Доменная учетная запись
Для защиты от подобных атак рекомендуется использовать доменную, а не локальную учетную запись для работы с EFS. В таком случае кэшированная учетная запись не сохраняется в SAM, и, следовательно, применение ntpasswd не даст злоумышленнику никаких преимуществ.
Однако при использовании данного метода для доступа к зашифрованным файлам пользователю придется зарегистрироваться в системе под доменной учетной записью. При отсутствии связи с контроллером домена вход в систему можно осуществить при помощи кэша доменных учетных записей, сохраняемых в локальной системе.
Таким образом, злоумышленнику достаточно, воспользовавшись утилитой ntpasswd, зарегистрироваться в системе с учетной записью администратора или другим способом получить доступ к кэшу доменных учетных записей, после чего взломать хэш пароля или заменить его заранее сформированным хэшем.
Существует решение, лишенное перечисленных недостатков, которое заключается в использовании средств двухшаговой аутентификации типа Smartcard или E-token, позволяющих сохранять на постороннем носителе не только пароль пользователя, но и его сертификат для работы с EFS. Решение довольно надежное, но дорогостоящее.
Защищаем конфиденциальные файлы в win10 при помощи шифрованной файловой системы (efs)
Предположим, что у вас есть компьютер под управлением Windows самой распоследней версии. Вы на нем играете в игры–стрелялки, пишите свою диссертацию, ведете бухгалтерию ИП по упрощенной системе, да и вообще, развлекаетесь, как можете. Но, вдруг, совершенно необоснованно вы начинаете чувствовать, что что-то извне угрожает безопасности некоторых данных, что хранятся на вашем персональном компьютере. Вы, с горячим взглядом, читаете многочисленные кибер-форумы и с ужасом понимаете, что все ваши данные на жестком диске никак не защищены. И если ваш любимый компьютер похитят, а риск хищения для портативной техники не такой уж и низкий, то злоумышленник сможет добраться до всего содержимого жесткого диска! О, моя бесценная диссертация!
Давайте попробуем разобраться, действительно ли можно получить несанкционированный доступ к файлам, если на компьютере работает операционная система Windows 10. Инженеры IBM, а впоследствии и Microsoft, потратили немало усилий на реализацию системы разделения прав для файловой системы NTFS (в бытность IBM это была HPFS). И если Win10 запущена на компьютере, то получить без разрешения доступ к чужим файлам очень и очень сложно, а в случае блокировки доступа и вовсе нельзя. Windows надежно охраняет файлы пользователей.
Но стоит только загрузиться в другую операционную систему, например, в Linux Mint, то все пользовательские файлы будут как на ладони. Качай что хочешь. А загрузиться в Mint можно хоть с флешки, хоть с CD-ROM, нужно только добраться до UEFI (BIOS) и активировать загрузку со съемных накопителей, если она не была активирована ранее, либо воспользоваться меню загрузки. Предположим, что вы поставили пароль на вход в UEFI и отключили выбор накопителя для загрузки как класс, тогда ваши файлы защищены немного сильнее. А злоумышленник может просто развинтить ваш компьютер, вытащить жесткий диск и подключить его к своему компьютеру, а затем скачать, все, что требуется. Ведь данные в виде файлов будут у него как открытая тетрадь на руках.
Специалисты от IT, знают, что несколько обезопасить данные в своем компьютере можно при помощи технологии BitLocker. BitLocker — штука хорошая, но позволяет шифровать только целиком разделы на дисках, либо физические, либо виртуальные. При этом обеспечивается сохранность ключей, в том числе и с хранением в модулях TPM. Что весьма удобно. Однако, шифрование целиком всего и вся, далеко не всегда удобно, хотя, безусловно, применение полного шифрования диска имеет определенный смысл. А вот про частичное шифрование файлов и каталогов, почему-то все забывают.
В Windows 10, как и в предыдущих ее реинкарнациях, присутствует Шифрованная Файловая Система, что в переводе означает Encrypted File System (EFS). Данная функция доступна начиная с редакции Pro и выше, поэтому если у вас версия Windows Home, то необходимо проапгрейдиться как минимум до Pro. В Wikipedia много написано о том, как и что, шифруется в EFS. Я лишь постараюсь объяснить все как можно проще и приведу самую подробную инструкцию по включению защиты ваших файлов.
Помимо наличия минимума в виде Pro редакции, необходимо чтобы вы работали под пользователем, у которого есть пароль. Пароль должен присутствовать обязательно, пусть это будет привязка к облачному сервису Microsoft, либо же полностью автономный пароль. Входите ли вы в систему по PIN-коду или же с применением рисунка — не важно, важно, что к вашей учетной записи привязан пароль. Помимо наличия пароля в активной учетной записи, необходимо чтобы защищаемые файлы и каталоги размещались на диске или его разделе с файловой системой NTFS. Скорее всего, именно такая файловая система и применяется у вас.
Шифрование данных происходит абсолютно прозрачно для пользователей и для подавляющего большинства программных продуктов, т.к. шифрование происходит на уровне файловой системы NTFS. Зашифровать можно как один файл, так и целую папку сразу. Зашифровать можно как пустую папку, а затем добавить в нее новые файлы и они тоже зашифруются, а можно зашифровать папку уже с файлами и каталогами внутри. Все на ваш выбор.
При работе с зашифрованными папками и файлами стоит учитывать следующее:
- Файлы зашифрованы до тех пор, пока они не будут перенесены на любую другую файловую системы отличную от NTFS. Например, вы копируете зашифрованный файл на «флешку». Если там FAT32, а скорее всего там именно он, то файл расшифруется. В десятой версии Windows Microsoft все же реализовал функцию, когда файл остается зашифрованным даже если вы его перенесли на флешку с FAT, так что стоит быть бдительным если сливаете какие-то файлы своему другу. Сможет ли он их потом открыть без мата? Если вы отправляете файл по электронной почте — он расшифруется (иначе пропадает смысл его отправке по почте). При передаче файла по сети также произойдет расшифровка.
- При перемещении между NTFS разделами файл остается зашифрованным. При перемещении файла с одного NTFS диска на другой NTFS диск, файл будет зашифрованным. При копировании файла на жесткий сменный диск с файловой системой NTFS он будет зашифрованным и в новом месте.
- При насильственной смене пароля учетной записи третьим лицом, например, администратором, либо же насильственная смена пароля привязанной учетной записи домена, либо облачной службы — доступ к файлам без резервного сертификата (формируется при первом шифровании) будет уже невозможен.
Последний пункт весьма важен, особенно лицам с ненадежной памятью, которые постоянно сбрасывают пароли. Тут такой фокус может обернуться навсегда зашифрованными файлами, если, конечно, не импортировать в систему сохраненный сертификат. Тем не менее, когда смена пароля происходит добровольно, например, в соответствии с политикой смены пароля, то безвременная потеря зашифрованных файлов не произойдет.
Скептики вполне справедливо заметят, что подобная защита, впрочем, как и BitLocker, не является супернадежной, дескать, хакеры могут подобрать пароль, если он слабый, да и спецслужбы все расшифруют. Действительно, ваш пароль могут банально подобрать, если он короток, да прост. А спецслужбы на то они и спецслужбы, чтобы иметь техническую возможность добраться до содержимого файлов слишком уж мнительных пользователей. Более того, когда вы вошли в систему, вы сразу же получаете прозрачный доступ ко всем вашим зашифрованным при помощи EFS файлам. И если на вашем компьютере завелся троян или вирус, то он совершенно аналогично получит доступ к драгоценным файликам. Компьютерную гигиену стоит соблюдать неукоснительно.
Ниже я предлагаю пошаговую, точную инструкцию, как зашифровать папку с файлами в ней. Отдельный файл шифруется аналогичным образом.
Шаг 1. Создаем папку. Пусть она называется «Мои картинки».
Шаг 2. Нажимаем на папке правой кнопкой мышки и в контекстном меню выбираем «Свойства».
Шаг 3. В меню «Свойства» переходим в расширенные атрибуты папки посредством нажатия кнопки «Другие…».
Шаг 4. Ставим галочку в пункте «Шифровать содержимое для защиты данных» и жмем ОК. Если потребуется отменить шифрование, то отжимаем эту же галочку и файл расшифровывается.
Шаг 5. Завершаем работу со «Свойства», нажимаем ОК или «Применить».
Шаг 6. Отвечаем в диалоговом окне, что «применить» к нашей папке и всему ее содержимому.
На этом наша папка и все ее содержимое зашифровано при помощи EFS. При желании можно проверить, что наша папка и все файлы в ней надежно закрыты от посторонних.
Шаг 7. Проходим по шагам 1-3 и видим, что галочка «шифровать» активна. А рядом активна кнопка «Подробно». Нажимаем на «подробно».
Шаг 8. В появившемся окне видим, что данный файл имеет всего один сертификат для доступа только одного пользователя, плюс никакие сертификаты по восстановлению доступа не установлены.
Понять, что конкретный файл зашифрован можно и в Проводнике Windows, на файле появляется значок замочка.
Значок отображается и на всех других видах файлов и в представлениях проводника. Правда, на некоторых пиктограммах их очень плохо видно и приходится присматриваться.
После того, как были зашифрованы первые файлы, Windows предлагает сделать копию сертификата. Того самого сертификата, который позволит расшифровать файлы, если вдруг, что-то пойдет не так с вашим компьютером (переустановили систему, сбросили пароль, перекинули диск на другой компьютер и т.п.).
Шаг 9. Для сохранения резервного сертификата восстановления следует нажать на пиктограмму архивации ключа.
Шаг 10. В появившемся окне выбрать «Архивировать сейчас».
Шаг 11. В диалоговом окне мастера активации нажать «Далее».
Шаг 12. Если вы используете только шифрование EFS, то можно оставить значения по умолчанию. И нажать на «Далее».
Шаг 13. Экспортируемый сертификат имеет смысл защитить паролем. Вводим пароль, может быть любым, не обязательно от вашей почты или для входа в Windows. И жмем «Далее».
Шаг 14. Выбираем куда сохранить файл с сертификатом для восстановления. Жмем «Далее».
Шаг 15. Подтверждаем результат нажатием на ОК.
И собственно на этом все. Выгруженный сертификат стоит переписать в надежное место. Например, на дискету, флешку, в защищенное облако. Оставлять сертификат восстановления на компьютере — плохая затея, поэтому после сохранения его в «надежном месте» файл с компьютера удаляем, а заодно очищаем корзину.
Кстати, шифровать можно и каталоги, в которые синхронизируются облачные файлы на вашем компьютере, например, OneDrive, DropBox, Yandex Disk и многие другие. Если требуется зашифровать такую папку, то для начала следует выключить приложение синхронизации с облаком, либо поставить синхронизацию на паузу. Так же стоит закрыть все открытые файлы в каталоге, который будет подвержен шифрованию, например, закрыть Word, Excel или другие программы. После этого можно включить шифрование на выбранной папке. Когда процедура шифрования завершится, позволительно включить синхронизацию заново. В противном случае, шифрование может затронуть не все файлы в папке, т.к. встроенная система может зашифровать только файлы, доступные на запись. Да, при синхронизации в облако файлы будут расшифровываться и в облаке они будут уже незашифрованными.
Настало время проверить, насколько хорошо работает шифрование EFS. Я создал файл с текстом в зашифрованном каталоге. А затем загрузился в Linux Mint с флешки. Данная версия Linux может спокойно работать с жесткими дисками в формате NTFS, поэтому добраться до содержимого моего жесткого диска не составило труда.
Однако при попытке открыть файлы с зашифрованной папки меня ждало разочарование. Ни один файл так и не удалось открыть. Просмотрщики Linux Mint с отвагой сообщали, что доступа к указанным файлам у них нет. А вот все остальные открывались без сучка и задоринки.
«Ага!» — сказали суровые сибирские мужики. А ведь если записать на флешку файлик зашифрованный, то он останется зашифрованным, наверное. А затем перенести его на другой компьютер, под другую операционную систему, то вдруг он откроется? Нет, не откроется. Вернее откроется, но его содержимое будет полностью нечитабельным. Зашифровано же.
В целом, пользоваться EFS можно, а в некоторых случаях даже нужно. Поэтому если вы работаете под Windows 10 начиная с редакции Pro и выше, оцените риски доступа к вашему ПК или ноутбуку посторонних и смогут ли они получить ваши конфиденциальные файлы. Может быть, что-то стоит уже зашифровать сегодня?
Как включить efs шифрование каталога в windows
Пошагово разберем процедуру шифрования данных в Windows 8 с помощью EFS.
Примечание. Не в коем случае не стоит включать шифрование для системных каталогов и папок. В противнмслучае Windows может просто не загрузится, т.к. система не сможет найти личный ключ пользователя и дешифровать файлы.
В проводник File Explorer выберите каталог или файлы, которые необходимо зашифровать, и, щелкнув ПКМ, перейдите в их свойства (Properties). 
На вкладке General в секции атрибутов найдите и нажмите кнопку Advanced.
В появившемся окне поставьте чекбокс Encrypt contents to secure data (Шифровать содержимое для защиты данных). 
Нажмите дважды ОК.
В том случае, если выполняется шифрование каталога, система спросит хотите ли вы зашифровать только каталог или каталог и все вложенные элементы. Выберите желаемое действие, после чего окно свойств каталога закроется.
Зашифрованные каталоги и файлы в проводнике Windows отображаются зеленым цветов (напомним, что синим цветов подсвечены объекты, сжатые на уровне ntfs). Если выбрано шифрование папки со всем содержимым, все новые объекты внутри зашифрованного каталога также шифруются. 
Зашифрованные каталоги и файлы в проводнике Windows отображаются зеленым цветов (напомним, что синим цветов подсвечены объекты, сжатые на уровне ntfs). Если выбрано шифрование папки со всем содержимым, все новые объекты внутри зашифрованного каталога также шифруются.
Управлять шифрованием/дешифрованием EFS можно из командной строки с помощью утилиты cipher. Например, зашифровать каталог C:Secret можно так:
cipher /e c:Secret
Список всех файлов в файловой системе, зашифрованных с помощью сертификата текущего пользователя можно вывести с помощью команды:
cipher /u /n
Как работает efs?
В EFS используется комбинация симметричного и асимметричного шифрования. При использовании симметричного метода файл шифруется и восстанавливается с помощью одного ключа. Асимметричный метод заключается в использовании открытого ключа для шифрования и второго, но связанного с ним частного ключа для восстановления данных.
EFS активизируется по умолчанию на всех системах Windows 2000 и более поздних. Если кто-то впервые использует EFS для защиты файла или папки, то Windows проверяет доступность сервера PKI (public key infrastructure — инфраструктура открытых ключей), способного генерировать цифровые сертификаты EFS.
Службы Certificate Services в Windows 2003 и Windows 2000 могут генерировать сертификаты EFS, как и некоторые PKI-продукты других фирм. Если Windows не обнаруживает приемлемого PKI-провайдера, то операционная система генерирует и самостоятельно подписывает сертификат EFS для пользователя (экран 1).
Если Windows обнаруживает сервер Certificate Services, тот автоматически генерирует и передает пользователю двухлетний сертификат. Вероятно, это сделано из-за того, что, если организация располагает внутренней службой PKI, PKI-сервер может легко выдавать и возобновлять EFS-сертификаты по истечении срока действия оригинала.
Частный ключ EFS-пользователя (который открывает EFS-защищенные файлы) шифруется мастер-ключом пользователя и хранится в профиле пользователя в разделе Documents and Settings, , Application Data, Microsoft, Crypto, RSA.
Если используется перемещаемый профиль, то частный ключ находится в папке RSA на контроллере домена (DC) и загружается в пользовательский компьютер в процессе регистрации. Для генерации мастер-ключа применяется текущий пароль пользователя и 56-, 128- или 512-разрядный алгоритм RC4.
Вероятно, главное, что необходимо знать о EFS, — частный ключ EFS-пользователя находится в его профиле и защищен мастер-ключом, полученным на основе текущего пароля пользователя. Следует обратить внимание, что надежность шифрования EFS определяется надежностью пароля пользователя.
Если пароль пользователя утерян или сброшен (но не изменен самим пользователем), то можно лишиться доступа ко всем EFS-защищенным файлам. По этой причине копии частного ключа EFS-пользователя следует обязательно хранить в двух или нескольких безопасных удаленных хранилищах либо назначить одного или нескольких агентов DRA (а их частные ключи экспортировать и сделать резервные копии в двух или нескольких отдельных и безопасных удаленных хранилищах). Несоблюдение этих правил может привести к потере данных.
Надежный шифр
EFS обеспечивает надежное шифрование — настолько надежное, что при потере частного ключа EFS (используемого для восстановления файлов, защищенных шифром EFS), весьма вероятно, прочитать данные уже не удастся. Если параметры EFS настроены корректно, то даже администратор не может обратиться к зашифрованному файлу или папке, если только он не назначен агентом DRA.
В настоящее время в продаже имеется по крайней мере один продукт — Advanced EFS Data Recovery (AEFSDR) компании ElcomSoft, авторы которого заявляют о возможности восстановления EFS-защищенных файлов. В действительности программа восстанавливает пароль локального администратора (простой процесс, если конфигурация Windows настроена неудачно), с помощью которого затем можно извлечь частный ключ EFS администратора.
Пользователь, который располагает инструментом для разгадывания пароля администратора, может совершать любые действия в системе. Обращение такого пользователя к EFS-защищенным файлам будет самой мелкой из грозящих предприятию неприятностей. Риск несанкционированного восстановления частного ключа EFS снижает то, что в домене роль DRA назначается учетной записи администратора домена, а не учетной записи локального администратора, пароль которого можно разгадать с помощью почти любого средства взлома.
В XP появилась новая политика, которая затрудняет проведение атак подобного типа. Если инструмент восстановления не может извлечь текущий — и правильный — пароль администратора (многие инструменты не восстанавливают, а сбрасывают пароль), то защита EFS по-прежнему действует.
Резервное копирование ключа шифрование efs
После того, как пользователь впервые зашифровал свои данные с помощью EFS, в системном трее появится всплывающее окно, сообщающее о необходимости сохранить ключ шифрования.
Back up your file encryption key. This helps you avoid permanently losing access to you encrypted files.
Щелкнув по сообщению, вы запустите мастер резервного копирования сертификатов и ассоциированных с ними закрытых ключей шифрования EFS.
Выберите Back up your file encryption certificate and key
Далее запустится мастер экспорта сертификата . Все настройки экспорта можно оставить стандартными (форматPersonal Information Exchange — PKCS #12 .PFX)
Затем укажите пароль для защиты сертификата (желательно достаточно сложный).
Осталось указать местоположение, куда необходимо сохранить экспортируемый сертификат (в целях безопасности в дальнейшем его необходимо скопировать на внешний жесткий диск /usb флешку и хранить в безопасном месте).
На этом экспорт сертификата шифрования EFS закончен и в случае необходимости им всегда можно будет воспользоваться для расшифровки данных (подробности в статье Как расшифровать данных EFS с помощью сертификата пользователя.
Сертификаты
При первом шифровании чего-либо создается два ключа: открытый и закрытый. Отрытым происходит шифрация ключа FEK, а закрытым де-шифрация. Оба этих ключа (открытый и закрытый) помещаются в сертификат. Соответственно эти сертификаты можно экспортировать для расшифровки данных на другом компьютере.
Делается это следующим образом.
С помощью поиска в меню Пуск запускаем консоль mmc.exe
В открывшейся консоли нажимаете CTRL M или переходите в меню Файл > Добавить или удалить оснастку…
В открывшемся окошке в разделе Доступные оснастки выбираем Сертификаты и нажимаем Добавить >
В окошке проверяем что эта оснастка всегда будет управлять сертификатами моей учетной записи пользователя и жмем Готово
Нажимаем ОК в приведенном ниже окошке
В дереве консоли слева переходим по пути Сертификаты > Личное > Сертификаты. Выбираем созданный сертификат и вызываем на нем контекстное меню. Раскрываем раздел все задачи и выбираем Экспорт…
Открывается Мастер экспорта сертификатов. Нажимаем Далее >
Выбираем Да, экспортировать закрытый ключ и жмем Далее >
Вы сможете экспортировать только свои ключи для расшифровки своих файлов. То есть, если другой пользователь для вас установил свой сертификат с ключами для расшифровки своих файлов, вы его закрытый ключ не сможете экспортировать
В следующем окошке ничего не меняю жму Далее >
Задаем пароль для защиты сертификата и вводим подтверждение пароля
Далее необходимо указать расположение и имя экспортируемого файла. Жмем Обзор…
Выбираем например на Рабочий стол или на флешку. Задаем имя и жмем Сохранить
Нажимаем Далее >
В заключительном окошке нажимаем Готово
Экспорт сертификата успешно выполнен в файл .pfx
Теперь его желательно спрятать в доступное только для вас место и не забыть пароль от него. Без пароля не получится импортировать сертификат на другой компьютер для расшифровки данных.
Для импорта сертификата на другом ПК достаточно запустить файл .pfx и следовать инструкциям мастера.
Без сертификата у вас не получится ни открыть файл, ни скопировать его. Будет возможность только удалить зашифрованный файл.
Заключение
Попытаюсь объяснить свое видение работы системы шифрования данных EFS. Допустим, что файловая система NTFS представляет собой дорогу с прилегающей к ней тротуарной дорожкой. Все файлы записываются на основную дорогу в том числе шифрованные и сжатые.
После этого ключ, которым зашифрован файл (FEK) — шифруется открытым ключом пользователя и записывается рядом с файлом на тротуарную дорожку. При открытии файла зашифрованный ключ FEK расшифровывается с помощью закрытого ключа пользователя (который находится в сертификате и при условии, что последний установлен), а затем с помощью ключа FEK расшифровывается сам файл и открывается. Все это делается автоматически не задавая пользователю дополнительных хлопот.
Сделаю предположение, что при сжатии файла на тротуарную дорожку, рядом с самим файлом, записываются контрольные суммы необходимые для корректной распаковки. По сути сжатие это тоже шифрование, только не защищенное и преследует другую цель.
То есть файл, что при шифровании, что при сжатии представляется в не читаемом виде. В случае сжатия система автоматически преобразовывает файл в исходный вид без использования ключей в отличие от шифрования. Естественно эта простота займет незначительную частью вычислительной мощности процессора.
Если у вас есть более простое объяснение процесса работы системы шифрования файлов EFS пожалуйста поделитесь им в комментариях.
Благодарю, что поделились статьей в социальных сетях. Всего Вам Доброго!