Шифрованная файловая система EFS

Шифрованная файловая система EFS представляет собой базовую технологию шифрования для хранения зашифрованных файлов на томах с файловой системой NTFS. Какое-либо использование зашифрованных файлов невозможно до тех пор, пока для их расшифровки не будет получен доступ к необходимым ключам.

Не требуется вручную расшифровывать зашифрованный файл. Все операции с файлом выполняются как и обычно. После того как файл или папка были зашифрованы, работа с шифрованным файлом или папкой ничем не отличается от работы с обычными файлами или папками.

Использование шифрованной файловой системы EFS подобно работе с разрешениями для файлов и папок. Оба метода могут одинаково использоваться для ограничения доступа к информации. Однако просмотр и чтение зашифрованных файлов или папок будет невозможен, даже если злоумышленник получил к ним несанкционированный физический доступ. При попытке открыть или копировать зашифрованный файл или папку будет выведено соответствующее сообщение о запрете доступа. При этом разрешения для файлов и папок не защищают от несанкционированного физического доступа.

Шифрование и расшифровка выполняется установкой шифрования в свойствах файлов или папок, аналогично установке других атрибутов, таких как «только для чтения», «сжатый» или «скрытый». При шифровании папки все файлы и подпапки, созданные в указанной шифрованной папке, будут также автоматически зашифрованы. Рекомендуется выполнять шифрование на уровне папок.

Кроме того, шифрование или расшифровку файла или папки можно выполнить командой «Шифровать».

При работе с шифрованными папками и файлами следует учитывать следующие особенности.

Параметры политики EFS

Ряд параметров политики EFS можно настроить с помощью групповой политики. Эти параметры политики находятся в разделе Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики открытого ключа\Шифрованная файловая система.

Включение и отключение EFS

Шифрованная файловая система EFS может быть активирована либо полностью отключена. Если не установлены никакие параметры политики, то EFS активирована.

После активации файловой системы EFS можно выполнить настройку ряда параметров, среди которых выполнение автоматического шифрования папки «Документы» пользователя, необходимость использования смарт-карты для работы с EFS, кэширование ключей, созданных с помощью смарт-карты, создание по смарт-карте ключа пользователя с возможностью кэширования, уведомление пользователей о необходимости создания резервных копий ключей шифрования.

Включение и отключение шифрования на эллиптических кривых

Можно включить или отключить использование вместе с файловой системой EFS шифрования на эллиптических кривых (ECC). Если не выполняется настройка каких-либо параметров политики для EFS, шифрование ECC включено. Благодаря шифрованию ECC организации могут обеспечить соответствие стандартам шифрования Suite B.

Suite B - это набор алгоритмов шифрования. В стандарт Suite B входят следующие компоненты: стандарт AES с 128- и 256-разрядными ключами для симметричного шифрования, алгоритм ECDSA для цифровых подписей, алгоритм ECDH (эллиптическая кривая Диффи-Хеллмана) для согласования ключей, а также алгоритмы SHA-256 и SHA-384 для хэша.