Encrypting File System ( EFS ) är ett datakrypteringssystem som implementerar kryptering på filnivå i Microsoft Windows NT -operativsystem (som börjar med Windows 2000 och högre), med undantag för "hem"-versioner ( Windows XP Home Edition , Windows Vista Basic , Windows Vista Home Premium , Windows 7 Starter (Home Basic och Premium), Windows 10 Pro, Enterprise och Education-utgåvor, Windows Server 2016 , Windows Server 2019. Detta system ger möjlighet att " transparent kryptera " data som lagras på partitioner med NTFS filsystem för att skydda potentiellt känsliga data från obehörig åtkomst vid fysisk åtkomst till datorn och enheterna.
Användarautentiseringen och resursbehörigheterna som finns i NT fungerar när operativsystemet startas, men det är möjligt att starta ett annat operativsystem samtidigt som du fysiskt kommer åt systemet för att kringgå dessa begränsningar. EFS använder symmetrisk kryptering för att skydda filer, samt kryptering baserad på ett offentligt/privat nyckelpar för att skydda en slumpmässigt genererad krypteringsnyckel för varje fil. Som standard är användarens privata nyckel skyddad av användarlösenordskryptering, och datasäkerheten beror på styrkan på användarens lösenord.
EFS fungerar genom att kryptera varje fil med en symmetrisk krypteringsalgoritm som beror på versionen av operativsystemet och inställningarna (från och med Windows XP är det teoretiskt möjligt att använda tredjepartsbibliotek för datakryptering). Detta använder en slumpmässigt genererad nyckel för varje fil, kallad File Encryption Key (FEK), och väljer symmetrisk kryptering i detta skede på grund av dess hastighet i förhållande till asymmetrisk kryptering.
FEK (symmetrisk krypteringsnyckel, slumpmässigt för varje fil) skyddas av asymmetrisk kryptering , med den publika nyckeln för användaren som krypterar filen, och RSA-algoritmen (teoretiskt kan andra asymmetriska krypteringsalgoritmer användas). Den FEK som krypteras på detta sätt lagras i den alternativa strömmen $EFS i NTFS-filsystemet. För att dekryptera data dekrypterar drivrutinen för det krypterade filsystemet på ett transparent sätt FEK:en med hjälp av användarens privata nyckel, och sedan den önskade filen med den dekrypterade filnyckeln.
Eftersom filkryptering/dekryptering sker med filsystemdrivrutinen (i själva verket ett tillägg till NTFS), är det transparent för användaren och applikationerna. Det är värt att notera att EFS inte krypterar filer som överförs över nätverket, så andra dataskyddsprotokoll ( IPSec eller WebDAV ) måste användas för att skydda överförd data.
För att arbeta med EFS har användaren möjlighet att använda ett grafiskt utforskargränssnitt eller ett kommandoradsverktyg.
För att kryptera en fil eller mapp som innehåller en fil kan användaren använda lämplig dialogruta för fil- eller mappegenskaper genom att markera eller avmarkera kryssrutan "kryptera innehåll för att skydda data", medan för filer som börjar med Windows XP kan du lägg till andra användares publika nycklar, som också kommer att kunna dekryptera den här filen och arbeta med dess innehåll (om de har lämpliga behörigheter). När du krypterar en mapp krypteras alla filer i den, såväl som de som kommer att placeras i den senare.
När du arbetar med Utforskaren i Windows är det möjligt (som standard) att visa krypterade mappar och filer i en annan (grön som standard) färg, vilket gör att du visuellt kan skilja innehållet som skyddas på detta sätt. När du kopierar krypterade filer till en partition där kryptering inte stöds (till exempel med FAT32 -filsystemet , etc.), kommer en varning att visas om att filen kommer att dekrypteras.
Med hjälp av registerredigeringsmetoden är det möjligt att lägga till "kryptera" och "dekryptera" objekt till snabbmenyn i Explorer (och andra filhanterare som stöder denna funktion), vilket ökar bekvämligheten med att arbeta med frekvent användning av dessa funktioner, för som du behöver för att skapa (eller ändra en befintlig) registerinställning av typen DWORD EncryptionContextMenutill 00000001, som finns i HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced.
För att arbeta med EFS-användaren är det också möjligt att använda kommandoradsgränssnittet - chifferkommandot . När detta kommando körs utan parametrar kommer innehållet i den aktuella mappen att visas med en U-etikett framför filen om den inte är krypterad och E om den är krypterad.
Kommandot för kryptering av fil/mapp ser ut så här:
cipher /E <путь к папке>,Dekrypteringskommandot för fil/mapp ser ut så här:
cipher /D <путь к папке>.Det här verktyget har ett antal andra funktioner, en lista över vilka kan erhållas med kommandot cipher /?, inklusive omkryptera filer med en ny nyckel, generera en ny krypteringsnyckel, lägga till en återställningsagent, etc.
Rensa outnyttjat utrymmeNär en fil eller mapp raderas sker ingen fullständig fysisk radering av information, bara filsystemets "innehållsförteckning" rensas. Med hjälp av chifferverktyget är en dellösning på detta problem möjlig, eftersom det är möjligt att rensa upp ledigt diskutrymme genom att skriva över det. För att göra detta måste du använda syntaxen
cipher /W <путь к любой папке на разделе, подлежащем очистке>.För att arbeta med EFS-applikationer och systemprogram är det möjligt att använda dokumenterade och odokumenterade funktioner i Windows API.
EFS-delsystemet använder olika symmetriska krypteringsalgoritmer beroende på vilken version av Windows NT-operativsystemet du använder.
| Operativ system | Standardkrypteringsalgoritm | Alternativa tillgängliga algoritmer |
|---|---|---|
| Windows 2000 | DESX | (ingen) |
| Windows XP RTM | DESX | 3DES |
| Windows XP SP1 | AES | 3DES, DESX |
| Windows Server 2003 | AES | 3DES, DESX |
| Windows Vista | AES | 3DES, DESX |
| Windows Server 2008 | AES | 3DES, DESX(?) |
| Windows 7 Windows Server 2008 R2 |
Blandat (AES, SHA och ECC) | 3DES, DESX |
| Windows 8 | ? | ? |
| Windows 10 | ? | ? |
| Filsystem ( lista , jämförelse ) | |||||||
|---|---|---|---|---|---|---|---|
| Disk |
| ||||||
| Distribuerat (nätverk) | |||||||
| Särskild |
| ||||||