219
8.2.4. Шифрованная файловая система
Шифрованная файловая система позволяет пользователям шифровать и расшифровывать файлы и применяется для защиты файлов от злоумышленников, которые могут получить несанкционированный физический доступ к хранимым конфиденциальным данным (например, украв переносной компьютер или внешний диск).
Для обеспечения секретности данных в процессе шифрования применяется открытый ключ пользователя. Посторонние не смогут расшифровать информацию без соответствующего закрытого ключа. Для каждого зашифрованного файла создается специальный восстанавливающий ключ — его использует компетентный администратор в экстренных ситуациях, например в случае отсутствия сотрудника или при потере закрытого ключа.
Шифрование/расшифровка производится в ходе вводавывода автоматически и практически не влияет на производительность.
EFS также поддерживает шифрование/расшифровку файлов на удаленных томах NTFS.
Файлы могут быть экспортированы в зашифрованном виде, но по умолчанию данные перемещаются по сети незашифрованными. Для шифрования данных при перемещении по сети Windows поддерживает сетевые протоколы SSL, TLS и IPSec.
8.2.4.1. Защита данных
EFS использует комбинацию открытого и закрытого ключей пользователя, а также выбранный случайным образом ключ шифрования файла (file encryption key, FEK).
FEK — это 128-разрядный ключ в версии для Северной Америки и 40-разрядный — для международных версий.
Windows использует для шифрования файлов алгоритм Data Encryption Standard X (DESX).
8.2.4.2. Восстановление данных
Политика восстановления зашифрованных данных (Encrypted Data Recovery Policy, EDRP) указывает, кто может вос-
становить данные в случае, если личный ключ пользователя
220
утерян. На изолированных компьютерах EDRP генерируется автоматически для упрощения администрирования.
Компьютеры домена получают EDRP из политики домена. По соображениям безопасности восстанавливают только зашифрованные данные, а ключи пользователей восстановить нельзя.
8.2.4.3.Шифрование при резервном копировании
ивосстановлении
Так как члены группы Backup Operators (Операторы архива) не имеют ключей для расшифровки, шифрованные данные считываются и записываются в резервную копию как фоновый поток данных.
8.2.4.4. Отказоустойчивость
Шифрование и расшифровка — операции уязвимые, так как сбой может привести к потере данных. Поэтому EFS выполняет все операции автоматически. Операция, которая не может быть завершена, отменяется. Например, если электропитание компьютера отключается при шифровании, EFS отменяет эту операцию при перезагрузке, и файл остается в исходном состоянии.
После того как файл зашифрован, процессы шифрования/расшифровки проходят автоматически и незаметно для пользователей и программ. За раз можно зашифровать один файл или одну папку.
Файл или папку можно зашифровать в Windows Explorer или из командной строки.
Невозможно одновременно использовать сжатие NTFS и шифрование для одного и того же файла — это взаимоисключающие операции.
8.2.4.5. Шифрование в EFS
EFS шифрует, дешифрует и восстанавливает файлы
(рис. 8.6).
221
Рис. 8.6. Процесс шифрования в EFS
Когда пользователь шифрует файл в EFS, происходит следующее:
1.Служба EFS открывает файл для монопольного доступа.
2.Все данные, записываемые в файл, копируются во временный файл.
3.Ключ файла генерируется случайным образом и используется для шифрования файла согласно схеме шифрования
DES.
4.Создается поле расшифровки данных (Data Decryption
Field, DDF), которое содержит ключ файла, зашифрованный открытым ключом пользователя.
5. Создается поле восстановления данных (Data Recovery Field, DRF), содержащее ключ файла, на этот раз зашифрованный открытым ключом агента восстановления. Открытый ключ агента восстановления извлекается из EDRP.
222
6.Сервер EFS записывает шифрованные данные с DDF
иDRF обратно в файл.
8.2.4.6. Расшифровка в EFS
Процесс расшифровки использует поле DDF, созданное при шифровании (рис. 8.7).
Рис. 8.7. Процесс расшифровки в EFS
Когда файл дешифруется в EFS, происходит следующее:
1.Когда какая-либо программа открывает зашифрованный файл, NTFS посылает запрос драйверу EFS.
2.Драйвер EFS возвращает значение DDF и передает его службе EFS.
3.Служба EFS дешифрует DDF с помощью закрытого ключа пользователя и получает ключ файла.
4.Служба EFS передает ключ файла обратно драйверу
EFS.
5.Драйвер EFS использует ключ файла для расшифровки
файла.
6.Драйвер EFS возвращает расшифрованные данные файловой системе NTFS, которая завершает запрос файла и посылает данные программе-заказчику.