Защита данных при помощи EFS

Наличие ноутбука обычно предполагает и наличие на нем достаточно ценной информации, попадание которой к третьим лицам может привести к серьезным неприятностям. Один из способов защиты конфиденциальной информации — использование Encrypted File System (EFS), доступной в Windows XP Professional и Windows 2000.

Наибольшим плюсом EFS является, безусловно, максимальная простота использования и «настройки». Как обычно и бывает, эта простота несколько обманчива, так что стоит обратить внимание на некоторые ньюансы. Ну и еще раз напомню, что 1) EFS поддерживается только в версии XP Pro, но не Home и 2) EFS поддерживается только на разделах NTFS, но не FAT.

На мой неискушенный взгляд, несмотря на ряд ньюансов, со своей основной задачей — защиты данных в случае потери/кражи ноутбука — EFS справляется отлично. Пока данные находятся на ноубуке — они шифруются/дешифруются прозрачно для пользователя и приложений, а при копировании на внешние носители автоматически дешифруются. Для архивирования данных в зашифрованном виде можно использовать «Мастер восстановления/архивации данных» (ntbackup).

Чтобы воспользоваться EFS никакой предварительной настройки делать не нужно, необходимые ключи создаются системой автоматически при первом использовании. Для шифрования файла/папки достаточно поставить соответствующую галочку в Проводнике (Свойства → Другие → Шифровать содержимое для защиты данных). Кстати, Проводник может выделять зашифрованные файлы цветом (Сервис → Свойства папки → Вид). Хорошей идеей может быть шифрование всей папки «Мои документы», тогда все новые документы (в ней) будут шифроваться автоматически.

Ну и конечно же, использование EFS в обязательном порядке предполагает использование нетривиального пароля учетной записи достаточной длины. И еще: прежде чем «играться» с шифрованием, сделайте резервные копии файлов, которые вы собираетесь шифровать. На всякий случай.

Реализация EFS использует криптографию с симметричным ключом, а ключ привязан к учетной записи пользователя. Отсюда следует первая и главная «засада»: если вы забыли/сбросили пароль учетной записи все зашифрованные файлы будут потеряны! Чтобы застраховаться от подобной неприятности обязательно нужно экспортировать криптоключ и скопировать его в безопасное место.

Для этого можно использовать оснастку (snap-in) «Сертификаты» mmc или же команду cipher:

C:\> cipher /R:notebook

В результате cipher создаст пару файлов (сертификат .CER и закрытый ключ с сертификатом .PFX) которые следует перенести с ноутбука в безопасное место. Плюс не забывать регулярное архивирование профиля пользователя (криптоключи, в частности, хранятся в Application Data → Microsoft → Crypto → RSA).

Альтернативным вариантом восстановления зашифрованных данных являются агенты восстановления данных (Data Recovery Agents, DRA). В Windows 2000 такой агент был сконфигурирован для учетной записи Администратора, а в Windows XP его уже нет. Что, на мой взгляд, вполне логично — в корпоративной сети администраторы могут сконфигурировать нужные политики, а для одиночного ноутбука такой агент только ослабляет безопасность системы.

Чтобы все-таки создать DRA используйте оснастку «Редактор объекта групповой политики» mmc (Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Политики открытого ключа → Файловая система EFS).

Документация, которая поставляется в составе Windows XP довольно скудная, но это компенсируется хорошей онлайн документацией: Step-by-Step Guide to Encrypting File System (2000), Encrypting File System (XP), Tips for implementing EFS

Все про українське ІТ в телеграмі — підписуйтеся на канал DOU