- •Средства поддержки безопасности компьютера в Windows 2000
- •Параметры безопасности по умолчанию
- •Общие сведения о шифровании файлов
- •Работа с зашифрованными файлами
- •Важные сведения о efs
- •Могут быть зашифрованы только файлы и папки, находящиеся на томах ntfs.
- •Рекомендации по использованию efs
- •Как зашифровать файл или папку
- •Использование оснастки «Групповая политика»
Общие сведения о шифровании файлов
Шифрованная файловая система (EFS) обеспечивает ядро технологии шифрования файлов, используемой для хранения шифрованных файлов на томах файловой системы NTFS. После того как файл или папка зашифрованы, с ними работают так же, как и с другими файлами или папками. Шифрование является прозрачным для пользователя, зашифровавшего файл. Это означает, что перед использованием файл не нужно расшифровывать. Файл можно открыть и изменять, как это делается обычно. Однако злоумышленнику, пытающемуся получить доступ к зашифрованным файлам или папкам, будет запрещено сделать это. Злоумышленник получит сообщение об отказе в доступе, если он попытается открыть, скопировать, переместить или переименовать зашифрованный файл или папку.
Шифрование и расшифровывание файлов выполняется установкой свойств шифрования для папок и файлов, как устанавливаются и другие атрибуты, например «только чтение», «сжатый» или «скрытый». Если шифруется папка, все файлы и подпапки, созданные в зашифрованной папке, автоматически шифруются. Рекомендуется использовать шифрование на уровне папки.
Файлы и папки могут также быть зашифрованы или расшифрованы с помощью функции командной строки cipher. Чтобы получить дополнительные сведения о команде cipher, наберите cipher /? в командной строке.
Используйте EFS для защиты документов от злоумышленников, которые могут получить несанкционированный физический доступ к хранимым конфиденциальным данным (например украв переносной компьютер или Zip-диск).
Работа с зашифрованными файлами
При работе с зашифрованными файлами и папками следует учитывать следующие сведения и рекомендации.
Важные сведения о efs
Могут быть зашифрованы только файлы и папки, находящиеся на томах ntfs.
Сжатые файлы и папки не могут быть зашифрованы. Чтобы получить возможность зашифровать файл, для него сначала необходимо отменить сжатие. На сжатом томе отмените сжатие папок, которые необходимо зашифровать.
Только пользователь, зашифровавший файл, может открыть его.
Зашифрованные файлы не могут быть сделаны общими. EFS не распространяет личные данные.
Зашифрованные файлы могут стать расшифрованными, если файл копируется или перемещается на том, не являющийся томом NTFS.
Используйте копирование и вставку для перемещения файлов в зашифрованную папку. Если для перемещения файлов используется перетаскивание мышью, то они не будут автоматически зашифрованы в новой папке.
Системные файлы не могут быть зашифрованы.
Шифрование папки или файла не защищает их от удаления. Любой пользователь, имеющий права на удаление, может удалить зашифрованные папки или файлы.
Временные файлы, создаваемые некоторыми программами при редактировании документов, также шифруются при условии, что они находятся на томе NTFS в зашифрованной папке. Из этих соображений рекомендуется зашифровать папку Temp на жестком диске. Шифрование папки Temp гарантирует, что зашифрованные документы остаются зашифрованными даже в процессе редактирования. Если создается новый документ или открывается вложение в Outlook, файл может быть создан как зашифрованный документ в папке Temp. Если зашифрованный документ сохраняется в другом месте на томе NTFS, он останется зашифрованным и на новом месте.
Могут быть зашифрованы или расшифрованы файлы и папки на удаленном компьютере, для которого разрешено удаленное шифрование. За дополнительными сведениями обратитесь к администратору домена. Однако если зашифрованный файл открывается по сети, передаваемые при этом по сети данные не будут зашифрованы. Другие протоколы, например SSL/PCT или IPSEC, должны использоваться для шифрования данных, передаваемых по сети.
Политика восстановления реализуется автоматически при шифровании первого файла или папки. Поэтому если будет утерян сертификат шифрования файлов и связанный с ним закрытый ключ, агент восстановления расшифрует этот файл.