efs ფაილების დაშიფვრა. ნახეთ, რა არის "EFS" სხვა ლექსიკონებში. EFS მხარდაჭერის კონტროლი Active Directory დომენის კომპიუტერებისთვის

Windows XP/Vista/7 ოპერაციულ სისტემებთან მუშაობისას და ფოსტისა და ინტერნეტ საიტების პაროლების აღდგენისას. შემდეგი ამოცანა, რომელიც ხშირად ხდება ინციდენტების გამოძიებისას, არის პაროლების აღდგენა არქივებისთვის, ელ.ფოსტის კლიენტებისთვის და EFS (ფაილის სისტემის დაშიფვრა). ეს არის ის, რაც ამ სტატიაში იქნება განხილული.


EFS გასაღების აღდგენა

სინამდვილეში, ამ სიტუაციაში საუკეთესო რამ არის მომხმარებლის პაროლის აღდგენა. მაშინ EFS-ის გაშიფვრა ბევრად უფრო ადვილი იქნება, ამას მოგვიანებით დავუბრუნდებით. თუმცა, თქვენ უნდა გესმოდეთ, რომ მაშინაც კი, თუ პაროლი არ გაქვთ, შეგიძლიათ სცადოთ შესაბამისი ფაილების და საქაღალდეების გაშიფვრა. სწორედ ამისთვის არის შექმნილი Advanced EFS Data Recovery პროგრამული უზრუნველყოფა.

ამ პროგრამულ უზრუნველყოფაში, მომხმარებლის მოხერხებულობისთვის, შეიქმნა შესაბამისი Advanced EFS Data Recovery ოსტატი, რომლითაც შეგიძლიათ ეტაპობრივად გაიაროთ გაშიფვრის მთელი პროცესი. ან შეგიძლიათ გამოიყენოთ "ექსპერტის რეჟიმი" მოქმედებების შესასრულებლად.

ჩემი აზრით, თუ ადამიანი, რომელიც იყენებს Advanced EFS Data Recovery-ს, თავს თავდაჯერებულად არ გრძნობს, ბევრად უფრო მოსახერხებელია Advanced EFS Data Recovery Wizard-ის გამოყენება. მოდით განვიხილოთ ეს რეჟიმი უფრო დეტალურად.

Advanced EFS Data Recovery Wizard-ის პირველ ეტაპზე სისტემა მოითხოვს პერსონალურ სერტიფიკატს, რომელიც გამოიყენება EFS-ისთვის.

დავუშვათ, რომ თქვენ გაქვთ ასეთი სერთიფიკატი (ეს უკიდურესად იშვიათი სიტუაციაა, რადგან რატომღაც მომხმარებლები ან უგულებელყოფენ სერთიფიკატების ექსპორტს, ან უბრალოდ ავიწყდებათ, სად გაიტანეს იგი). ამ შემთხვევაში ყველაფერი საკმაოდ მარტივია. თქვენ უნდა აირჩიოთ სერტიფიკატის ფაილი და შეიყვანოთ სერტიფიკატის პაროლი. შემდეგი, ხდება ყველა საქაღალდისა და ფაილის ძიება, რომელიც დაშიფრულია მისი დახმარებით ადგილობრივ დანაყოფებზე. თქვენ მიიღებთ ამ სერტიფიკატით დაშიფრული ფაილების სიას, რომელთა გაშიფვრა შეგიძლიათ. ბუნებრივია, თუ თქვენს კომპიუტერს შეამოწმებთ, მოგიწევთ მისი გაშიფვრა სხვა მყარ დისკზე ან გარე საცავ მოწყობილობაზე, რათა არაფერი დააზიანოთ.

მაგრამ რა მოხდება, თუ სერთიფიკატი არ გაქვთ? ამ შემთხვევაში, Advanced EFS Data Recovery ოსტატი მოგთხოვთ მოძებნოთ იგი თქვენს მყარ დისკზე. გთხოვთ გაითვალისწინოთ, რომ თქვენ შეგიძლიათ მოძებნოთ სერთიფიკატი არა მხოლოდ არსებულ ფაილებს შორის, არამედ წაშლილ ფაილებს შორისაც. მაგრამ ამისათვის თქვენ უნდა ჩართოთ ჩამრთველი "სექტორის სკანირება სექტორის მიხედვით". რეკომენდირებულია ამ რეჟიმის ჩართვა ხელახლა სკანირებისას, თუ ვერ იპოვნეთ საჭირო სერთიფიკატები პირველ პასზე.

შემდეგი, გარკვეული დრო დაგჭირდებათ გასაღებების მოსაძებნად. ძიების შედეგად გამოჩნდება ოსტატის ფანჯარა. თუ გასაღებები ვერ მოიძებნა, თქვენ უნდა შეიყვანოთ მომხმარებლის სახელი (EFS მფლობელი) და მისი პაროლი ან, როგორც ბოლო საშუალება, HEX კოდი. როგორ მივიღოთ მომხმარებლის პაროლი, აღწერილია წინა სტატიაში.

თუ იცით მომხმარებლის პაროლი, შეიყვანეთ შესაბამისი ანგარიშის სახელი და პაროლი და დააჭირეთ შემდეგი. შემდეგი, ნაპოვნი საქაღალდეები და ფაილები, რომლებიც დაშიფრულია EFS-ის გამოყენებით, გაშიფრულია. როგორც ხედავთ, მაშინაც კი, თუ თქვენ ხელახლა დააინსტალირეთ ოპერაციული სისტემა, ეს არ ნიშნავს რომ თქვენ დაკარგეთ EFS-ით დაშიფრული მონაცემები.

არ დაგავიწყდეთ, რომ თუ იცით იმ ანგარიშის სახელი და პაროლი, რომლითაც განხორციელდა დაშიფვრა, გაშიფვრის პროცესს გაცილებით ნაკლები დრო დასჭირდება. წინააღმდეგ შემთხვევაში, შეგიძლიათ სცადოთ გაშიფვრა ექსპერტის რეჟიმის გამოყენებით. თუმცა უნდა ვაღიაროთ, რომ დადებითი შედეგის ალბათობა ამ შემთხვევაში შესამჩნევად დაბალია. თქვენ მოგეთხოვებათ ლექსიკონიდან პაროლის დამატება. ბუნებრივია, ვარაუდობენ, რომ თქვენ გაქვთ ლექსიკონის ფაილები.

მინდა აღვნიშნო შემდეგი. როგორც ვხედავთ, დღეს არის საკმაოდ ძლიერი პაროლის აღდგენის (ჰაკერების) ინსტრუმენტები. ამიტომ, მათი გამძლეობის უზრუნველსაყოფად გვაქვს სამი ვარიანტი:

  1. სიგრძისა და სირთულის შემდგომი ზრდა (ჩემი აზრით, გზა ჩიხია, რადგან ადრე თუ გვიან მომხმარებლები იწყებენ დაბნეულობას, ივიწყებენ პაროლებს, იყენებენ იგივეს ყველა შემთხვევაში და ა.შ.).
  2. ბიომეტრიული ავთენტიფიკაციის ხელსაწყოების გამოყენება.
  3. მრავალფაქტორიანი ავთენტიფიკაციისა და სერთიფიკატების გამოყენება. ეს გზა, ისევ, ჩემი აზრით, ბევრად უფრო პერსპექტიულია, მაგრამ გასათვალისწინებელია, რომ შემოთავაზებული გადაწყვეტილებები, რა თქმა უნდა, ფული ღირს და ზოგჯერ საკმაოდ ბევრიც.

არჩევანი, რა თქმა უნდა, შენია.

ვლადიმერ ბეზმალი

დაშიფვრაფაილისისტემა

დაშიფვრის ფაილური სისტემა არის NTFS-თან მჭიდროდ ინტეგრირებული სერვისი, რომელიც მდებარეობს Windows 2000 ბირთვში, მისი მიზანია დაიცვას დისკზე შენახული მონაცემები არაავტორიზებული წვდომისგან მისი დაშიფვრის გზით. ამ სერვისის გამოჩენა შემთხვევითი არ არის და დიდი ხანია მოსალოდნელია. ფაქტია, რომ დღეს არსებული ფაილური სისტემები არ უზრუნველყოფს მონაცემთა აუცილებელ დაცვას არასანქცირებული წვდომისგან.

მიუხედავად იმისა, რომ NTFS უზრუნველყოფს წვდომის კონტროლს და მონაცემთა დაცვას არაავტორიზებული წვდომისგან, რა უნდა გავაკეთოთ, თუ NTFS დანაყოფზე წვდომა ხდება არა Windows NT ოპერაციული სისტემის გამოყენებით, არამედ პირდაპირ, ფიზიკურ დონეზე? ყოველივე ამის შემდეგ, ამის განხორციელება შედარებით მარტივია, მაგალითად, ფლოპი დისკიდან ჩატვირთვით და სპეციალური პროგრამის გაშვებით: მაგალითად, ძალიან გავრცელებული, რა თქმა უნდა, შეგიძლიათ უზრუნველყოთ ასეთი შესაძლებლობა და დააყენოთ პაროლი სისტემა, მაგრამ პრაქტიკა აჩვენებს, რომ ასეთი დაცვა არაეფექტურია, განსაკუთრებით იმ შემთხვევაში, როდესაც რამდენიმე მომხმარებელი ერთდროულად მუშაობს ერთ კომპიუტერზე. და თუ თავდამსხმელს შეუძლია მყარი დისკის ამოღება კომპიუტერიდან, მაშინ პაროლები არ დაეხმარება. დისკის სხვა კომპიუტერთან შეერთებით მისი შინაარსის წაკითხვა უპრობლემოდ არის შესაძლებელი. ამრიგად, თავდამსხმელს შეუძლია თავისუფლად მიიღოს მყარ დისკზე შენახული კონფიდენციალური ინფორმაცია. მონაცემთა ფიზიკური წაკითხვისგან დაცვის ერთადერთი გზა არის ფაილების დაშიფვრა. ასეთი დაშიფვრის უმარტივესი შემთხვევაა ფაილის პაროლით დაარქივება. თუმცა, არსებობს მთელი რიგი სერიოზული ნაკლოვანებები. პირველ რიგში, მომხმარებელს სჭირდება ხელით დაშიფვრა და გაშიფვრა (ანუ ჩვენს შემთხვევაში დაარქივება და არქივირება) მონაცემები ყოველ ჯერზე მუშაობის დაწყებამდე და დასრულების შემდეგ, რაც თავისთავად ამცირებს მონაცემთა უსაფრთხოებას. მომხმარებელს შეუძლია დაავიწყდეს ფაილის დაშიფვრა (დაარქივება) სამუშაოს დასრულების შემდეგ, ან (უფრო გავრცელებული) უბრალოდ დატოვოს ფაილის ასლი დისკზე. მეორეც, მომხმარებლის მიერ შექმნილი პაროლები, როგორც წესი, ადვილი გამოსაცნობია. ნებისმიერ შემთხვევაში, არსებობს საკმარისი რაოდენობის კომუნალური პროგრამა, რომელიც საშუალებას გაძლევთ გახსნათ პაროლით დაცული არქივები. როგორც წესი, ასეთი უტილიტები ასრულებენ პაროლის გამოცნობას ლექსიკონში ჩაწერილი სიტყვების ძიებით. EFS სისტემა შეიქმნა ამ ხარვეზების დასაძლევად.

2.1. დაშიფვრის ტექნოლოგია

EP$ იყენებს Windows CryptoAPI არქიტექტურას. იგი დაფუძნებულია საჯარო გასაღების დაშიფვრის ტექნოლოგიაზე, თითოეული ფაილის დაშიფვრისთვის, შემთხვევით წარმოიქმნება ფაილის დაშიფვრის გასაღები. ამ შემთხვევაში, ნებისმიერი სიმეტრიული დაშიფვრის ალგორითმი შეიძლება გამოყენებულ იქნას ფაილის დაშიფვრად. ამჟამად EFS იყენებს ერთ ალგორითმს - DESX, რომელიც ფართოდ გამოყენებული DES სტანდარტის სპეციალური მოდიფიკაციაა. EFS დაშიფვრის გასაღებები ინახება რეზიდენტული მეხსიერების აუზში (EFS თავად მდებარეობს Windows 2000 ბირთვში), რაც ხელს უშლის მათზე არაავტორიზებული წვდომას გვერდის ფაილის მეშვეობით.

ნაგულისხმევად, EFS არის კონფიგურირებული ისე, რომ მომხმარებელს შეუძლია დაუყოვნებლივ დაიწყოს ფაილის დაშიფვრის გამოყენება. დაშიფვრა და საპირისპირო ოპერაციები მხარდაჭერილია ფაილებისთვის და დირექტორიებისთვის. თუ დირექტორია დაშიფრულია, ამ დირექტორიაში არსებული ყველა ფაილი და ქვეცნობარი ავტომატურად დაშიფრულია. გასათვალისწინებელია, რომ თუ დაშიფრული ფაილი გადატანილია ან გადარქმევა დაშიფრული დირექტორიადან დაშიფრულში, ის მაინც დაშიფრული დარჩება. დაშიფვრის/გაშიფვრის ოპერაციები შეიძლება შესრულდეს ორი განსხვავებული გზით - Windows Explorer-ის ან Cipher კონსოლის უტილიტის გამოყენებით. Windows Explorer-ის დირექტორიის დაშიფვრისთვის, მომხმარებელმა უბრალოდ უნდა აირჩიოს ერთი ან მეტი დირექტორია და შეამოწმოს დაშიფვრის ველი კატალოგის გაფართოებული თვისებების ფანჯარაში. ამ დირექტორიაში მოგვიანებით შექმნილი ყველა ფაილი და ქვეცნობარი ასევე დაშიფრული იქნება. ამრიგად, თქვენ შეგიძლიათ დაშიფროთ ფაილი მისი უბრალოდ კოპირებით (ან გადატანით) "დაშიფრულ" დირექტორიაში. დაშიფრული ფაილები ინახება დისკზე დაშიფრული ფორმით. ფაილის წაკითხვისას მონაცემები ავტომატურად იშიფრება, ხოლო ჩაწერისას ის ავტომატურად დაშიფრულია. მომხმარებელს შეუძლია იმუშაოს დაშიფრულ ფაილებთან ისევე, როგორც ჩვეულებრივ ფაილებთან, ეს არის დოკუმენტების გახსნა და რედაქტირება Microsoft Word ტექსტურ რედაქტორში, ნახატების რედაქტირება Adobe Photoshop-ში ან Paint გრაფიკულ რედაქტორში და ა.შ.

უნდა აღინიშნოს, რომ არავითარ შემთხვევაში არ უნდა დაშიფროთ ფაილები, რომლებიც გამოიყენება სისტემის გაშვებისას, მომხმარებლის პირადი გასაღები, რომლითაც ხდება გაშიფვრა, ჯერ არ არის ხელმისაწვდომი. ამან შეიძლება შეუძლებელი გახადოს სისტემის გაშვება! EFS უზრუნველყოფს მარტივ დაცვას ასეთი სიტუაციებისგან: ფაილები „სისტემის“ ატრიბუტით არ არის დაშიფრული. თუმცა, ფრთხილად იყავით: ამან შეიძლება უსაფრთხოების ხვრელი შექმნას! შეამოწმეთ დაყენებულია თუ არა ფაილის ატრიბუტი<системный» для того, чтобы убедиться, что файл действительно будет зашифрован.

ასევე მნიშვნელოვანია გვახსოვდეს, რომ დაშიფრული ფაილების შეკუმშვა შეუძლებელია Windows 2000-ის გამოყენებით და პირიქით. სხვა სიტყვებით რომ ვთქვათ, თუ დირექტორია შეკუმშულია, მისი შიგთავსის დაშიფვრა შეუძლებელია, ხოლო თუ დირექტორიაში შიგთავსი დაშიფრულია, მაშინ მისი შეკუმშვა შეუძლებელია.

იმ შემთხვევაში, თუ მონაცემთა გაშიფვრა არის საჭირო, თქვენ უბრალოდ უნდა მოხსნათ დაშიფვრის ველები შერჩეული დირექტორიებისთვის Windows Explorer-ში და ფაილები და ქვეცნობარები ავტომატურად გაშიფრული იქნება. უნდა აღინიშნოს, რომ ეს ოპერაცია, როგორც წესი, არ არის საჭირო, რადგან EFS მომხმარებელს აძლევს "გამჭვირვალე" გამოცდილებას დაშიფრული მონაცემებით.

ინტერნეტის უსაფრთხოების სხვადასხვა საფოსტო სიებში, ადმინისტრატორები ხშირად სვამენ კითხვებს Windows-ისთვის ფაილების დაშიფვრის უსაფრთხო, ადვილად გამოსაყენებელი პროდუქტების შესახებ. ისევე, როგორც ხშირად, მენეჯერებს აინტერესებთ გზები, რათა თავიდან აიცილონ სისტემის ადმინისტრატორები კომპანიის კონფიდენციალური ფაილების შესწავლაში. როდესაც მე ვთავაზობ Windows-ის საკუთარი დაშიფვრის ფაილური სისტემის (EFS) გამოყენებას, ადამიანების უმეტესობა ამბობს, რომ მათ სურთ რაღაც უფრო ძლიერი და უსაფრთხო.

მაგრამ პოპულარული რწმენის საწინააღმდეგოდ, EFS ნამდვილად საიმედო, ადვილად გამოსაყენებელი და უსაფრთხო დაშიფვრის გადაწყვეტაა, რომელსაც შეუძლია შეარცხვინოს ქსელის ყველაზე ცნობისმოყვარე ადმინისტრატორიც კი. EFS არის შესანიშნავი საშუალება ქსელებსა და ლეპტოპებზე მგრძნობიარე ფაილების დასაცავად, რომლებიც ხშირად ქურდობის სამიზნეა. სამწუხაროდ, EFS-ის რეპუტაცია დაუმსახურებლად დაზარალდა იმის გამო, რომ მომხმარებელმა უარი თქვა Microsoft-ის უსაფრთხოების ნებისმიერი პროდუქტის ობიექტურად შეფასებაზე. სინამდვილეში, EFS არის ერთ-ერთი საუკეთესო უსაფრთხოების პროდუქტი, რომელიც Microsoft ოდესმე გამოუშვა, მაგრამ მისი გამოსაყენებლად საჭიროა სათანადო ცოდნა. ეს სტატია მოიცავს EFS-ის საფუძვლებს, მის დანიშნულებას და ფუნქციონირებას, ძირითად ადმინისტრაციულ ოპერაციებს და შესაძლო შეცდომებს.

EFS პრინციპები

Microsoft-მა გამოუშვა EFS Windows 2000-ით და მუდმივად აუმჯობესებს პროდუქტის ვერსიებს Windows XP-ისთვის და Windows Server 2003-ისთვის. EFS მომხმარებლებს შეუძლიათ დაშიფრონ ნებისმიერი ფაილი ან საქაღალდე, რომელზეც აქვთ წაკითხვის და ჩაწერის ნებართვა. დაშიფვრის შემდეგ, რესურსის გაშიფვრა ხდება „დაფრენისას“, როდესაც მასზე წვდომა აქვს კანონიერი მფლობელი. მომხმარებლები, რომლებიც ცდილობენ დაცულ ფაილზე ან საქაღალდეზე წვდომას შესაბამისი EFS ნებართვების გარეშე, დაინახავენ ფაილის ან საქაღალდის სახელს, მაგრამ ვერ შეძლებენ ფაილის ან საქაღალდის გახსნას, რედაქტირებას, კოპირებას, ბეჭდვას, ელფოსტას ან გადატანას. საინტერესოა, რომ მომხმარებლებს, რომლებსაც აქვთ EFS-ით დაცული ფაილის წაშლის NTFS ნებართვა, შეუძლიათ წაშალონ ის მაშინაც კი, თუ არ აქვთ წაკითხვის ნებართვა. დაშიფვრის პროდუქტების უმეტესობის მსგავსად, EFS შექმნილია კონფიდენციალურობის დასაცავად, მაგრამ არ უშლის ხელს მონაცემთა დაკარგვას. EFS ამოცანა წარმატებულად ითვლება, თუ არაავტორიზებული მომხმარებელი ვერ ხედავს მონაცემებს რაიმე ფორმით. ზოგიერთი მომხმარებელი ამტკიცებს, რომ დაცული ფაილის ან საქაღალდის სახელის ნახვაც კი Windows-ის უპატიებელი ხარვეზია.

გარდა ამისა, თქვენ არ გჭირდებათ იყოთ მფლობელი ან გქონდეთ სრული კონტროლის ნებართვები ფაილზე ან საქაღალდეზე, რომ დაშიფროთ იგი. ამისათვის საკმარისია წაკითხვის და ჩაწერის ნებართვები - იგივე, რაც აუცილებელია რესურსზე წვდომისთვის. ფაილზე ან საქაღალდეზე წვდომა აქვს მხოლოდ მომხმარებელს, რომელმაც დაშიფრა იგი (და სხვებს, რომლებთანაც პირველი მომხმარებელი ეთანხმება რესურსის გაზიარებას). ერთადერთი ზოგადი გამონაკლისი არის მონაცემთა აღდგენის აგენტი (DRA). ნაგულისხმევად (უმეტეს შემთხვევაში), Windows ანიჭებს ადმინისტრატორს, როგორც DRA აგენტს, რათა ადმინისტრატორს შეეძლოს EFS-ით დაშიფრული ნებისმიერი ფაილის ან საქაღალდის წვდომა. დომენის გარემოში, DRA არის დომენის ადმინისტრატორი; არადომენურ გარემოში, DRA არის ადგილობრივი ადმინისტრატორი.

ფაილის და საქაღალდის დაშიფვრის ფუნქცია ჩართულია ნაგულისხმევად, მაგრამ მომხმარებელმა უნდა შეარჩიოს თითოეული ფაილი ან საქაღალდე ინდივიდუალურად (ან ირიბად ნორმალური მემკვიდრეობის წესების მეშვეობით). EFS მოითხოვს, რომ ფაილი ან საქაღალდე განთავსდეს NTFS დისკის დანაყოფზე. შემდეგ, ფაილის ან საქაღალდის დასაცავად, უბრალოდ დააწკაპუნეთ მაუსის მარჯვენა ღილაკით რესურსზე Windows Explorer-ში, აირჩიეთ Properties და შემდეგ დააწკაპუნეთ Advanced ღილაკზე ზოგადი ჩანართში. (შენიშვნა: არ დააწკაპუნოთ ღილაკზე Advanced უსაფრთხოების ჩანართზე.) და ბოლოს, თქვენ უნდა შეამოწმოთ ჩამრთველი Encrypt contents to security data.

თუ აირჩევთ ერთ ან მეტ ფაილს (საქაღალდისგან განსხვავებით), EFS ითხოვს დაშიფვროს თუ არა მხოლოდ ფაილ(ებ)ი ან მშობელი საქაღალდე და მიმდინარე ფაილ(ები). თუ ეს უკანასკნელი არჩეულია, EFS აღნიშნავს საქაღალდეს დაშიფრულად. საქაღალდეში დამატებული ყველა ფაილი დაშიფრული იქნება ნაგულისხმევად, თუმცა ნებისმიერი ფაილი, რომელიც იყო საქაღალდეში, მაგრამ არ იყო არჩეული EFS დაშიფვრის ოპერაციის დროს, დაშიფრული დარჩება. ხშირ შემთხვევაში, სასურველია ცალკეული ფაილების ნაცვლად მთლიანი საქაღალდის დაშიფვრა, განსაკუთრებით იმიტომ, რომ ზოგიერთი პროგრამა (როგორიცაა Microsoft Word) ქმნის დროებით ფაილებს იმავე საქაღალდეში, სადაც ღია ფაილი. პროგრამის შეწყვეტის შემდეგ (მაგალითად, გადაუდებელი გადატვირთვის შემთხვევაში), დროებითი ფაილები ხშირად რჩება წაშლილი და წარმოდგენილია წმინდა ტექსტის ფორმატში, რომელიც შეიძლება აღდგეს არაავტორიზებული პირის მიერ.

ნაგულისხმევად, XP Professional და უფრო გვიან ვერსიებში, EFS ხაზს უსვამს დაშიფრულ ფაილებს მწვანედ, მაგრამ მონიშვნის გაუქმება შესაძლებელია Windows Explorer-ის Tools მენიუდან Folder Options-ის არჩევით და შემდეგ გაასუფთავეთ დაშიფრული ან შეკუმშული NTFS ფაილების ფერით ჩვენება. ნახვის ჩანართი. Windows Explorer-ის დეტალების ხედში, შეკუმშულ ფაილებს აქვთ E ატრიბუტი ატრიბუტების სვეტში, ჩვეულებრივ Archive (A) ატრიბუტთან ერთად. შედეგად, ატრიბუტების ნაკრები გამოიყურება AE. უნდა აღინიშნოს, რომ Windows-ის ჩაშენებული მექანიზმების გამოყენება შეუძლებელია ფაილების დაშიფვრისა და შეკუმშვისთვის ერთდროულად, თუმცა შეგიძლიათ შეკუმშოთ ფაილი მესამე მხარის უტილიტის გამოყენებით, როგორიცაა WinZip ან PKZIP და შემდეგ შეკუმშული ფაილის დაშიფვრა.

ძლიერი შიფრი

EFS უზრუნველყოფს ძლიერ დაშიფვრას - იმდენად ძლიერი, რომ თუ დაკარგავთ EFS პირად გასაღებს (გამოიყენება EFS დაშიფვრით დაცული ფაილების აღსადგენად), სავარაუდოა, რომ მონაცემები აღარ იკითხება. თუ EFS პარამეტრები სწორად არის კონფიგურირებული, ადმინისტრატორსაც კი არ შეუძლია წვდომა დაშიფრულ ფაილზე ან საქაღალდეზე, თუ ის არ არის დანიშნული როგორც DRA აგენტი.

ამჟამად კომერციულად ხელმისაწვდომია მინიმუმ ერთი პროდუქტი, Advanced EFS Data Recovery (AEFSDR) ElcomSoft-ისგან, რომელიც აცხადებს, რომ შეუძლია EFS-ით დაცული ფაილების აღდგენა. რასაც პროგრამა აკეთებს არის ადგილობრივი ადმინისტრატორის პაროლის აღდგენა (მარტივი პროცესი, თუ Windows-ის კონფიგურაცია ცუდად არის კონფიგურირებული), რომელიც შემდეგ შეიძლება გამოყენებულ იქნას ადმინისტრატორის EFS პირადი გასაღების მისაღებად. მომხმარებელს, რომელსაც აქვს ადმინისტრატორის პაროლის ამოხსნის ინსტრუმენტი, შეუძლია შეასრულოს ნებისმიერი მოქმედება სისტემაში. ასეთი მომხმარებლის წვდომა EFS-ით დაცულ ფაილებზე ყველაზე ნაკლები პრობლემა იქნება საწარმოს. არაავტორიზებული EFS პირადი გასაღების აღდგენის რისკი მცირდება დომენში DRA როლის მინიჭებით დომენის ადმინისტრატორის ანგარიშზე და არა ლოკალური ადმინისტრატორის ანგარიშზე, რომლის პაროლის გამოცნობა შესაძლებელია თითქმის ნებისმიერი გატეხვის ხელსაწყოს გამოყენებით. XP-ს აქვს ახალი პოლიტიკა, რომელიც ართულებს ამ ტიპის თავდასხმების განხორციელებას. თუ აღდგენის ხელსაწყო ვერ ახერხებს ადმინისტრატორის ამჟამინდელი და სწორი პაროლის მოძიებას (ბევრი ინსტრუმენტი აღადგენს პაროლს, ვიდრე აღადგენს), მაშინ EFS დაცვა კვლავ მოქმედებს.

როგორ მუშაობს EFS?

EFS იყენებს სიმეტრიული და ასიმეტრიული დაშიფვრის კომბინაციას. სიმეტრიული მეთოდით, ფაილი დაშიფრულია და აღდგება ერთი გასაღების გამოყენებით. ასიმეტრიული მეთოდი იყენებს საჯარო გასაღებს დაშიფვრისთვის და მეორე, მაგრამ დაკავშირებულ პირად გასაღებს მონაცემთა აღდგენისთვის. თუ მომხმარებელი, რომელსაც მინიჭებული აქვს მონაცემთა აღდგენის უფლებები, არ გაუმჟღავნებს პირად გასაღებს ვინმეს, დაცულ რესურსს საფრთხე არ ემუქრება.

EFS ჩართულია ნაგულისხმევად ყველა Windows 2000 და შემდეგ სისტემაში. როდესაც ვინმე იყენებს EFS-ს პირველად ფაილის ან საქაღალდის დასაცავად, Windows ამოწმებს, რომ ხელმისაწვდომია PKI (საჯარო გასაღების ინფრასტრუქტურა), რომელსაც შეუძლია EFS ციფრული სერთიფიკატების გენერირება. სერთიფიკატის სერვისებს Windows 2003 და Windows 2000 შეუძლიათ EFS სერთიფიკატების გენერირება, ისევე როგორც ზოგიერთი მესამე მხარის PKI პროდუქტს. თუ Windows ვერ აღმოაჩენს მისაღები PKI პროვაიდერს, ოპერაციული სისტემა წარმოქმნის და თავად მოაწერს ხელს მომხმარებლის EFS სერთიფიკატს (სურათი 1). ხელმოწერილი EFS სერთიფიკატების შენახვის ვადა 100 წელია, რაც ბევრად აღემატება ნებისმიერი მომხმარებლის სიცოცხლეს.

თუ Windows აღმოაჩენს Certificate Services სერვერს, ის ავტომატურად წარმოქმნის და უგზავნის მომხმარებელს ორწლიან სერტიფიკატს. ეს სავარაუდოდ იმიტომ ხდება, რომ თუ ორგანიზაციას აქვს შიდა PKI სერვისი, PKI სერვერს შეუძლია ადვილად გასცეს და განაახლოს EFS სერთიფიკატები ორიგინალის ვადის ამოწურვის შემდეგ. ნებისმიერ შემთხვევაში, შეგიძლიათ ნახოთ EFS სერთიფიკატები Microsoft Management Console-ის (MMC) გაფართოებით სერთიფიკატების სნეპ-ინ-ით და პერსონალურ კონტეინერში ნახვით.

EFS მომხმარებლის პირადი გასაღები (რომელიც ხსნის EFS-ით დაცულ ფაილებს) დაშიფრულია მომხმარებლის ძირითადი გასაღებით და ინახება მომხმარებლის პროფილში Documents and Settings, Application Data, Microsoft, Crypto, RSA. თუ იყენებთ როუმინგულ პროფილს, პირადი გასაღები მდებარეობს RSA საქაღალდეში დომენის კონტროლერზე (DC) და ჩამოიტვირთება მომხმარებლის კომპიუტერში რეგისტრაციის პროცესში. ძირითადი გასაღები გენერირებულია მომხმარებლის მიმდინარე პაროლისა და 56-, 128- ან 512-ბიტიანი RC4 ალგორითმის გამოყენებით. ალბათ ყველაზე მნიშვნელოვანი, რაც უნდა იცოდეთ EFS-ის შესახებ არის ის, რომ EFS მომხმარებლის პირადი გასაღები მდებარეობს მის პროფილში და დაცულია ძირითადი გასაღებით, რომელიც მიღებულია მომხმარებლის მიმდინარე პაროლიდან. გთხოვთ გაითვალისწინოთ, რომ EFS დაშიფვრის სიძლიერე განისაზღვრება მომხმარებლის პაროლის სიძლიერით. თუ თავდამსხმელი გამოიცნობს EFS მომხმარებლის პაროლს ან შედის სისტემაში, როგორც ლეგიტიმური მომხმარებელი, ბზარი გამოჩნდება EFS უსაფრთხოებაში.

თუ მომხმარებლის პაროლი დაკარგულია ან გადაყენებულია (მაგრამ არ შეცვლილა მომხმარებლის მიერ), მაშინ შეიძლება დაიკარგოს წვდომა EFS-ით დაცულ ყველა ფაილზე. ამ მიზეზით, EFS მომხმარებლის პირადი გასაღების ასლები უნდა ინახებოდეს ორ ან მეტ უსაფრთხო დისტანციურ სარდაფში, ან უნდა იყოს მითითებული ერთი ან მეტი DRA (და მათი პირადი გასაღებები ექსპორტირებული და სარეზერვო ორ ან მეტ ცალკეულ და უსაფრთხო დისტანციურ სარდაფში). ამ წესების შეუსრულებლობამ შეიძლება გამოიწვიოს მონაცემთა დაკარგვა.

როდესაც ფაილი ან საქაღალდე პირველად დაშიფრულია, Windows წარმოქმნის შემთხვევით სიმეტრიულ გასაღებს 128-ბიტიანი მონაცემთა დაშიფვრის სტანდარტული X (DESX - ნაგულისხმევი XP და Windows 2000) ან 256-ბიტიანი გაფართოებული დაშიფვრის სტანდარტის (AES - Windows-ზე) გამოყენებით. 2003 XP) Pro Service Pack 1). ორივე ალგორითმი ზოგადად აღიარებული სამთავრობო სტანდარტებია, თუმცა მეორე უფრო თანამედროვეა და რეკომენდებულია გამოსაყენებლად. თქვენ ასევე შეგიძლიათ ჩართოთ ძველი მთავრობის სიმეტრიული დაშიფვრის სტანდარტი, 168-ბიტიანი Triple DES (3DES), თუ თქვენი ორგანიზაციის პოლიტიკა მოითხოვს მის გამოყენებას. დამატებითი ინფორმაციისთვის იხილეთ Microsoft-ის სტატია „ფაილის სისტემის (EFS) დაშიფვრის ფაილები დაზიანებულია მათი გახსნისას“ ( http://support.microsoft.com/default.aspx?scid=kb;en-us;329741&sd=tech). შემთხვევით გენერირებული სიმეტრიული გასაღები ცნობილია როგორც ფაილის დაშიფვრის გასაღები (FEK). ეს გასაღები ერთადერთია, რომელსაც Windows იყენებს ფაილებისა და საქაღალდეების დაშიფვრისთვის, მიუხედავად იმ ადამიანების რაოდენობისა, რომლებიც წვდებიან EFS-ით დაცულ რესურსზე.

დასრულების შემდეგ, Windows შიფრავს FEK-ს 1024-ბიტიანი RSA EFS საჯარო გასაღების გამოყენებით და ინახავს FEK-ს ფაილის გაფართოებულ ატრიბუტებში. თუ DRA-ები მინიჭებულია, ოპერაციული სისტემა ინახავს FEK-ის სხვა, დაშიფრულ ასლს DRA-ს საჯარო EFS გასაღებით. შემდეგ Windows ინახავს FEK-ის დაშიფრულ მაგალითს ფაილში. XP და მოგვიანებით ვერსიებში, მრავალ მომხმარებელს შეუძლია ჰქონდეს EFS წვდომა კონკრეტულ ფაილზე ან საქაღალდეზე. თითოეულ ავტორიზებულ მომხმარებელს ექნება საკუთარი FEK, დაშიფრული უნიკალური EFS საჯარო გასაღებით. Windows 2000-ში შეგიძლიათ მინიჭოთ მხოლოდ ერთი DRA.

თუ ავტორიზებული მომხმარებელი წვდება დაცულ ფაილს, Windows აღადგენს დაშიფრული FEK-ის მაგალითს მომხმარებელთან დაკავშირებული პირადი EFS გასაღების გამოყენებით. შემდეგ, FEK-ის გამოყენებით, დაშიფრული ფაილი განბლოკილი იქნება. Windows 2000-ის EFS-ის პირველი ვერსიებისგან განსხვავებით, EFS ახლა უსაფრთხოდ მართავს მეხსიერებაში არსებულ ყველა დაშიფრულ ფაილს და საქაღალდეს, ასე რომ, დისკზე არ რჩება სუფთა ტექსტის ფრაგმენტები, რომლებიც შეიძლება უკანონოდ აღდგეს.

EFS ფაილების გაზიარება

Windows 2000-ში მხოლოდ ერთ მომხმარებელს შეუძლია დაიცვას ფაილი EFS-ით ერთდროულად, მაგრამ XP Pro-ში და შემდეგში რამდენიმე მომხმარებელს შეუძლია დაცული EFS ფაილის გაზიარება. ერთად მუშაობისას, პირველი მომხმარებელი, რომელიც იცავს ფაილს ან საქაღალდეს, აკონტროლებს წვდომას სხვებისთვის. ფაილის ან საქაღალდის თავდაპირველი დაცვის შემდეგ, მომხმარებელს შეუძლია მიუთითოს დამატებითი მომხმარებლები ღილაკზე დეტალების დაწკაპუნებით (სურათი 2). დამატებული მომხმარებლების რაოდენობა შეზღუდული არ არის. თითოეულ მომხმარებელს აქვს FEK-ის საკუთარი ასლი, დაშიფრული თავისი EFS გასაღებით. ეს XP ინოვაცია ძალიან მოსახერხებელია EFS-ით დაცული ფაილების მომხმარებელთა ჯგუფებში გასაზიარებლად. სამწუხაროდ, თანამშრომლობა შესაძლებელია მხოლოდ ცალკეული ფაილების დონეზე და არა საქაღალდეების დონეზე. მომხმარებელმა უნდა დაშიფროს ერთი ფაილი ან საქაღალდე ან მიიღოს EFS სერთიფიკატი, სანამ ის დამატებით მომხმარებლებს მიენიჭება.

DRA აგენტი

მომხმარებლის პროფილის წაშლა ძალიან ადვილია და ადმინისტრატორები ხშირად აღადგენენ მომხმარებლის პაროლებს, ამიტომ ქსელის ადმინისტრატორებმა უნდა შექმნან EFS კლავიშების სარეზერვო ასლები ან მიანიჭონ ერთი ან მეტი DRA. თქვენ შეგიძლიათ მიიღოთ მომხმარებლის EFS პირადი გასაღების სარეზერვო ასლი სერთიფიკატების კონსოლში EFS ციფრულ სერტიფიკატზე წვდომით და დეტალების ჩანართზე ასლი ფაილში ჩამრთველის არჩევით. XP Pro და უფრო გვიან ვერსიებში, ასევე შეგიძლიათ გამოიყენოთ სარეზერვო კლავიშების ღილაკი, რომელიც მდებარეობს EFS ფაილის გაზიარების განყოფილების დეტალების ღილაკის ქვეშ. ბრძანების ხაზის მოყვარულებს შეუძლიათ გამოიყენონ ბრძანება

Cipher.exe / x

მიიღოთ EFS გასაღებების სარეზერვო ასლები Windows 2003-ში, ასევე XP Pro SP1-ში და შემდეგ ვერსიებში. შემდგომ მოთხოვნებზე პასუხის გაცემისას შეგიძლიათ გააკეთოთ ასლები და/ან შესაბამისი პირადი გასაღების ექსპორტი. თქვენ არასოდეს არ უნდა წაშალოთ EFS მომხმარებლის პირადი გასაღები, როგორც ამას Windows გირჩევთ, რომ გააკეთოთ ექსპორტის დროს, რადგან ეს ხელს შეუშლის მომხმარებელს დაშიფროს მათი დაცული ფაილები. პირადი გასაღების ექსპორტის შემდეგ, თქვენ უნდა შეინახოთ გასაღები ორ ცალკეულ ოფლაინ შენახვის ადგილას. ინდივიდუალური მომხმარებლის EFS პირადი გასაღებების სარეზერვო ასლის შექმნა შრომატევადია. Windows 2000-დან დაწყებული, Microsoft გაძლევთ საშუალებას აირჩიოთ DRA აგენტი. ყოველთვის, როცა ვინმე დაშიფვრავს ფაილს ან საქაღალდეს, DRA ავტომატურად იღებს FEK-ის მაგალითს. Windows 2000-ში (სამუშაო ჯგუფის ან დომენის რეჟიმი), XP (მხოლოდ დომენის რეჟიმი) და Windows 2003 (სამუშაო ჯგუფის ან დომენის რეჟიმი), ნაგულისხმევი DRA დაყენებულია ადმინისტრატორზე, თუმცა ადმინისტრატორს შეუძლია შეცვალოს მომხმარებლის ანგარიში, რომელიც მინიჭებულია DRA როლისთვის. სამწუხაროდ, XP სამუშაო ჯგუფის რეჟიმში DRA აგენტი არ არის განსაზღვრული. ეს გადაწყვეტილება მიღებულ იქნა კრიტიკის საპასუხოდ, რომ EFS-ით დაცული ფაილები დაუცველი იყო ადმინისტრატორის პაროლის დარღვევის შემთხვევაში. სამწუხაროდ, ბევრი XP Pro სისტემა მუშაობს სამუშაო ჯგუფის რეჟიმში და საკმარისია პაროლის გადატვირთვა ან პროფილის კორუფცია, რათა EFS-ის ყველა მომხმარებელმა დაკარგოს ფაილები. EFS-ის გამოყენებისას (გახსოვდეთ, რომ ის ნაგულისხმევად აქტიურია და ხელმისაწვდომია მომხმარებლებისთვის), უნდა დარწმუნდეთ, რომ EFS მომხმარებლებმა გააკეთეს პირადი გასაღებების ასლები ან აქვთ მინიჭებული ერთი ან მეტი DRA.

თუ თქვენ აპირებთ DRA როლის მინიჭებას მომხმარებლის ანგარიშზე, გარდა ნაგულისხმევი ადმინისტრატორის ანგარიშისა, მემკვიდრე უნდა იყოს EFS Recovery Agent-ის სერტიფიცირებული. EFS Recovery Agent-ის სერთიფიკატი შეიძლება მოითხოვოს სერტიფიკატის სერვისებიდან ან დაინსტალიროთ სხვა მესამე მხარის PKI პროდუქტიდან. თუ Windows 2003 Certificate Services განლაგებულია, შეგიძლიათ დანერგოთ Key Recovery Agents ნაცვლად DRA. საბოლოო ჯამში, Key Recovery Agents აღადგენს დაკარგული გასაღებს, ფაილის პირდაპირ აღდგენის ნაცვლად.

ჩვეულებრივი EFS მომხმარებლების პირადი გასაღებებისგან განსხვავებით, DRA აგენტების პირადი EFS გასაღებები უნდა იყოს ექსპორტირებული და ამოღებული კომპიუტერებიდან. თუ DRA აგენტების პირადი გასაღებები მოიპარეს, მაშინ ყველა ფაილი FEK-ებით დაცული DRA საჯარო გასაღებით შეიძლება გახდეს დაუცველი. აქედან გამომდინარე, გასაღებები უნდა იყოს ექსპორტირებული და უსაფრთხოდ შენახული ორ დისტანციურ შესანახ ადგილას. თუ დაშიფრული ფაილების აღსადგენად გჭირდებათ გასაღებები, შეგიძლიათ მარტივად შემოიტანოთ და გამოიყენოთ პირადი გასაღებები.

მიუხედავად იმისა, რომ ადმინისტრატორი ხშირად არის განსაზღვრული როგორც DRA ნაგულისხმევად, თქვენ კონკრეტულად უნდა მოამზადოთ ერთი ან ორი მომხმარებლის ანგარიში, რომლებიც ნაკლებად სავარაუდოა, რომ წაიშლება ნებისმიერ შემთხვევაში. DRA საჯარო გასაღები ასევე აკოპირებს და იცავს თითოეულ FEK-ს, ასე რომ, თუ DRA მომხმარებლის ანგარიში შემთხვევით წაიშლება ან პაროლი გადატვირთულია, ძნელია DRA-ით დაცული FEK-ის აღდგენა. თუ მომხმარებლის ანგარიშები, რომლებსაც აქვთ DRA სტატუსი, შეიცვალა, შესაძლებელია, რომ EFS-ით დაცულ ფაილებს ჰქონდეთ FEK-ები, რომლებიც დაცულია ძველი DRA კლავიშებით. როდესაც Windows წვდება ფაილებს, DRA-ით დაცული FEK-ები განახლდება უახლესი DRA კლავიშებით; თუმცა, შეგიძლიათ გამოიყენოთ Cipher ბრძანება, რათა აიძულოთ ყველა FEK-ის ერთიანი განახლება მიმდინარე DRA კლავიშების გამოყენებით. მიუხედავად იმისა, არის თუ არა DRA პირადი გასაღები ექსპორტირებული და ამოღებული სისტემიდან, ძალიან მნიშვნელოვანია DRA აღდგენის სერთიფიკატის ასლების შენარჩუნება ორ ან მეტ უსაფრთხო ადგილზე შენახვის ადგილას.

დამატებითი შენიშვნები

EFS არ იცავს ქსელში კოპირებულ ფაილებს. Windows აკოპირებს ქსელის გაზიარებაზე გახსნილ ყველა ფაილს წმინდა ტექსტურ ფორმატში. თუ დისკზე შენახული და ქსელში კოპირებული ფაილების რეალურ დროში დაშიფვრა გჭირდებათ, უნდა გამოიყენოთ უსაფრთხოების სხვა მეთოდი, IP Security (IPsec), Secure Sockets Layer (SSL) ან WWW Distributed Autoring and Versioning (WebDAV). გარდა ამისა, XP და მოგვიანებით ვერსიებში, შეგიძლიათ ჩართოთ EFS დაცვა ოფლაინ ფაილებისთვის.

EFS არის ადგილობრივი უსაფრთხოების მექანიზმი. იგი შექმნილია ადგილობრივ დისკებზე ფაილების დაშიფვრად. იმისათვის, რომ გამოიყენოთ EFS დისტანციური კომპიუტერების დისკებზე შენახული ფაილების დასაცავად, ამ მანქანებს შორის უნდა არსებობდეს ნდობის ურთიერთობა უფლებამოსილების დელეგირებაზე. ლეპტოპის მომხმარებლები ხშირად იყენებენ EFS-ს ფაილური სერვერის რესურსებისთვის. სერვერზე EFS-ის გამოსაყენებლად, თქვენ უნდა აირჩიოთ სანდო ამ კომპიუტერის ნებისმიერ სერვისზე დელეგაციისთვის (მხოლოდ Kerberos) ან Trust this computer for delegation only მითითებული სერვისებისთვის, სერვერის კომპიუტერის ანგარიშში (სურათი 3).

თქვენ შეგიძლიათ თავიდან აიცილოთ მომხმარებლებს EFS-ის გამოყენება ჯგუფის პოლიტიკის გამოყენებით მისი დაბლოკვით. თქვენ უნდა აირჩიოთ კომპიუტერის კონფიგურაციის კონტეინერი, დააწკაპუნეთ მარჯვენა ღილაკით Windows Settings-ზე და აირჩიეთ უსაფრთხოების პარამეტრები, საჯარო გასაღების პოლიტიკა, დაშიფვრის ფაილური სისტემა. ამის შემდეგ შეგიძლიათ გაასუფთავოთ ჩამრთველი ველი მომხმარებლებს დაშიფრონ ფაილები EFS გამოყენებით. შეგიძლიათ ჩართოთ ან გამორთოთ EFS ცალკეულ ორგანიზაციულ ერთეულებში (OU).

EFS-ის გამოყენებამდე უნდა დარწმუნდეთ, რომ თქვენი აპლიკაციები თავსებადია EFS-თან და EFS API-სთან. თუ აპლიკაციები შეუთავსებელია, მაშინ EFS-ით დაცული ფაილები შეიძლება იყოს დაზიანებული ან, უარესი, არ იყოს დაცული შესაბამისი ავტორიზაციის გარეშე. მაგალითად, თუ შეინახავთ და შეცვლით EFS-ით დაცულ ფაილს Windows-დან edit.com (16-ბიტიანი შესრულებადი ფაილი) გამოყენებით, ყველა დამატებითი მომხმარებელი დაკარგავს წვდომას ამ ფაილზე. Microsoft-ის აპლიკაციების უმეტესობა (მათ შორის Microsoft Office, Notepad და Wordpad) სრულად თავსებადია EFS-თან.

თუ ავტორიზებული მომხმარებელი დააკოპირებს EFS-ით დაცულ ფაილებს FAT დანაყოფში, EFS დაცვა წაიშლება. არაავტორიზებულ მომხმარებელს არ უნდა მიეცეს ფაილების გადატანა ან კოპირება Windows-ის რომელიმე დანაყოფზე. არაავტორიზებული მომხმარებელს შეუძლია Windows NTFS ნებართვის სისტემის გარდა ჩატვირთვა ჩატვირთვის ფლოპი დისკის ან CD-ROM პროგრამის გამოყენებით, რომელიც საშუალებას გაძლევთ დააინსტალიროთ NTFS share (მაგ. Knoppix, NTFSDOS, Peter Nordahl-Hagen ჩატვირთვის ფლოპი დისკი). შედეგად, მას შეეძლება ფაილის კოპირება ან გადატანა, მაგრამ თუ მას არ აქვს ავტორიზებული მომხმარებლის EFS გასაღები, ფაილი დაშიფრული დარჩება.

საუკეთესო პრაქტიკა

ქვემოთ მოცემულია EFS-თან მუშაობის საუკეთესო პრაქტიკა.

  1. განსაზღვრეთ ნომერი და განსაზღვრეთ DRA ანგარიშები.
  2. შექმენით DRA სერთიფიკატები DRA ანგარიშებისთვის.
  3. DRA სერთიფიკატების იმპორტი Active Directory-ში (AD).
  4. ექსპორტი და წაშალეთ DRA პირადი გასაღებები, შეინახეთ ისინი ორ ცალკეულ, უსაფრთხო, ოფლაინ სარდაფში.
  5. გააცნოს საბოლოო მომხმარებლებს EFS-ის აპლიკაციის მეთოდები და მახასიათებლები.
  6. პერიოდულად შეამოწმეთ DRA ფაილის აღდგენა.
  7. საჭიროების შემთხვევაში, პერიოდულად გაუშვით Cipher ბრძანება /u პარამეტრით, რათა განაახლოთ FEK-ები დამატებული ან ამოღებული DRA-ებისთვის.

EFS არის Windows 2000 და შემდეგ სისტემებზე ფაილების და საქაღალდეების დაშიფვრის საიმედო და უსაფრთხო მეთოდი. ქსელის ადმინისტრატორებმა უნდა შექმნან და განახორციელონ DRA პოლიტიკა და ასწავლონ საბოლოო მომხმარებლებს EFS-ის უპირატესობებისა და შეზღუდვების შესახებ.

როჯერ გრაიმსი- Windows IT Pro რედაქტორი და უსაფრთხოების კონსულტანტი. მას აქვს CPA, CISSP, CEH, CHFI, TICSA, MCT, MCSE: Security and Security+ სერთიფიკატები.

ინტერნეტში უამრავი ჭორია Canon-ის ლინზების შესახებ, გულწრფელად ვაღიარებ, ბოლო დრომდე მე თვითონ ვცდებოდი EF და EF-S ლინზებს შორის განსხვავებაზე. ამ სტატიაში შევეცადე შემეგროვებინა მათ შესახებ გარკვეული ინფორმაცია, რაც ხელს შეუწყობს არჩევანის გაკეთებას ამა თუ იმ მოდიფიკაციის სასარგებლოდ, ბოლო მოეღოს კამათს და გააქარწყლოს ზოგიერთი მითი.

მოდით ჯერ გავშიფროთ აბრევიატურა EF - ის მოდის ფრაზიდან Electro-Focus ("ელექტროფოკუსი"). EF სამაგრთან ერთად მოდის ოპტიკაში ჩაშენებული ავტომატური ფოკუსირების სისტემა, ე.ი. ლინზასა და კამერას შორის მოძრავი ნაწილები არ არის, მხოლოდ კონტაქტებია, ხოლო ობიექტივში ელექტროძრავა პასუხისმგებელია ფოკუსირებასა და დიაფრაგმაზე. სხვათა შორის, პირველი EF სერიის ობიექტივი ჯერ კიდევ 1987 წელს გამოჩნდა.

EF-S არის კამერების სამაგრის მოდიფიკაცია APS-C ფორმატის მატრიცით, რომელიც შეიქმნა 2003 წელს. "S" ნიშნავს მოკლე უკან ფოკუსს. ასეთ ლინზებში ბოლო ოპტიკური ელემენტი მატრიცასთან უფრო ახლოს მდებარეობს, ვიდრე EF ლინზებში. შედარებისთვის, მე მივცემ ორი ლინზის სურათს სხვადასხვა სამონტაჟო მოდიფიკაციით.

მარცხენა ობიექტივი EF, მარჯვენა EF-S

როგორც ხედავთ, მარჯვენა ლინზაზე ბოლო ობიექტივი მდებარეობს სამონტაჟო ძაფის შემდეგ, ე.ი. კამერაზე დაყენებისას ის შესამჩნევად უფრო ახლოს იქნება მატრიცასთან. სინამდვილეში, ეს არის ერთადერთი, მაგრამ ძალიან მნიშვნელოვანი განსხვავება. ფაქტია, რომ EF-S ოპტიკა არ შეიძლება გამოყენებულ იქნას სრული კადრი კამერებით. მიუხედავად სამაგრის თავსებადობისა, ამობურცულმა ლინზამ შეიძლება დააზიანოს კამერის სარკე. გარდა ამისა, EF ლინზები თავსებადია და მათი გამოყენება შესაძლებელია Canon EOS-ის ნებისმიერ კამერასთან (DSLR).

APS-C ფორმატის კამერებისთვის, ლინზების ფოკუსური მანძილი უნდა დარეგულირდეს. სრული ფორმატის სენსორზე მიღებული ფოკუსური მანძილის ექვივალენტის გამოსათვლელად, თქვენ უნდა გაამრავლოთ ობიექტივზე მითითებული მნიშვნელობები 1.6-ით. ინტერნეტში გავრცელებულია მოსაზრება, რომ EF-S სერიისთვის ეს არ არის საჭირო და რეალური მნიშვნელობები მითითებულია ოპტიკაზე, უკვე გადაანგარიშების გათვალისწინებით. ეს არასწორია. მაგალითად, მე მივცემ ახალი Canon EF-S 18-55mm f/3.5-5.6 IS II ლინზის აღწერას კომპანიის ოფიციალური ვებსაიტიდან:

EF-S 18-55 მმ f/3.5-5.6 IS II არის მაღალი ხარისხის, სტანდარტული მასშტაბირების ობიექტივი, რომელიც მოეწონება ფოტოგრაფებს, რომლებსაც ურჩევნიათ მსუბუქი მოგზაურობა. ფოკუსური მანძილის ექვივალენტით 29-88 მმ 35 მმ ფორმატში…

როგორც ხედავთ, ამ ლინზებისთვის გამოიყენება ფოკუსური მანძილების სტანდარტული კონვერტაცია და 18-55 იქცევა 29-88 მმ-ად. ჩნდება სრულიად ლოგიკური კითხვა: რატომ აწუხებთ მთელი ეს ბაღი? ფაქტია, რომ ამ დიზაინმა შესაძლებელი გახადა მსუბუქი, პატარა ლინზების დამზადება. ეს არის Canon-ის მიხედვით, მაგრამ სინამდვილეში, სავსებით შესაძლებელია, რომ ეს გაკეთდეს ისე, რომ იაფი ლინზები არ გამოიყენონ ძვირადღირებული სრული ჩარჩო აღჭურვილობით.

კიდევ ერთი საინტერესო შეხება: არც EF და არც EF-S არ იყო ლიცენზირებული მესამე მხარის ოპტიკის მწარმოებლებზე, როგორიცაა Sigma ან Tamron. მიუხედავად ამ მწარმოებლების პრეტენზიებისა 100% თავსებადობის შესახებ, Canon არ იძლევა ასეთ გარანტიას. ამიტომ არაბრენდული ლინზების შეძენისას ისინი განსაკუთრებით ფრთხილად უნდა შემოწმდეს.

მოდით გამოვიტანოთ დასკვნები Canon ლინზების შესახებ:

  • APS-C კამერებზე ფოკუსური სიგრძე ხელახლა გამოითვლება ყველა ტიპის ლინზებისთვის;
  • ულტრაფართო კუთხე შეჭრილ კამერებზე ხელმისაწვდომია მხოლოდ EF-S 10-22 მმ ლინზებით;
  • სამწუხაროდ, მოჭრილ კამერებზე fisheye საერთოდ არ არის ხელმისაწვდომი;
  • EF ლინზები შესაფერისია Canon-ის ნებისმიერი კამერისთვის;
  • APS-C კამერიდან სრულ ჩარჩოზე გადასვლისას EF-S ლინზების გამოყენება შეუძლებელია.

თუ სამომავლოდ გეგმავთ სრულ ჩარჩოს კამერის განახლებას, წინასწარ განიხილეთ ლინზების შეძენა.

კომპიუტერზე და დისკებზე ფიზიკური წვდომისას პოტენციურად მგრძნობიარე მონაცემების უნებართვო წვდომისგან დასაცავად.

მომხმარებლის ავტორიზაცია და რესურსებზე წვდომის უფლებები NT-ში მუშაობს ოპერაციული სისტემის ჩატვირთვისას, მაგრამ სისტემაში ფიზიკურად წვდომისას შესაძლებელია სხვა ოპერაციული სისტემის ჩატვირთვა ამ შეზღუდვების გვერდის ავლით. EFS იყენებს სიმეტრიულ დაშიფვრას ფაილების დასაცავად, ასევე საჯარო/პირადი გასაღების წყვილის დაშიფვრას, რათა დაიცვას შემთხვევით გენერირებული დაშიფვრის გასაღები თითოეული ფაილისთვის. ნაგულისხმევად, მომხმარებლის პირადი გასაღები დაცულია მომხმარებლის პაროლის დაშიფვრით, ხოლო მონაცემთა უსაფრთხოება დამოკიდებულია მომხმარებლის პაროლის სიძლიერეზე.

სამუშაოს აღწერა

EFS მუშაობს თითოეული ფაილის დაშიფვრით სიმეტრიული დაშიფვრის ალგორითმის გამოყენებით, ოპერაციული სისტემის ვერსიისა და პარამეტრების მიხედვით (Windows XP-დან დაწყებული, თეორიულად შესაძლებელია მესამე მხარის ბიბლიოთეკების გამოყენება მონაცემთა დაშიფვრისთვის). ეს იყენებს შემთხვევით გენერირებულ კლავიშს თითოეული ფაილისთვის, რომელსაც ეწოდება ფაილის დაშიფვრის გასაღები(FEK), სიმეტრიული დაშიფვრის არჩევანი ამ ეტაპზე აიხსნება მისი სიჩქარით და უფრო დიდი საიმედოობით ასიმეტრიულ დაშიფვრასთან მიმართებაში.

FEK (სიმეტრიული დაშიფვრის გასაღები შემთხვევითი თითოეული ფაილისთვის) დაცულია ასიმეტრიული დაშიფვრით, მომხმარებლის საჯარო გასაღების გამოყენებით, რომელიც შიფრავს ფაილს და RSA ალგორითმს (თეორიულად, შესაძლებელია სხვა ასიმეტრიული დაშიფვრის ალგორითმის გამოყენება). ამ გზით დაშიფრული FEK ინახება NTFS ფაილური სისტემის $EFS ალტერნატიულ ნაკადში. მონაცემების გაშიფვრისთვის, დაშიფრული ფაილური სისტემის დრაივერი გამჭვირვალედ შიფრავს FEK-ს მომხმარებლის პირადი გასაღების გამოყენებით, შემდეგ კი სასურველ ფაილს გაშიფრული ფაილის გასაღების გამოყენებით.

ვინაიდან ფაილის დაშიფვრა/გაშიფვრა ხდება ფაილური სისტემის დრაივერის გამოყენებით (არსებითად NTFS-ის დანამატი), ის გამჭვირვალედ ხდება მომხმარებლისთვის და აპლიკაციებისთვის. აღსანიშნავია, რომ EFS არ შიფრავს ქსელში გადაცემულ ფაილებს, ამიტომ გადაცემული მონაცემების დასაცავად, თქვენ უნდა გამოიყენოთ მონაცემთა დაცვის სხვა პროტოკოლები (IPSec ან WebDAV).

ინტერფეისები EFS-თან ურთიერთობისთვის

EFS-თან მუშაობისთვის მომხმარებელს აქვს შესაძლებლობა გამოიყენოს გრაფიკული Explorer ინტერფეისი ან ბრძანების ხაზის პროგრამა.

GUI-ის გამოყენება

ფაილის ან საქაღალდის შემცველი ფაილის დაშიფვრის მიზნით, მომხმარებელს შეუძლია გამოიყენოს შესაბამისი ფაილის ან საქაღალდის თვისებების დიალოგური ფანჯარა Windows XP-დან დაწყებული ფაილებისთვის „შინაარსის დაშიფვრის მიზნით“ მონიშვნის ან მოხსნის გზით სხვა მომხმარებლების, რომლებიც ასევე შეძლებენ ამ ფაილის გაშიფვრას და მის შიგთავსთან მუშაობას (თუ გაქვთ შესაბამისი ნებართვები). საქაღალდის დაშიფვრისას დაშიფრულია მასში არსებული ყველა ფაილი, ასევე ის, რაც მოგვიანებით განთავსდება.


ფონდი ვიკიმედია.

2010 წელი.

    ნახეთ, რა არის "EFS" სხვა ლექსიკონებში: EFS

    - ეს არის ინფორმაცია: EFS Flug Service, in Deutsche Charterflugunternehmen EFS Hausgeräte, Eine Haushaltsgerätefirma Encrypting File System, System for Dateiversschlüssung outter Microsoft Windows EFS Euro Finanz Service Vermittlungs AG (EFS Deutschpe… e.ეფს

    ნახეთ, რა არის "EFS" სხვა ლექსიკონებში:- დაშიფვრის ფაილური სისტემა (EFS) არის დაშიფრული ფაილური სისტემა (EFS) არის არქივის სისტემაში, NTFS-ის ტვირთვა, არქივის დონის სისტემა. ხელმისაწვდომია Microsoft Windows 2000-ისთვის. ტექნოლოგია… … Wikipedia Español

    ნახეთ, რა არის "EFS" სხვა ლექსიკონებში:- შეიძლება ეხებოდეს ერთ-ერთ შემდეგს: *საქაღალდის ელექტრონული სისტემა, ელექტრონული პლატფორმა სინგაპურის სასამართლო სისტემის მიერ *გადაუდებელი სახანძრო სამსახური, ახლა ქვეყნის სახანძრო სამსახური (ავსტრალია) *ჩამქრალი მზის იმპერატორი, რიგზე დაფუძნებული, სტრატეგიული ვიდეო თამაში… … Wikipedia

    ნახეთ, რა არის "EFS" სხვა ლექსიკონებში:- , ein System zur Verschlüsselung von Dateien und Ordnern unter den Betriebssystemen Windows NT und Windows 2000, ასე რომ dass sie vor dem Zugriff unberechtigter Benutzer geschützt… … Universal-Lexikon

    ნახეთ, რა არის "EFS" სხვა ლექსიკონებში:- Cette page d'homonymie répertorie les différents sujets et articles partageant un même nom. სიგლე დ'უნევე წერილები Sigles deux Letres > Sigles de trois Lettres Sigles de Qutre Lettres Sigles de Qutre Lettres … ვიკიპედია ფრანგულში

    ნახეთ, რა არის "EFS" სხვა ლექსიკონებში:- ● en sg. მ. MS GESTFICH დაშიფვრის ფაილური სისტემა. კრიპტის სისტემა, Microsoft-ის და Windows 2000-ის მთლიანი სისტემა, და არ არის ოპტიმალური გამოყენება. Voir TCFS. Je ne sais pas il existe un lien avec efs... Dictionnaire d'Informatique francophone

    ეფს- არსებითი სახელი ასო F ... ვიქციონარი

    ნახეთ, რა არის "EFS" სხვა ლექსიკონებში:- ფაილური სისტემის დაშიფვრა (გამოთვლითი » უსაფრთხოება) * Enhance Financial Services Group, Inc. (ბიზნესი » NYSE სიმბოლოები) * ტექნოლოგიური ბოჭკოების შერჩევა (სხვადასხვა » ტანსაცმელი) * ეფექტური საფინანსო ანგარიშგება (ბიზნესი » ბუღალტერია) * ნაკადის სქემა (EasyFlow) … აბრევიატურების ლექსიკონი

    ნახეთ, რა არის "EFS" სხვა ლექსიკონებში:- ყველაზე ადრეული დასრულების ცვლა; ელექტრული ველის სტიმულაცია; ევროპული ფრაქსიპარინის კვლევა; ღონისძიების უფასო გადარჩენა … სამედიცინო ლექსიკონი

დაკავშირებული სტატიები