Защита файлов и папок с использованием EFS в Vista

Нейл Рэндалл

Компания Microsoft дополнила ОС Vista функциями шифрования.

Шифрование – один из основных элементов системы безопасности, поэтому неудивительно, что в Windows Vista (за исключением редакции Home) появился модуль шифрования. Шифруюшая файловая система (Encrypting File System, EFS) была на самом деле уже в Windows 2000 как встроенный компонент файловой системы NTFS, лежащей в основе Vista XP и Windows 2000. В редакциях Vista Enterprise и Ultimate имеется дополнительная система безопасности, BitLocker, но мы рассмотрим только EFS.

EFS была включена в Windows, чтобы обеспечить надежное шифрование данных средствами самой ОС и избавиться от необходимости приобретать программы сторонних фирм. EFS работает в сочетании с NTFS и несовместима с томами FAT и FAT32; при копировании или перемещении зашифрованной папки или файла из раздела NTFS в раздел FAT/FAT32 данные расшифровываются. При передаче в обратном направлении незашифрованная папка или файл шифруются сразу же после перемещения в ранее зашифрованную папку.

Процедура шифрования

Шифрование файлов в Vista выполняется через диалоговое окно Properties (Свойства) шифруемого файла или папки. Перейдите к папке в Проводнике Windows, щелкните правой клавишей мыши и выберите пункт Properties; в появившемся меню нажмите кнопку Advanced (Дополнительно). Установите флажок Encrypt contents to secure data option (Шифровать содержимое для защиты данных), а затем щелкните на OK. Заметьте, что, хотя параметры расположены рядом, нельзя выбрать одновременно оба режима – шифрования и сжатия (как ни странно, они не представлены парой кнопок с зависимой фиксацией, как можно было бы ожидать); в Windows нельзя шифровать сжатые файлы с помощью EFS. Помните об этом ограничении при планировании стратегии тотальной безопасности – удалите сжатые файлы со всех дисков или защитите их с использованием программ третьих фирм.

Последний шаг – диалоговое окно Confirm Attribute Changes (Подтверждение изменения атрибутов), где можно зашифровать только текущую папку или папку вместе со всеми подпапками (и всеми файлами в них). Выберите нужный вариант, щелкните на OK и следите за индикатором процесса шифрования выбранных элементов.

Процедура шифрования.

Резервные копии ключей

Чтобы упростить шифрование, в Vista предусмотрена еще одна мера, которой нет в XP и предшествующих версиях Windows. В момент, когда начинается собственно шифрование, на панели пиктограмм появляется извещение с вопросом, нужно ли создать резервные копии сертификата и ключа шифрования. Щелкните на нем, чтобы открыть диалоговое окно резервного копирования EFS. Насколько важна копия видно из предлагаемых в окне действий. Рекомендуется выбрать Back up now (Создать копию сейчас), но если вы выберете Back up later (Отложить создание копии), то ОС напомнит об этом. Последний вариант Never Back up (Никогда не создавать копию), – только для любителей риска: если не сделать резервную копию сертификата и ключа шифрования, то в случае переустановки Vista или порчи учетной записи пользователя возможность доступа к зашифрованным файлам будет утеряна.

Если щелкнуть на Back up now (рекомендуемый вариант), открывается «мастер» экспорта сертификата. Выберите первый пункт, экспортировать закрытый ключ, и нажмите кнопку Next (Далее). Теперь «мастер» отобразит различные форматы шифрования файлов, но все они, за исключением Personal Information Exchange (PFX), выключены. Это единственный формат, применяемый в Vista EFS. На этом этапе можно создавать резервные копии всех персональных сертификатов пользователя, установив флажок для первого доступного варианта (не обязательно, если шифрование выполняется впервые). Нажмите Next (Далее) и введите пароль. Как и все пароли, предназначенные для обеспечения безопасности, он не должен быть простым. На следующем экране введите имя файла (подойдет любое имя, а Vista автоматически добавит расширение PFX), а затем нажмите Next для перехода на экран подтверждения. Нажмите кнопку Finish (Готово). Если резервное копирование было отложено, этот «мастер» можно запустить из диспетчера сертификатов, вызываемого командой certmgr.msc из поля поиска в нижней части меню Start. В левой области перейдите к Personal | Certificates (Личные | Сертификаты), затем в правой выделите все сертификаты и выберите All Tasks | Export (Все задачи | Экспорт).

Удаление сертификатов с жесткого диска