Encrypting File System ( EFS ) er et datakrypteringssystem, der implementerer kryptering på filniveau i Microsoft Windows NT -operativsystemer (startende med Windows 2000 og nyere), med undtagelse af "hjemmeversioner" ( Windows XP Home Edition , Windows Vista Basic , Windows Vista Home Premium , Windows 7 Starter (Home Basic og Premium), Windows 10 Pro, Enterprise og Education-udgaver, Windows Server 2016 , Windows Server 2019. Dette system giver mulighed for " gennemsigtigt at kryptere " data gemt på partitioner med NTFS filsystem til beskyttelse af potentielt følsomme data mod uautoriseret adgang ved fysisk adgang til computeren og drevene.
Brugergodkendelsen og ressourcetilladelserne, der findes i NT, fungerer, når operativsystemet startes, men det er muligt at starte et andet OS, mens du fysisk får adgang til systemet for at omgå disse begrænsninger. EFS bruger symmetrisk kryptering til at beskytte filer, samt kryptering baseret på et offentligt/privat nøglepar for at beskytte en tilfældigt genereret krypteringsnøgle for hver fil. Som standard er brugerens private nøgle beskyttet af brugeradgangskodekryptering, og datasikkerhed afhænger af styrken af brugerens adgangskode.
EFS fungerer ved at kryptere hver fil ved hjælp af en symmetrisk krypteringsalgoritme , der afhænger af versionen af operativsystemet og indstillingerne (fra og med Windows XP er det teoretisk muligt at bruge tredjepartsbiblioteker til datakryptering). Dette bruger en tilfældigt genereret nøgle for hver fil, kaldet File Encryption Key (FEK), og vælger symmetrisk kryptering på dette stadium på grund af dens hastighed i forhold til asymmetrisk kryptering.
FEK (symmetrisk krypteringsnøgle, tilfældig for hver fil) er beskyttet af asymmetrisk kryptering , ved hjælp af den offentlige nøgle for brugeren, der krypterer filen, og RSA-algoritmen (teoretisk kan andre asymmetriske krypteringsalgoritmer bruges). Den FEK, der er krypteret på denne måde, lagres i den alternative strøm $EFS i NTFS-filsystemet. For at dekryptere data dekrypterer den krypterede filsystemdriver transparent FEK'en ved hjælp af brugerens private nøgle og derefter den påkrævede fil ved hjælp af den dekrypterede filnøgle.
Da filkryptering/dekryptering sker ved hjælp af filsystemdriveren (faktisk en tilføjelse til NTFS), er den gennemsigtig for brugeren og applikationerne. Det er værd at bemærke, at EFS ikke krypterer filer, der sendes over netværket, så andre databeskyttelsesprotokoller ( IPSec eller WebDAV ) skal bruges til at beskytte overførte data.
For at arbejde med EFS har brugeren mulighed for at bruge en grafisk explorer-grænseflade eller et kommandolinjeværktøj.
For at kryptere en fil eller mappe, der indeholder en fil, kan brugeren bruge den relevante dialogboks for fil- eller mappeegenskaberne ved at markere eller fjerne markeringen i afkrydsningsfeltet "krypter indhold for at beskytte data", mens du for filer, der starter med Windows XP, kan tilføje andre brugeres offentlige nøgler, som også vil være i stand til at dekryptere denne fil og arbejde med dens indhold (hvis de har de relevante tilladelser). Når du krypterer en mappe, krypteres alle filer i den, såvel som dem, der vil blive placeret i den senere.
Når du arbejder med Windows Stifinder, er det muligt (som standard) at vise krypterede mapper og filer i en anden (grøn som standard) farve, så du visuelt kan skelne mellem det beskyttede indhold på denne måde. Når du kopierer krypterede filer til en partition, hvor kryptering ikke understøttes (f.eks. med FAT32 -filsystemet osv.), vil der blive vist en advarsel om, at filen vil blive dekrypteret.
Ved hjælp af registreringsredigeringsmetoden er det muligt at tilføje "krypter" og "dekrypter" elementer til kontekstmenuen i Explorer (og andre filhåndteringer, der understøtter denne funktionalitet), hvilket øger bekvemmeligheden ved at arbejde med hyppig brug af disse funktioner, f. som du har brug for for at oprette (eller ændre en eksisterende) registreringsindstilling af typen DWORD EncryptionContextMenutil 00000001, placeret i HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced.
For at arbejde med EFS-brugeren er det også muligt at bruge kommandolinjegrænsefladen - chifferkommandoen . Når denne kommando udføres uden parametre, vil indholdet af den aktuelle mappe blive vist med en U-label foran filen, hvis den ikke er krypteret, og E, hvis den er krypteret.
Fil-/mappekrypteringskommandoen ser sådan ud:
cipher /E <путь к папке>,Kommandoen til dekryptering af fil/mappe ser sådan ud:
cipher /D <путь к папке>.Dette værktøj har en række andre funktioner, hvoraf en liste kan fås ved hjælp af kommandoen cipher /?, herunder genkryptering af filer med en ny nøgle, generering af en ny krypteringsnøgle, tilføjelse af en gendannelsesagent osv.
Oprydning af ubrugt pladsNår du sletter en fil eller mappe, er der ingen fuldstændig fysisk sletning af information, kun filsystemets "indholdsfortegnelse" ryddes. Ved at bruge krypteringsværktøjet er en delvis løsning på dette problem mulig, da det er muligt at rydde op på ledig diskplads ved at overskrive det. For at gøre dette skal du bruge syntaksen
cipher /W <путь к любой папке на разделе, подлежащем очистке>.For at arbejde med EFS applikations- og systemprogrammer er det muligt at bruge dokumenterede og udokumenterede funktioner i Windows API.
EFS-undersystemet bruger forskellige symmetriske krypteringsalgoritmer afhængigt af versionen af det Windows NT-operativsystem, du bruger.
| Operativ system | Standard krypteringsalgoritme | Alternative tilgængelige algoritmer |
|---|---|---|
| Windows 2000 | DESX | (ingen) |
| Windows XP RTM | DESX | 3DES |
| Windows XP SP1 | AES | 3DES, DESX |
| Windows Server 2003 | AES | 3DES, DESX |
| Windows Vista | AES | 3DES, DESX |
| Windows Server 2008 | AES | 3DES, DESX(?) |
| Windows 7 Windows Server 2008 R2 |
Blandet (AES, SHA og ECC) | 3DES, DESX |
| Windows 8 | ? | ? |
| Windows 10 | ? | ? |
| Filsystemer ( liste , sammenligning ) | |||||||
|---|---|---|---|---|---|---|---|
| Disk |
| ||||||
| Distribueret (netværk) | |||||||
| Særlig |
| ||||||