Encrypting File System ( EFS ) on tietojen salausjärjestelmä, joka toteuttaa tiedostotason salauksen Microsoft Windows NT -käyttöjärjestelmissä (alkaen Windows 2000 :sta ja uudemmista), lukuun ottamatta "kotiversioita" ( Windows XP Home Edition , Windows Vista Basic , Windows Vista Home Premium , Windows 7 Starter (Home Basic ja Premium), Windows 10 Pro-, Enterprise- ja Education-versiot, Windows Server 2016 , Windows Server 2019. Tämä järjestelmä tarjoaa mahdollisuuden " läpinäkyvästi salata " osioille tallennetut tiedot NTFS :n avulla. tiedostojärjestelmä, joka suojaa mahdollisesti arkaluonteisia tietoja luvattomalta käytöltä, kun tietokonetta ja asemia käytetään fyysisesti.
NT:stä löytyvät käyttäjän todennus ja resurssioikeudet toimivat, kun käyttöjärjestelmä käynnistetään, mutta on mahdollista käynnistää toinen käyttöjärjestelmä fyysisen käytön aikana, jotta nämä rajoitukset voidaan ohittaa. EFS käyttää symmetristä salausta tiedostojen suojaamiseen sekä julkiseen/yksityiseen avainpariin perustuvaa salausta suojatakseen satunnaisesti luodun salausavaimen jokaiselle tiedostolle. Oletuksena käyttäjän yksityinen avain on suojattu käyttäjän salasanasalauksella, ja tietoturva riippuu käyttäjän salasanan vahvuudesta.
EFS toimii salaamalla jokaisen tiedoston symmetrisellä salausalgoritmilla, joka riippuu käyttöjärjestelmän versiosta ja asetuksista (Windows XP:stä alkaen on teoriassa mahdollista käyttää kolmannen osapuolen kirjastoja tietojen salaukseen). Tämä käyttää satunnaisesti luotua avainta jokaiselle tiedostolle, nimeltään File Encryption Key (FEK), ja valitsee tässä vaiheessa symmetrisen salauksen sen nopeuden vuoksi suhteessa epäsymmetriseen salaukseen.
FEK (symmetrinen salausavain, satunnainen jokaiselle tiedostolle) on suojattu epäsymmetrisellä salauksella tiedoston salaavan käyttäjän julkisella avaimella ja RSA-algoritmilla (teoreettisesti muita epäsymmetrisiä salausalgoritmeja voidaan käyttää). Tällä tavalla salattu FEK tallennetaan NTFS-tiedostojärjestelmän vaihtoehtoiseen virtaan $EFS. Tietojen salauksen purkamiseksi salatun tiedostojärjestelmän ajuri avaa läpinäkyvästi FEK:n salauksen käyttäjän yksityisellä avaimella ja sitten tarvittavan tiedoston salauksen purkavalla tiedostoavaimella.
Koska tiedostojen salaus/salauksen purku tapahtuu tiedostojärjestelmän ajurin (itse asiassa NTFS:n lisäosan) avulla, se on läpinäkyvä käyttäjälle ja sovelluksille. On syytä huomata, että EFS ei salaa verkon kautta lähetettäviä tiedostoja, joten siirretyn tiedon suojaamiseen on käytettävä muita tietosuojaprotokollia ( IPSec tai WebDAV ).
EFS:n kanssa työskennelläkseen käyttäjällä on mahdollisuus käyttää graafista Explorer-käyttöliittymää tai komentorivityökalua.
Tiedoston sisältävän tiedoston tai kansion salaamiseksi käyttäjä voi käyttää tiedoston tai kansion ominaisuuksien asianmukaista valintaikkunaa valitsemalla "salaa sisältö tietojen suojaamiseksi" -valintaruudun tai poistamalla valinnan, kun taas Windows XP -käyttöjärjestelmästä alkavissa tiedostoissa lisää muiden käyttäjien julkiset avaimet, jotka voivat myös purkaa tämän tiedoston salauksen ja käsitellä sen sisältöä (jos heillä on asianmukaiset oikeudet). Kun salaat kansion, kaikki siinä olevat tiedostot sekä ne, jotka sijoitetaan siihen myöhemmin, salataan.
Kun työskentelet Windowsin Resurssienhallinnan kanssa, on mahdollista (oletusarvoisesti) näyttää salatut kansiot ja tiedostot eri (oletusarvoisesti vihreällä) värillä, jolloin voit visuaalisesti erottaa tällä tavalla suojatun sisällön. Kun kopioit salattuja tiedostoja osioon, jossa salausta ei tueta (esimerkiksi FAT32 -tiedostojärjestelmässä jne.), näyttöön tulee varoitus, että tiedoston salaus puretaan.
Rekisterin muokkausmenetelmällä on mahdollista lisätä "salauksen" ja "purun" kohteet Explorerin (ja muiden tätä toimintoa tukevien tiedostonhallintaohjelmien) kontekstivalikkoon, mikä lisää näiden toimintojen toistuvan käytön mukavuutta. jonka sinun on luotava (tai muutettava olemassa oleva) DWORD-tyyppinen rekisteriasetus EncryptionContextMenu, 00000001joka sijaitsee kohteessa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced.
EFS-käyttäjän kanssa työskentelemiseen on myös mahdollista käyttää komentorivikäyttöliittymää - salauskomentoa . Kun tämä komento suoritetaan ilman parametreja, nykyisen kansion sisältö näytetään U-tunnisteella tiedoston edessä, jos se ei ole salattu, ja E, jos se on salattu.
Tiedoston/kansion salauskomento näyttää tältä:
cipher /E <путь к папке>,Tiedoston/kansion salauksenpurkukomento näyttää tältä:
cipher /D <путь к папке>.Tässä apuohjelmassa on useita muita ominaisuuksia, joista luettelo voidaan saada komennolla cipher /?, mukaan lukien tiedostojen uudelleensalaaminen uudella avaimella, uuden salausavaimen luominen, palautusagentin lisääminen jne.
Käyttämättömän tilan siivoaminenTiedostoa tai kansiota poistettaessa ei tapahdu täydellistä fyysistä tietojen poistamista, vain tiedostojärjestelmän "sisältöluettelo" tyhjennetään. Salausapuohjelman avulla tämä ongelma voidaan ratkaista osittain, koska on mahdollista siivota vapaata levytilaa kirjoittamalla se päälle. Tätä varten sinun on käytettävä syntaksia
cipher /W <путь к любой папке на разделе, подлежащем очистке>.EFS-sovellus- ja järjestelmäohjelmien kanssa työskentelyyn on mahdollista käyttää Windows API:n dokumentoituja ja dokumentoimattomia toimintoja.
EFS-alijärjestelmä käyttää erilaisia symmetrisiä salausalgoritmeja riippuen käyttämäsi Windows NT -käyttöjärjestelmän versiosta.
| Käyttöjärjestelmä | Oletussalausalgoritmi | Vaihtoehtoisia käytettävissä olevia algoritmeja |
|---|---|---|
| Windows 2000 | DESX | (ei mitään) |
| Windows XP RTM | DESX | 3DES |
| Windows XP SP1 | AES | 3DES, DESX |
| Windows Server 2003 | AES | 3DES, DESX |
| Windows Vista | AES | 3DES, DESX |
| Windows Server 2008 | AES | 3DES, DESX(?) |
| Windows 7 Windows Server 2008 R2 |
Yhdistelmä (AES, SHA ja ECC) | 3DES, DESX |
| Windows 8 | ? | ? |
| Windows 10 | ? | ? |
| Tiedostojärjestelmät ( luettelo , vertailu ) | |||||||
|---|---|---|---|---|---|---|---|
| Levy |
| ||||||
| Hajautettu (verkko) | |||||||
| Erityinen |
| ||||||