Szyfrowanie danych przy użyciu EFS (Encrypting File System)
EFS
System Szyfrowania Plików (EFS) umożliwia szyfrowanie plików na lokalnym dysku NTFS w taki sposób, aby otworzyć je mogła wyłącznie ta osoba, która utworzyła zaszyfrowane pliki. Jest to dodatkowe zabezpieczenie w systemie operacyjnym, gdyż system uprawnień NTFS można ominąć.
Szyfrowanie plików można scharakteryzować następująco:
- Każdy plik ma unikatowy klucz szyfrowania pliku, który jest później wykorzystywany do odszyfrowywania danych znajdujących się w pliku.
- Klucz szyfrowania pliku jest również zaszyfrowany — jest chroniony przez klucz publiczny odpowiadający certyfikatowi użytkownika w systemie EFS.
- Klucz szyfrowania pliku jest także chroniony przez klucz publiczny każdego dodatkowego użytkownika systemu EFS, który został upoważniony do odszyfrowywania pliku, oraz każdego agenta odzyskiwania.
Odszyfrowywanie plików można scharakteryzować następująco:
- Aby odszyfrować plik, należy wcześniej odszyfrować klucz szyfrowania pliku. Klucz szyfrowania pliku jest odszyfrowywany, jeśli użytkownik ma klucz prywatny, który pasuje do klucza publicznego.
- Oryginalny użytkownik może nie być jedyną osobą uprawnioną do odszyfrowywania klucza szyfrowania pliku. Mogą go również odszyfrowywać inni wyznaczeni użytkownicy lub agenci odzyskiwania za pomocą własnych kluczy prywatnych.
Szyfrowanie pliku lub folderu w Windows XP Profesional
W wersji Home szyfrowanie EFS jest niedostępne
Po zaszyfrowaniu nazwy plików wyświetlane są na zielono
Ograniczenia szyfrowanie EFS
- Nie można szyfrować skompresowanych danych
- Nie można szyfrować plików z atrybutem systemowy, ani folderu i podfolderów %systemroot%
- Nie można szyfrować całych dysków
Zagrożenia związane z systemem EFS
Pamiętaj, że jeśli stracisz klucz umożliwiający odszyfrowanie danych, utracisz wszystkie chronione w ten sposób informacje. Jak łatwo stracić klucz:
- Klucz ten można stracić np. po reinstalacji systemu operacyjnego. Jak wiadomo będziesz miał nowe SID-y (identyfikatory zabezpieczeń). Jeśli wcześniej miałeś dane szyfrowane na innej partycji niż systemowa to niestety danych nie odczytasz.
- Możesz usunąć go przez nieuwagę pracując w certmgr.msc (pamiętaj, aby utworzyć kopie certyfikatu)
Eksportowanie i importowanie certyfikatów
Jeśli zachodzi potrzeba dostępu z innego konta do naszego zaszyfrowanego folderu, wówczas musimy z niego zaimportować certyfikat. Oczywiście wcześniej właściciel zaszyfrowanego folderu musi go wcześniej wyeksportować.
Właściciel zaszyfrowywanego folderu wchodzi w certmgr.msc
Teraz eksportujemy certyfikat. Uruchomi się kreator, postępujemy zgodnie ze zrzutami.
Logujemy się na drugie konto. Wchodzimy w certmgr.msc, następnie przechodzimy do importu certyfikatu. Uruchomi się kreator.
Więcej zrzutów nie umieszczam, gdyż jest to banalnie proste. Teraz mamy dostęp do zaszyfrowanego folderu.
Ćwiczenia
Zaszyfruj folder. Wykonaj poniższe ćwiczenia. Wnioski wpisz do zeszytu.
- Zaloguj się na inne konto.
- Spróbuj odczytać pliki.
- Spróbuj odszyfrować folder.
- Spróbuj skopiować niezaszyfrowane pliki do zaszyfrowanego folderu. Czy są zaszyfrowane?
- Spróbuj skopiować zaszyfrowany folder na tej samej partycji NTFS. Czy jest zaszyfrowany?
- Spróbuj skopiować zaszyfrowany folder na inną partycję NTFS. Czy jest zaszyfrowany?
- Spróbuj skopiować zaszyfrowany folder na partycję FAT32. Czy jest zaszyfrowany?
- Spróbuj przenieść niezaszyfrowane pliki do zaszyfrowanego folderu. Czy są zaszyfrowane?
- Spróbuj przenieść zaszyfrowany folder na tej samej partycji NTFS. Czy jest zaszyfrowany?
- Spróbuj przenieść zaszyfrowany folder na inną partycję NTFS. Czy jest zaszyfrowany?
- Spróbuj przenieść zaszyfrowany folder na partycję FAT32. Czy jest zaszyfrowany?
- Spróbuj zmienić nazwę zaszyfrowanego folderu.
- Spróbuj usunąć zaszyfrowany folder.
Ćwiczenia 2-11 wykonujecie na 2 kontach (właściciela zaszyfrowanego folderu i innym)