Doporučené postupy šifrování systému souborů

Souhrn

Systém Microsoft Windows zahrnuje možnost přímého šifrování dat ve svazcích, které používají systém souborů NTFS, takže tato data nemůže používat žádný jiný uživatel. Soubory a složky lze šifrovat po nastavení atributu v dialogovém okně Vlastnosti objektu.

Jelikož proces šifrování/dešifrování je pro uživatele transparentní, je třeba, aby organizace, které hodlají používat šifrování souborů, stanovily jasná pravidla používání.

Další informace

Zde je uveden seznam standardních postupů.
 • Naučte uživatele exportovat certifikáty a soukromé klíče na vyměnitelná média a tato média bezpečně ukládat, když se právě nepoužívají. Pro zajištění nejvyššího možného zabezpečení je třeba odebrat soukromý klíč z počítače, kdykoli se počítač nepoužívá. Je to ochrana proti útočníkům, kteří se mohou počítače fyzicky zmocnit a pokusit se o přístup k soukromému klíči. Je-li třeba získat přístup k zašifrovaným souborům, soukromý klíč lze snadno importovat z vyměnitelného média.
 • Zašifrujte složku Dokumenty pro všechny uživatele (Profil_uživatele\Dokumenty). Tím je zajištěno šifrování osobních složek, kde je umístěna většina dokumentů, ve výchozím nastavení.
 • Naučte uživatele nešifrovat jednotlivé soubory, ale šifrovat celé složky. Programy pracují se soubory různými způsoby. Důsledné šifrování souborů na úrovni složky zajišťuje, aby nedošlo k jejich neočekávanému dešifrování.
 • Soukromé klíče související s certifikáty obnovení jsou extrémně citlivé. Tyto klíče je třeba generovat v počítači, který je fyzicky zabezpečený, nebo musí být jejich certifikáty exportovány do souboru PFX, chráněny silným heslem a uloženy na disku, který je uložen na fyzicky zabezpečeném místě.
 • Certifikáty agentů obnovení je třeba přidělit speciálním účtům agentů obnovení, které neslouží žádnému jinému účelu.
 • Dojde-li ke změně agentů obnovení, neničte certifikáty obnovení ani soukromé klíče. (Agenti se pravidelně mění). Všechny je uložte do doby, než budou aktualizovány veškeré soubory, které jimi mohly být šifrovány.
 • Vyhraďte alespoň dva účty agentů obnovení pro každou organizační jednotku v závislosti na její velikosti. Vyhraďte alespoň dva počítače pro obnovování, vždy jeden pro každý vyhrazený účet agenta obnovení. Příslušným správcům udělte oprávnění k používání účtů agentů obnovení. Je vhodné mít k dispozici dva účty agentů obnovení k zajištění zálohy pro obnovování souborů. Máte-li klíče uloženy ve dvou počítačích, je k dispozici záložní možnost obnovení ztracených dat.
 • Implementujte program pro archivaci agentů obnovení, aby bylo možné obnovit zašifrované soubory pomocí zastaralých klíčů obnovení. Certifikáty obnovení a soukromé klíče je nutné exportovat a ukládat kontrolovaným a bezpečným způsobem. Jako u všech zabezpečených dat, ideální je ukládat archivy v místě s kontrolovaným přístupem a mít archivy dva: hlavní a záložní. Hlavní archiv je uchováván místně a záložní je v jiném bezpečném umístění.
 • Nepoužívejte soubory zařazování tisku v architektuře tiskového serveru, nebo zajistěte, aby byly soubory zařazování tisku generovány v zašifrované složce.
 • Šifrování systému souborů zatíží procesor při každém zašifrování a dešifrování souboru. Využití serveru rozumně plánujte. Pokud využívá šifrování systému souborů mnoho klientů, je třeba vyvážit zatížení serverů.

Jak povolit sdílení souborů v systému souborů EFS

V systému Microsoft Windows XP podporuje systém EFS sdílení šifrovaných souborů několika uživateli. Tato podpora umožňuje udělit jednotlivým uživatelům oprávnění pro přístup k zašifrovanému souboru. Možnost přidat další uživatele je omezena na jednotlivé soubory. Podpora více uživatelů pro složky není zajištěna v systému Microsoft Windows 2000 ani Windows XP. Systém ESF také nepodporuje použití skupin u zašifrovaných souborů.

Po zašifrování souboru je jeho sdílení umožněno prostřednictvím nového tlačítka v uživatelském rozhraní. Aby bylo možné přidat další uživatele, je třeba soubor nejprve zašifrovat a uložit. Uživatele je možné přidat buď z místního počítače nebo prostřednictvím služby Active Directory, má-li uživatel platný certifikát pro systém EFS. Možnost přidat další uživatele je omezena na jednotlivé soubory. Podpora více uživatelů u složek šifrovaných systémem EFS není zajištěna. U souborů je též možné přidat pouze jednotlivé uživatele. Systém ESF nepodporuje použití skupin u zašifrovaných souborů.

Informace o tom, jak povolit šifrování složek a souborů systémem EFS, získáte v části „Jak šifrovat a dešifrovat pomocí systému EFS“.

Jak šifrovat soubor pro více uživatelů

Poznámka: Tento postup platí pouze pro systém Windows XP. V systému Windows 2000 nelze šifrovat soubor pro více uživatelů.

Postupujte následujícím způsobem:
 1. Spusťte aplikaci Microsoft Windows Explorer a vyberte zašifrovaný soubor, pro který chcete přidat další uživatele.
 2. Klepněte pravým tlačítkem myši na zašifrovaný soubor a potom klepněte na příkaz Vlastnosti.
 3. Klepnutím na položku Upřesnit získáte přístup k nastavením systému EFS.
 4. Chcete-li přidat další uživatele, klepněte na tlačítko Podrobnosti.
 5. Klepněte na tlačítko Přidat. V dialogovém okně Přidat se zobrazí všechny certifikáty podporující systém EFS obsažené v osobním úložišti nebo certifikáty dalších uživatelů, které se mohou nacházet v úložištích certifikátů Jiní uživatelé nebo Důvěryhodné osoby.

  Nenaleznete-li uživatele, kterého chcete přidat, klepněte na příkaz Najít uživatele k hledání v adresáři Active Directory. Zobrazí se okno Vybrat uživatele. Dialogové okno zobrazí platné certifikáty systému EFS ve službě Active Directory na základě kriterií vyhledávání. Není-li pro daného uživatele nalezen žádný platný certifikát, zobrazí se zpráva oznamující, že pro vybraného uživatele neexistují vhodné certifikáty. Pokud se to stane, je třeba je třeba, aby takoví uživatelé poslali kopii svého certifikátu k importu. Potom je bude možné přidat k zašifrovanému souboru.
 6. Vyberte certifikát uživatele, kterého chcete přidat, a pak klepněte na tlačítko OK. Systém přejde zpět na kartu Podrobnosti, kde se zobrazí více uživatelů, kteří budou mít přístup k zašifrovanému souboru, a jejich certifikáty systému EFS.
 7. Tento postup opakujte, dokud nepřidáte všechny požadované uživatele. Klepněte na tlačítko OK k zaregistrování změny a pokračujte.
Poznámka: Každý uživatel, který je schopen dešifrovat soubor, může také odebrat ostatní uživatele, má-li u daného souboru rovněž povolení k zápisu.

Jak šifrovat a dešifrovat pomocí Šifrování systému souborů

Následujícím postupem se šifrují a dešifrují soubory nebo složky pomocí Šifrování systému souborů.

Poznámka: Tyto pokyny platí pro systém Windows 2000 a Windows XP.

Šifrování složky

Ačkoli je možné šifrovat soubory jednotlivě, důrazně doporučujeme vyhradit určitou složku pro ukládání zašifrovaných dat.

Šifrování složky a jejího obsahu


Ačkoli je možné šifrovat soubory samostatně, je většinou vhodné vyhradit zvláštní složku, kam budete ukládat šifrované soubory, a zašifrovat celou tuto složku. Pokud to uděláte, všechny soubory vytvořené v této složce nebo přesunuté do ní automaticky získávají atribut šifrování.

Chcete-li zašifrovat složku a její aktuální obsah, postupujte následujícím způsobem.
 1. Klepněte pravým tlačítkem myši na složku, kterou chcete zašifrovat, a klepněte na příkaz Vlastnosti.
 2. V dialogovém okně Vlastnosti klepněte na tlačítko Upřesnit.
 3. V dialogovém okně Upřesnit atributy jsou zobrazeny možnosti atributů pro kompresi a šifrování. Tento dialog také obsahuje atributy pro archivaci a indexování.

  Poznámka: Ačkoli systém souborů NTFS podporuje kompresi i šifrování, nepodporuje obě funkce zároveň. To znamená, že můžete zvolit jednu nebo druhou. Soubor či složka nemohou být zašifrovány a zároveň zkomprimovány.

  Chcete-li zašifrovat složku, klepnutím zaškrtněte políčko Šifrovat obsah a zabezpečit tak data a potom klepněte na tlačítko OK.
 4. Klepnutím na tlačítko OK zavřete dialogové okno Upřesnit atributy.
 5. Pokud jsou ve složce vybrané k šifrování v krocích 1 až 3 již obsaženy soubory, zobrazí se dialogové okno Potvrdit změnu atributů.

  Můžete zašifrovat pouze složku, takže všechny soubory následně přesunuté do této složky nebo v ní vytvořené budou zašifrovány. Chcete-li zašifrovat také obsah této složky, klepněte na příkaz Použít změny pro tuto složku, podsložky a soubory a potom na tlačítko OK.

Dešifrování složky

K dešifrování složky se používá v podstatě stejný postup, jen v opačném pořadí.
 1. Klepněte pravým tlačítkem myši na složku, kterou chcete dešifrovat, a klepněte na příkaz Vlastnosti.
 2. Klepněte na tlačítko Upřesnit.
 3. Chcete-li dešifrovat data, klepnutím zrušte zaškrtnutí políčka Šifrovat obsah a zabezpečit tak data.
 4. Klepnutím na tlačítko OK zavřete dialogové okno Upřesnit atributy.
 5. Klepnutím na tlačítko OK zavřete dialogové okno Vlastnosti.
 6. Jsou-li ve složce soubory, zobrazí se dialogové okno Potvrdit změnu atributů. Můžete dešifrovat pouze složku. Takto však nedojde k dešifrování souborů, které jsou v ní aktuálně obsaženy.

  Chcete-li dešifrovat veškerý obsah této složky, klepněte na příkaz Použít změny pro tuto složku, podsložky a soubory a potom na tlačítko OK.

Další informace

Jak se šifrují soubory

Soubory se šifrují pomocí algoritmů, které v podstatě změní uspořádání dat a zakódují je. Při šifrování prvního souboru je náhodně vygenerován pár klíčů. Tento pár je tvořen soukromým a veřejným klíčem. Pár klíčů se používá k zakódování a dekódování zašifrovaných souborů.

Dojde-li ke ztrátě či poškození páru klíčů a uživatel nestanovil agenta obnovení, nelze data žádným způsobem obnovit.

Proč je třeba zálohovat certifikáty

Protože neexistuje způsob, jak obnovit data zašifrovaná poškozeným nebo chybějícím certifikátem, je certifikáty nutné zálohovat a uložit na bezpečném místě. Také je možné určit agenta obnovení. Tento agent může data obnovit. Certifikát agenta obnovení slouží jinému účelu než certifikát uživatele.

Jak zálohovat certifikát

Chcete-li zálohovat certifikáty, postupujte následujícím způsobem.
 1. Spusťte aplikaci Microsoft Internet Explorer.
 2. V nabídce Nástroje vyberte příkaz Možnosti Internetu.
 3. V části Certifikáty na kartě Obsah klepněte na tlačítko Certifikáty.
 4. Klepněte na kartu Osobní.

  Poznámka: Může zde být více certifikátů, pokud jste nainstalovali certifikáty i pro jiné účely.
 5. Vybírejte certifikáty jeden po druhém, až se v poli Zamýšlené účely certifikátu zobrazí Šifrování systému souborů. Toto je certifikát, který byl vytvořen při šifrování první složky.
 6. Klepnutím na příkaz Exportovat spusťte Průvodce exportem certifikátu a potom klepněte na tlačítko Další.
 7. Chcete-li exportovat soukromý klíč, klepněte na možnost Ano, exportovat soukromý klíč a potom klepněte na tlačítko Další.
 8. Klepněte na možnost Povolit silnou ochranu a potom na tlačítko Další.
 9. Zadejte heslo. (Pro ochranu soukromého klíče je heslo povinné.)
 10. Zadejte cestu, kam chcete uložit klíč. Klíč můžete uložit na disketu, do jiného umístění na pevném disku nebo na disku CD-ROM. V případě chyby nebo přeformátování disku může dojít ke ztrátě klíče i jeho zálohy. (Uložíte-li zálohu klíče na disketu nebo disk CD-ROM, je třeba je uchovávat na bezpečném místě.)
 11. Zadejte cílové místo a potom klepněte na tlačítko Další.
Další informace o šifrování systému souborů EFS získáte na následujícím webu společnosti Microsoft:
Šifrování systému souborů v systému Windows 2000
http://www.microsoft.com/technet/security/prodtech/windows2000/w2kccadm/dataprot/w2kadm21.mspx

Šifrování systému souborů v systému Windows XP a Microsoft Windows Server 2003
http://www.microsoft.com/technet/security/guidance/cryptographyetc/efs.mspx
Vlastnosti

ID článku: 223316 - Poslední kontrola: 10. 1. 2017 - Revize: 1

Váš názor