ფაილის დაშიფვრის პროცესის თანმიმდევრობა. დაშიფვრის ფაილური სისტემის (EFS) კონტროლი ჯგუფური პოლიტიკის გამოყენებით

დავუშვათ, რომ თქვენ გაქვთ კომპიუტერი გაშვებული Windows კონტროლიუახლესი ვერსია. მასზე თამაშობ სროლებს, წერ დისერტაციას, გამარტივებული სისტემით აკეთებ ინდივიდუალურ მეწარმეებს ბუღალტრულ აღრიცხვას და ზოგადად, როგორც შეგიძლია, მხიარულობ. მაგრამ მოულოდნელად, სრულიად უსაფუძვლოდ, იწყებ იმის შეგრძნებას, რომ გარედან რაღაც საფრთხეს უქმნის ზოგიერთი მონაცემის უსაფრთხოებას, რომელიც ინახება შენზე. პერსონალური კომპიუტერი. თქვენ, ცხელი გამოხედვით, კითხულობთ უამრავ კიბერ ფორუმს და საშინლად ხვდებით, რომ თქვენს მყარ დისკზე ყველა თქვენი მონაცემი არანაირად არ არის დაცული. და თუ თქვენი საყვარელი კომპიუტერი მოიპარეს და პორტატული აღჭურვილობის ქურდობის რისკი არც თუ ისე დაბალია, მაშინ თავდამსხმელი შეძლებს ყველა შინაარსს. მყარი დისკი! ოჰ, ჩემი ფასდაუდებელი დისერტაცია!

შევეცადოთ გაერკვნენ, შესაძლებელია თუ არა ფაილებზე არასანქცირებული წვდომის მოპოვება, თუ კომპიუტერი მუშაობს ოპერაციული სისტემა Windows 10. IBM-ის და შემდგომში Microsoft-ის ინჟინრებმა დიდი ძალისხმევა დახარჯეს ფაილების უფლებების გამიჯვნის სისტემის დანერგვაზე. NTFS სისტემები(როდესაც IBM იქ იყო, ეს იყო HPFS). და თუ Win10 მუშაობს კომპიუტერზე, მაშინ ძალიან, ძალიან რთულია სხვა ადამიანების ფაილებზე წვდომა ნებართვის გარეშე და თუ წვდომა დაბლოკილია, ეს სრულიად შეუძლებელია. Windows საიმედოაიცავს მომხმარებლის ფაილებს.

მაგრამ როგორც კი ჩატვირთავთ სხვა ოპერაციულ სისტემაში, მაგალითად, Linux Mint, მაშინ ყველა მომხმარებლის ფაილი თქვენს ხელთაა. ჩამოტვირთეთ რაც გინდათ. და თქვენ შეგიძლიათ ჩატვირთოთ Mint-ში ან ფლეშ დრაივიდან ან CD-ROM-დან, თქვენ უბრალოდ უნდა შეხვიდეთ UEFI-ზე (BIOS) და გაააქტიუროთ ჩატვირთვა მოსახსნელი დისკებიდან, თუ ის ადრე არ იყო გააქტიურებული, ან გამოიყენოთ ჩატვირთვის მენიუ. ვივარაუდოთ, რომ დააყენეთ პაროლი UEFI-ში შესასვლელად და გამორთეთ დისკის არჩევა კლასად ჩატვირთვისთვის, მაშინ თქვენი ფაილები ოდნავ უფრო დაცული იქნება. და თავდამსხმელს შეუძლია უბრალოდ გაშალოს თქვენი კომპიუტერი, ამოიღოს მყარი დისკიდა დააკავშირეთ იგი თქვენს კომპიუტერთან და შემდეგ ჩამოტვირთეთ ყველაფერი, რაც საჭიროა. ყოველივე ამის შემდეგ, ფაილების სახით მონაცემები მის ხელში იქნება, როგორც ღია ნოუთბუქი.

IT სპეციალისტებმა იციან, რომ თქვენ შეგიძლიათ გარკვეულწილად უზრუნველყოთ თქვენი კომპიუტერის მონაცემები BitLocker ტექნოლოგიის გამოყენებით. BitLocker კარგია, მაგრამ ის მხოლოდ საშუალებას გაძლევთ დაშიფვროთ მთელი ტიხრები დისკებზე, ფიზიკური ან ვირტუალური. ამავდროულად, უზრუნველყოფილია გასაღებების უსაფრთხოება, მათ შორის TPM მოდულებში შენახვა. რაც ძალიან მოსახერხებელია. თუმცა, ყველაფრის და ყველას დაშიფვრა ყოველთვის არ არის მოსახერხებელი, თუმცა, რა თქმა უნდა, სრული დისკის დაშიფვრის გამოყენებას გარკვეული აზრი აქვს. მაგრამ რატომღაც ყველას ავიწყდება ფაილების და დირექტორიების ნაწილობრივი დაშიფვრა.

Windows 10-ში, ისევე როგორც მის წინა რეინკარნაციებში, არის დაშიფრული ფაილური სისტემა, რაც ნიშნავს დაშიფრულ ფაილურ სისტემას (EFS). ეს ფუნქციახელმისაწვდომია Pro ვერსიიდან და უფრო მაღალიდან, ასე რომ, თუ თქვენ გაქვთ Windows Home ვერსია, უნდა განაახლოთ მინიმუმ Pro-ზე. ვიკიპედიამ ბევრი დაწერა იმის შესახებ, თუ როგორ და რა არის დაშიფრული EFS-ში. უბრალოდ ვეცდები რაც შეიძლება მარტივად ავხსნა ყველაფერი და მაქსიმუმი გავცე დეტალური ინსტრუქციებითქვენი ფაილების დაცვის გასააქტიურებლად.

გარდა იმისა, რომ აქვს მინიმუმი პრო ხედირედაქტორები, აუცილებელია იმუშაოთ მომხმარებლის ქვეშ, რომელსაც აქვს პაროლი. პაროლი უნდა იყოს წარმოდგენილი, იყოს ბმული ღრუბელთან Microsoft სერვისი, ან სრულიად ავტონომიური პაროლი. სისტემაში შედიხართ PIN კოდის გამოყენებით თუ შაბლონის გამოყენებით, არ არის მნიშვნელოვანი, მთავარია პაროლი ასოცირდება თქვენს ანგარიშთან. აქტიურ ანგარიშში პაროლის არსებობის გარდა, აუცილებელია, რომ დაცული ფაილები და დირექტორიები განთავსდეს დისკზე ან დანაყოფზე NTFS ფაილური სისტემით. სავარაუდოდ, ეს არის ზუსტად ის ფაილური სისტემადა ეხება თქვენ.

მონაცემთა დაშიფვრა ხდება აბსოლუტურად გამჭვირვალედ მომხმარებლისთვის და მათი დიდი უმრავლესობისთვის პროგრამული პროდუქტები, იმიტომ დაშიფვრა ხდება NTFS ფაილური სისტემის დონეზე. შეგიძლიათ დაშიფროთ ერთი ფაილი ან მთელი საქაღალდე ერთდროულად. თქვენ შეგიძლიათ დაშიფროთ ის, როგორც ცარიელი საქაღალდე, შემდეგ კი დაამატოთ ახალი ფაილები და ისინი ასევე დაშიფრული იქნება, ან შეგიძლიათ დაშიფროთ საქაღალდე შიგნით ფაილებითა და დირექტორიებით. ყველაფერი შენი არჩევანია.

დაშიფრულ საქაღალდეებთან და ფაილებთან მუშაობისას გაითვალისწინეთ შემდეგი:

1. ფაილები დაშიფრულია NTFS-ის გარდა სხვა ფაილურ სისტემაში გადატანამდე. მაგალითად, თქვენ დააკოპირებთ დაშიფრულ ფაილს ფლეშ დისკზე. თუ ეს არის FAT32 და, სავარაუდოდ, ის იქ არის, მაშინ ფაილი გაშიფრული იქნება.მეათეში ვინდოუსის ვერსიები Microsoft-მა მაინც დანერგა ფუნქცია, სადაც ფაილი რჩება დაშიფრული მაშინაც კი, თუ ის გადაიტანეთ ფლეშ დისკზე FAT-ით, ამიტომ ფხიზლად უნდა იყოთ, თუ რომელიმე ფაილს თქვენს მეგობარს გაჟონავთ. შეძლებს თუ არა მათ გახსნას მოგვიანებით გინების გარეშე? თუ ფაილს აგზავნით ელ- გაშიფრული იქნება (თორემ აზრი არ აქვს ფოსტით გაგზავნას). ფაილის ქსელში გადაცემისას ასევე მოხდება გაშიფვრა.
2. NTFS დანაყოფებს შორის გადაადგილებისას, ფაილი რჩება დაშიფრული. ფაილის ერთი NTFS დისკიდან მეორე NTFS დისკზე გადატანისას, ფაილი დაშიფრული იქნება. როდესაც თქვენ დააკოპირებთ ფაილს მოსახსნელ მყარ დისკზე NTFS ფაილური სისტემით, ის დაშიფრული იქნება ახალ ადგილას.
3. თუ ანგარიშის პაროლი იძულებით შეიცვალა მესამე მხარის მიერ, მაგალითად, ადმინისტრატორის მიერ, ან დაკავშირებული დომენის ანგარიშის ან ღრუბლოვანი სერვისის პაროლი იძულებით შეიცვალა, ფაილებზე წვდომა სარეზერვო სერტიფიკატის გარეშე (პირველი დაშიფვრის დროს გენერირებული) აღარ იქნება. შესაძლებელი იყოს.

ბოლო პუნქტი ძალიან მნიშვნელოვანია, განსაკუთრებით არასანდო მეხსიერების მქონე ადამიანებისთვის, რომლებიც გამუდმებით აღადგენენ პაროლებს. აქ, ასეთმა ხრიკმა შეიძლება გამოიწვიოს მუდმივად დაშიფრული ფაილები, თუ, რა თქმა უნდა, არ შემოიტანთ შენახულ სერტიფიკატს სისტემაში. თუმცა, როდესაც პაროლის შეცვლა ნებაყოფლობითია, მაგალითად, პაროლის შეცვლის პოლიტიკის შესაბამისად, მაშინ დაშიფრული ფაილების დროული დაკარგვა არ მოხდება.

სკეპტიკოსები სრულიად სამართლიანად შენიშნავენ, რომ ასეთი დაცვა, თუმცა, BitLocker-ის მსგავსად, არ არის სუპერ სანდო, მათი თქმით, ჰაკერებს შეუძლიათ გამოიცნონ პაროლი, თუ ის სუსტია და სადაზვერვო სამსახურები ყველაფერს გაშიფრავენ. მართლაც, მათ შეუძლიათ უბრალოდ გამოიცნონ თქვენი პაროლი, თუ ის მოკლე და მარტივია. და ამიტომაც არის, რომ სპეცსამსახურები არის სპეციალური სერვისები, რომ ჰქონდეთ ტექნიკური მიზანშეწონილობამიაღწიეთ ძალიან საეჭვო მომხმარებლების ფაილების შინაარსს. უფრო მეტიც, მას შემდეგ რაც შესული ხართ, მაშინვე გექნებათ გამჭვირვალე წვდომა EFS-ში დაშიფრულ ყველა ფაილზე. და თუ თქვენს კომპიუტერში არის ტროას ან ვირუსი, მაშინ ის მიიღებს წვდომას ძვირფას ფაილებზე ზუსტად იმავე გზით. კომპიუტერის ჰიგიენა მკაცრად უნდა იყოს დაცული.

დეტალური ინსტრუქციები დაშიფვრის ჩართვისთვის EFS-ის გამოყენებით Win10 Pro-ში საქაღალდეზე

ქვემოთ მე გთავაზობთ ნაბიჯ-ნაბიჯ, ზუსტ ინსტრუქციებს, თუ როგორ უნდა დაშიფროთ საქაღალდე მასში ფაილებით. ინდივიდუალური ფაილი დაშიფრულია იმავე გზით.

ნაბიჯი 1. მოდით შევქმნათ საქაღალდე. დაე მას ეწოდოს "ჩემი სურათები".

დირექტორიას შექმნა

ნაბიჯი 2. დააწკაპუნეთ საქაღალდეზე დააწკაპუნეთ მარჯვენა ღილაკითთაგვები და კონტექსტური მენიუაირჩიეთ "თვისებები".

დააწკაპუნეთ საქაღალდეზე მარჯვენა ღილაკით და მიიღეთ ეს

ნაბიჯი 3. "თვისებები" მენიუში გადადით საქაღალდის გაფართოებულ ატრიბუტებზე ღილაკზე "სხვა..." დაწკაპუნებით.

საქაღალდის თვისებები

ნაბიჯი 4. მონიშნეთ ყუთი „კონტენტის დაშიფვრა მონაცემების დასაცავად“ გვერდით და დააწკაპუნეთ OK. თუ თქვენ გჭირდებათ დაშიფვრის გაუქმება, მოხსენით მონიშვნა იმავე უჯრაზე და ფაილი გაშიფრული იქნება.

საქაღალდეში თვისებები გაფართოებული ატრიბუტები

ნაბიჯი 5. დაასრულეთ "თვისებები" და დააწკაპუნეთ OK ან "Apply".

ნაბიჯი 6. ჩვენ ვპასუხობთ დიალოგურ ფანჯარაში, თუ რა უნდა "გამოვიყენოთ" ჩვენს საქაღალდეზე და მის მთელ შინაარსზე.

აირჩიეთ სასურველი დაშიფვრის ელემენტი

ესე იგი, ჩვენი საქაღალდე და მთელი მისი შინაარსი დაშიფრულია EFS-ის გამოყენებით. თუ გსურთ, შეგიძლიათ შეამოწმოთ, რომ ჩვენი საქაღალდე და მასში არსებული ყველა ფაილი უსაფრთხოდ არის დახურული აუტსაიდერებისგან.

ნაბიჯი 7. ჩვენ გავდივართ 1-3 ნაბიჯებს და ვხედავთ, რომ "დაშიფვრის" ველი აქტიურია. და მის გვერდით არის აქტიური ღილაკი "დეტალები". დააჭირეთ "დეტალებს".

ამოწმებს რა არის დაშიფრული

ნაბიჯი 8. ფანჯარაში, რომელიც გამოჩნდება, ჩვენ ვხედავთ ამას ამ ფაილსაქვს მხოლოდ ერთი სერთიფიკატი მხოლოდ ერთი მომხმარებლის წვდომისთვის, პლუს წვდომის აღდგენის სერთიფიკატი არ არის დაინსტალირებული.

საქაღალდე დაშიფრულია ერთი სერტიფიკატით

თქვენ ასევე შეგიძლიათ გაიგოთ, რომ კონკრეტული ფაილი დაშიფრულია Windows Explorer-ში.

გალერეა დაშიფრული სურათებით. მხოლოდ ანგარიშის მფლობელს შეუძლია მათი ნახვა.

ხატი გამოჩნდება ყველა სხვა ფაილის ხედში და Explorer-ის ხედებში. მართალია, ზოგიერთ პიქტოგრამაზე მათი დანახვა ძალიან რთულია და კარგად უნდა დააკვირდეთ.

იგივე გალერეა, მხოლოდ ცხრილის სახით. იკეტება ხატის ზედა მარჯვენა კუთხეში.

პირველი ფაილების დაშიფვრის შემდეგ, Windows მოგთხოვთ გააკეთოთ სერთიფიკატის ასლი. იგივე სერთიფიკატი, რომელიც საშუალებას მოგცემთ გაშიფროთ ფაილები, თუ მოულოდნელად რაიმე შეგეშალათ თქვენს კომპიუტერში (დააინსტალირეთ სისტემა, გადააყენეთ პაროლი, გადაიტანეთ დისკი სხვა კომპიუტერზე და ა.შ.).

ნაბიჯი 9. სარეზერვო აღდგენის სერთიფიკატის შესანახად დააწკაპუნეთ გასაღების არქივის ხატულაზე.

უჯრის ხატულა, რომელიც ითხოვს სარეზერვო სერთიფიკატის დაარქივებას დაშიფვრის აღსადგენად

ნაბიჯი 10. ფანჯარაში, რომელიც გამოჩნდება, აირჩიეთ "არქივი ახლა".

არქივის როდის არჩევა

ნაბიჯი 11. გააქტიურების ოსტატის დიალოგურ ფანჯარაში დააწკაპუნეთ "შემდეგი".

სერთიფიკატის ექსპორტის ოსტატის ფანჯარა

ნაბიჯი 12. თუ იყენებთ მხოლოდ EFS დაშიფვრას, შეგიძლიათ დატოვოთ ნაგულისხმევი მნიშვნელობები. და დააჭირეთ "შემდეგი".

სარეზერვო სერტიფიკატის ექსპორტის პარამეტრები

ნაბიჯი 13. აზრი აქვს ექსპორტირებული სერთიფიკატის პაროლით დაცვას. ჩვენ შევიყვანთ პაროლს, ეს შეიძლება იყოს ნებისმიერი რამ, არა აუცილებლად თქვენი ელფოსტიდან ან Windows-ში შესვლისთვის. და დააჭირეთ "შემდეგი".

შეიყვანეთ პაროლი აღდგენის სერთიფიკატის შემდგომი დასაცავად

ნაბიჯი 15. დაადასტურეთ შედეგი OK დაწკაპუნებით.

ექსპორტის ოსტატის დასრულება

და სულ ესაა. გადმოწერილი სერთიფიკატი უნდა დაკოპირდეს უსაფრთხო ადგილას. მაგალითად, ფლოპი დისკზე, ფლეშ დრაივზე ან უსაფრთხო ღრუბელში. აღდგენის სერთიფიკატის თქვენს კომპიუტერზე დატოვება ცუდი იდეაა, ამიტომ მისი „უსაფრთხო ადგილას“ შენახვის შემდეგ ჩვენ ვშლით ფაილს კომპიუტერიდან და ამავდროულად ვაცლით ურნას.

სხვათა შორის, თქვენ ასევე შეგიძლიათ დაშიფროთ დირექტორიები, რომლებშიც სინქრონიზებული ხართ ღრუბლოვანი ფაილებითქვენს კომპიუტერში, მაგალითად, OneDrive, DropBox, Yandex Disk და მრავალი სხვა. თუ გსურთ ასეთი საქაღალდის დაშიფვრა, ჯერ უნდა გამორთოთ ღრუბლოვანი სინქრონიზაციის აპლიკაცია ან შეაჩეროთ სინქრონიზაცია. ასევე ღირს დირექტორიაში არსებული ყველა ღია ფაილის დახურვა, რომელიც დაექვემდებარება დაშიფვრას, მაგალითად, Word, Excel ან სხვა პროგრამების დახურვა. ამის შემდეგ, თქვენ შეგიძლიათ ჩართოთ დაშიფვრა არჩეულ საქაღალდეში. როდესაც დაშიფვრის პროცედურა დასრულდება, შეგიძლიათ ხელახლა ჩართოთ სინქრონიზაცია. IN წინააღმდეგ შემთხვევაში, დაშიფვრამ შეიძლება არ იმოქმედოს საქაღალდეში არსებულ ყველა ფაილზე, რადგან ჩაშენებულ სისტემას შეუძლია მხოლოდ ჩასაწერი ფაილების დაშიფვრა. დიახ, ღრუბელთან სინქრონიზაციისას ფაილები გაშიფრული იქნება და ღრუბელში აღარ იქნება დაშიფრული.

დაშიფვრის დაწყებამდე უნდა გამოხვიდეთ OneDrive-დან.

ახლა დროა შეამოწმოთ რამდენად კარგად მუშაობს EFS დაშიფვრა. მე შევქმენი ფაილი ტექსტით დაშიფრულ დირექტორიაში. და შემდეგ ჩავტვირთე Linux Mint-ში ფლეშ დრაივიდან. ეს Linux ვერსიაშეუძლია ადვილად იმუშაოს NTFS მყარ დისკებთან, ამიტომ ჩემი მყარი დისკის შინაარსზე მოხვედრა რთული არ იყო.

შექმენით ფაილი ტექსტით დაშიფრულ საქაღალდეში.

თუმცა, როდესაც შევეცადე ფაილების გახსნა დაშიფრული საქაღალდიდან, იმედგაცრუებული დავრჩი. ვერც ერთი ფაილის გახსნა ვერ მოხერხდა. Linux Mint-ის მაყურებლებმა გაბედულად განაცხადეს, რომ წვდომა მითითებული ფაილებიარ აქვთ. მაგრამ ყველა დანარჩენი უპრობლემოდ გაიხსნა.

Win10-ში დაშიფრული ფაილები ჩანს Mint-დან, მაგრამ მათი გახსნა შეუძლებელია.

"დიახ!" - თქვეს მკაცრმა ციმბირელმა კაცებმა. მაგრამ თუ თქვენ ჩაწერთ დაშიფრულ ფაილს ფლეშ დისკზე, ის სავარაუდოდ დაშიფრული დარჩება. და მერე გადაიტანე სხვა კომპიუტერზე, სხვა ოპერაციული სისტემით, მერე უცებ გაიხსნება? არა, არ იხსნება. უფრო სწორად, გაიხსნება, მაგრამ მისი შინაარსი სრულიად გაუგებარი იქნება. ის დაშიფრულია.

ფლეშ დრაივზე ჩაწერილი დაშიფრული ტექსტური ფაილის გახსნის მცდელობა.

ზოგადად, შესაძლებელია EFS-ის გამოყენება და ზოგ შემთხვევაში საჭიროა კიდეც. ამიტომ, თუ თქვენ იყენებთ Windows 10-ს Pro ვერსიიდან და უფრო მაღალიდან, შეაფასეთ თქვენი კომპიუტერის ან ლეპტოპის წვდომის რისკი და შეძლებენ თუ არა ისინი თქვენი კონფიდენციალური ფაილების მოპოვებას. იქნებ დღეს რაღაც უნდა იყოს დაშიფრული?

ინტერნეტში უამრავი ჭორია Canon-ის ლინზების შესახებ, გულწრფელად ვაღიარებ, ბოლო დრომდე მე თვითონ ვცდებოდი EF და EF-S ლინზებს შორის განსხვავებაზე. ამ სტატიაში შევეცადე შემეგროვებინა მათ შესახებ გარკვეული ინფორმაცია, რაც ხელს შეუწყობს არჩევანის გაკეთებას ამა თუ იმ მოდიფიკაციის სასარგებლოდ, ბოლო მოეღოს კამათს და გააქარწყლოს ზოგიერთი მითი.

მოდით ჯერ გავშიფროთ აბრევიატურა EF - ის მოდის ფრაზიდან Electro-Focus ("ელექტროფოკუსი"). EF სამაგრთან ერთად მოვიდა ოპტიკაში ჩაშენებული ავტომატური ფოკუსირების სისტემა, ე.ი. ლინზასა და კამერას შორის მოძრავი ნაწილები არ არის, მხოლოდ კონტაქტებია, ხოლო ობიექტივში ელექტროძრავა პასუხისმგებელია ფოკუსირებასა და დიაფრაგმაზე. სხვათა შორის, პირველი EF სერიის ობიექტივი ჯერ კიდევ 1987 წელს გამოჩნდა.

EF-S არის კამერების სამაგრის მოდიფიკაცია APS-C ფორმატის მატრიცით, რომელიც შეიქმნა 2003 წელს. "S" ნიშნავს მოკლე უკანა ფოკუსს. ასეთ ლინზებში ბოლო ოპტიკური ელემენტი მდებარეობს მატრიცასთან უფრო ახლოს, ვიდრე EF ლინზებში. შედარებისთვის, მე მივცემ ორი ლინზის სურათს სხვადასხვა სამონტაჟო მოდიფიკაციით.

მარცხენა ობიექტივი EF, მარჯვენა EF-S

როგორც ხედავთ, მარჯვენა ლინზაზე ბოლო ობიექტივი მდებარეობს სამონტაჟო ძაფის შემდეგ, ე.ი. კამერაზე დაყენებისას ის შესამჩნევად უფრო ახლოს იქნება მატრიცასთან. სინამდვილეში, ეს არის ერთადერთი, მაგრამ ძალიან მნიშვნელოვანი განსხვავება. ფაქტია, რომ EF-S ოპტიკა არ შეიძლება გამოყენებულ იქნას სრული კადრი კამერებით. მიუხედავად სამაგრის თავსებადობისა, ამობურცულმა ლინზამ შეიძლება დააზიანოს კამერის სარკე. გარდა ამისა, EF ლინზები თავსებადია და მათი გამოყენება შესაძლებელია Canon EOS-ის ნებისმიერ კამერასთან (DSLR).

APS-C ფორმატის კამერებისთვის, ლინზების ფოკუსური მანძილი უნდა იყოს მორგებული. სრული ფორმატის სენსორზე მიღებული ფოკუსური მანძილის ექვივალენტის გამოსათვლელად, თქვენ უნდა გაამრავლოთ ობიექტივზე მითითებული მნიშვნელობები 1.6-ით. ინტერნეტში გავრცელებულია მოსაზრება, რომ EF-S სერიისთვის ეს არ არის საჭირო და რეალური მნიშვნელობები მითითებულია ოპტიკაზე, უკვე გადაანგარიშების გათვალისწინებით. ეს არასწორია. მაგალითად, მე მივცემ ახალი Canon EF-S 18-55mm f/3.5-5.6 IS II ლინზის აღწერას კომპანიის ოფიციალური ვებსაიტიდან:

EF-S 18-55 მმ f/3.5-5.6 IS II არის მაღალი ხარისხის, სტანდარტული მასშტაბირების ობიექტივი, რომელიც მოეწონება ფოტოგრაფებს, რომლებსაც ურჩევნიათ მსუბუქი მოგზაურობა. ფოკუსური მანძილის ექვივალენტით 29-88 მმ 35 მმ ფორმატში…

როგორც ხედავთ, ამ ლინზებისთვის გამოიყენება ფოკუსური მანძილების სტანდარტული კონვერტაცია და 18-55 იქცევა 29-88 მმ-ად. ჩნდება სრულიად ლოგიკური კითხვა: რატომ აწუხებთ მთელი ეს ბაღი? ფაქტია, რომ ამ დიზაინმა შესაძლებელი გახადა მსუბუქი, პატარა ლინზების დამზადება. ეს არის Canon-ის მიხედვით, მაგრამ სინამდვილეში, სავსებით შესაძლებელია, რომ ეს გაკეთდეს ისე, რომ იაფი ლინზები არ გამოიყენონ ძვირადღირებული სრული ჩარჩო აღჭურვილობით.

კიდევ ერთი საინტერესო შეხება: არც EF და არც EF-S არ იყო ლიცენზირებული მესამე მხარის ოპტიკის მწარმოებლებზე, როგორიცაა Sigma ან Tamron. მიუხედავად ამ მწარმოებლების პრეტენზიებისა 100% თავსებადობის შესახებ, Canon არ იძლევა ასეთ გარანტიას. ამიტომ, არაბრენდირებული ლინზების შეძენისას ისინი განსაკუთრებით ფრთხილად უნდა შემოწმდეს.

მოდით გამოვიტანოთ დასკვნები Canon ლინზების შესახებ:

• APS-C კამერებზე ფოკუსური სიგრძე ხელახლა გამოითვლება ყველა ტიპის ლინზებისთვის;
• ულტრაფართო კუთხე შეჭრილ კამერებზე ხელმისაწვდომია მხოლოდ EF-S 10-22 მმ ლინზებით;
• სამწუხაროდ, მოჭრილ კამერებზე fisheye საერთოდ არ არის ხელმისაწვდომი;
• EF ლინზები შესაფერისია Canon-ის ნებისმიერი კამერისთვის;
• APS-C კამერიდან სრულ ჩარჩოზე გადასვლისას EF-S ლინზების გამოყენება შეუძლებელია.

თუ სამომავლოდ გეგმავთ სრულ ჩარჩოს კამერის განახლებას, წინასწარ განიხილეთ ლინზების შეძენა.

ყველა მომხმარებლის კომპიუტერზე არის ალბათ რამდენიმე საქაღალდე, რომელთა შინაარსი აშკარად არ არის განკუთვნილი საჯარო სანახავად. ეს შინაარსი შეიძლება იყოს ნებისმიერი, მაგალითად, რიცხვები საბანკო ბარათებიან პერსონალური ფოტოები, ეს არ არის მთავარი, ერთადერთი მნიშვნელოვანი ის არის, რომ ეს მონაცემები საიმედოდ არის დაცული. გამოყენება სტანდარტული პაროლი Windows არ წარმოადგენს სერიოზულ ბარიერს ჰაკერებისთვის. ასეთი დაცვის უმარტივესი მაგალითია დაარქივება ინსტალაციასთან ერთად კარგი პაროლი. თუმცა, ეს მეთოდი არ არის ნაკლოვანებების გარეშე.

ჯერ ერთი, ეს არასასიამოვნოა, რადგან მომხმარებელი იძულებული იქნება ყოველ ჯერზე დაშიფვროს და გაშიფროს არქივი და მეორეც, ასეთი არქივის ადვილად კოპირება და შემდეგ უხეში ძალის გაშიფვრა შეიძლება. მეტი ეფექტური გზითფაილის დაცვა არის დაშიფვრა EFS ტექნოლოგიის გამოყენებით, რომელიც ასევე ცნობილია როგორც Encrypting File System, რომელიც გამოიყენება Windows-ში 2000 წლის ვერსიიდან. განსხვავებით BitLocker ტექნოლოგიისგან, რომელიც პირველად გამოჩნდა Vista-ში, EFS არ საჭიროებს აპარატურულ TPM მოდულს, მაგრამ ამავე დროს EFS არ საჭიროებს. მხარს უჭერს მთელი დანაყოფის დაშიფვრას.

ფაილური სისტემის დაშიფვრა დაშიფვრა ხორციელდება საჯარო და პირადი გასაღებების გამოყენებით, რომლებიც ავტომატურად გენერირდება სისტემის მიერ, როდესაც პირველად იყენებთ ჩაშენებულ EFS ინსტრუმენტებს. დირექტორიას ან ფაილის დაშიფვრისას EFS ქმნის უნიკალური ნომერი(FEK), რომელიც დაშიფრულია ძირითადი გასაღებით. თავის მხრივ, ძირითადი გასაღები დაშიფრულია მომხმარებლის გასაღებით. რაც შეეხება მომხმარებლის პირად გასაღებს, ის ასევე დაცულია, მაგრამ ამჯერად მომხმარებლის სისტემის პაროლის ჰეშირებით.

გამოდის, რომ EFS სისტემის მიერ დაშიფრული ფაილების გახსნა შესაძლებელია მხოლოდ იმ ანგარიშის გამოყენებით, რომელშიც ისინი დაშიფრულია. მაშინაც კი, თუ დაცული მონაცემებით მყარი დისკი ამოღებულია და სხვა კომპიუტერთან არის დაკავშირებული, მისი წაკითხვა მაინც შეუძლებელი იქნება. მეორეს მხრივ, თუ მომხმარებელი დაკარგავს პაროლს თავისი ანგარიშისთვის, ოპერაციული სისტემის დაზიანება ან ხელახალი ინსტალაცია გამოიწვევს ადრე დაშიფრული ფაილების მიუწვდომლობას. საბედნიეროდ, Windows-ის დეველოპერებმა მოელოდნენ ამ სცენარს და შესთავაზეს მარტივი გამოსავალი, კერძოდ, დაშიფვრის სერთიფიკატების შენახვა მოსახსნელ მედიაში.

არცერთი წინასწარ დაყენებული Windows-ზე EFS-ის გამოყენებით დაშიფვრა საჭირო არ არის. ვთქვათ, ჩვენ უნდა დავიცვათ საქაღალდე სურათებით. საქაღალდეში თვისებები აირჩიეთ სხვა

შემდეგ შეამოწმეთ ყუთი დამატებით ატრიბუტებში კონტენტის დაშიფვრა მონაცემების დასაცავად.

დააწკაპუნეთ მიმართეთდა დაადასტურეთ მოთხოვნა ატრიბუტების შეცვლის შესახებ.

სხვათა შორის, დაშიფვრის გამოყენება შეგიძლიათ მხოლოდ ერთ დირექტორიაში ან დირექტორიაში და მასში არსებულ ყველა ფაილსა და საქაღალდეზე.

როგორც სკრინშოტიდან ხედავთ, საქაღალდის სახელის ტექსტი სურათებიჩვეულებრივი შავის ნაცვლად გახდა მწვანე, ასე აღინიშნება EFS-ით დაცული ობიექტები Windows-ში.

ყველა თანდართული ფაილის და საქაღალდის სახელები მითითებული იქნება იმავე ფერში.

დაშიფრულ ფაილებთან მუშაობა პრაქტიკულად არ განსხვავდება ფაილური სისტემის სხვა ობიექტებთან მუშაობისგან. თქვენ შეგიძლიათ ნახოთ, დაარედაქტიროთ, დააკოპიროთ, წაშალოთ და ა.შ., ხოლო დაშიფვრა და გაშიფვრა შესრულდება ფრენაზემომხმარებლისთვის უხილავი. თუმცა, ყველა ეს ქმედება მხოლოდ ხელმისაწვდომი იქნება კონკრეტული ანგარიში. პრინციპში, ამ გზით შეგიძლიათ ნებისმიერი ფაილის ან საქაღალდის დაშიფვრა, გარდა სისტემისა. უფრო მეტიც, ამ უკანასკნელის დაშიფვრა მკაცრად არ არის რეკომენდებული, რადგან ამან შესაძლოა შეუძლებელი გახადოს Windows-ის ჩატვირთვა.

თუ პირველად დაშიფვრავთ მონაცემებს, სისტემა მოგთხოვთ შექმნათ დაშიფვრის გასაღებისა და სერთიფიკატის სარეზერვო ასლი. არ უგულებელყოთ ეს რჩევა, რადგან ოპერაციული სისტემის შემთხვევითი დაზიანება ან თქვენი ანგარიშის პაროლის დაკარგვა Windows ჩანაწერებიარავინ არ არის იმუნური. დააწკაპუნეთ შეტყობინებაზე, რომელიც გამოჩნდება სისტემის უჯრაში და გახსენით ოსტატი სარეზერვოსერთიფიკატები. თუ შეტყობინება არ გამოჩნდება ან შემთხვევით დახურავთ ოსტატის ფანჯარას, მასზე წვდომა შეგიძლიათ mmc კონსოლის საშუალებით, თუმცა ცოტათი უნდა დაჭყლიტოთ.

ასე რომ, ოსტატის ფანჯარაში დააწკაპუნეთ დაარქივეთ ახლავედა მკაცრად მიჰყევით მითითებებს.

ექსპორტის პარამეტრები შეიძლება დარჩეს უცვლელი (PKCS #12 .PFX).

თუ გსურთ, შეგიძლიათ ჩართოთ მოწინავე თვისებები.

როგორც მოსალოდნელი იყო, დააყენეთ პაროლი რაც შეიძლება რთული.

აუცილებელია სერტიფიკატებისა და პაროლების შენახვა უსაფრთხო ადგილას, მაგალითად დაკეტილ მაგიდის უჯრაში.

შემდეგ ჯერზე ჩვენ გადავხედავთ დაშიფრულ ფაილებზე წვდომის აღდგენის პროცედურას და ასევე ვისწავლით თუ როგორ უნდა შეხვიდეთ სერტიფიკატების დაჯავშნის ოსტატზე, თუ მისი ფანჯარა შემთხვევით დაიხურა.

პოტენციურად სენსიტიური მონაცემების დაცვა არაავტორიზებული წვდომისგან, როდესაც ფიზიკური წვდომაკომპიუტერზე და დისკებზე.

მომხმარებლის ავტორიზაცია და რესურსებზე წვდომის უფლებები NT-ში მუშაობს ოპერაციული სისტემის ჩატვირთვისას, მაგრამ სისტემაში ფიზიკურად წვდომისას შესაძლებელია სხვა ოპერაციული სისტემის ჩატვირთვა ამ შეზღუდვების გვერდის ავლით. EFS იყენებს სიმეტრიულ დაშიფვრას ფაილების დასაცავად, ასევე საჯარო/პირადი გასაღების წყვილის დაშიფვრას, რათა დაიცვას შემთხვევით გენერირებული დაშიფვრის გასაღები თითოეული ფაილისთვის. ნაგულისხმევად, მომხმარებლის პირადი გასაღები დაცულია მომხმარებლის პაროლის დაშიფვრით, ხოლო მონაცემთა უსაფრთხოება დამოკიდებულია მომხმარებლის პაროლის სიძლიერეზე.

სამუშაოს აღწერა

EFS მუშაობს თითოეული ფაილის დაშიფვრით სიმეტრიული დაშიფვრის ალგორითმის გამოყენებით, ოპერაციული სისტემის ვერსიისა და პარამეტრების მიხედვით (Windows XP-დან დაწყებული, თეორიულად შესაძლებელია მესამე მხარის ბიბლიოთეკების გამოყენება მონაცემთა დაშიფვრისთვის). ეს იყენებს შემთხვევით გენერირებულ კლავიშს თითოეული ფაილისთვის, რომელსაც ეწოდება ფაილის დაშიფვრის გასაღები(FEK), სიმეტრიული დაშიფვრის არჩევანი ამ ეტაპზე აიხსნება მისი სიჩქარით და უფრო დიდი საიმედოობით ასიმეტრიულ დაშიფვრასთან მიმართებაში.

FEK (სიმეტრიული დაშიფვრის გასაღები შემთხვევითი თითოეული ფაილისთვის) დაცულია ასიმეტრიული დაშიფვრით, მომხმარებლის საჯარო გასაღების გამოყენებით, რომელიც შიფრავს ფაილს და RSA ალგორითმს (თეორიულად, შესაძლებელია სხვა ასიმეტრიული დაშიფვრის ალგორითმის გამოყენება). ამ გზით დაშიფრული FEK ინახება NTFS ფაილური სისტემის $EFS ალტერნატიულ ნაკადში. მონაცემების გაშიფვრისთვის, დაშიფრული ფაილური სისტემის დრაივერი გამჭვირვალედ შიფრავს FEK-ს მომხმარებლის პირადი გასაღების გამოყენებით და შემდეგ საჭირო ფაილიგაშიფრული ფაილის გასაღების გამოყენებით.

ვინაიდან ფაილის დაშიფვრა/გაშიფვრა ხდება ფაილური სისტემის დრაივერის გამოყენებით (არსებითად NTFS-ის დანამატი), ის გამჭვირვალედ ხდება მომხმარებლისთვის და აპლიკაციებისთვის. აღსანიშნავია, რომ EFS არ შიფრავს ქსელში გადაცემულ ფაილებს, ამიტომ გადაცემული მონაცემების დასაცავად, თქვენ უნდა გამოიყენოთ მონაცემთა დაცვის სხვა პროტოკოლები (IPSec ან WebDAV).

ინტერფეისები EFS-თან ურთიერთობისთვის

EFS-თან მუშაობისთვის მომხმარებელს აქვს შესაძლებლობა გამოიყენოს GUIმკვლევარი ან სასარგებლო ბრძანების ხაზი.

GUI-ის გამოყენება

ფაილის ან საქაღალდის შემცველი ფაილის დაშიფვრის მიზნით, მომხმარებელს შეუძლია გამოიყენოს შესაბამისი ფაილის ან საქაღალდის თვისებების დიალოგური ფანჯარა Windows XP-დან დაწყებული ფაილებისთვის „შინაარსის დაშიფვრის მიზნით“ მონიშვნის ან მოხსნის გზით სხვა მომხმარებლების, რომლებიც ასევე შეძლებენ ამ ფაილის გაშიფვრას და მის შიგთავსთან მუშაობას (თუ გაქვთ შესაბამისი ნებართვები). საქაღალდის დაშიფვრისას დაშიფრულია მასში არსებული ყველა ფაილი, ასევე ის, რაც მოგვიანებით განთავსდება.

ფონდი ვიკიმედია.

2010 წელი.

ნახეთ, რა არის "EFS" სხვა ლექსიკონებში: EFS - steht für: EFS Flug Service, ein deutsches Charterflugunternehmen EFS Hausgeräte, eine Haushaltsgerätefirma Encrypting File System, System Für Dateiversschlüssung unter EFS Euro Finanz Service Vermittlungs AG (EFS AG), ein… … Deutsch Wikipedia

ეფს- steht for: EFS Flugservice, ein Deutsche Charterflugunternehmen EFS Hausgeräte, Eine Haushaltsgerätefirma Encrypting File System, System Für Dateiversschlüssung Unter Microsoft Windows Error Free მეორე Beim Betrieb von Netzelementen Euro Finanz… …

ნახეთ, რა არის "EFS" სხვა ლექსიკონებში:- დაშიფვრის ფაილური სისტემა (EFS) არის დაშიფრული ფაილური სისტემა (EFS) არის არქივის სისტემაში, NTFS-ის ტვირთვა, არქივის დონის სისტემა. ხელმისაწვდომია Microsoft Windows 2000-ისთვის. ტექნოლოგია… … Wikipedia Español

ნახეთ, რა არის "EFS" სხვა ლექსიკონებში:- შეიძლება ეხებოდეს ერთ-ერთ შემდეგს: *საქაღალდის ელექტრონული სისტემა, ელექტრონული პლატფორმა სინგაპურის სასამართლო სისტემის მიერ *გადაუდებელი სახანძრო სამსახური, ახლა ქვეყნის სახანძრო სამსახური (ავსტრალია) *ჩამქრალი მზის იმპერატორი, რიგზე დაფუძნებული, სტრატეგიული ვიდეო თამაში… … Wikipedia

ნახეთ, რა არის "EFS" სხვა ლექსიკონებში:- , ein System zur Verschlüsselung von Dateien und Ordnern unter den Betriebssystemen Windows NT und Windows 2000, ასე რომ dass sie vor dem Zugriff unberechtigter Benutzer geschützt… … Universal-Lexikon

ნახეთ, რა არის "EFS" სხვა ლექსიკონებში:- Cette page d'homonymie répertorie les différents sujets et articles partageant un même nom. სიგლე დ'უნევე წერილები Sigles deux Letres > Sigles de trois Lettres Sigles de Qutre Lettres Sigles de Qutre Lettres … ვიკიპედია ფრანგულში

ნახეთ, რა არის "EFS" სხვა ლექსიკონებში:- ● en sg. მ. MS GESTFICH დაშიფვრის ფაილური სისტემა. კრიპტის ფიჭური სისტემა, Microsoft-ის და Windows 2000-ის მთლიანი სისტემა, და არ არის ოპტიმალური გამოყენება. Voir TCFS. Je ne sais pas il existe un lien avec efs... Dictionnaire d'Informatique francophone

ეფს- არსებითი სახელი ასო F ... ვიქციონარი

ნახეთ, რა არის "EFS" სხვა ლექსიკონებში:- ფაილური სისტემის დაშიფვრა (გამოთვლითი » უსაფრთხოება) * Enhance Financial Services Group, Inc. (ბიზნესი » NYSE სიმბოლოები) * ტექნოლოგიური ბოჭკოების შერჩევა (სხვადასხვა » ტანსაცმელი) * ეფექტური საფინანსო ანგარიშგება (ბიზნესი » ბუღალტერია) * ნაკადის სქემა (EasyFlow) … აბრევიატურების ლექსიკონი

ნახეთ, რა არის "EFS" სხვა ლექსიკონებში:- ყველაზე ადრეული დასრულების ცვლა; ელექტრული ველის სტიმულაცია; ევროპული ფრაქსიპარინის კვლევა; ღონისძიების უფასო გადარჩენა … სამედიცინო ლექსიკონი

ინტერნეტის უსაფრთხოების სხვადასხვა საფოსტო სიებში, ადმინისტრატორები ხშირად სვამენ კითხვებს Windows-ისთვის ფაილების დაშიფვრის უსაფრთხო, ადვილად გამოსაყენებელი პროდუქტების შესახებ. ისევე ხშირად, მენეჯერები დაინტერესებულნი არიან პრევენციის გზებით სისტემის ადმინისტრატორებიშეისწავლეთ კომპანიის კონფიდენციალური ფაილები. როდესაც მე ვთავაზობ Windows-ის საკუთარი დაშიფვრის ფაილური სისტემის (EFS) გამოყენებას, ადამიანების უმეტესობა ამბობს, რომ მათ სურთ რაღაც უფრო ძლიერი და უსაფრთხო.

მაგრამ პოპულარული რწმენის საწინააღმდეგოდ, EFS ნამდვილად საიმედო, ადვილად გამოსაყენებელი და უსაფრთხო დაშიფვრის გადაწყვეტაა, რომელსაც შეუძლია შეარცხვინოს ქსელის ყველაზე ცნობისმოყვარე ადმინისტრატორიც კი. EFS არის შესანიშნავი ინსტრუმენტი კონფიდენციალური ფაილების ონლაინ და ინტერნეტში დასაცავად ლეპტოპ კომპიუტერებირომლებიც ხშირად ქურდობის სამიზნეა. სამწუხაროდ, EFS-ის რეპუტაცია დაუმსახურებლად დაზარალდა იმის გამო, რომ მომხმარებელმა უარი თქვა Microsoft-ის უსაფრთხოების ნებისმიერი პროდუქტის ობიექტურად შეფასებაზე. სინამდვილეში, EFS არის ერთ-ერთი საუკეთესო უსაფრთხოების პროდუქტი, რომელიც Microsoft-მა ოდესმე გამოუშვა, მაგრამ მისი გამოსაყენებლად საჭიროა სათანადო ცოდნა. ეს სტატია მოიცავს EFS-ის საფუძვლებს, მის დანიშნულებას და ფუნქციონირებას, ძირითად ადმინისტრაციულ ოპერაციებს და შესაძლო შეცდომებს.

EFS პრინციპები

Microsoft-მა გამოუშვა EFS Windows 2000-ით და მუდმივად აუმჯობესებს პროდუქტის ვერსიებს Windows XP-სთვის და Windows სერვერი 2003 წ. EFS მომხმარებლებს შეუძლიათ დაშიფრონ ნებისმიერი ფაილი ან საქაღალდე, რომელზეც აქვთ წაკითხვის და ჩაწერის ნებართვა. დაშიფვრის შემდეგ, რესურსის გაშიფვრა ხდება „გადაფრენისას“, როდესაც მასზე წვდომა აქვს კანონიერი მფლობელი. მომხმარებლები, რომლებიც ცდილობენ დაცულ ფაილზე ან საქაღალდეზე წვდომას შესაბამისი EFS ნებართვების გარეშე, დაინახავენ ფაილის ან საქაღალდის სახელს, მაგრამ ვერ შეძლებენ ფაილის ან საქაღალდის გახსნას, რედაქტირებას, კოპირებას, ბეჭდვას, ელფოსტას ან გადატანას. საინტერესოა, რომ მომხმარებლებს, რომლებსაც აქვთ NTFS ნებართვა წაშალონ EFS-ით დაცული ფაილი, შეუძლიათ წაშალონ ის მაშინაც კი, თუ არ აქვთ წაკითხვის ნებართვა. დაშიფვრის პროდუქტების უმეტესობის მსგავსად, EFS შექმნილია კონფიდენციალურობის დასაცავად, მაგრამ არ უშლის ხელს მონაცემთა დაკარგვას. EFS ამოცანა წარმატებულად ითვლება, თუ არაავტორიზებული მომხმარებელი ვერ ხედავს მონაცემებს რაიმე ფორმით. ზოგიერთი მომხმარებელი ამტკიცებს, რომ დაცული ფაილის ან საქაღალდის სახელის ნახვაც კი არის Windows-ის უპატიებელი ხარვეზი.

გარდა ამისა, არ არის აუცილებელი იყოს მფლობელი ან გქონდეს სრული გარჩევადობააკონტროლეთ ფაილი ან საქაღალდე მის დაშიფვრად. ამისათვის საკმარისია წაკითხვის და ჩაწერის ნებართვები - იგივე, რაც აუცილებელია რესურსზე წვდომისთვის. ფაილზე ან საქაღალდეზე წვდომა აქვს მხოლოდ მომხმარებელს, რომელმაც დაშიფრა იგი (და სხვებს, რომლებთანაც პირველი მომხმარებელი ეთანხმება რესურსის გაზიარებას). ერთადერთი ზოგადი გამონაკლისი არის მონაცემთა აღდგენის აგენტი (DRA). ნაგულისხმევად (უმეტეს შემთხვევაში), Windows ანიჭებს ადმინისტრატორს, როგორც DRA აგენტს, რათა ადმინისტრატორს შეეძლოს EFS-ით დაშიფრული ნებისმიერი ფაილის ან საქაღალდის წვდომა. დომენის გარემოში, DRA არის დომენის ადმინისტრატორი; არადომენურ გარემოში, DRA არის ადგილობრივი ადმინისტრატორი.

ფაილის და საქაღალდის დაშიფვრის ფუნქცია ჩართულია ნაგულისხმევად, მაგრამ მომხმარებელმა უნდა შეარჩიოს თითოეული ფაილი ან საქაღალდე ინდივიდუალურად (ან ირიბად ნორმალური მემკვიდრეობის წესების მეშვეობით). EFS მოითხოვს, რომ ფაილი ან საქაღალდე განთავსდეს NTFS დისკის დანაყოფზე. შემდეგ, ფაილის ან საქაღალდის დასაცავად, უბრალოდ დააწკაპუნეთ რესურსზე მარჯვენა ღილაკით Windows Explorerაირჩიეთ Properties და შემდეგ დააწკაპუნეთ Advanced ღილაკზე ზოგადი ჩანართში. (შენიშვნა: არ დააწკაპუნოთ ღილაკზე Advanced უსაფრთხოების ჩანართში.) და ბოლოს, თქვენ უნდა შეამოწმოთ ჩამრთველი Encrypt contents to security data.

თუ აირჩევთ ერთ ან მეტ ფაილს (საქაღალდისგან განსხვავებით), EFS ითხოვს დაშიფვროს თუ არა მხოლოდ ფაილ(ებ)ი ან მშობელი საქაღალდე და მიმდინარე ფაილ(ები). თუ ეს უკანასკნელი არჩეულია, EFS აღნიშნავს საქაღალდეს დაშიფრულად. საქაღალდეში დამატებული ყველა ფაილი დაშიფრული იქნება ნაგულისხმევად, თუმცა ნებისმიერი ფაილი, რომელიც იყო საქაღალდეში, მაგრამ არ იყო არჩეული EFS დაშიფვრის ოპერაციის დროს, დაშიფრული დარჩება. ხშირ შემთხვევაში სასურველია მთელი საქაღალდის დაშიფვრა ცალკე ფაილებიგანსაკუთრებით იმიტომ, რომ რამდენიმე პროგრამა (მაგ. Microsoft Word) შექმენით დროებითი ფაილები იმავე საქაღალდეში, სადაც გახსნა ფაილი. პროგრამის შეწყვეტის შემდეგ (მაგალითად, გადაუდებელი გადატვირთვის შემთხვევაში), დროებითი ფაილები ხშირად რჩება წაშლილი და წარმოდგენილია სუფთა სახით. ტექსტის ფორმატი, ხელმისაწვდომია აუტსაიდერის მიერ აღდგენისთვის.

ნაგულისხმევად, XP Professional და უფრო გვიან ვერსიებში, EFS ხაზს უსვამს დაშიფრულ ფაილებს მწვანედ, მაგრამ მონიშვნის გაუქმება შესაძლებელია Windows Explorer-ის Tools მენიუდან Folder Options-ის არჩევით და შემდეგ გაასუფთავეთ დაშიფრული ან შეკუმშული NTFS ფაილების ფერით ჩვენება. ნახვის ჩანართი. დეტალების ხედში Windows Explorerშეკუმშული ფაილებისთვის, ატრიბუტების სვეტი ჩვეულებრივ Archive (A) ატრიბუტთან ერთად შეიცავს E ატრიბუტს. შედეგად, ატრიბუტების ნაკრები გამოიყურება AE. უნდა აღინიშნოს, რომ Windows-ის ჩაშენებული მექანიზმების გამოყენება შეუძლებელია ფაილების დაშიფვრისა და შეკუმშვისთვის ერთდროულად, თუმცა შეგიძლიათ შეკუმშოთ ფაილი მესამე მხარის უტილიტის გამოყენებით, როგორიცაა WinZip ან PKZIP და შემდეგ შეკუმშული ფაილის დაშიფვრა.

ძლიერი შიფრი

EFS უზრუნველყოფს ძლიერ დაშიფვრას - იმდენად ძლიერი, რომ თუ დაკარგავთ EFS პირად გასაღებს (გამოიყენება EFS დაშიფვრით დაცული ფაილების აღსადგენად), სავარაუდოა, რომ მონაცემები აღარ იკითხება. თუ EFS პარამეტრები სწორად არის კონფიგურირებული, ადმინისტრატორსაც კი არ შეუძლია წვდომა დაშიფრულ ფაილზე ან საქაღალდეზე, თუ ის არ არის დანიშნული როგორც DRA აგენტი.

ამჟამად კომერციულად ხელმისაწვდომია მინიმუმ ერთი პროდუქტი, Advanced EFS Data Recovery (AEFSDR) ElcomSoft-ისგან, რომელიც აცხადებს, რომ შეუძლია EFS-ით დაცული ფაილების აღდგენა. ფაქტობრივად, პროგრამა აღადგენს პაროლს ადგილობრივი ადმინისტრატორი(მარტივი პროცესი თუ ვინდოუსის კონფიგურაციაწარუმატებლად კონფიგურირებული), რომელიც შემდეგ შეიძლება გამოყენებულ იქნას ადმინისტრატორის EFS პირადი გასაღების მისაღებად. მომხმარებელს, რომელსაც აქვს ადმინისტრატორის პაროლის ამოხსნის ინსტრუმენტი, შეუძლია შეასრულოს ნებისმიერი მოქმედება სისტემაში. ასეთი მომხმარებლის წვდომა EFS-ით დაცულ ფაილებზე ყველაზე ნაკლები პრობლემა იქნება საწარმოს. არაავტორიზებული EFS პირადი გასაღების აღდგენის რისკი მცირდება დომენში DRA როლის მინიჭებით დომენის ადმინისტრატორის ანგარიშზე და არა ლოკალური ადმინისტრატორის ანგარიშზე, რომლის პაროლის გამოცნობა შესაძლებელია თითქმის ნებისმიერი გატეხვის ხელსაწყოს გამოყენებით. XP-ს აქვს ახალი პოლიტიკა, რომელიც ართულებს ამ ტიპის თავდასხმების განხორციელებას. თუ აღდგენის ხელსაწყო ვერ ახერხებს ადმინისტრატორის ამჟამინდელი და სწორი პაროლის მოძიებას (ბევრი ინსტრუმენტი აღადგენს პაროლს, ვიდრე აღადგენს), მაშინ EFS დაცვა კვლავ მოქმედებს.

როგორ მუშაობს EFS?

EFS იყენებს სიმეტრიული და ასიმეტრიული დაშიფვრის კომბინაციას. სიმეტრიული მეთოდით, ფაილი დაშიფრულია და აღდგება ერთი გასაღების გამოყენებით. ასიმეტრიული მეთოდი იყენებს საჯარო გასაღებს დაშიფვრისთვის და მეორე, მაგრამ დაკავშირებულ პირად გასაღებს მონაცემთა აღდგენისთვის. თუ მომხმარებელი, რომელსაც მინიჭებული აქვს მონაცემთა აღდგენის უფლებები, არ გაუმჟღავნებს პირად გასაღებს ვინმეს, დაცულ რესურსს საფრთხე არ ემუქრება.

EFS ჩართულია ნაგულისხმევად ყველასთვის ვინდოუსის სისტემები 2000 და შემდეგ. როდესაც ვინმე იყენებს EFS-ს პირველად ფაილის ან საქაღალდის დასაცავად, Windows ამოწმებს, რომ ხელმისაწვდომია PKI (საჯარო გასაღების ინფრასტრუქტურა), რომელსაც შეუძლია EFS ციფრული სერთიფიკატების გენერირება. სერთიფიკატის სერვისებს Windows 2003 და Windows 2000 შეუძლიათ EFS სერთიფიკატების გენერირება, ისევე როგორც ზოგიერთი მესამე მხარის PKI პროდუქტს. თუ Windows ვერ აღმოაჩენს მისაღები PKI პროვაიდერს, ოპერაციული სისტემა წარმოქმნის და თავად მოაწერს ხელს მომხმარებლის EFS სერთიფიკატს (სურათი 1). ხელმოწერილი EFS სერთიფიკატების შენახვის ვადა 100 წელია, რაც ბევრად აღემატება ნებისმიერი მომხმარებლის სიცოცხლეს.

თუ Windows აღმოაჩენს Certificate Services სერვერს, ის ავტომატურად წარმოქმნის და უგზავნის მომხმარებელს ორწლიან სერტიფიკატს. ეს სავარაუდოდ იმიტომ ხდება, რომ თუ ორგანიზაციას აქვს შიდა PKI სერვისი, PKI სერვერს შეუძლია ადვილად გასცეს და განაახლოს EFS სერთიფიკატები ორიგინალის ვადის ამოწურვის შემდეგ. ნებისმიერ შემთხვევაში, შეგიძლიათ ნახოთ EFS სერთიფიკატები Microsoft Management Console-ის (MMC) გაფართოებით სერთიფიკატების სნეპ-ინ-ით და პერსონალური კონტეინერში ნახვით.

EFS მომხმარებლის პირადი გასაღები (რომელიც ხსნის EFS-ით დაცულ ფაილებს) დაშიფრულია მომხმარებლის ძირითადი გასაღებით და ინახება მომხმარებლის პროფილში Documents and Settings, Application Data, Microsoft, Crypto, RSA. თუ იყენებთ როუმინგულ პროფილს, პირადი გასაღები მდებარეობს RSA საქაღალდეში დომენის კონტროლერზე (DC) და ჩამოიტვირთება მომხმარებლის კომპიუტერში რეგისტრაციის პროცესში. ძირითადი გასაღები გენერირებულია მომხმარებლის მიმდინარე პაროლისა და 56-, 128- ან 512-ბიტიანი RC4 ალგორითმის გამოყენებით. ალბათ ყველაზე მნიშვნელოვანი რამ, რაც უნდა იცოდეთ EFS-ის შესახებ არის ის, რომ EFS მომხმარებლის პირადი გასაღები მდებარეობს მის პროფილში და დაცულია ძირითადი გასაღებით, რომელიც მიღებულია მომხმარებლის მიმდინარე პაროლიდან. გთხოვთ გაითვალისწინოთ, რომ EFS დაშიფვრის სიძლიერე განისაზღვრება მომხმარებლის პაროლის სიძლიერით. თუ თავდამსხმელი გამოიცნობს EFS მომხმარებლის პაროლს ან შედის სისტემაში, როგორც ლეგიტიმური მომხმარებელი, ბზარი გამოჩნდება EFS უსაფრთხოებაში.

თუ მომხმარებლის პაროლი დაკარგულია ან გადაყენებულია (მაგრამ არ შეცვლილა მომხმარებლის მიერ), მაშინ შეიძლება დაიკარგოს წვდომა EFS-ით დაცულ ყველა ფაილზე. ამ მიზეზით, EFS მომხმარებლის პირადი გასაღების ასლები უნდა ინახებოდეს ორ ან მეტ უსაფრთხოდ დისტანციური საწყობებიან მიანიჭეთ ერთი ან მეტი DRA აგენტი (და გაიტანეთ მათი პირადი გასაღებები და გააკეთეთ სარეზერვო ასლებიორ ან მეტ ცალკეულ და უსაფრთხო დისტანციური შენახვის ადგილას). ამ წესების შეუსრულებლობამ შეიძლება გამოიწვიოს მონაცემთა დაკარგვა.

როდესაც ფაილი ან საქაღალდე პირველად დაშიფრულია, Windows წარმოქმნის შემთხვევით სიმეტრიულ გასაღებს 128-ბიტიანი მონაცემთა დაშიფვრის სტანდარტული X (DESX - ნაგულისხმევი XP და Windows 2000) ან 256-ბიტიანი გაფართოებული დაშიფვრის სტანდარტის (AES - Windows-ზე) გამოყენებით. 2003 XP) Pro Service Pack 1). ორივე ალგორითმი ზოგადად აღიარებული სამთავრობო სტანდარტებია, თუმცა მეორე უფრო თანამედროვეა და რეკომენდებულია გამოსაყენებლად. თქვენ ასევე შეგიძლიათ ჩართოთ ძველი მთავრობის სიმეტრიული დაშიფვრის სტანდარტი, 168-ბიტიანი Triple DES (3DES), თუ თქვენი ორგანიზაციის პოლიტიკა მოითხოვს მის გამოყენებას. მეტი დეტალური ინფორმაციაიხილეთ Microsoft-ის სტატია „ფაილის სისტემის (EFS) დაშიფვრის ფაილები დაზიანებულია მათი გახსნისას“ ( http://support.microsoft.com/default.aspx?scid=kb;en-us;329741&sd=tech). შემთხვევით გენერირებული სიმეტრიული გასაღები ცნობილია როგორც ფაილის დაშიფვრის გასაღები (FEK). ეს გასაღები ერთადერთია, რომელსაც Windows იყენებს ფაილებისა და საქაღალდეების დაშიფვრისთვის, მიუხედავად იმ ადამიანების რაოდენობისა, რომლებიც წვდებიან EFS-ით დაცულ რესურსზე.

დასრულების შემდეგ, Windows შიფრავს FEK-ს 1024-ბიტიანი RSA EFS საჯარო გასაღების გამოყენებით და ინახავს FEK-ს ფაილის გაფართოებულ ატრიბუტებში. თუ DRA-ები მინიჭებულია, ოპერაციული სისტემა ინახავს FEK-ის სხვა, დაშიფრულ ასლს DRA-ს საჯარო EFS გასაღებით. შემდეგ Windows ინახავს FEK-ის დაშიფრულ მაგალითს ფაილში. XP და მოგვიანებით ვერსიებში, მრავალ მომხმარებელს შეუძლია ჰქონდეს EFS წვდომა კონკრეტულ ფაილზე ან საქაღალდეზე. თითოეულ ავტორიზებულ მომხმარებელს ექნება საკუთარი FEK, დაშიფრული უნიკალური EFS საჯარო გასაღებით. Windows 2000-ში შეგიძლიათ მინიჭოთ მხოლოდ ერთი DRA.

თუ ავტორიზებული მომხმარებელი წვდება დაცულ ფაილს, Windows აღადგენს დაშიფრული FEK-ის მაგალითს მომხმარებელთან დაკავშირებული პირადი EFS გასაღების გამოყენებით. შემდეგ, FEK-ის გამოყენებით, დაშიფრული ფაილი განბლოკილი იქნება. Windows 2000-ის EFS-ის პირველი ვერსიებისგან განსხვავებით, EFS ახლა უსაფრთხოდ მართავს მეხსიერებაში არსებულ ყველა დაშიფრულ ფაილს და საქაღალდეს, ასე რომ, დისკზე არ რჩება სუფთა ტექსტის ფრაგმენტები, რომლებიც შეიძლება უკანონოდ აღდგეს.

EFS ფაილების გაზიარება

Windows 2000-ში, მხოლოდ ერთ მომხმარებელს შეუძლია დაიცვას ფაილი EFS-ით ერთდროულად, მაგრამ XP Pro-ში და შემდეგში, რამდენიმე მომხმარებელს შეუძლია დაცული EFS ფაილის გაზიარება. ერთად მუშაობისას, პირველი მომხმარებელი, რომელიც იცავს ფაილს ან საქაღალდეს, აკონტროლებს წვდომას სხვებისთვის. ფაილის ან საქაღალდის თავდაპირველი დაცვის შემდეგ, მომხმარებელს შეუძლია მიუთითოს დამატებითი მომხმარებლები ღილაკზე დეტალების დაწკაპუნებით (სურათი 2). დამატებული მომხმარებლების რაოდენობა შეზღუდული არ არის. თითოეულ მომხმარებელს აქვს FEK-ის საკუთარი ასლი, დაშიფრული თავისი EFS გასაღებით. ეს XP ინოვაცია ძალიან მოსახერხებელია EFS-ით დაცული ფაილების მომხმარებელთა ჯგუფებს შორის გასაზიარებლად. სამწუხაროდ, თანამშრომლობა შესაძლებელია მხოლოდ ცალკეული ფაილების დონეზე და არა საქაღალდეების დონეზე. მომხმარებელმა უნდა დაშიფროს ერთი ფაილი ან საქაღალდე ან მიიღოს EFS სერთიფიკატი, სანამ ის დამატებით მომხმარებლებს მიენიჭება.

DRA აგენტი

მომხმარებლის პროფილის წაშლა ძალიან ადვილია და ადმინისტრატორები ხშირად აღადგენენ მომხმარებლის პაროლებს, ამიტომ ქსელის ადმინისტრატორებმა უნდა შექმნან EFS კლავიშების სარეზერვო ასლები ან მიანიჭონ ერთი ან მეტი DRA. თქვენ შეგიძლიათ მიიღოთ მომხმარებლის EFS პირადი გასაღების სარეზერვო ასლი დაკავშირებით ციფრული სერთიფიკატი EFS სერთიფიკატების კონსოლში და შეამოწმეთ ასლი ფაილში ჩამრთველი დეტალების ჩანართზე. XP Pro და უფრო გვიან ვერსიებში, ასევე შეგიძლიათ გამოიყენოთ სარეზერვო კლავიშების ღილაკი, რომელიც მდებარეობს EFS ფაილის გაზიარების განყოფილებაში დეტალების ღილაკის ქვეშ. ბრძანების ხაზის მოყვარულებს შეუძლიათ გამოიყენონ ბრძანება

Cipher.exe / x

მიიღოთ EFS გასაღებების სარეზერვო ასლები Windows 2003-ში, ასევე XP Pro SP1-ში და შემდეგ ვერსიებში. შემდგომ მოთხოვნებზე პასუხის გაცემისას შეგიძლიათ გააკეთოთ ასლები და/ან შესაბამისი პირადი გასაღების ექსპორტი. თქვენ არასოდეს არ უნდა წაშალოთ EFS მომხმარებლის პირადი გასაღები, როგორც ამას Windows გირჩევთ, რომ გააკეთოთ ექსპორტის დროს, რადგან ეს ხელს შეუშლის მომხმარებელს დაშიფროს მათი დაცული ფაილები. პირადი გასაღების ექსპორტის შემდეგ, გასაღები უნდა შეინახოთ ორ ცალკეულ ოფლაინ შენახვის ადგილას. EFS პირადი გასაღების სარეზერვო პროცედურა ინდივიდუალური მომხმარებლებიგანსხვავდება შრომის ინტენსივობით. Windows 2000-დან დაწყებული, Microsoft გაძლევთ საშუალებას აირჩიოთ DRA აგენტი. ყოველთვის, როცა ვინმე დაშიფვრავს ფაილს ან საქაღალდეს, DRA ავტომატურად იღებს FEK-ის მაგალითს. Windows 2000-ში (სამუშაო ჯგუფის ან დომენის რეჟიმი), XP (მხოლოდ დომენის რეჟიმი) და Windows 2003 (სამუშაო ჯგუფის ან დომენის რეჟიმი), ნაგულისხმევი DRA დაყენებულია ადმინისტრატორზე, თუმცა ადმინისტრატორს შეუძლია შეცვალოს მომხმარებლის ანგარიში, რომელიც მინიჭებულია DRA როლისთვის. სამწუხაროდ, XP სამუშაო ჯგუფის რეჟიმში DRA აგენტი არ არის განსაზღვრული. ეს გადაწყვეტილება მიღებულ იქნა კრიტიკის საპასუხოდ, რომ EFS-ით დაცული ფაილები დაუცველი იყო ადმინისტრატორის პაროლის დარღვევის შემთხვევაში. სამწუხაროდ, ბევრი XP Pro სისტემა მუშაობს სამუშაო ჯგუფის რეჟიმში და საკმარისია პაროლის გადატვირთვა ან პროფილის კორუფცია, რათა EFS-ის ყველა მომხმარებელმა დაკარგოს ფაილები. EFS-ის გამოყენებისას (გახსოვდეთ, რომ ის ნაგულისხმევად აქტიურია და ხელმისაწვდომია მომხმარებლებისთვის), უნდა დარწმუნდეთ, რომ EFS მომხმარებლებმა გააკეთეს პირადი გასაღებების ასლები ან აქვთ მინიჭებული ერთი ან მეტი DRA.

თუ თქვენ აპირებთ DRA როლის მინიჭებას მომხმარებლის ანგარიშზე, გარდა ნაგულისხმევი ადმინისტრატორის ანგარიშისა, მემკვიდრე უნდა იყოს EFS Recovery Agent-ის სერტიფიცირებული. EFS Recovery Agent-ის სერთიფიკატი შეიძლება მოითხოვოს სერტიფიკატის სერვისებიდან ან დაინსტალიროთ სხვა მესამე მხარის PKI პროდუქტიდან. თუ განლაგებულია Windows სერვისი 2003 სერთიფიკატის სერვისები, მაშინ შეგიძლიათ დანერგოთ Key Recovery Agents ნაცვლად DRA-ებისა. საბოლოო ჯამში, Key Recovery Agents აღდგება დაკარგული გასაღებიფაილის პირდაპირ აღდგენის ნაცვლად.

პირადი გასაღებებისგან განსხვავებით ჩვეულებრივი მომხმარებლები EFS, DRA აგენტების პირადი EFS გასაღებები უნდა იყოს ექსპორტირებული და ამოღებული კომპიუტერებიდან. თუ DRA აგენტების პირადი გასაღებები მოიპარეს, მაშინ ყველა ფაილი FEK-ებით, რომლებიც დაცულია DRA საჯარო გასაღებით, შეიძლება გახდეს დაუცველი. აქედან გამომდინარე, გასაღებები უნდა იყოს ექსპორტირებული და უსაფრთხოდ შენახული ორ დისტანციურ შესანახ ადგილას. თუ დაშიფრული ფაილების აღსადგენად გჭირდებათ გასაღებები, შეგიძლიათ მარტივად შემოიტანოთ და გამოიყენოთ პირადი გასაღებები.

მიუხედავად იმისა, რომ ნაგულისხმევი ადმინისტრატორი ხშირად არის დანიშნული როგორც DRA აგენტი, თქვენ კონკრეტულად უნდა მოამზადოთ ერთი ან ორი მომხმარებელი ანგარიშები, ნებისმიერ შემთხვევაში მოხსნის ალბათობა მცირეა. საჯარო გასაღები DRA ასევე კოპირებს და იცავს თითოეულ FEK-ს, ასე რომ, თუ DRA მომხმარებლის ანგარიში შემთხვევით წაიშლება ან პაროლი გადატვირთულია, ძნელია DRA-ით დაცული FEK-ის აღდგენა. თუ მომხმარებლის ანგარიშები, რომლებსაც აქვთ DRA სტატუსი, შეიცვალა, შესაძლებელია, რომ EFS-ით დაცულ ფაილებს ჰქონდეთ FEK-ები, რომლებიც დაცულია ძველი DRA კლავიშებით. როდესაც Windows წვდება ფაილებს, DRA-ით დაცული FEK-ები განახლდება უახლესი DRA კლავიშებით; თუმცა, შეგიძლიათ გამოიყენოთ Cipher ბრძანება, რათა აიძულოთ ყველა FEK-ის ერთიანი განახლება მიმდინარე DRA კლავიშების გამოყენებით. მიუხედავად იმისა, არის თუ არა DRA პირადი გასაღები ექსპორტირებული და ამოღებული სისტემიდან, ძალიან მნიშვნელოვანია DRA აღდგენის სერთიფიკატის ასლების შენარჩუნება ორ ან მეტ უსაფრთხო ადგილზე შენახვის ადგილას.

დამატებითი შენიშვნები

EFS არ იცავს ქსელში კოპირებულ ფაილებს. Windows აკოპირებს ქსელის გაზიარებაზე გახსნილ ყველა ფაილს წმინდა ტექსტურ ფორმატში. თუ დისკზე შენახული და ქსელში კოპირებული ფაილების რეალურ დროში დაშიფვრა გჭირდებათ, უნდა გამოიყენოთ უსაფრთხოების სხვა მეთოდი, IP Security (IPsec), Secure Sockets Layer (SSL) ან WWW Distributed Autoring and Versioning (WebDAV). გარდა ამისა, XP და მოგვიანებით ვერსიებში, შეგიძლიათ ჩართოთ EFS დაცვა ოფლაინ ფაილებისთვის.

EFS არის ადგილობრივი უსაფრთხოების მექანიზმი. იგი შექმნილია ადგილობრივ დისკებზე ფაილების დაშიფვრად. EFS-ის გამოყენება დისკებზე შენახული ფაილების დასაცავად დისტანციური კომპიუტერები, უნდა არსებობდეს ნდობის ურთიერთობა ამ მანქანებს შორის უფლებამოსილების დელეგირებისთვის. ლეპტოპის მომხმარებლები ხშირად იყენებენ EFS-ს ფაილური სერვერის რესურსებისთვის. სერვერზე EFS-ის გამოსაყენებლად, თქვენ უნდა აირჩიოთ სანდო ამ კომპიუტერის ნებისმიერ სერვისზე დელეგაციისთვის (მხოლოდ Kerberos) ან Trust this computer for delegation only მითითებული სერვისებისთვის, სერვერის კომპიუტერის ანგარიშში (სურათი 3).

თქვენ შეგიძლიათ თავიდან აიცილოთ მომხმარებლებს EFS-ის გამოყენება ჯგუფის პოლიტიკის გამოყენებით მისი დაბლოკვით. აირჩიეთ კომპიუტერის კონფიგურაციის კონტეინერი, დააწკაპუნეთ მარჯვენა ღილაკით Windows Settings-ზე და აირჩიეთ უსაფრთხოების პარამეტრები, საჯარო გასაღების პოლიტიკა, დაშიფვრის ფაილური სისტემა. შემდეგ შეგიძლიათ გაასუფთაოთ ჩამრთველი ველი მომხმარებლებს დაშიფრონ ფაილები EFS გამოყენებით. შეგიძლიათ ჩართოთ ან გამორთოთ EFS ცალკეულ ორგანიზაციულ ერთეულებში (OU).

EFS-ის გამოყენებამდე უნდა დარწმუნდეთ, რომ თქვენი აპლიკაციები თავსებადია EFS-თან და EFS API-სთან. თუ აპლიკაციები შეუთავსებელია, მაშინ EFS-ით დაცული ფაილები შეიძლება იყოს დაზიანებული ან, უარესი, არ იყოს დაცული შესაბამისი ავტორიზაციის გარეშე. მაგალითად, თუ შეინახავთ და შეცვლით EFS-ით დაცულ ფაილს Windows-დან edit.com (16-ბიტიანი შესრულებადი ფაილი) გამოყენებით, ყველა დამატებითი მომხმარებელი დაკარგავს წვდომას ამ ფაილზე. Microsoft-ის აპლიკაციების უმეტესობა (მათ შორის Microsoft Office, Notepad და Wordpad) სრულად თავსებადია EFS-თან.

თუ ავტორიზებული მომხმარებელი დააკოპირებს EFS-ით დაცულ ფაილებს FAT დანაყოფში, EFS დაცვა წაიშლება. არაავტორიზებულ მომხმარებელს არ უნდა მიეცეს უფლება გადაიტანოს ან დააკოპიროს ფაილები რომელიმეში ვინდოუსის ტიხრები. არასანქცირებულ მომხმარებელს შეუძლია ნებართვის სისტემის გარდა ჩატვირთვა Windows NTFSჩამტვირთავი ფლოპი დისკის ან CD-ROM პროგრამის გამოყენებით, რომელიც საშუალებას გაძლევთ დაამონტაჟოთ NTFS გაზიარების დირექტორია (მაგ. Knoppix, NTFSDOS, Peter Nordahl-Hagen ჩამტვირთავი ფლოპი დისკი). შედეგად, მას შეეძლება ფაილის კოპირება ან გადატანა, მაგრამ თუ მას არ აქვს ავტორიზებული მომხმარებლის EFS გასაღები, ფაილი დაშიფრული დარჩება.

საუკეთესო პრაქტიკა

ქვემოთ მოცემულია EFS-თან მუშაობის საუკეთესო პრაქტიკა.

1. განსაზღვრეთ ნომერი და განსაზღვრეთ DRA ანგარიშები.
2. შექმენით DRA სერთიფიკატები DRA ანგარიშებისთვის.
3. DRA სერთიფიკატების იმპორტი აქტიური დირექტორია(ახ. წ.).
4. ექსპორტი და წაშალეთ DRA პირადი გასაღებები, შეინახეთ ისინი ორ ცალკეულ, უსაფრთხო, ოფლაინ სარდაფში.
5. გააცნოს საბოლოო მომხმარებლებს EFS-ის აპლიკაციის მეთოდები და მახასიათებლები.
6. პერიოდულად შეამოწმეთ DRA ფაილის აღდგენა.
7. საჭიროების შემთხვევაში, პერიოდულად გაუშვით Cipher ბრძანება /u პარამეტრით, რათა განაახლოთ FEK-ები დამატებული ან ამოღებული DRA-ებისთვის.

EFS არის Windows 2000 და შემდეგ სისტემებზე ფაილების და საქაღალდეების დაშიფვრის საიმედო და უსაფრთხო მეთოდი. ქსელის ადმინისტრატორებმა უნდა შექმნან და განახორციელონ DRA პოლიტიკა და ასწავლონ საბოლოო მომხმარებლებს EFS-ის უპირატესობებისა და შეზღუდვების შესახებ.

როჯერ გრაიმსი - Windows რედაქტორი IT Pro და უსაფრთხოების კონსულტანტი. მას აქვს CPA, CISSP, CEH, CHFI, TICSA, MCT, MCSE: Security and Security+ სერთიფიკატები.