Изучение шифрования файловой системы в клиенте Windows

  • 9 мин

EFS — это встроенное средство шифрования файлов для систем под управлением Windows. EFS — это компонент файловой системы NTFS, который использует расширенные стандартные алгоритмы шифрования для обеспечения прозрачного шифрования файлов и расшифровки. Благодаря функциональным возможностям Windows Information Protection функции EFS также имитируются на томах, использующих файловую систему FAT32. Любой отдельный или приложение, у которых нет доступа к хранилищу сертификатов, в котором хранится соответствующий криптографический ключ, не может считывать зашифрованные данные. Вы можете защитить зашифрованные файлы даже от тех, кто получает физическое владение компьютером, на котором хранятся файлы. Даже пользователи, имеющие авторизацию на доступ к компьютеру и его файловой системе, не могут просматривать зашифрованные данные.

Шифрование является мощным дополнением к любому оборонительного плана. Однако необходимо использовать дополнительные оборонительные стратегии, так как шифрование не является правильным счетчиком для каждой угрозы. Кроме того, каждое оборонительное оружие может навредить вашим данным, если вы используете его неправильно. При реализации EFS наиболее важной задачей является правильное управление сертификатами EFS для пользователей. Шифрование, предоставляемое EFS, основано на сертификатах пользователей и их открытых и закрытых ключах. Без правильного управления сертификатами вы можете легко попасть в ситуацию, когда зашифрованные данные недоступны.

Управление сертификатами EFS

EFS использует криптографию открытого ключа для шифрования файлов. EFS получает ключи из сертификата EFS пользователя, который также может содержать сведения о закрытом ключе. Таким образом, необходимо правильно управлять ими.

Пользователям требуются асимметричные пары ключей для шифрования данных, и они могут получить следующие ключи:

  • Из центра сертификации (ЦС). Внутренний или сторонний ЦС может выдавать сертификаты EFS. Этот метод обеспечивает централизованное управление и резервное копирование ключей. Рекомендуется выдавать сертификаты EFS и управлять ими, так как он позволяет восстановить сертификат пользователя, если он потерян.
  • Создав их. Если ЦС недоступно, Windows создаст пару ключей. Эти ключи имеют срок жизни 100 лет. Этот метод сложнее, чем использование ЦС, так как централизованного управления нет, и пользователи становятся ответственными за управление собственными ключами. Кроме того, восстановление сложнее управлять. Однако это по-прежнему популярный метод, так как он не требует установки.

Пользователи могут сделать зашифрованные файлы доступными для сертификатов EFS других пользователей. Если вы предоставляете доступ к сертификату EFS другого пользователя, этот пользователь может сделать эти файлы доступными для сертификатов EFS другого пользователя.

Выдача сертификата для DRA

Прежде чем начать использовать EFS в вашей организации, очень важно выдавать сертификат для агента восстановления данных (DRA). Этот сертификат используется в сценариях, когда пользователь, который зашифровал файл, не может или не хочет расшифровать его. Пользователь с сертификатом DRA может расшифровать любой зашифрованный файл в организации. Это относится ко всем файлам, зашифрованным после выдачи сертификата DRA.

Сертификаты EFS можно выдавать только отдельным пользователям. Вы не можете выдавать сертификаты EFS группам.

Центры сертификации могут архивировать и восстанавливать сертификаты EFS, выданные ЦС

При использовании ЦС для выдачи сертификатов EFS можно настроить архивацию закрытого ключа пользователя. Прежде чем приступить к выпуску сертификатов EFS для пользователей, необходимо настроить это. Если вы не используете эту функцию, пользователи должны создать резервную копию собственных сертификатов EFS и закрытых ключей вручную. Для этого он может экспортировать сертификат и закрытый ключ в личный файл Exchange (PFX), защищенный паролем во время процесса экспорта. Этот пароль необходим для импорта сертификата в хранилище сертификатов пользователя. В Windows можно также использовать встроенное средство для управления и резервного копирования сертификатов пользователей, используемых для EFS. Рекомендуется, чтобы каждый пользователь, использующий EFS, использовал это средство для резервного копирования своего сертификата с закрытым ключом в внешне защищенном расположении.

Экспорт сертификата EFS клиента без закрытого ключа

Если необходимо распространить только открытый ключ, вы можете экспортировать сертификат EFS клиента без закрытого ключа в файлы канонических правил кодирования (CER). Закрытый ключ пользователя хранится в профиле пользователя в папке RSA, к которой можно получить доступ, расширив AppData>Roaming>Microsoft>Crypto. Однако обратите внимание, что, поскольку существует только один экземпляр ключа, он уязвим для сбоя жесткого диска или повреждения данных.

Экспорт сертификатов с помощью оснастки "Сертификаты MMC"

Оснастка сертификатов консоли управления Майкрософт (MMC) экспортирует сертификаты и закрытые ключи. Хранилище личных сертификатов содержит сертификаты EFS. Когда пользователи шифруют файлы в удаленных общих папках, их ключи хранятся на файловом сервере.

Как работает EFS

Основные функции шифрования EFS работают следующим образом:

  • Когда пользователь, имеющий необходимый ключ, открывает файл, откроется файл. Если у пользователя нет ключа, пользователь получает сообщение об отказе в доступе.
  • Шифрование файлов использует симметричный ключ, который он шифрует с открытым ключом пользователя, который хранится в заголовке файла. Кроме того, он сохраняет сертификат с открытыми и закрытыми ключами пользователя или асимметричными ключами в профиле пользователя. Закрытый ключ пользователя должен быть доступен для расшифровки файла.
  • Если закрытый ключ причиняет ущерб или теряется, файл не может быть расшифрован. Если агент восстановления данных существует, файл можно восстановить. При реализации архивирования ключей можно восстановить ключ и расшифровать файл. В противном случае файл может быть потерян. Система сертификатов, на основе которой основано шифрование, называется инфраструктурой открытых ключей (PKI).
  • Вы можете архивировать сертификат пользователя, содержащий его открытые и закрытые ключи. Например, вы можете экспортировать его на USB-накопитель флэш-памяти, а затем сохранить USB-накопитель флэш-памяти в безопасном месте для восстановления, если ключи понесли ущерб или потеряны.
  • Пароль пользователя защищает открытые и закрытые ключи. Любой пользователь, который может получить идентификатор пользователя и пароль, может войти в систему в качестве этого пользователя и расшифровать файлы этого пользователя. Таким образом, методы безопасности организации должны включать в себя политику строгого пароля и обучение пользователей для защиты зашифрованных файлов EFS.
  • Зашифрованные EFS файлы не шифруются при пересечении сети, например при работе с файлами в общей папке. Файл расшифровывается, а затем проходит по сети в незашифрованном состоянии. EFS шифрует его локально, если сохранить его в папке на локальном диске, настроенном для шифрования. Зашифрованные EFS-файлы могут оставаться зашифрованными при обходе сети, если сохранить их в веб-папке с помощью протокола web Distributed Authoring and Versioning (WebDAV). Они также могут оставаться зашифрованными при настройке сетевого трафика для шифрования с помощью Протокола Интернета (IPSec).
  • EFS поддерживает стандартные отраслевые алгоритмы шифрования, включая расширенный стандарт шифрования (AES). AES использует 256-разрядный симметричный ключ шифрования и является алгоритмом EFS по умолчанию.

Функции EFS в Windows 10

Кроме того, при реализации EFS в Windows следует учитывать следующие функции:

  • Поддержка хранения закрытых ключей на смарт-карта. Windows включает полную поддержку хранения закрытых ключей пользователей на смарт-карта. Если пользователь входит в Windows с помощью смарт-карта, EFS также может использовать смарт-карта для шифрования файлов. Администратор istrator может хранить ключи восстановления домена на смарт-карта. Восстановление файлов выполняется так же просто, как вход на затронутый компьютер, локально или с помощью удаленного рабочего стола, а также использование интеллектуального карта восстановления для доступа к файлам.
  • Мастер повторного ключа файловой системы. Мастер повторного шифрования файловой системы позволяет пользователям выбирать сертификат EFS, а затем выбирать и переносить существующие файлы, которые будут использовать только что выбранный сертификат EFS. Администратор istrator может использовать мастер для переноса пользователей в существующие установки из сертификатов программного обеспечения в интеллектуальные карта. Мастер также полезен в ситуациях восстановления, так как это более эффективно, чем расшифровка и повторное шифрование файлов.
  • Параметры групповой политики для EFS. Групповую политику можно использовать для централизованного управления и настройки политик защиты EFS для всего предприятия. Например, Windows разрешает шифрование файлов страниц с помощью локальной политики безопасности или групповой политики.
  • Шифрование автономных файлов на пользователя. EFS можно использовать для шифрования автономных копий файлов с удаленных серверов. При включении этого параметра каждый файл в автономном кэше шифруется с открытым ключом от пользователя, который кэшировал файл. Таким образом, только у пользователя есть доступ к файлу, и даже локальные администраторы не могут считывать файл без доступа к закрытым ключам пользователя.
  • Выборочная очистка. Функция Windows в корпоративной среде — выборочная очистка. Если устройство потеряно или украдено, администратор может отозвать ключ EFS, который использовался для защиты файлов на устройстве. Отмена ключа предотвращает доступ ко всем файлам данных, хранящимся на устройстве пользователя.