Рекомендации по использованию шифрованной файловой системы

Переводы статьи Переводы статьи
Код статьи: 223316 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Microsoft Windows позволяет обеспечить конфиденциальность данных на томах с файловой системой NTFS путем их шифрования. Чтобы зашифровать файл или папку, необходимо задать соответствующий атрибут в диалоговом окне Свойства объекта.

Поскольку процесс шифрования и расшифровки прозрачен для пользователей, следует удостовериться, что в организации применяются четкие правила использования шифрования.

Дополнительная информация

Ниже описаны стандартные рекомендации по работе с шифрованной файловой системой.
  • Необходимо научить пользователей экспортировать свои сертификаты и закрытые ключи на съемный носитель. Неиспользуемые съемные носители должны храниться в безопасном месте. Для обеспечения максимальной безопасности закрытый ключ не должен находиться на компьютере, если компьютер не используется. Это позволяет защитить закрытый ключ в случае хищения компьютера. Для доступа к зашифрованным файлам закрытый ключ можно легко импортировать со съемного носителя.
  • Зашифруйте папку "Мои документы" для всех пользователей (имя_пользователя\Мои документы). При этом личные папки пользователей, в которых хранится большинство документов, будут зашифрованы по умолчанию.
  • Необходимо сообщить пользователям, что шифровать следует не отдельные файлы, а папки. Программы по-разному работают с файлами. Постоянное шифрование на уровне папок позволяет предотвратить непредвиденную расшифровку файлов.
  • Закрытые ключи, соответствующие сертификатам восстановления, являются конфиденциальными. Эти ключи должны создаваться на физически защищенном компьютере, в противном случае их сертификаты следует экспортировать в PFX-файл, зашифровать с помощью надежного пароля и сохранить на диск, который будет храниться в безопасном месте.
  • Сертификаты агента восстановления должны назначаться специальным учетным записям агента восстановления, которые не используются ни в каких других целях.
  • При изменении агентов восстановления не уничтожайте сертификаты восстановления и закрытые ключи. (Агенты изменяются периодически.) Их следует хранить до тех пор, пока не обновятся все файлы, которые могли быть зашифрованы с их использованием.
  • Для каждого подразделения в зависимости от его размера необходимо назначить одну или две учетные записи агента восстановления. Для каждой учетной записи агента восстановления необходимо задать как минимум один компьютер. Предоставьте разрешения на использование учетных записей агента восстановления соответствующим администраторам. Рекомендуется использовать две учетные записи агента восстановления, так как это обеспечивает избыточность для восстановления файлов. Использование двух компьютеров для хранения ключей также повышает избыточность для восстановления данных в случае их утраты.
  • Реализуйте схему архивирования агентов восстановления, чтобы обеспечить возможность восстановления зашифрованных файлов с использованием устаревших ключей. Сертификаты восстановления и закрытые ключи необходимо экспортировать и хранить в безопасном месте. В идеале (как и для всех конфиденциальных данных) необходимо использовать два архива — основной и резервный — и хранить их в помещении с контролируемым доступом. Основной архив хранится локально, резервный архив хранится в отдельном защищенном хранилище.
  • Следует по возможности не использовать файлы очереди печати на сервере печати либо удостовериться в том, что файлы очереди печати создаются в зашифрованной папке.
  • При работе шифрованной файловой системы потребляется дополнительное время ЦП каждый раз, когда пользователь шифрует или расшифровывает файл. Необходимо тщательно спланировать использование сервера. Если множество клиентов используют шифрованную файловую систему (EFS), необходимо сбалансировать нагрузку на серверы.

Включение общего доступа к файлам в шифрованной файловой системе

Операционная система Microsoft Windows XP позволяет предоставлять общий доступ к зашифрованным файлам в файловой системе EFS. Можно назначать разрешения на доступ к зашифрованным файлам для отдельных пользователей. Возможность назначать разрешения для пользователей существует только для файлов. Назначение разрешений на доступ к папкам для нескольких пользователей не поддерживается ни в Microsoft Windows 2000, ни в Windows XP. Кроме того, в файловой системе EFS не поддерживается использование групп.

После шифрования файла в интерфейсе появляется новая кнопка, с помощью которой можно разрешить общий доступ к нему. Для добавления новых пользователей файл необходимо зашифровать и сохранить. Пользователей можно добавлять из локального компьютера либо из службы каталогов Active Directory, если пользователь имеет допустимый сертификат для файловой системы EFS. Возможность назначать разрешения для пользователей существует только для файлов. Назначение разрешений на доступ к зашифрованным папкам в файловой системе EFS для нескольких пользователей не поддерживается. Кроме того, для файлов можно добавлять только отдельных пользователей. Файловая система EFS не поддерживает использование групп.

Дополнительные сведения о включении шифрования EFS для папок и файлов см. в разделе "Шифрование и расшифровка файлов в шифрованной файловой системе".

Шифрование файла для нескольких пользователей

Примечание. Эта процедура относится только к Windows XP. В Windows 2000 невозможно зашифровать файл для нескольких пользователей.

Выполните следующие действия:
  1. Запустите проводник и выберите зашифрованный файл, для которого нужно добавить дополнительных пользователей.
  2. Щелкните файл правой кнопкой мыши и выберите пункт Свойства.
  3. Нажмите кнопку Дополнительно, чтобы получить доступ к параметрам файловой системы EFS.
  4. Чтобы добавить пользователей, нажмите кнопку Подробно.
  5. Нажмите кнопку Добавить. Откроется диалоговое окно Добавить, содержащее список EFS-совместимых сертификатов, находящихся в личном хранилище и хранилищах сертификатов "Другие пользователи" и "Доверенные лица".

    Если в списке нет нужного пользователя, нажмите кнопку Найти пользователя и выполните поиск в Active Directory. Появится окно Выбор пользователя. В этом диалоговом окне перечислены допустимые сертификаты EFS из Active Directory, отвечающие условиям поиска. Если для указанного пользователя не будут найдены допустимые сертификаты, появится сообщение о том, что выбранному пользователю не соответствует ни один подходящий сертификат. В этом случае пользователи должны отправить вам копию своего сертификата, которую можно будет импортировать. После этого можно добавить для этих пользователей разрешение на доступ к файлу.
  6. Выберите сертификат пользователя, которого необходимо добавить, и нажмите кнопку ОК. На вкладке Подробно появится список пользователей, которые получат доступ к зашифрованному файлу, и их сертификатов EFS.
  7. Повторите эти действия, если требуется добавить других пользователей. Нажмите кнопку ОК, чтобы сохранить изменения и продолжить.
Примечание. Любой пользователь, который может расшифровывать файл и имеет права на запись для этого файла, имеет возможность удалять других пользователей из списка.

Шифрование и расшифровка файлов в шифрованной файловой системе

Ниже перечислены действия, которые необходимо выполнить для шифрования и расшифровки файлов с помощью шифрованной файловой системы.

Примечание. Приведенные инструкции относятся к Windows 2000 и Windows XP.

Шифрование папки

Несмотря на то что можно шифровать отдельные файлы, настоятельно рекомендуется выделить для хранения зашифрованных данных специальную папку.

Шифрование папки и ее содержимого


Несмотря на то что можно шифровать отдельные файлы, рекомендуется выделить для хранения зашифрованных данных специальную папку и шифровать всю папку полностью. В этом случае все файлы, создаваемые в этой папке или перемещаемые в нее, будут автоматически получать атрибут шифрования.

Чтобы зашифровать папку вместе с ее содержимым, выполните следующие действия:
  1. Щелкните папку правой кнопкой мыши и выберите пункт Свойства.
  2. В диалоговом окне Свойства нажмите кнопку Дополнительно.
  3. Диалоговое окно Дополнительные атрибуты содержит параметры сжатия и шифрования, а также включает атрибуты архивации и индексирования.

    Примечание. Несмотря на то что файловая система NTFS поддерживает как сжатие, так и шифрование, невозможно использовать их одновременно. Это означает, что выбрать можно либо сжатие, либо шифрование. Файл или папка не могут быть одновременно сжаты и зашифрованы.

    Чтобы зашифровать папку, установите флажок Шифровать содержимое для защиты данных и нажмите кнопку ОК.
  4. Нажмите кнопку ОК, чтобы закрыть диалоговое окно Дополнительные атрибуты.
  5. Если папка, выбранная для шифрования в действии 1, содержит файлы, появится диалоговое окно Подтверждение изменения атрибутов.

    Можно выбрать шифрование только самой папки, в этом случае шифроваться будут все файлы, перемещаемые в эту папку или создаваемые в ней. Если также требуется зашифровать все содержимое папки, установите переключатель К этой папке и ко всем вложенным папкам и файлам и нажмите кнопку ОК.

Расшифровка папки

Чтобы расшифровать папку, выполните практически те же действия в обратном порядке:
  1. Щелкните папку правой кнопкой мыши и выберите пункт Свойства.
  2. Нажмите кнопку Дополнительно.
  3. Снимите флажок Шифровать содержимое для защиты данных, чтобы расшифровать данные.
  4. Нажмите кнопку ОК, чтобы закрыть диалоговое окно Дополнительные атрибуты.
  5. Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства.
  6. Если папка содержит файлы, появится диалоговое окно Подтверждение изменения атрибутов. Можно расшифровать только папку. При этом файлы, содержащиеся в папке, не будут расшифрованы.

    Если необходимо расшифровать все содержимое папки, установите переключатель К этой папке и ко всем вложенным папкам и файлам и нажмите кнопку ОК.

Дополнительные сведения

Способ шифрования файлов

Для шифрования файлов используются алгоритмы, которые, по существу, производят переупорядочение, перестановку и кодирование данных. При шифровании первого файла случайным образом создается пара ключей. Пара ключей состоит из закрытого и открытого ключей. Она используется для шифрования и расшифровки файлов.

Если пара ключей утеряна или повреждена и не были назначены агенты восстановления, то восстановить данные невозможно.

Необходимость резервного копирования сертификатов

Если сертификат поврежден или отсутствует, восстановить данные, зашифрованные с помощью него, невозможно. Поэтому очень важно создавать резервные копии сертификатов и хранить их в защищенном месте. Также можно указать агент восстановления. Этот агент позволяет восстановить данные. Сертификат агента восстановления используется в других целях, чем сертификат пользователя.

Резервное копирование сертификатов

Чтобы создать резервную копию сертификата, выполните следующие действия:
  1. Запустите обозреватель Internet Explorer.
  2. В меню Сервис выберите пункт Свойства обозревателя.
  3. На вкладке Содержание в разделе Сертификаты нажмите кнопку Сертификаты.
  4. Откройте вкладку Личные.

    Примечание. Сертификатов может быть несколько, если устанавливались сертификаты для других целей.
  5. Выбирайте сертификаты по одному до тех пор, пока в поле Назначения сертификата не появится значение Шифрованная файловая система. Это сертификат, который был создан при шифровании первой папки.
  6. Нажмите кнопку Экспорт, чтобы запустить мастер экспорта сертификатов, после чего нажмите кнопку Далее.
  7. Установите переключатель Да, экспортировать закрытый ключ и нажмите кнопку Далее.
  8. Установите флажок Включить усиленную защиту и нажмите кнопку Далее.
  9. Введите пароль. (Пароль необходим для защиты закрытого ключа.)
  10. Укажите путь для сохранения ключа. Ключ можно сохранить на дискете, в папке жесткого диска или на компакт-диске. Если произойдет сбой жесткого диска или он будет переформатирован, ключ и резервная копия будут утеряны. (Если резервная копия ключа сохранена на дискете или компакт-диске, этот носитель следует хранить в защищенном месте.)
  11. Укажите назначение и нажмите кнопку Далее.
Дополнительные сведения о шифрованной файловой системе (EFS) см. на следующем веб-узле корпорации Майкрософт:
Шифрованная файловая система в Windows 2000
http://www.microsoft.com/technet/security/prodtech/windows2000/w2kccadm/dataprot/w2kadm21.mspx

Шифрованная файловая система в Windows XP и Microsoft Windows Server 2003
http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.mspx

Свойства

Код статьи: 223316 - Последний отзыв: 26 октября 2007 г. - Revision: 12.1
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Операционная система Microsoft Windows 2000 Professional
  • операционная система Microsoft Windows 2000 Server
Ключевые слова: 
kbhowto kbinfo kbenv kbproductlink KB223316

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com