS II yuqori sifatli, standart zum linzalari boʻlib, yorugʻlikda sayohat qilishni afzal koʻradigan fotosuratchilarga yoqadi. Fokus uzunligi 35 mm formatda 29-88 mm ekvivalenti bilan…

Ko'rib turganingizdek, bu linzalar uchun fokus uzunliklarining standart konvertatsiyasi qo'llaniladi va 18-55 ni 29-88 mm ga aylantiradi. To'liq mantiqiy savol tug'iladi: nega bu butun bog' bilan bezovta qilasiz? Gap shundaki, ushbu dizayn engilroq linzalarni yaratishga imkon berdi kichikroq o'lcham. Bu Canon ma'lumotlariga ko'ra, lekin aslida bu arzon linzalar qimmatbaho to'liq kadrli uskunalar bilan ishlatilmasligi uchun qilingan bo'lishi mumkin.

Yana bir qiziqarli teginish: na EF, na EF-S Sigma yoki Tamron kabi uchinchi tomon optika ishlab chiqaruvchilariga litsenziyalanmagan. Ushbu ishlab chiqaruvchilarning 100% muvofiqligi haqidagi da'volariga qaramay, Canon bunday kafolatni bermaydi. Shuning uchun, markasiz linzalarni sotib olayotganda, ular ayniqsa ehtiyotkorlik bilan tekshirilishi kerak.

Keling, Canon linzalari haqida xulosa qilaylik:

• APS-C kameralarida fokus uzunligi barcha turdagi linzalar uchun qayta hisoblab chiqiladi;
• kesilgan kameralarda ultra keng burchak faqat EF-S 10-22 mm ob'ektivda mavjud;
• Afsuski, kesilgan kameralarda baliq ko'zi umuman mavjud emas;
• EF linzalari har qanday Canon kameralariga mos keladi;
• APS-C kamerasidan to'liq kadrga ko'tarilayotganda EF-S linzalaridan foydalanib bo'lmaydi.

Agar siz kelajakda to'liq ramkali kameraga o'tishni rejalashtirmoqchi bo'lsangiz, linzalarni oldindan sotib olishni o'ylab ko'ring.

Turli xil Internet xavfsizligi pochta ro'yxatlarida ma'murlar ko'pincha Windows uchun xavfsiz, ishlatish uchun qulay fayllarni shifrlash mahsulotlari haqida savollar berishadi. Ko'pincha menejerlar oldini olish usullari bilan qiziqadilar tizim ma'murlari maxfiy kompaniya fayllarini ko'rib chiqing. Men Windows-ning shaxsiy shifrlash fayl tizimidan (EFS) foydalanishni taklif qilganimda, ko'pchilik kuchliroq va xavfsizroq narsani xohlashlarini aytishadi.

Ammo mashhur e'tiqoddan farqli o'laroq, EFS haqiqatan ham ishonchli, ishlatish uchun qulay va xavfsiz shifrlash yechimi bo'lib, hatto eng qiziquvchan tarmoq ma'murini ham sharmanda qilishi mumkin. EFS ko'pincha o'g'irlik uchun mo'ljallangan tarmoqlar va noutbuklardagi nozik fayllarni himoya qilishning ajoyib vositasidir. Afsuski, foydalanuvchilarning Microsoft’ning har qanday xavfsizlik mahsulotini xolisona baholashdan bosh tortishi tufayli EFS obro‘siga noloyiq putur yetdi. Aslida, EFS ulardan biridir eng yaxshi mahsulotlar Microsoft tomonidan chiqarilgan xavfsizlik dasturi, lekin undan foydalanish uchun tegishli bilim talab etiladi. Ushbu maqola EFS asoslari, uning maqsadi va funksionalligi, asosiy boshqaruv operatsiyalari va yuzaga kelishi mumkin bo'lgan xatolarni o'z ichiga oladi.

EFS tamoyillari

Microsoft Windows 2000 bilan EFSni chiqardi va mahsulotning Windows XP va Windows Server 2003 uchun doimiy ravishda takomillashtirilgan versiyalariga ega. EFS foydalanuvchilari o'qish va yozish ruxsatiga ega bo'lgan har qanday fayl yoki papkani shifrlashi mumkin. Shifrlangandan so'ng, qonuniy egasi unga kirganda, resurs "parvozda" shifrlanadi. Tegishli EFS ruxsatisiz himoyalangan fayl yoki papkaga kirishga urinayotgan foydalanuvchilar fayl yoki papka nomini ko‘radi, lekin fayl yoki jildni ocha, tahrirlay, nusxa ko‘chira, chop eta, elektron pochta orqali yubora yoki ko‘chira olmaydi. Qizig'i shundaki, EFS bilan himoyalangan faylni o'chirish uchun NTFS ruxsatiga ega bo'lgan foydalanuvchilar o'qish ruxsatiga ega bo'lmasa ham, uni o'chirib tashlashi mumkin. Ko'pgina shifrlash mahsulotlari singari, EFS ham maxfiylikni himoya qilish uchun mo'ljallangan, ammo ma'lumotlar yo'qolishining oldini olmaydi. Agar ruxsatsiz foydalanuvchi ma'lumotlarni biron bir shaklda ko'ra olmasa, EFS vazifasi muvaffaqiyatli hisoblanadi. Ba'zi foydalanuvchilar, hatto himoyalangan fayl yoki papka nomini ko'rish Windows-da kechirilmas kamchilik ekanligini ta'kidlaydilar.

Bundan tashqari, egasi bo'lish yoki ega bo'lish shart emas To'liq ruxsat Fayl yoki jildni shifrlash uchun uni boshqaring. Buning uchun o'qish va yozish ruxsatnomalari etarli - manbaga kirish uchun zarur bo'lganlar. Fayl yoki jildga faqat uni shifrlagan foydalanuvchi (va birinchi foydalanuvchi resursni almashishga rozi bo'lgan boshqalar) kirish huquqiga ega. Yagona umumiy istisno bu ma'lumotlarni qayta tiklash agenti (DRA). Odatiy bo'lib (ko'p hollarda) Windows ma'murni EFS tomonidan shifrlangan har qanday fayl yoki papkaga kirishi uchun DRA agenti sifatida tayinlaydi. Domen muhitida DRA domen administratori hisoblanadi; domen bo'lmagan muhitda DRA mahalliy administrator hisoblanadi.

Fayl va papkalarni shifrlash funksiyasi sukut bo'yicha yoqilgan, lekin foydalanuvchi har bir fayl yoki jildni alohida tanlashi kerak (yoki oddiy meros qoidalari orqali bilvosita). EFS fayl yoki papkani bo'limda joylashgan bo'lishini talab qiladi NTFS disk. Keyin, fayl yoki jildni himoya qilish uchun kirish manbasini o'ng tugmasini bosing Windows Explorer, "Xususiyatlar" ni tanlang va "Umumiy" yorlig'ida "Kengaytirilgan" tugmasini bosing. (Eslatma: Xavfsizlik yorlig'idagi Kengaytirilgan tugmasini bosmang.) Nihoyat, ma'lumotlarni himoya qilish uchun tarkibni shifrlash katagiga belgi qo'yishingiz kerak.

Agar siz bir yoki bir nechta faylni tanlasangiz (papkadan farqli o'laroq), EFS faqat fayl(lar)ni yoki asosiy papkani va joriy fayl(lar)ni shifrlashni so'raydi. Agar ikkinchisi tanlansa, EFS jildni shifrlangan deb belgilaydi. Jildga qo'shilgan barcha fayllar sukut bo'yicha shifrlangan bo'ladi, lekin papkada bo'lgan, lekin EFS shifrlash operatsiyasi davomida tanlanmagan har qanday fayllar shifrlanmagan holda qoladi. Ko'pgina hollarda, alohida fayllar o'rniga butun papkani shifrlash afzalroqdir, ayniqsa bir qator dasturlar (masalan, Microsoft Word) bilan bir xil papkada vaqtinchalik fayllarni yarating faylni oching. Dastur tugatilgandan so'ng (masalan, favqulodda qayta ishga tushirilganda), vaqtinchalik fayllar ko'pincha o'chirilmaydi va toza holda taqdim etiladi. matn formati, begonalar tomonidan qayta tiklash uchun foydalanish mumkin.

Odatiy bo'lib, XP Professional va undan keyingi versiyalarida EFS shifrlangan fayllarni yashil rangda ajratib ko'rsatadi, ammo Windows Explorer-dagi Asboblar menyusidagi "Papka parametrlari" ni tanlab, so'ngra "Shifrlangan yoki siqilgan NTFS fayllarini rangda ko'rsatish" katagiga belgi qo'yish orqali ajratib ko'rsatishni bekor qilish mumkin. Ko'rish yorlig'i. Windows Explorer-ning Tafsilotlar ko'rinishida siqilgan fayllar Atributlar ustunida odatiy Arxiv (A) atributi bilan birga E atributiga ega bo'ladi.Natijada atributlar to'plami AE kabi ko'rinishga ega bo'ladi. Shuni ta'kidlash kerakki, Windows-ning o'rnatilgan mexanizmlarini bir vaqtning o'zida fayllarni shifrlash va siqish uchun ishlatib bo'lmaydi, garchi siz WinZip yoki PKZIP kabi uchinchi tomon yordam dasturi yordamida faylni siqib, keyin siqilgan faylni shifrlashingiz mumkin.

Kuchli shifr

EFS kuchli shifrlashni ta'minlaydi - shu qadar kuchliki, agar siz EFS shaxsiy kalitini (EFS shifrlash bilan himoyalangan fayllarni tiklash uchun foydalaniladi) yo'qotib qo'ysangiz, ma'lumotlarni endi o'qib bo'lmaydi. Agar EFS sozlamalari to'g'ri sozlangan bo'lsa, hatto ma'mur ham shifrlangan fayl yoki jildga DRA agenti sifatida belgilanmagan bo'lsa, unga kira olmaydi.

Hozirda sotuvda kamida bitta mahsulot mavjud, bu EFS bilan himoyalangan fayllarni tiklashga qodirligini da'vo qiladigan ElcomSoft kompaniyasining Advanced EFS Data Recovery (AEFSDR). Dastur mahalliy administrator parolini tiklashdan iborat (agar Windows konfiguratsiyasi noto'g'ri sozlangan bo'lsa, oddiy jarayon), undan keyin administratorning EFS shaxsiy kalitini olish uchun foydalanish mumkin. Administrator parolini echish vositasiga ega bo'lgan foydalanuvchi tizimda istalgan amalni bajarishi mumkin. Bunday foydalanuvchining EFS bilan himoyalangan fayllarga kirishi korxonaga tahdid soluvchi muammolarning eng kami bo'ladi. EFS shaxsiy kalitini ruxsatsiz qayta tiklash xavfi domendagi DRA rolini mahalliy administrator hisobiga emas, balki domen administrator hisobiga belgilash orqali kamaytiriladi, uning parolini deyarli har qanday yorilish vositasi yordamida aniqlash mumkin. XP bu turdagi hujumlarni amalga oshirishni qiyinlashtiradigan yangi siyosatga ega. Agar tiklash vositasi joriy va to'g'ri administrator parolini ololmasa (ko'p vositalar parolni tiklash o'rniga uni qayta tiklaydi), EFS himoyasi hali ham amal qiladi.

EFS qanday ishlaydi?

EFS simmetrik va assimetrik shifrlashning kombinatsiyasidan foydalanadi. Simmetrik usul bilan fayl shifrlanadi va bitta kalit yordamida tiklanadi. Asimmetrik usul shifrlash uchun ochiq kalitdan va ma'lumotlarni qayta tiklash uchun ikkinchi, lekin tegishli shaxsiy kalitdan foydalanadi. Agar ma'lumotlarni qayta tiklash huquqiga ega bo'lgan foydalanuvchi shaxsiy kalitni hech kimga oshkor qilmasa, himoyalangan resurs xavf ostida emas.

EFS sukut bo'yicha hamma uchun yoqilgan Windows tizimlari 2000 va undan keyin. Kimdir fayl yoki jildni himoya qilish uchun EFS dan birinchi marta foydalansa, Windows EFS raqamli sertifikatlarini yaratishi mumkin bo'lgan PKI (ommaviy kalitlar infratuzilmasi) serveri mavjudligini tekshiradi. Windows 2003 va Windows 2000-dagi sertifikat xizmatlari ba'zi uchinchi tomon PKI mahsulotlari kabi EFS sertifikatlarini yaratishi mumkin. Agar Windows qabul qilinadigan PKI provayderini aniqlamasa, operatsion tizim foydalanuvchi uchun EFS sertifikatini yaratadi va o'z-o'zidan imzolaydi (1-rasm). O'z-o'zidan imzolangan EFS sertifikatlarining yaroqlilik muddati 100 yilni tashkil etadi, bu har qanday foydalanuvchining ishlash muddatidan ancha uzoqdir.

Agar Windows sertifikat xizmatlari serverini aniqlasa, u avtomatik ravishda ikki yillik sertifikatni yaratadi va foydalanuvchiga yuboradi. Buning sababi, agar tashkilotda ichki PKI xizmati mavjud bo'lsa, PKI serveri EFS sertifikatlarini asl muddati tugaganidan keyin osongina chiqarishi va yangilashi mumkin. Har qanday holatda, EFS sertifikatlarini qo'shish orqali ko'rish mumkin Microsoft konsoli Boshqaruv konsoli (MMC).

EFS foydalanuvchisining shaxsiy kaliti (EFS bilan himoyalangan fayllarni ochadigan) foydalanuvchining asosiy kaliti bilan shifrlangan va foydalanuvchi profilida Hujjatlar va sozlamalar, Ilova maʼlumotlari, Microsoft, Crypto, RSA ostida saqlanadi. Agar rouming profilidan foydalanilsa, shaxsiy kalit domen kontrolleridagi (DC) RSA papkasida joylashgan bo'lib, ro'yxatdan o'tish jarayonida foydalanuvchining kompyuteriga yuklab olinadi. Asosiy kalit joriy foydalanuvchi paroli va 56, 128 yoki 512 bitli RC4 algoritmi yordamida yaratiladi. EFS haqida bilishingiz kerak bo'lgan asosiy narsa, EFS foydalanuvchisining shaxsiy kaliti uning profilida joylashganligi va undan olingan asosiy kalit bilan himoyalanganligidir. Joriy parol foydalanuvchi. E'tibor bering, EFS shifrlashning kuchi foydalanuvchi parolining kuchi bilan belgilanadi. Agar tajovuzkor EFS foydalanuvchisi parolini taxmin qilsa yoki qonuniy foydalanuvchi sifatida tizimga kirsa, EFS xavfsizligida yoriq paydo bo'ladi.

Agar foydalanuvchi paroli yo'qolsa yoki qayta o'rnatilsa (lekin foydalanuvchi tomonidan o'zgartirilmasa), EFS bilan himoyalangan barcha fayllarga kirish yo'qolishi mumkin. Shu sababli, EFS foydalanuvchisining shaxsiy kalitining nusxalari ikki yoki undan ortiq xavfsiz joyda saqlanishi kerak masofaviy saqlash joylari yoki bir yoki bir nechta DRA agentlarini tayinlang (va ularning shaxsiy kalitlarini eksport qiling va zaxira nusxalari ikki yoki undan ortiq alohida va xavfsiz masofaviy saqlash joylarida). Ushbu qoidalarga rioya qilmaslik ma'lumotlarning yo'qolishiga olib kelishi mumkin.

Fayl yoki jild birinchi marta shifrlanganda, Windows 128 bitli ma'lumotlarni shifrlash standarti X (DESX - XP va Windows 2000 da standart) yoki 256 bitli Kengaytirilgan shifrlash standarti (AES - Windows da) yordamida tasodifiy simmetrik kalitni yaratadi. 2003 XP) Pro xizmat paketi 1). Ikkala algoritm ham umume'tirof etilgan davlat standartlari bo'lsa-da, ikkinchisi zamonaviyroq va foydalanish uchun tavsiya etilgan. Tashkilotingiz siyosati undan foydalanishni talab qilsa, siz eski nosimmetrik shifrlash standarti 168 bitli Triple DES (3DES) ni ham yoqishingiz mumkin. Ko'proq batafsil ma'lumot Microsoft maqolasiga qarang: “Shifrlash fayl tizimi (EFS) fayllari ularni ochganingizda buzilgan ko'rinadi” ( http://support.microsoft.com/default.aspx?scid=kb;en-us;329741&sd=tech). Tasodifiy yaratilgan nosimmetrik kalit fayl shifrlash kaliti (FEK) sifatida tanilgan. Ushbu kalit Windows EFS bilan himoyalangan resursga kiradigan odamlar sonidan qat'i nazar, fayl va papkalarni shifrlash uchun foydalanadigan yagona kalitdir.

Tugallangach, Windows 1024-bitli RSA EFS ochiq kaliti yordamida FEK-ni shifrlaydi va FEK-ni faylning kengaytirilgan atributlarida saqlaydi. Agar DRAlar tayinlangan bo'lsa, operatsion tizim DRAning umumiy EFS kaliti bilan FEKning boshqa shifrlangan nusxasini saqlaydi. Keyin Windows FEK ning shifrlangan nusxasini faylga saqlaydi. XP va undan keyingi versiyalarda bir nechta foydalanuvchi ma'lum bir fayl yoki papkaga EFS kirish huquqiga ega bo'lishi mumkin. Har bir vakolatli foydalanuvchi o'ziga xos FEKga ega bo'ladi, u noyob bilan shifrlangan umumiy kalit EFS. Windows 2000 da siz faqat bitta DRA ni belgilashingiz mumkin.

Agar vakolatli foydalanuvchi himoyalangan faylga kirsa, Windows foydalanuvchi bilan bog'langan shaxsiy EFS kaliti yordamida shifrlangan FEK nusxasini tiklaydi. Keyin, FEK yordamida shifrlangan fayl qulfdan chiqariladi. Windows 2000 da EFS ning birinchi versiyalaridan farqli o'laroq, EFS endi xotiradagi barcha shifrlangan fayl va papkalarni xavfsiz boshqaradi, shuning uchun diskda noqonuniy ravishda qayta tiklanishi mumkin bo'lgan sof matn parchalari qolmaydi.

EFS fayllarini almashish

Windows 2000 da bir vaqtning o'zida faqat bitta foydalanuvchi faylni EFS bilan himoya qilishi mumkin, ammo XP Pro va undan keyingi versiyalarida bir nechta foydalanuvchilar himoyalangan EFS faylini almashishi mumkin. Birgalikda ishlaganda, fayl yoki jildni himoya qiladigan birinchi foydalanuvchi boshqalarga kirishni boshqaradi. Fayl yoki papkani dastlab himoyalangandan so'ng, foydalanuvchi "Tafsilotlar" tugmasini bosish orqali qo'shimcha foydalanuvchilarni belgilashi mumkin (2-rasm). Qo'shilgan foydalanuvchilar soni cheklanmagan. Har bir foydalanuvchi o'zining EFS kaliti bilan shifrlangan FEKning o'z nusxasiga ega. Ushbu XP innovatsiyasi EFS bilan himoyalangan fayllarni foydalanuvchilar guruhlari orasida almashish uchun juda qulay. Afsuski, tashkil qiling birgalikda ishlash Bu faqat papkalar emas, balki alohida fayllar darajasida mumkin. Qo'shimcha foydalanuvchilarga tayinlashdan oldin foydalanuvchi bitta fayl yoki jildni shifrlashi yoki EFS sertifikatini olishi kerak.

DRA agenti

Foydalanuvchi profilini o'chirish juda oson va ma'murlar ko'pincha foydalanuvchi parollarini qayta tiklaydilar, shuning uchun tarmoq ma'murlari EFS kalitlarini zaxiralashlari yoki bir yoki bir nechta DRAlarni belgilashlari kerak. Siz Sertifikatlar konsolidagi EFS raqamli sertifikatiga kirish va Tafsilotlar ilovasida Faylga nusxa ko'chirish katagiga belgi qo'yish orqali foydalanuvchining EFS shaxsiy kalitining zaxira nusxasini olishingiz mumkin. XP Pro va undan keyingi versiyalarida siz shuningdek, "Tafsilotlar" tugmasi ostida joylashgan Zaxiralash tugmalaridan ham foydalanishingiz mumkin. almashish EFS fayllari. Buyruqlar qatorini sevuvchilar buyruqdan foydalanishlari mumkin

Cipher.exe /x

Windows 2003 da, shuningdek XP Pro SP1 va keyingi versiyalarida EFS kalitlarining zaxira nusxalarini olish uchun. Keyingi so'rovlarga javob berishda siz tegishli shaxsiy kalitni nusxalashingiz va/yoki eksport qilishingiz mumkin. EFS foydalanuvchisining shaxsiy kalitini hech qachon olib tashlamasligingiz kerak, chunki Windows eksport paytida buni qilishni tavsiya qiladi, chunki bu foydalanuvchi himoyalangan fayllarni shifrini ochishga yo'l qo'ymaydi. Shaxsiy kalitni eksport qilganingizdan so'ng, kalitni ikkita alohida oflayn saqlash joyida saqlashingiz kerak. Shaxsiy foydalanuvchilarning EFS shaxsiy kalitlarining zaxira nusxasini yaratish ko'p mehnat talab qiladi. Windows 2000 dan boshlab, Microsoft DRA agentini tanlash imkonini beradi. Har safar kimdir fayl yoki jildni shifrlaganida, DRA avtomatik ravishda FEK nusxasini oladi. Windows 2000 da (rejim ishchi guruhi Windows 2003 (ishchi guruh yoki domen rejimi), XP (faqat domen rejimi) va Windows 2003 (ishchi guruh yoki domen rejimi) da standart DRA agenti administratorga tayinlangan, ammo administrator DRA roliga tayinlangan foydalanuvchi hisobini o'zgartirishi mumkin. . Afsuski, XP ishchi guruhi rejimida DRA agenti aniqlanmagan. Bu qaror administrator paroli buzilgan taqdirda EFS bilan himoyalangan fayllar zaif bo‘lishi haqidagi tanqidga javoban qabul qilindi. Afsuski, ko'pgina XP Pro tizimlari ishchi guruh rejimida ishlaydi va barcha EFS foydalanuvchilari o'z fayllarini yo'qotishi uchun parolni tiklash yoki profilning buzilishi kifoya qiladi. EFS dan foydalanganda (u sukut bo'yicha faol va foydalanuvchilar uchun mavjud ekanligini unutmang), siz EFS foydalanuvchilari shaxsiy kalitlarning nusxalarini yaratganligiga yoki bir yoki bir nechta DRA tayinlanganligiga ishonch hosil qilishingiz kerak.

Agar siz DRA rolini standart administrator hisobidan boshqa foydalanuvchi hisobiga tayinlashni rejalashtirmoqchi bo'lsangiz, vorisi EFS Recovery Agent sertifikatiga ega bo'lishi kerak. EFS Recovery Agent sertifikati sertifikat xizmatlaridan so'ralishi yoki boshqa uchinchi tomon PKI mahsulotidan o'rnatilishi mumkin. Joylashtirilgan bo'lsa Windows xizmati 2003 Sertifikat xizmatlari, keyin DRA o'rniga Key Recovery Agentsni qo'llashingiz mumkin. Oxir-oqibat, Key Recovery Agents faylni to'g'ridan-to'g'ri tiklash o'rniga yo'qolgan kalitni tiklaydi.

Shaxsiy kalitlardan farqli o'laroq oddiy foydalanuvchilar EFS, DRA agentlarining shaxsiy EFS kalitlari eksport qilinishi va kompyuterlardan olib tashlanishi kerak. Agar DRA agentlarining shaxsiy kalitlari o'g'irlangan bo'lsa, DRA ochiq kaliti bilan himoyalangan FEKli barcha fayllar zaif bo'lishi mumkin. Shuning uchun kalitlarni eksport qilish va ikkita masofaviy saqlash joyida xavfsiz saqlash kerak. Agar sizga shifrlangan fayllarni tiklash uchun kalitlar kerak bo'lsa, shaxsiy kalitlarni osongina import qilishingiz va ishlatishingiz mumkin.

Standart administrator ko'pincha DRA agenti sifatida tayinlangan bo'lsa-da, siz bir yoki ikkita foydalanuvchini maxsus tayyorlashingiz kerak Hisoblar, har qanday sharoitda olib tashlash ehtimoli kichik. DRA ochiq kaliti, shuningdek, har bir FEKdan nusxa ko'chiradi va himoya qiladi, shuning uchun DRA foydalanuvchi hisobi tasodifan o'chirilsa yoki parol qayta o'rnatilsa, DRA bilan himoyalangan FEKni tiklash qiyin. Agar DRA holatiga ega bo'lgan foydalanuvchi hisoblari o'zgartirilsa, EFS bilan himoyalangan fayllar eski DRA kalitlari bilan himoyalangan FEKlarga ega bo'lishi mumkin. Windows fayllarga kirganda, DRA bilan himoyalangan FEKlar yangilanadi eng so'nggi kalitlari DRA; ammo, joriy DRA tugmalari yordamida barcha FEKlarni ommaviy yangilashni majburlash uchun Cipher buyrug'idan foydalanishingiz mumkin. DRA shaxsiy kaliti eksport qilinib, tizimdan oʻchirilgan boʻlishidan qatʼiy nazar, DRA tiklash sertifikati nusxalarini ikki yoki undan ortiq xavfsiz saytdan tashqarida saqlash joylarida saqlash juda muhim.

Qo'shimcha eslatmalar

EFS tarmoq orqali ko'chirilgan fayllarni himoya qilmaydi. Windows tarmoq ulushida ochilgan barcha fayllarni sof matn formatida nusxalaydi. Agar siz diskda saqlangan va tarmoq orqali nusxalangan fayllarni real vaqt rejimida shifrlashingiz kerak bo'lsa, boshqa xavfsizlik usuli, IP xavfsizligi (IPsec), Secure Sockets Layer (SSL) yoki WWW Distributed Authoring and Versioning (WebDAV) dan foydalaning. Bundan tashqari, XP va keyingi versiyalarida siz oflayn fayllar uchun EFS himoyasini yoqishingiz mumkin.

EFS - mexanizm mahalliy himoya. U fayllarni shifrlash uchun mo'ljallangan mahalliy disklar. Disklarda saqlangan fayllarni himoya qilish uchun EFS dan foydalanish masofaviy kompyuterlar, vakolatlarni topshirish uchun ushbu mashinalar o'rtasida ishonch munosabatlari bo'lishi kerak. Noutbuk foydalanuvchilari ko'pincha fayl server resurslari uchun EFS dan foydalanadilar. Serverda EFS dan foydalanish uchun server kompyuteri hisob qaydnomasida “Bu kompyuterga har qanday xizmatga delegatsiya berilishiga ishonish” (faqat Kerberos) yoki “Bu kompyuterga faqat belgilangan xizmatlarga vakolat berish uchun ishonch” katagiga belgi qo‘yishingiz kerak (3-rasm).

Guruh siyosati yordamida foydalanuvchilarning EFSdan foydalanishini blokirovka qilish orqali oldini olishingiz mumkin. Siz "Kompyuter konfiguratsiyasi" konteynerini tanlashingiz kerak, "Windows sozlamalari" ni o'ng tugmasini bosing va "Xavfsizlik sozlamalari", "Ochiq kalit siyosati", "Shifrlash fayl tizimini" tanlang. Keyin foydalanuvchilarga EFS yordamida fayllarni shifrlashiga ruxsat berish katagini olib tashlashingiz mumkin. Siz alohida tashkiliy birliklarda (OU) EFSni yoqishingiz yoki o'chirib qo'yishingiz mumkin.

EFS dan foydalanishdan oldin ilovalaringiz EFS va EFS API bilan mos kelishiga ishonch hosil qilishingiz kerak. Agar ilovalar mos kelmasa, EFS bilan himoyalangan fayllar buzilgan bo'lishi yoki undan ham yomoni, tegishli ruxsatsiz himoyalanmagan bo'lishi mumkin. Misol uchun, agar siz EFS bilan himoyalangan faylni edit.com (16 bitli bajariladigan) bilan saqlasangiz va o'zgartirsangiz. Windows tarkibi, keyin barcha qo'shimcha foydalanuvchilar ushbu faylga kirish huquqini yo'qotadilar. Aksariyat Microsoft ilovalari (shu jumladan Microsoft Office, Notepad va Wordpad) EFS bilan to'liq mos keladi.

Agar vakolatli foydalanuvchi EFS bilan himoyalangan fayllarni FAT bo'limiga ko'chirsa, EFS himoyasi o'chiriladi. Ruxsatsiz foydalanuvchiga fayllarni boshqa joyga ko'chirish yoki nusxalash uchun ruxsat berilmasligi kerak Windows bo'limlari. Ruxsatsiz foydalanuvchi tizimga qo'shimcha ravishda yuklashi mumkin Windows ruxsatnomalari NTFS, yuklanadigan floppi disk yoki umumiy NTFS katalogini (masalan, Knoppix, NTFSDOS, Peter Nordahl-Hagen yuklanadigan floppi disk) o'rnatish imkonini beruvchi CD-ROM dasturidan foydalangan holda. Natijada, u fayldan nusxa ko'chirish yoki ko'chirish imkoniyatiga ega bo'ladi, lekin u vakolatli foydalanuvchining EFS kalitiga ega bo'lmasa, fayl shifrlangan bo'lib qoladi.

Eng yaxshi amaliyotlar

Quyida EFS bilan ishlashning eng yaxshi amaliyotlari keltirilgan.

1. Raqamni aniqlang va DRA hisoblarini aniqlang.
2. DRA hisoblari uchun DRA sertifikatlarini yarating.
3. DRA sertifikatlarini import qiling Active Directory(AD).
4. DRA shaxsiy kalitlarini eksport qiling va oʻchiring, ularni ikkita alohida, xavfsiz, oflayn omborda saqlang.
5. Yakuniy foydalanuvchilarni EFSni qo'llash usullari va xususiyatlari bilan tanishtirish.
6. Vaqti-vaqti bilan DRA faylni tiklashni sinab ko'ring.
7. Agar kerak bo'lsa, qo'shilgan yoki olib tashlangan DRAlar uchun FEKlarni yangilash uchun vaqti-vaqti bilan /u parametri bilan Cipher buyrug'ini bajaring.

EFS Windows 2000 va undan keyingi tizimlarda fayl va papkalarni shifrlashning ishonchli va xavfsiz usuli hisoblanadi. Tarmoq ma'murlari DRA siyosatlarini ishlab chiqishlari va amalga oshirishlari va oxirgi foydalanuvchilarni EFSning afzalliklari va cheklovlari haqida o'qitishlari kerak.

Rojer Grimes - Windows muharriri IT Pro va xavfsizlik bo'yicha maslahatchi. U CPA, CISSP, CEH, CHFI, TICSA, MCT, MCSE: Xavfsizlik va Xavfsizlik+ sertifikatlariga ega.

ShifrlashFaylTizim

Shifrlovchi fayl tizimi Windows 2000 yadrosida joylashgan NTFS bilan chambarchas integratsiyalangan xizmat bo'lib, uning maqsadi diskda saqlangan ma'lumotlarni shifrlash orqali ruxsatsiz kirishdan himoya qilishdir. Ushbu xizmatning paydo bo'lishi tasodifiy emas va uzoq vaqtdan beri kutilgan. haqiqat bugungi kunda mavjud fayl tizimlari ma'lumotlarning ruxsatsiz kirishdan zaruriy himoyasini ta'minlamang.

NTFS ruxsatsiz kirishdan foydalanishni boshqarish va ma'lumotlarni himoya qilishni ta'minlasa ham, NTFS bo'limiga kirish Windows NT operatsion tizimi yordamida emas, balki to'g'ridan-to'g'ri amalga oshirilganda nima qilish kerak. jismoniy daraja? Axir, buni amalga oshirish nisbatan oson, masalan, floppi diskdan yuklash va ishga tushirish maxsus dastur: masalan, juda keng tarqalgan.Albatta, siz bu imkoniyatni ta'minlashingiz va tizimni ishga tushirish uchun parol o'rnatishingiz mumkin, ammo amaliyot shuni ko'rsatadiki, bunday himoya samarasiz, ayniqsa bir xil kompyuterda bir nechta foydalanuvchi ishlaganda. Va agar tajovuzkor qattiq diskni kompyuterdan olib tashlasa, hech qanday parol yordam bermaydi. Diskni boshqa kompyuterga ulab, uning mazmunini hech qanday muammosiz o'qish mumkin. Shunday qilib, tajovuzkor qattiq diskda saqlangan maxfiy ma'lumotlarni erkin egallashi mumkin. Yagona yo'l ma'lumotlarni jismoniy o'qishdan himoya qilish - fayllarni shifrlash. Bunday shifrlashning eng oddiy holati faylni parol bilan arxivlashdir. Biroq, bir qator jiddiy kamchiliklar mavjud. Birinchidan, foydalanuvchi har safar ishni boshlashdan oldin va tugatgandan so'ng ma'lumotlarni qo'lda shifrlashi va shifrini ochishi kerak (ya'ni, bizning holatlarimizda arxivlash va arxivdan chiqarish), bu o'z-o'zidan ma'lumotlar xavfsizligini pasaytiradi. Foydalanuvchi ishni tugatgandan so'ng faylni shifrlashni (arxivlashni) unutishi yoki (bundan ham oddiyroq) faylning nusxasini diskda qoldirishi mumkin. Ikkinchidan, foydalanuvchi tomonidan yaratilgan parollarni taxmin qilish odatda oson. Har qanday holatda, parol bilan himoyalangan arxivlarni ochishga imkon beruvchi etarli miqdordagi yordamchi dasturlar mavjud. Qoida tariqasida, bunday yordamchi dasturlar lug'atda yozilgan so'zlarni qidirish orqali parolni taxmin qilishni amalga oshiradi. Ushbu kamchiliklarni bartaraf etish uchun EFS tizimi ishlab chiqilgan.

2.1. Shifrlash texnologiyasi

EP$ Windows CryptoAPI arxitekturasidan foydalanadi. U ochiq kalitlarni shifrlash texnologiyasiga asoslangan; har bir faylni shifrlash uchun tasodifiy fayl shifrlash kaliti yaratiladi. Bunday holda faylni shifrlash uchun har qanday simmetrik shifrlash algoritmidan foydalanish mumkin. Hozirgi vaqtda EFS bitta algoritmdan foydalanmoqda - DESX, bu keng tarqalgan DES standartining maxsus modifikatsiyasi. EFS shifrlash kalitlari doimiy xotira hovuzida saqlanadi (EFSning o'zi Windows 2000 yadrosida joylashgan), bu esa sahifa fayli orqali ularga ruxsatsiz kirishni oldini oladi.

Odatiy bo'lib, EFS foydalanuvchi darhol fayllarni shifrlashdan foydalanishni boshlashi uchun tuzilgan. Fayllar va kataloglar uchun shifrlash va teskari operatsiyalar qo'llab-quvvatlanadi. Agar katalog shifrlangan bo'lsa, ushbu katalogning barcha fayllari va pastki kataloglari avtomatik ravishda shifrlanadi. Shuni ta'kidlash kerakki, agar shifrlangan fayl shifrlangan katalogdan shifrlanmaganiga ko'chirilsa yoki nomi o'zgartirilsa, u shifrlangan bo'lib qoladi. Shifrlash/parchalash operatsiyalari ikki usulda amalga oshirilishi mumkin: turli yo'llar bilan- Windows Explorer yoki Cipher konsoli yordam dasturidan foydalanish. Windows Explorer-dan katalogni shifrlash uchun foydalanuvchi bir yoki bir nechta katalogni tanlashi va katalogning kengaytirilgan xususiyatlari oynasidagi shifrlash qutisini belgilashi kerak. Ushbu katalogda keyinroq yaratilgan barcha fayllar va pastki kataloglar ham shifrlanadi. Shunday qilib, siz faylni shunchaki "shifrlangan" katalogga nusxalash (yoki ko'chirish) orqali shifrlashingiz mumkin. Shifrlangan fayllar diskda shifrlangan shaklda saqlanadi. Fayl o'qilganda ma'lumotlar avtomatik ravishda shifrlanadi va yozilsa, u avtomatik ravishda shifrlanadi. Foydalanuvchi shifrlangan fayllar bilan oddiy fayllardagidek ishlashi mumkin, ya'ni Microsoft Word matn muharririda hujjatlarni ochish va tahrirlash, Adobe Photoshop-da chizmalarni tahrirlash yoki grafik muharriri Bo'yoq va boshqalar.

Shuni ta'kidlash kerakki, hech qanday holatda tizim ishga tushganda foydalaniladigan fayllarni shifrlash kerak emas, hozirda shifrni hal qilish amalga oshiriladigan foydalanuvchining shaxsiy kaliti hali mavjud emas. Bu tizimni ishga tushirishni imkonsiz qilishi mumkin! B EFS taqdim etilgan oddiy himoya bunday vaziyatlardan: "tizim" atributiga ega fayllar shifrlanmagan. Biroq, ehtiyot bo'ling: bu xavfsizlik teshigini yaratishi mumkin! Fayl atributi o'rnatilganligini tekshiring<системный» для того, чтобы убедиться, что файл действительно будет зашифрован.

Shuni ham unutmaslik kerakki, shifrlangan fayllar Windows 2000 yordamida siqilmaydi va aksincha. Boshqacha qilib aytganda, agar katalog siqilgan bo'lsa, uning tarkibini shifrlab bo'lmaydi, agar katalog tarkibi shifrlangan bo'lsa, uni siqib bo'lmaydi.

Agar ma'lumotlarni shifrlash zarur bo'lsa, Windows Explorer-da tanlangan kataloglar uchun shifrlash katakchalarini olib tashlashingiz kerak bo'ladi va fayllar va pastki kataloglar avtomatik ravishda shifrlangan bo'ladi. Shuni ta'kidlash kerakki, bu operatsiya odatda talab qilinmaydi, chunki EFS foydalanuvchiga shifrlangan ma'lumotlar bilan "shaffof" tajribani taqdim etadi.