Microsoft Windows XP и шифрованная файловая система (EFS) дает возможность хранить данные на диске в зашифрованном формате, однако при переустановке системы или удалении учетной записи пользователя его зашифрованные данные будут безвозвратно утеряны, если не позаботиться о сохранении сертификата и ключей, создании учетной записи агента восстановления .

Шифрованная файловая система EFS используется для хранения шифрованных файлов на томах файловой системы NTFS 5.0. После того как файл или папка зашифрованы, с ними можно работать так же, как и с другими файлами или папками, т.е. шифрование прозрачно для пользователя, зашифровавшего файл. Это означает, что перед использованием файл не нужно расшифровывать. Можно, как обычно, открыть файл и изменить его.

Работа с EFS аналогична использованию разрешений для файлов и папок. Задача обоих методов — ограничение доступа к данным. Однако разрешения для файлов и папок не защитят вас, если злоумышленник получит физический доступ к вашим данным, например, подключит ваш жесткий диск к другому компьютеру или загрузится с помощью другой операционной системы, имеющей доступ к томам NTFS. При попытке же открыть или скопировать зашифрованный файл или папку он получит исчерпывающий ответ: «Нет доступа».

Шифрование и расшифровывание файлов выполняется путем установки атрибута файла или папки Свойства папки или файла > Общие > Другие > Шифровать содержимое для защиты данных (рис. 1).

Как только мы зашифруем какую-нибудь папку или файл, Windows создаст для нас сертификат и связанную с ним пару ключей (открытый и секретный ключ), на основании которых будет происходить шифрование и дешифрование файлов. Сертификат — цифровой документ, используемый для проверки подлинности и безопасной передачи данных в общедоступных сетях (Интернет, Интранет, Экстранет), он связывает открытый ключ с объектом, содержащим соответствующий закрытый ключ.

Наша задача — провести резервное копирование ключей. Это можно сделать с помощью оснастки консоли управления Сертификаты . По умолчанию при установке системы она отсутствует, поэтому мы ее добавим, проделав ряд шагов.

Нажмите кнопку Пуск , выберите команду Выполнить , введите mmc и нажмите кнопку OK . В меню Консоль выберите команду Добавить или удалить оснастку и нажмите кнопку Добавить. В поле Оснастка дважды щелкните Сертификаты . Далее установите флажок Моей учетной записи пользователя и нажмите кнопку Готово . В меню Консоль > Параметры установите режим консоли Пользовательский — огр. доступ, одно окно , нажмите Применить. Теперь консоль готова к работе (рис. 2).

Если вы уже зашифровали какой-нибудь файл или папку, то в Корень консоли > Сертификаты-текущий пользователь > Личные >Сертификаты вы должны увидеть сертификат, который связан с секретным ключом и который нам нужно экспортировать в файл. Перейдем к нему и вызовем контекстное меню, выберем Все задачи , а потом Экспорт . На предложение Экспортировать закрытый ключ вместе с сертификатом ответим «Да », формат файла оставим без изменений, введем пароль, знание которого нам будет нужно для обратной процедуры — импорта сертификата. Полученный файл с расширением.pfx необходимо спрятать, так как любой пользователь, который импортирует данный сертификат для своей учетной записи, получит доступ к вашим файлам, конечно, если узнает или угадает пароль, необходимый для импорта сертификата.

Рекомендуется использовать шифрование на уровне папки. Если шифруется папка, все файлы и подпапки, созданные в зашифрованной директории, автоматически шифруются. Эта процедура позволяет создавать зашифрованные файлы, данные которых никогда не появятся на диске в виде обычного текста — даже временные файлы, создаваемые программами в процессе редактирования, также будут зашифрованы.

При работе с зашифрованными файлами и папками следует учитывать ряд моментов.

Могут быть зашифрованы только файлы и папки, находящиеся на томах NTFS. Сжатые файлы и папки не могут быть зашифрованы. Если шифрование выполняется для сжатого файла или папки, файл или папка преобразуются к состоянию без сжатия.

Зашифрованные файлы могут стать расшифрованными, если файл копируется или перемещается на том, не являющийся томом NTFS. При перемещении незашифрованных файлов в зашифрованную папку они автоматически шифруются в новой папке, однако обратная операция не приведет к автоматической расшифровке файлов, файлы необходимо явно расшифровать. Не могут быть зашифрованы файлы с атрибутом Системный и файлы в системном каталоге. Шифрование папки или файла не защищает их от удаления — любой пользователь, имеющий права на удаление, может удалить зашифрованные папки или файлы. По этой причине рекомендуется использование EFS в комбинации с разрешениями системы NTFS. Могут быть зашифрованы или расшифрованы файлы и папки на удаленном компьютере, для которого разрешено удаленное шифрование. Однако если зашифрованный файл открывается по сети, передаваемые при этом по сети данные не будут зашифрованы. Для шифрования данных, передаваемых по сети, должны использоваться другие протоколы, например SSL/TLS или IPSec.

Теперь давайте рассмотрим процесс шифрования в Microsoft Windows XP на более низком уровне, чтобы обезопасить себя от издержек шифрования, а именно — потери данных.

Для начала вспомним две основные криптографические системы. Наиболее простая — шифрование с использованием секретного (симметричного) ключа, т.е. для шифровки и расшифровки данных используется один и тот же ключ. Преимущества: высокая скорость шифрования; недостатки: проблема передачи секретного ключа, а именно возможность его перехвата. Представители: DES, 3DES, DESX, AES. Отличие шифрования с открытым ключом (асимметричное шифрование) заключается в том, что данные шифруются одним ключом, а расшифровываются другим, с помощью одного и того же ключа нельзя осуществить обратное преобразование. Эта технология шифрования предполагает, что каждый пользователь имеет в своем распоряжении пару ключей — открытый ключ (public key) и личный или закрытый ключ (private key). Таким образом, свободно распространяя открытый ключ, вы предоставляете другим пользователям возможность шифровать свои сообщения, направленные вам, которые сможете расшифровать только вы. Если открытый ключ и попадет в «плохие руки», то он не даст возможности определить секретный ключ и расшифровать данные. Отсюда и основное преимущество систем с открытым ключом: не нужно передавать секретный ключ, однако есть и недостаток — низкая скорость шифрования. Представители: RSA, алгоритм Эль-Гамаля, алгоритм Диффи-Хелмана.

В EFS для шифрования используются все преимущества вышеперечисленных систем. Данные шифруются с помощью симметричного алгоритма с применением ключа шифрования файла (File Encryption Key, FEK). FEK — сгенерированный EFS случайным образом ключ. На следующем этапе FEK шифруется с помощью открытого ключа пользователя и сохраняется в пределах атрибута, называемого полем расшифровки данных (Data Decryption Field, DDF) непосредственно внутри самого файла. Кроме того, EFS шифрует FEK, используя открытый ключ агента восстановления, и помещает его в атрибут Data Recovery Field — DRF. DRF может содержать данные для множества агентов восстановления.

Кто же такой этот загадочный агент восстановления? Агент восстановления данных (Data Recovery Agent, DRA) — пользователь, который имеет доступ ко всем зашифрованным данным других пользователей. Это актуально в случае утраты пользователями ключей или других непредвиденных ситуациях. Агентом восстановления данных назначается обычно администратор. Для создания агента восстановления нужно сначала создать сертификат восстановления данных и определить политику восстановления, а затем назначить одного из пользователей таким агентом. Политика восстановления играет важную роль в системе шифрования Windows XP, она определяет агентов восстановления, а их отсутствие или удаление политики вообще запрещает использование пользователями шифрования.

Чтобы настроить политику восстановления, необходимо запустить консоль Пуск > Настройка > Панель управления > Администрирование >Локальная политика безопасности , в которой перейти к пункту Политики открытого ключа > Файловые системы EFS (рис. 3). По умолчанию политика восстановления такова, что права агента восстановления принадлежат администратору. Если сертификат агента восстановления по умолчанию удален, а другого агента в политике нет, компьютер будет иметь пустую политику восстановления. Пустая политика восстановления означает, что агента восстановления не существует. Это отключает EFS, следовательно, запрещает пользователям шифровать файлы на этом компьютере. Мы можем создать учетную запись администратора с помощью агента восстановления и провести для надежности операцию экспорта его ключа, а можем создать новый сертификат восстановления и назначить другого пользователя в качестве агента.

Чтобы создать сертификат восстановления, необходимо воспользоваться утилитой командной строки cipher, которая предназначена для управления шифрованием (подробную информацию об этой утилите можно прочитать в справке операционной системы). Нужно войти в систему с полномочиями администратора, ввести в командной строке:

cipher /R: имя файла сертификата

Далее введите пароль, который понадобится в случае импортирования. Файлы сертификата имеют расширение.pfx (содержит сертификат и связанный с ним открытый и закрытый ключ) или.cer (сертификат и связанный с ним открытый ключ) и указанное вами имя. Эти файлы позволяют любому пользователю системы стать агентом восстановления, поэтому наша задача — сохранить их в надежном месте, а главное, не забыть добавить сертификат агента восстановления в политику открытого ключа.

Чтобы создать этого самого агента, необходимо проделать следующие шаги: войти в систему под учетной записью, которая должна стать агентом восстановления данных; в консоли Сертификаты перейдите в раздел Сертификаты - Текущий пользователь > Личные > Сертификаты ; далее Действие >Все задачи > Импорт для запуска мастера импорта сертификатов , затем проведите импорт сертификата восстановления. Причем учтите: чтобы расшифровывать файлы, необходимо импортировать закрытый ключ, поэтому при выборе файла для импорта используйте файл .pfx .

Часто недостатком шифрования с помощью EFS считают невозможность транспортировки зашифрованных данных, т.е. записать данные на «болванку», не потеряв их секретность, не удастся. Но это не совсем так — действительно, просто записать их нельзя, но можно воспользоваться программой архивации для Windows XP — NTBackup , в этом случае данные будут скопированы на указанный носитель без дешифрования, причем носитель может не поддерживать NTFS 5.0. После восстановления зашифрованные данные остаются в зашифрованном виде.

И еще несколько советов. Всегда включайте шифрование для папок, так как это защитит временные файлы. Экспортируйте закрытый ключ учетной записи агента восстановления, сохраните его в надежном месте, после чего удалите с компьютера. При смене политик восстановления не спешите удалять старые сертификаты, пока не будете уверены, что все файлы, зашифрованные с помощью этих сертификатов, не будут обновлены.

Помните: «неправильное» шифрование может принести больше вреда, чем пользы!

Начиная с Windows XP во всех операционных системах Microsoft существует встроенная технология шифрования данных EFS (Encrypting File System) . EFS-шифрование основано на возможностях файловой системы NTFS 5.0 и архитектуре CryptoAPI и предназначено для быстрого шифрования файлов на жестком диске компьютера.

Вкратце опишем схему шифрования EFS. Система EFS использует шифрование с открытым и закрытым ключом. Для шифрования в EFS используется личный и публичный ключи пользователя, которые генерируются при первом использовании пользователем функции шифрования. Данные ключи остаются неизменными все время, пока существует его учетная запись. При шифровании файла EFS случайным образом генерирует уникальный номер, так называемый File Encryption Key (FEK) длиной 128 бит, с помощью которого и шифруются файлы. Ключи FEK зашифрованы master-ключом, который зашифрован ключом пользователей системы, имеющего доступ к файлу. Закрытый ключ пользователя защищается хэшем пароля этого самого пользователя.

Таким образом, можно сделать вывод: вся цепочка EFS шифрования по сути жестко завязана на логин и пароль пользователя. Это означает, что защищённость данных в том числе зависит и от стойкости пароля пользователя.

Важно . Данные, зашифрованные с помощью EFS, могут быть расшифрованы только с помощью той же самой учетной записи Windows с тем же паролем, из-под которой было выполнено шифрование. Другие пользователи, в том числе администраторы, расшифровать и открыть эти файлы не смогут. Это означает, что приватные данные останутся в безопасности, даже если любым способом. Но важно понимать и обратную сторону вопроса. При смене учетной записи или ее пароля (если только он не был изменен непосредственно самим пользователем из своей сессии), выходе из строя или переустановке ОС – зашифрованные данные станут недоступны. Именно поэтому крайне важно экспортировать и хранить в безопасном месте сертификаты шифрования (процедура описана ниже).

Примечание . Начиная с Windows Vista в ОС системах MS поддерживается еще одна технология шифрования – BitLocker. BitLocker в отличии от EFS-шифрования:

• используется для шифрования дискового тома целиком
• требует наличия аппаратного TPM модуля (в случае его требуется внешнее устройство хранения ключа, например USB флешки или жесткого диска)

Внешне для пользователя работа с зашифрованными с помощью EFS приватными файлами ничем не отличается от работы с обычными файлами – ОС выполняет операции шифрования/дешифрования автоматически (эти функции выполняет драйвер файловой системы).

Как включить EFS шифрование каталога в Windows

Пошагово разберем процедуру шифрования данных в Windows 8 с помощью EFS.

Примечание . Не в коем случае не стоит включать шифрование для системных каталогов и папок. В противнмслучае Windows может просто не загрузится, т.к. система не сможет найти личный ключ пользователя и дешифровать файлы.

В проводник File Explorer выберите каталог или файлы, которые необходимо зашифровать, и, щелкнув ПКМ, перейдите в их свойства (Properties ).

На вкладке General в секции атрибутов найдите и нажмите кнопку Advanced .

В появившемся окне поставьте чекбокс Encrypt contents to secure data (Шифровать содержимое для защиты данных).

Нажмите дважды ОК.

В том случае, если выполняется шифрование каталога, система спросит хотите ли вы зашифровать только каталог или каталог и все вложенные элементы. Выберите желаемое действие, после чего окно свойств каталога закроется.

Зашифрованные каталоги и файлы в проводнике Windows отображаются зеленым цветов (напомним, что синим цветов подсвечены объекты, ). Если выбрано шифрование папки со всем содержимым, все новые объекты внутри зашифрованного каталога также шифруются.

Управлять шифрованием/дешифрованием EFS можно из командной строки с помощью утилиты cipher. Например, зашифровать каталог C:\Secret можно так:

Cipher /e c:\Secret

Список всех файлов в файловой системе, зашифрованных с помощью сертификата текущего пользователя можно вывести с помощью команды:

Cipher /u /n

Резервное копирование ключа шифрование EFS

После того, как пользователь впервые зашифровал свои данные с помощью EFS, в системном трее появится всплывающее окно, сообщающее о необходимости сохранить ключ шифрования.

Back up your file encryption key . This helps you avoid permanently losing access to you encrypted files.

Щелкнув по сообщению, вы запустите мастер резервного копирования сертификатов и ассоциированных с ними закрытых ключей шифрования EFS.

Примечание . Если вы случайно закроете окно, или оно не появится, экспортировать сертификаты EFS можно с помощью функции «Manage file encryption certificates » в панели управления пользователями.

Выберите Back up your file encryption certificate and key

Затем укажите пароль для защиты сертификата (желательно достаточно сложный).

Осталось указать местоположение, куда необходимо сохранить экспортируемый сертификат (в целях безопасности в дальнейшем его необходимо скопировать на внешний жесткий диск /usb флешку и хранить в безопасном месте).

Encrypting file system

Шифрующая файловая система это тесно интегрированная с NTFS служба, располагающаяся в ядре Windows 2000. Ее назначение: защита данных, хранящихся на диске, от несанкционированного доступа путем их шифрования. Появление этой службы не случайно, и ожидалось давно. Дело в том, что существующие на сегодняшний день файловые системы не обеспечивают необходимую защиту данных от несанкционированного доступа.

Внимательный читатель может возразить мне: а как же Windows NT с ее NTFS? Ведь NTFS обеспечивает разграничение доступа и защиту данных от несанкционированного доступа! Да, это правда. Но как быть в том случае, когда доступ к разделу NTFS осуществляется не с помощью средств операционной системы Windows NT, а напрямую, на физическом уровне? Ведь это сравнительно легко реализовать, например, загрузившись с дискеты и запустив специальную программу: например, весьма распространенную ntfsdos. В качестве более изощренного примера можно указать продукт NTFS98. Конечно, можно предусмотреть такую возможность, и задать пароль на запуск системы, однако практика показывает, что такая защита малоэффективна, особенно в том случае, когда за одним компьютером работают сразу несколько пользователей. А если злоумышленник может извлечь жесткий диск из компьютера, то здесь уже не помогут никакие пароли. Подключив диск к другому компьютеру, его содержимое можно будет прочитать с такой же легкостью, что и эту статью. Таким образом, злоумышленник свободно может овладеть конфиденциальной информацией, которая хранится на жестком диске.

Единственный способ защиты от физического чтения данных это шифрование файлов. Простейший случай такого шифрования - архивирование файла с паролем. Однако здесь есть ряд серьезных недостатков. Во-первых, пользователю требуется каждый раз вручную шифровать и дешифровать (то есть, в нашем случае архивировать и разархивировать) данные перед началом и после окончания работы, что уже само по себе уменьшает защищенность данных. Пользователь может забыть зашифровать (заархивировать) файл после окончания работы, или (еще более банально) просто оставить на диске копию файла. Во-вторых, пароли, придуманные пользователем, как правило, легко угадываются. В любом случае, существует достаточное количество утилит, позволяющих распаковывать архивы, защищенные паролем. Как правило, такие утилиты осуществляют подбор пароля путем перебора слов, записанных в словаре.

Система EFS была разработана с целью преодоления этих недостатков. Ниже мы рассмотрим более подробно детали технологии шифрования, взаимодействие EFS с пользователем и способы восстановления данных, познакомимся с теорией и реализацией EFS в Windows 2000, а также рассмотрим пример шифрования каталога при помощи EFS.

Технология шифрования

EFS использует архитектуру Windows CryptoAPI. В ее основе лежит технология шифрования с открытым ключом. Для шифрования каждого файла случайным образом генерируется ключ шифрования файла. При этом для шифрования файла может применяться любой симметричный алгоритм шифрования. В настоящее же время в EFS используется один алгоритм, это DESX, являющийся специальной модификацией широко распространенного стандарта DES.

Ключи шифрования EFS хранятся в резидентном пуле памяти (сама EFS расположена в ядре Windows 2000), что исключает несанкционированный доступ к ним через файл подкачки.

Взаимодействие с пользователем

По умолчанию EFS сконфигурирована таким образом, что пользователь может сразу начать использовать шифрование файлов. Операция шифрования и обратная поддерживаются для файлов и каталогов. В том случае, если шифруется каталог, автоматически шифруются все файлы и подкаталоги этого каталога. Необходимо отметить, что если зашифрованный файл перемещается или переименовывается из зашифрованного каталога в незашифрованный, то он все равно остается зашифрованным. Операции шифрования/дешифрования можно выполнить двумя различными способами - используя Windows Explorer или консольную утилиту Cipher.

Для того чтобы зашифровать каталог из Windows Explorer, пользователю нужно просто выбрать один или несколько каталогов и установить флажок шифрования в окне расширенных свойств каталога. Все создаваемые позже файлы и подкаталоги в этом каталоге будут также зашифрованы. Таким образом, зашифровать файл можно, просто скопировав (или перенеся) его в «зашифрованный» каталог.

Зашифрованные файлы хранятся на диске в зашифрованном виде. При чтении файла данные автоматически расшифровываются, а при записи - автоматически шифруются. Пользователь может работать с зашифрованными файлами так же, как и с обычными файлами, то есть открывать и редактировать в текстовом редакторе Microsoft Word документы, редактировать рисунки в Adobe Photoshop или графическом редакторе Paint, и так далее.

Необходимо отметить, что ни в коем случае нельзя шифровать файлы, которые используются при запуске системы - в это время личный ключ пользователя, при помощи которого производится дешифровка, еще недоступен. Это может привести к невозможности запуска системы! В EFS предусмотрена простая защита от таких ситуаций: файлы с атрибутом «системный» не шифруются. Однако будьте внимательны: это может создать «дыру» в системе безопасности! Проверяйте, не установлен ли атрибут файла «системный» для того, чтобы убедиться, что файл действительно будет зашифрован.

Важно также помнить о том, что зашифрованные файлы не могут быть сжаты средствами Windows 2000 и наоборот. Иными словами, если каталог сжат, его содержимое не может быть зашифровано, а если содержимое каталога зашифровано, то он не может быть сжат.

В том случае, если потребуется дешифровка данных, необходимо просто снять флажки шифрования у выбранных каталогов в Windows Explorer, и файлы и подкаталоги автоматически будут дешифрованы. Следует отметить, что эта операция обычно не требуется, так как EFS обеспечивает «прозрачную» работу с зашифрованными данными для пользователя.

Восстановление данных

EFS обеспечивает встроенную поддержку восстановления данных на тот случай, если потребуется их расшифровать, но, по каким-либо причинам, это не может быть выполнено обычным. По умолчанию, EFS автоматически сгенерирует ключ восстановления, установит сертификат доступа в учетной записи администратора и сохранит его при первом входе в систему. Таким образом, администратор становится так называемым агентом восстановления, и сможет расшифровать любой файл в системе. Разумеется, политику восстановления данных можно изменить, и назначить в качестве агента восстановления специального человека, ответственного за безопасность данных, или даже несколько таких лиц.

Немного теории

EFS осуществляет шифрование данных, используя схему с общим ключом. Данные шифруются быстрым симметричным алгоритмом при помощи ключа шифрования файла FEK (file encryption key). FEK - это случайным образом сгенерированный ключ определенной длины. Длина ключа в североамериканской версии EFS 128 бит, в международной версии EFS используется уменьшенная длина ключа 40 или 56 бит.

FEK шифруется одним или несколькими общими ключами шифрования, в результате чего получается список зашифрованных ключей FEK. Список зашифрованных ключей FEK хранится в специальном атрибуте EFS, который называется DDF (data decryption field - поле дешифрования данных). Информация, при помощи которой производится шифрование данных, жестко связана с этим файлом. Общие ключи выделяются из пар пользовательских ключей сертификата X509 с дополнительной возможностью использования «File encryption». Личные ключи из этих пар используются при дешифровке данных и FEK. Личная часть ключей хранится либо на смарт-картах, либо в другом надежном месте (например, в памяти, безопасность которой обеспечивается при помощи CryptoAPI).

FEK также шифруется при помощи одного или нескольких ключей восстановления (полученных из сертификатов X509, записанных в политике восстановления зашифрованных данных для данного компьютера, с дополнительной возможностью «File recovery»).

Как и в предыдущем случае, общая часть ключа используется для шифрования списка FEK. Список зашифрованных ключей FEK также хранится вместе с файлом в специальной области EFS, которая называется DRF (data recovery field - поле восстановления данных). Для шифрования списка FEK в DRF используется только общая часть каждой пары ключей. Для нормального осуществления файловых операций необходимы только общие ключи восстановления. Агенты восстановления могут хранить свои личные ключи в безопасном месте вне системы (например, на смарт-картах). На рисунке приведены схемы процессов шифрования, дешифрования и восстановления данных.

Процесс шифрования

Незашифрованный файл пользователя шифруется при помощи случайно сгенерированного ключа FEK. Этот ключ записывается вместе с файлом, файл дешифруется при помощи общего ключа пользователя (записанного в DDF), а также при помощи общего ключа агента восстановления (записанного в DRF).

Процесс дешифрования

Сначала используется личный ключ пользователя для дешифрации FEK - для этого используется зашифрованная версия FEK, которая хранится в DDF. Расшифрованный FEK используется для поблочного дешифрования файла. Если в большом файле блоки считываются не последовательно, то дешифруются только считываемые блоки. Файл при этом остается зашифрованным.

Процесс восстановления

Этот процесс аналогичен дешифрованию с той разницей, что для дешифрования FEK используется личный ключ агента восстановления, а зашифрованная версия FEK берется из DRF.

Реализация в Windows 2000

На рисунке показана архитектура EFS:

EFS состоит из следующих компонентов:

Драйвер EFS

Этот компонент расположен логически на вершине NTFS. Он взаимодействует с сервисом EFS, получает ключи шифрования файлов, поля DDF, DRF и другие данные управления ключами. Драйвер передает эту информацию в FSRTL (file system runtime library, библиотека времени выполнения файловой системы) для прозрачного выполнения различных файловых системных операций (например, открытие файла, чтение, запись, добавление данных в конец файла).

Библиотека времени выполнения EFS (FSRTL)

FSRTL - это модуль внутри драйвера EFS, который осуществляет внешние вызовы NTFS для выполнения различных операций файловой системы, таких как чтение, запись, открытие зашифрованных файлов и каталогов, а также операций шифрования, дешифрования, восстановления данных при записи на диск и чтении с диска. Несмотря на то, что драйвер EFS и FSRTL реализованы в виде одного компонента, они никогда не взаимодействуют напрямую. Для обмена сообщениями между собой они используют механизм вызовов NTFS. Это гарантирует участие NTFS во всех файловых операциях. Операции, реализованные с использованием механизмов управления файлами, включают запись данных в файловые атрибуты EFS (DDF и DRF) и передачу вычисленных в EFS ключей FEK в библиотеку FSRTL, так как эти ключи должны устанавливаться в контексте открытия файла. Такой контекст открытия файла позволяет затем осуществлять незаметное шифрование и дешифрование файлов при записи и считывании файлов с диска.

Служба EFS

Служба EFS является частью подсистемы безопасности. Она использует существующий порт связи LPC между LSA (Local security authority, локальные средства защиты) и работающим в kernel-mode монитором безопасности для связи с драйвером EFS. В режиме пользователя служба EFS взаимодействует с программным интерфейсом CryptoAPI, предоставляя ключи шифрования файлов и обеспечивая генерацию DDF и DRF. Кроме этого, служба EFS осуществляет поддержку интерфейса Win32 API.

Win32 API

Обеспечивает интерфейс программирования для шифрования открытых файлов, дешифрования и восстановления закрытых файлов, приема и передачи закрытых файлов без их предварительной расшифровки. Реализован в виде стандартной системной библиотеки advapi32.dll.

Немного практики

Для того чтобы зашифровать файл или каталог, выполните следующие операции:

1. Запустите Windows Explorer, нажмите правую кнопку мыши на каталоге, выберите пункт Properties (Свойства).
2. На закладке General (Общие) нажмите кнопку Advanced.

1. Отметьте галочкой пункт «Encrypt contents to secure data». Нажмите OK, затем нажмите Apply (применить) в диалоге Properties. Если Вы выбрали шифрование отдельного файла, то дополнительно появится диалоговое окно следующего вида:

Система предлагает зашифровать также и каталог, в котором находится выбранный файл, так как в противном случае шифрование будет автоматически отменено при первой модификации такого файла. Всегда имейте это в виду, когда шифруете отдельные файлы!

На этом процесс шифрования данных можно считать законченным.

Чтобы расшифровать каталоги, просто снимите выделение в пункте «Encrypt contents to secure data». При этом каталоги, а также все содержащиеся в них подкаталоги и файлы будут расшифрованы.

Выводы

• Система EFS в Windows 2000 предоставляет пользователям возможность зашифровывать каталоги NTFS, используя устойчивую, основанную на общих ключах криптографическую схему, при этом все файлы в закрытых каталогах будут зашифрованы. Шифрование отдельных файлов поддерживается, но не рекомендуется из-за непредсказуемого поведения приложений.
• Система EFS также поддерживает шифрование удаленных файлов, доступ к которым осуществляется как к совместно используемым ресурсам. Если имеют место пользовательские профили для подключения, используются ключи и сертификаты удаленных профилей. В других случаях генерируются локальные профили и используются локальные ключи.
• Система EFS предоставляет установить политику восстановления данных таким образом, что зашифрованные данные могут быть восстановлены при помощи EFS, если это потребуется.
• Политика восстановления данных встроена в общую политику безопасности Windows 2000. Контроль за соблюдением политики восстановления может быть делегирован уполномоченным на это лицам. Для каждого подразделения организации может быть сконфигурирована своя политика восстановления данных.
• Восстановление данных в EFS - закрытая операция. В процессе восстановления расшифровываются данные, но не ключ пользователя, при помощи которого эти данные были зашифрованы.
• Работа с зашифрованными файлами в EFS не требует от пользователя каких-либо специальных действий по шифрованию и дешифрованию данных. Дешифрование и шифрование происходят незаметно для пользователя в процессе считывания и записи данных на диск.
• Система EFS поддерживает резервное копирование и восстановление зашифрованных файлов без их расшифровки. Программа NtBackup поддерживает резервное копирование зашифрованных файлов.
• Система EFS встроена в операционную систему таким образом, что утечка информации через файлы подкачки невозможна, при этом гарантируется, что все создаваемые копии будут зашифрованы
• Предусмотрены многочисленные меры предосторожности для обеспечения безопасности восстановления данных, а также защита от утечки и потери данных в случае фатальных сбоев системы.

Предположим, что у вас есть компьютер под управлением Windows самой распоследней версии. Вы на нем играете в игры–стрелялки, пишите свою диссертацию, ведете бухгалтерию ИП по упрощенной системе, да и вообще, развлекаетесь, как можете. Но, вдруг, совершенно необоснованно вы начинаете чувствовать, что что-то извне угрожает безопасности некоторых данных, что хранятся на вашем персональном компьютере. Вы, с горячим взглядом, читаете многочисленные кибер-форумы и с ужасом понимаете, что все ваши данные на жестком диске никак не защищены. И если ваш любимый компьютер похитят, а риск хищения для портативной техники не такой уж и низкий, то злоумышленник сможет добраться до всего содержимого жесткого диска! О, моя бесценная диссертация!

Давайте попробуем разобраться, действительно ли можно получить несанкционированный доступ к файлам, если на компьютере работает операционная система Windows 10. Инженеры IBM, а впоследствии и Microsoft, потратили немало усилий на реализацию системы разделения прав для файловой системы NTFS (в бытность IBM это была HPFS). И если Win10 запущена на компьютере, то получить без разрешения доступ к чужим файлам очень и очень сложно, а в случае блокировки доступа и вовсе нельзя. Windows надежно охраняет файлы пользователей.

Но стоит только загрузиться в другую операционную систему, например, в Linux Mint , то все пользовательские файлы будут как на ладони. Качай что хочешь. А загрузиться в Mint можно хоть с флешки, хоть с CD-ROM, нужно только добраться до UEFI (BIOS) и активировать загрузку со съемных накопителей, если она не была активирована ранее, либо воспользоваться меню загрузки. Предположим, что вы поставили пароль на вход в UEFI и отключили выбор накопителя для загрузки как класс, тогда ваши файлы защищены немного сильнее. А злоумышленник может просто развинтить ваш компьютер, вытащить жесткий диск и подключить его к своему компьютеру, а затем скачать, все, что требуется. Ведь данные в виде файлов будут у него как открытая тетрадь на руках.

Специалисты от IT, знают, что несколько обезопасить данные в своем компьютере можно при помощи технологии BitLocker . BitLocker - штука хорошая, но позволяет шифровать только целиком разделы на дисках, либо физические, либо виртуальные. При этом обеспечивается сохранность ключей, в том числе и с хранением в модулях TPM . Что весьма удобно. Однако, шифрование целиком всего и вся, далеко не всегда удобно, хотя, безусловно, применение полного шифрования диска имеет определенный смысл. А вот про частичное шифрование файлов и каталогов, почему-то все забывают.

В Windows 10, как и в предыдущих ее реинкарнациях, присутствует Шифрованная Файловая Система, что в переводе означает Encrypted File System (EFS). Данная функция доступна начиная с редакции Pro и выше, поэтому если у вас версия Windows Home, то необходимо проапгрейдиться как минимум до Pro. В Wikipedia много написано о том, как и что, шифруется в EFS. Я лишь постараюсь объяснить все как можно проще и приведу самую подробную инструкцию по включению защиты ваших файлов.

Помимо наличия минимума в виде Pro редакции, необходимо чтобы вы работали под пользователем, у которого есть пароль. Пароль должен присутствовать обязательно, пусть это будет привязка к облачному сервису Microsoft, либо же полностью автономный пароль. Входите ли вы в систему по PIN-коду или же с применением рисунка - не важно, важно, что к вашей учетной записи привязан пароль. Помимо наличия пароля в активной учетной записи, необходимо чтобы защищаемые файлы и каталоги размещались на диске или его разделе с файловой системой NTFS. Скорее всего, именно такая файловая система и применяется у вас.

Шифрование данных происходит абсолютно прозрачно для пользователей и для подавляющего большинства программных продуктов, т.к. шифрование происходит на уровне файловой системы NTFS. Зашифровать можно как один файл, так и целую папку сразу. Зашифровать можно как пустую папку, а затем добавить в нее новые файлы и они тоже зашифруются, а можно зашифровать папку уже с файлами и каталогами внутри. Все на ваш выбор.

При работе с зашифрованными папками и файлами стоит учитывать следующее:

1. Файлы зашифрованы до тех пор, пока они не будут перенесены на любую другую файловую системы отличную от NTFS. Например, вы копируете зашифрованный файл на «флешку». Если там FAT32, а скорее всего там именно он, то файл расшифруется. В десятой версии Windows Microsoft все же реализовал функцию, когда файл остается зашифрованным даже если вы его перенесли на флешку с FAT, так что стоит быть бдительным если сливаете какие-то файлы своему другу. Сможет ли он их потом открыть без мата? Если вы отправляете файл по электронной почте - он расшифруется (иначе пропадает смысл его отправке по почте). При передаче файла по сети также произойдет расшифровка.
2. При перемещении между NTFS разделами файл остается зашифрованным. При перемещении файла с одного NTFS диска на другой NTFS диск, файл будет зашифрованным. При копировании файла на жесткий сменный диск с файловой системой NTFS он будет зашифрованным и в новом месте.
3. При насильственной смене пароля учетной записи третьим лицом, например, администратором, либо же насильственная смена пароля привязанной учетной записи домена, либо облачной службы - доступ к файлам без резервного сертификата (формируется при первом шифровании) будет уже невозможен.

Последний пункт весьма важен, особенно лицам с ненадежной памятью, которые постоянно сбрасывают пароли. Тут такой фокус может обернуться навсегда зашифрованными файлами, если, конечно, не импортировать в систему сохраненный сертификат. Тем не менее, когда смена пароля происходит добровольно, например, в соответствии с политикой смены пароля, то безвременная потеря зашифрованных файлов не произойдет.

Скептики вполне справедливо заметят, что подобная защита, впрочем, как и BitLocker, не является супернадежной, дескать, хакеры могут подобрать пароль, если он слабый, да и спецслужбы все расшифруют. Действительно, ваш пароль могут банально подобрать, если он короток, да прост. А спецслужбы на то они и спецслужбы, чтобы иметь техническую возможность добраться до содержимого файлов слишком уж мнительных пользователей. Более того, когда вы вошли в систему, вы сразу же получаете прозрачный доступ ко всем вашим зашифрованным при помощи EFS файлам. И если на вашем компьютере завелся троян или вирус, то он совершенно аналогично получит доступ к драгоценным файликам. Компьютерную гигиену стоит соблюдать неукоснительно.

Подробная инструкция по включению шифрования при помощи EFS под Win10 Pro на папке

Ниже я предлагаю пошаговую, точную инструкцию, как зашифровать папку с файлами в ней. Отдельный файл шифруется аналогичным образом.

Шаг 1 . Создаем папку. Пусть она называется «Мои картинки».

Создаем каталог

Шаг 2 . Нажимаем на папке правой кнопкой мышки и в контекстном меню выбираем «Свойства».

Правой кнопкой нажимаем на папке и получаем вот это

Шаг 3 . В меню «Свойства» переходим в расширенные атрибуты папки посредством нажатия кнопки «Другие…».

Свойства папки

Шаг 4 . Ставим галочку в пункте «Шифровать содержимое для защиты данных» и жмем ОК. Если потребуется отменить шифрование, то отжимаем эту же галочку и файл расшифровывается.

В расширенных атрибутах свойств папки

Шаг 5 . Завершаем работу со «Свойства», нажимаем ОК или «Применить».

Шаг 6 . Отвечаем в диалоговом окне, что «применить» к нашей папке и всему ее содержимому.

Выбираем нужный пункт шифрования

На этом наша папка и все ее содержимое зашифровано при помощи EFS. При желании можно проверить, что наша папка и все файлы в ней надежно закрыты от посторонних.

Шаг 7 . Проходим по шагам 1-3 и видим, что галочка «шифровать» активна. А рядом активна кнопка «Подробно». Нажимаем на «подробно».

Проверка того, что зашифровалось

Шаг 8 . В появившемся окне видим, что данный файл имеет всего один сертификат для доступа только одного пользователя, плюс никакие сертификаты по восстановлению доступа не установлены.

Папка зашифрована одним сертификатом

Понять, что конкретный файл зашифрован можно и в Проводнике Windows, на файле появляется значок замочка.

Галерея с зашифрованными картинками. Просмотреть их может только владелец учетной записи.

Значок отображается и на всех других видах файлов и в представлениях проводника. Правда, на некоторых пиктограммах их очень плохо видно и приходится присматриваться.

Та же галерея, только в виде таблицы. Замочки в правом верхнем углу пиктограммы.

После того, как были зашифрованы первые файлы, Windows предлагает сделать копию сертификата. Того самого сертификата, который позволит расшифровать файлы, если вдруг, что-то пойдет не так с вашим компьютером (переустановили систему, сбросили пароль, перекинули диск на другой компьютер и т.п.).

Шаг 9 . Для сохранения резервного сертификата восстановления следует нажать на пиктограмму архивации ключа.

Значок в трее призывающий к архивации резервного сертификата для восстановления шифрования

Шаг 10 . В появившемся окне выбрать «Архивировать сейчас».

Выбор когда архивировать

Шаг 11 . В диалоговом окне мастера активации нажать «Далее».

Окно мастера экспорта сертификатов

Шаг 12 . Если вы используете только шифрование EFS, то можно оставить значения по умолчанию. И нажать на «Далее».

Настройки экспорта резервного сертификата

Шаг 13 . Экспортируемый сертификат имеет смысл защитить паролем. Вводим пароль, может быть любым, не обязательно от вашей почты или для входа в Windows. И жмем «Далее».

Вводим пароль для дополнительной защиты сертификата восстановления

Шаг 15 . Подтверждаем результат нажатием на ОК.

Завершаем работу мастера экспорта

И собственно на этом все. Выгруженный сертификат стоит переписать в надежное место. Например, на дискету, флешку, в защищенное облако. Оставлять сертификат восстановления на компьютере - плохая затея, поэтому после сохранения его в «надежном месте» файл с компьютера удаляем, а заодно очищаем корзину.

Кстати, шифровать можно и каталоги, в которые синхронизируются облачные файлы на вашем компьютере, например, OneDrive, DropBox, Yandex Disk и многие другие. Если требуется зашифровать такую папку, то для начала следует выключить приложение синхронизации с облаком, либо поставить синхронизацию на паузу. Так же стоит закрыть все открытые файлы в каталоге, который будет подвержен шифрованию, например, закрыть Word, Excel или другие программы. После этого можно включить шифрование на выбранной папке. Когда процедура шифрования завершится, позволительно включить синхронизацию заново. В противном случае, шифрование может затронуть не все файлы в папке, т.к. встроенная система может зашифровать только файлы, доступные на запись. Да, при синхронизации в облако файлы будут расшифровываться и в облаке они будут уже незашифрованными.

Перед началом шифрования необходимо выйти из OneDrive

Настало время проверить, насколько хорошо работает шифрование EFS. Я создал файл с текстом в зашифрованном каталоге. А затем загрузился в Linux Mint с флешки. Данная версия Linux может спокойно работать с жесткими дисками в формате NTFS, поэтому добраться до содержимого моего жесткого диска не составило труда.

Создаем файл с текстом в зашифрованной папке.

Однако при попытке открыть файлы с зашифрованной папки меня ждало разочарование. Ни один файл так и не удалось открыть. Просмотрщики Linux Mint с отвагой сообщали, что доступа к указанным файлам у них нет. А вот все остальные открывались без сучка и задоринки.

Зашифрованные файлы в Win10 из Mint видно, но открыть их нельзя.

«Ага!» - сказали суровые сибирские мужики. А ведь если записать на флешку файлик зашифрованный, то он останется зашифрованным, наверное. А затем перенести его на другой компьютер, под другую операционную систему, то вдруг он откроется? Нет, не откроется. Вернее откроется, но его содержимое будет полностью нечитабельным. Зашифровано же.

Попытка открыть зашифрованный файл с текстом, записанный на флешку.

В целом, пользоваться EFS можно, а в некоторых случаях даже нужно. Поэтому если вы работаете под Windows 10 начиная с редакции Pro и выше, оцените риски доступа к вашему ПК или ноутбуку посторонних и смогут ли они получить ваши конфиденциальные файлы. Может быть, что-то стоит уже зашифровать сегодня?

Лабораторная работа

Информатика, кибернетика и программирование

Мои документы которую требуется зашифровать нажмите правую кнопку мыши и выберите в контекстном меню команду Свойства. В появившемся окне свойств на вкладке Общие нажмите кнопку Другие. В группе Атрибуты сжатия и шифрования установите флажок Шифровать содержимое для защиты данных и нажмите кнопку ОК. Нажмите кнопку ОК в окне свойств зашифровываемого файла или папки в появившемся окне диалога укажите режим шифрования: Только к этой папке или К этой папке и всем вложенным папкам и файлам.

Лабораторная работа № 5

Шифрующая файловая система EFS и управление се р тификатами

Цели

• Ознакомиться с возможностями шифрующей файловой системы EFS операционной системы Windows 2000 (ХР) .
• Изучить последовательность операций по шифрованию и расшифровке файлов с помощью шифрующей файловой системы EFS операционной системы Windows 2000 (ХР).
• Приобрести практические навыки по защите информации от несанкционированного доступа.

Краткие теоретические сведения

Шифрующая файловая система EFS позволяет пользователям хранить данные на диске в зашифрованном виде.

Шифрование — это процесс преобразования данных в формат, недоступный для чтения другим пользователям. После того как файл был зашифрован, он автоматически остается зашифрованным в любом месте хранения на диске.

Расшифровка — это процесс преобразования данных из зашифрованной формы в его исходный формат.

При работе шифрующей файловой системой EFS следует учитывать следующие сведения и рекомендации.

1. Могут быть зашифрованы только файлы и папки, находящиеся на томах NTFS.
2. Сжатые файлы и папки не могут быть зашифрованы. Если шифрование выполняется для сжатого файла или папки, файл или папка преобразуются к состоянию без сжатия.
3. Зашифрованные файлы могут стать расшифрованными, если файл копируется или перемещается на том, не являющийся томом NTFS.
4. При перемещении незашифрованных файлов в зашифрованную папку они автоматически шифруются в новой папке. Однако, обратная операция не приведет к автоматической расшифровке файлов. Файлы необходимо явно расшифровать.
5. Не могут быть зашифрованы файлы с атрибутом «Системный» и файлы в структуре папок системный корневой каталог .
6. Шифрование папки или файла не защищает их от удаления. Любой пользователь, имеющий права на удаление, может удалить зашифрованные папки или файлы.
7. Процесс шифрование является прозрачным для пользователя.

Примечание. Прозрачное шифрование означает, что перед использованием файл не нужно расшифровывать. Можно, как обычно, открыть файл и изменить его. В системах прозрачного шифрования (шифрования «на лету») криптографические преобразования осуществляются в режиме реального времени, незаметно для пользователя. Например, пользователь записывает подготовленный в текстовом редакторе документ на защищаемый диск, а система защиты в процессе записи выполняет его шифрование.

Использование EFS сходно с использованием разрешений для файлов и папок. Оба метода используются для ограничения доступа к данным. Но злоумышленник, получивший несанкционированный физический доступ к зашифрованным файлам и папкам, не сможет их прочитать. При его попытке открыть или скопировать зашифрованный файл или папку появиться сообщение, что доступа нет.

Шифрование и расшифровывание файлов выполняется установкой свойств шифрования для папок и файлов, как устанавливаются и другие атрибуты, например «только чтение», «сжатый» или «скрытый». Если шифруется папка, все файлы и подпапки, созданные в зашифрованной папке, автоматически шифруются. Рекомендуется использовать шифрование на уровне папки. Шифрующая файловая система автоматически создает пару ключей шифрования для пользователя, если она отсутствует. Шифрующая файловая система использует алгоритм шифрования Data Encryption Standard (DESX).

Задание:

Включить и отключить шифрование файлов шифрующей файловой системой EFS . Экспортировать сертификат с ключами для расшифровки файлов на другом компьютере.

Алгоритм выполнения работы.

А) Для включения режима шифрования выполните следующие действия.

1. Укажите файл или папку (например, создайте файл шифр. doc в папке Мои документы ), которую требуется зашифровать, нажмите правую кнопку мыши и выберите в контекстном меню команду Свойства.

2. В появившемся окне свойств на вкладке Общие нажмите кнопку Другие . Появится окно диалога Дополнительные атрибуты.

3. В группе установите флажок Шифровать содержимое для защиты данных и нажмите кнопку «ОК».

4. Нажмите кнопку ОК в окне свойств зашифровываемого файла или папки, в появившемся окне диалога укажите режим шифрования:

• Только к этой папке

или

• К этой папке и всем вложенным папкам и файлам.

Внимание! После выполнения этих действий файл с Вашей информацией будет автоматически зашифровываться. Просмотр его на другой ПЭВМ будет невозможен.

Б) Для выключения режима шифрования выполните следующие действия.

1. Выделите файл шифр. doc в папке Мои документы.
   1. Нажмите правую клавишу Мыши и выберите пункт Свойства.
      1. На вкладке Общие нажмите кнопку Другие.
      2. В открывшемся окне диалога в группе Атрибуты сжатия и шифрования сбросьте флажок Шифровать содержимое для защиты данных.

Внимание! После выполнения этих действий файл с Вашей информацией не будет зашифровываться.

В) Создание резервной копии Сертификата средствами Windows 2000 (ХР0.

Резервная копия сертификата необходима для расшифровки данных после переустановки операционной системы или для просмотра заши ф рованной информации на другой ПЭВМ.

Внимание! Перед переустановкой операционной системы обязательно создайте копии Сертификатов, т.к. после п е реустановки Вы не сможете расшифровать инфо р мацию.

Для создания резервной копии сертификата выполните следующие действия:

1. Выберите кнопку Пуск в панели задач.
   1. Перейдите к пункту Выполнить.
      1. В открывшемся окне в поле ввода введите команду mmc.
      2. в результате откроется консоль управления mmc.

Примечание. Консоль MMC - это средство для создания, сохранения и открытия наборов средств администрирования, называемых консолями. Консоли содержат такие элементы как оснастки , расширения оснасток, элементы управления, задачи, мастера и документация, необходимая для управления многими аппаратными, программными и сетевыми компонентами системы Windows. Можно добавлять элементы в существующую консоль MMC, а можно создавать новые консоли и настраивать их для управления конкретными компонентами системы.

1. В меню Консоль выберите команду Добавить или удалить оснастку (Рисунок 1) и нажмите кнопку Добавить .

Рисунок 1

1. В поле Оснастка дважды щелкните Сертификаты (Рисунок 2), установите переключатель в положение учетной записи компьютера и нажмите кнопку Далее .

Рисунок 2

1. Выполните одно из следующих действий.
   • Чтобы управлять сертификатами локального компьютера, установите переключатель в положение локальным компьютером и нажмите кнопку Готово .
     • Чтобы управлять сертификатами удаленного компьютера, установите переключатель в положение другим компьютером и введите имя компьютера или нажмите кнопку Обзор для выбора компьютера, затем нажмите кнопку Готово .
     1. Нажмите кнопку Закрыть .
     2. В списке выбранных оснасток для новой консоли появится элемент Сертификаты (имя_компьютера).
     3. Если на консоль не нужно добавлять другие оснастки, нажмите кнопку OK.
     4. Чтобы сохранить эту консоль, в меню Консоль выберите команду Сохранить и укажите имя оснастки Сертификаты .
     5. Закройте окно Консоли и выберите команду Пуск и далее Все программы .
     6. Найдите пункт Администрирование и выберите подпункт Сертификаты (т еперь оснастка с Сертификатами доступна в меню Пуск).
     7. В левом подокне оснастки Сертификаты откройте папку Доверенные корневые сертификаты , а затем папку Сертификаты. В правом подокне появится список сертификатов.
     8. Укажите переносимый сертификат (например, первый в списке, Рисунок 3) и щелкните правой кнопкой мыши. В появившемся контекстном меню выберите команду Все задачи и далее выберите команду Экспорт .

Рисунок 3

1. В результате запустится Мастер экспорта сертификатов.
   1. Нажмите кнопку Далее.
      1. В следующем окне мастера выберите опцию Да, экспортировать закрытый ключ .
      2. Затем нажмите кнопку Далее.
      3. В следующем окне мастера доступен только один формат (PFX ), предназначенный для персонального обмена информацией. Нажмите кнопку Далее.
      4. В следующих окнах сообщите пароль (например, 11 ), защищающий данные файла сертификат. pfx , а также путь сохранения файла (запишите путь к папке в которой Вы сохранили копию Сертификата) сертификат . pfx .
      5. Нажмите кнопку Далее.
      6. Отобразится список экспортируемых сертификатов и ключей. Нажмите кнопку Готово.
      7. Завершите работу мастера экспорта сертификата нажатием кнопки ОК в окне диалога, сообщающем об успешном выполнении процедуры экспорта.

В результате сертификат и секретный ключ будут экспортированы в файл с расширением сертификат.pfx, который может быть скопирован на гибкий диск и перенесен на другой компьютер или использован после переустановки операционной системы.

Для восстановления сертификата из резервной копии выполните следующие действия.

1. Перенесите созданный на предыдущем этапе файл с расширением сертификат.pfx на компьютер (Вам необходимо вспомнить путь к копии Сертификата ).
   1. Запустите оснастку Сертификаты, для этого выберите кнопку Пуск панели задач и далее Все п рогра м мы/Администрирование/ Сертификаты.
      1. В окне структуры оснастки Сертификаты откройте папку Доверенные корневые сертификаты, затем папку Сертификаты. В правом подокне появится список ваших сертификатов.
         1. Щелкните правой кнопкой мыши на пустом месте правого подокна.
         2. В появившемся контекстном меню выберите команду Все задачи.
         3. В ее подменю выберите команду Импорт (Import ).
         4. Запустится Мастер импорта сертификатов.
         5. Следуйте указаниям мастера — укажите местоположение файла сертификат. pfx и сообщите пароль защиты данного файла.
         6. Для начала операции импорта нажмите кнопки Готово и ОК.
         7. После завершения процедуры импорта нажмите кнопку ОК и закройте окно мастера импорта;

В результате Ваших действий текущий пользователь или Вы сами получите возможность работать с зашифрованными данными на этом компьютере.

Задания для самостоятельной работы

1. Экспортируйте сертификат №2 из папки Промежуточные центры сертификации Root Agency (сохраните иллюстрации для отчета преподавателю).
2. Импортируйте экспортированный сертификат в папку Личные (сохраните иллюстрации для отчета преподавателю).

Контрольные вопросы

1. Что входит в криптосистему?
2. Сравните методы шифрования с открытым и закрытым ключом (асимметричное и симметричное шифрование).
3. Что такое mmc ?
4. Что позволяет EFS .

Описание формы отчета

Выполненное задание для самостоятельной работы и ответы на контрольные вопросы необходимо выслать для проверки преподавателю.