Gyakorlati tanácsok a titkosított fájlrendszerhez

Összefoglaló

A Microsoft Windows lehetővé teszi az NTFS fájlrendszert használó köteteken lévő adatok közvetlen titkosítását, hogy mások ne férhessenek hozzájuk. A fájlok és mappák az objektum Tulajdonságok párbeszédpanelén lévő egyik attribútum megadásával titkosíthatók.

Mivel a tikosítás és visszafejtés a felhasználó számára nem látható, fontos, hogy a fájltitkosítást alkalmazni kívánó szervezetek szorosan szabályozzák a használatát.

További információ

A következőkben az általános gyakorlatokat mutatjuk be:
 • Tanítsa meg a felhasználóknak, hogyan exportálhatják tanúsítványaikat és személyes kulcsaikat cserélhető adathordozókra, és figyelmeztesse őket azok biztonságos tárolásának fontosságára. A legnagyobb biztonság eléréséhez a személyes kulcsot mindig el kell távolítani a számítógépből, amikor nincs használatban. Ez védelmet nyújt azok ellen, akik fizikailag szerzik meg a számítógépet, és megpróbálnak hozzáférni a személyes kulcshoz. Ha hozzá kell férni a titkosított fájlokhoz, a személyes kulcs egyszerűen importálható a cserélhető adathordozóról.
 • Titkosítsa az összes felhasználó Dokumentumok mappáját (Felhasználói_profil\Dokumentumok). Így biztosíthatja, hogy a dokumentumok többségének tárolására használt személyes mappa alapértelmezés szerint titkosítva legyen.
 • Tanítsa meg a felhasználókat arra, hogy ne a különálló fájlokat titkosítsák, hanem teljes mappákat. A programok sokféle módon használhatják a fájlokat. Ha mappánként kerülnek titkosításra a fájlok, elkerülhető azok meglepetésszerű visszafejtése.
 • A helyreállítási tanúsítványokhoz tartozó személyes kulcsok nagyon érzékenyek. Ezeket a kulcsokat fizikailag védett számítógépen kell létrehozni, vagy tanúsítványaikat erős jelszóval védett .pfx fájlba kell exportálni, lemezre kell menteni, majd azt fizikailag védett helyen kell tárolni.
 • A helyreállítási ügynökök tanúsítványait speciális helyreállításiügynök-fiókokhoz kell rendelni, amelyek nem szolgálnak más célra.
 • Ne semmisítse meg a helyreállítási tanúsítványokat vagy személyes kulcsokat a helyreállítási ügynökök változásakor. (Az ügynökök rendszeres időközönként változnak). Tartsa meg mindet, amíg frissítve nem lesz minden olyan fájl, amelyek titkosítása ezekkel történhetett.
 • Jelöljön ki szervezeti egységenként legalább két helyreállításiügynök-fiókot a szervezeti egység méretétől függően. Jelöljön ki legalább két számítógépet a helyreállításhoz, minden helyreállításiügynök-fiókhoz egyet. Adjon engedélyt a megfelelő rendszergazdáknak a helyreállításiügynök-fiókok használatához. Tanácsos két helyreállításiügynök-fiókot készíteni, hogy a fájlok helyreállítása biztosított legyen. Ha két számítógépet is használ a kulcsok tárolására, nagyobb eséllyel állíthatja helyre az elveszett adatokat.
 • Dolgozza ki a helyreállítási ügynökök archiválásának programját annak érdekében, hogy a titkosított fájlok helyreállíthatók legyenek a régebbi helyreállítási kulcsokkal. A helyreállítási tanúsítványokat és személyes kulcsokat felügyelt és biztonságos módon kell exportálni és tárolni. Mint minden védett adatot, az archívumokat is biztonságosan védett helyen kell tárolni, és két archívumra van szükség: egy főpéldányra és egy biztonsági másolatra. A főpéldányt a helyszínen, a biztonsági másolatot pedig más védett helyen kell tárolni.
 • Ne használjon nyomtatásisor-fájlokat a nyomtatási kiszolgálón, vagy állítsa be úgy a kiszolgálót, hogy ezek a fájlok titkosított mappában legyenek létrehozva.
 • A titkosított fájlrendszer processzoridőt vesz igénybe a fájlok titkosításakor és visszafejtésekor. Körültekintően tervezze meg a kiszolgáló használatát. Ha sok ügyfél használ titkosított fájlrendszert, ossza szét a terhelést a kiszolgáló között.

Fájlmegosztás engedélyezése a titkosított fájlrendszerben

Microsoft Windows XP rendszerben a titkosított fájlrendszer támogatja a titkosított fájlok megosztását több felhasználó között. Ez lehetővé teszi, hogy a felhasználóknak egyenként engedélyezze egy titkosított fájl elérését. A további felhasználók hozzáadása az egyes fájlokra korlátozódik. Mappák esetén sem a Microsoft Windows 2000, sem a Windows XP nem támogat több felhasználót, és csoportok használata sem lehetséges titkosított fájlrendszerben.

Egy fájl titkosítása után a fájlmegosztás a felhasználói felület egy új gombjával kapcsolható be. További felhasználók hozzáadása előtt a fájlt titkosítani és menteni kell. A felhasználók hozzáadhatók a helyi számítógépről vagy az Active Directory címtárszolgáltatással, ha a felhasználó érvényes tanúsítvánnyal rendelkezik a titkosított fájlrendszerhez. A további felhasználók hozzáadása az egyes fájlokra korlátozódik. A titkosított fájlrendszerben lévő mappákhoz a rendszer nem biztosítja több felhasználó támogatását, és a fájlokhoz is csak egyenként adhatók hozzá a felhasználók. Csoportok használata nem lehetséges titkosított fájlrendszerben.

A titkosított fájlrendszer mappákon és fájlokon való engedélyezéséről bővebben a „Titkosítás és visszafejtés a titkosított fájlrendszer segítségével” című részben olvashat.

Fájl titkosítása több felhasználó számára

Megjegyzés: A következő eljárás csak Windows XP rendszerre vonatkozik. Windows 2000 rendszerben nem lehet több felhasználó számára titkosítani fájlt.

Hajtsa végre a következő lépéseket:
 1. Indítsa el a Microsoft Windows Intézőt, és válassza ki azt a titkosított fájlt, amelyhez további felhasználókat kíván adni.
 2. Kattintson jobb gombbal a titkosított fájlra, majd válassza a Tulajdonságok parancsot.
 3. Kattintson a Speciális gombra a titkosított fájlrendszer beállításainak megnyitásához.
 4. További felhasználók hozzáadásához kattintson a Részletek elemre.
 5. Kattintson a Hozzáadás gombra. A Hozzáadás párbeszédpanel megjeleníti a személyes tárban lévő, a titkosított fájlrendszerrel használható tanúsítványokat, illetve azokat, amelyek a „Más személyek” vagy „Megbízható személyek” tanúsítványtárakban lévő más felhasználókhoz tartoznak.

  Ha nem találja a hozzáadni kívánt felhasználót, kattintson a Felhasználó keresése elemre az Active Directoryban való kereséshez. Ekkor megnyílik a Felhasználó kiválasztása ablak. A keresési feltételek alapján egy párbeszédpanelen megjelennek az Active Directoryban található, érvényes tanúsítványok a titkosított fájlrendszerhez. Ha nincs érvényes tanúsítvány az adott felhasználóhoz, üzenet tájékoztat arról, hogy a kiválasztott felhasználó nem rendelkezik a megfelelő tanúsítvánnyal. Ilyen esetben a kiválasztott felhasználóknak másolatot kell küldeniük tanúsítványukról importálás céljára. Ezután hozzáadhatja őket a titkosított fájlhoz.
 6. Válassza ki a hozzáadni kívánt felhasználó tanúsítványát, majd kattintson az OK gombra. Ekkor visszatér a Részletek lapra, amelyen látható a titkosított fájlhoz hozzáféréssel rendelkező felhasználók listája, valamint azok tanúsítványai a titkosított fájlrendszerhez.
 7. Ismételje meg ezt a folyamatot mindaddig, amíg az összes felhasználót hozzá nem adta. A módosítás regisztrálásához és a folytatáshoz kattintson az OK gombra.
Megjegyzés: Egy adott fájl visszafejtésére képes és ahhoz írási engedéllyel rendelkező felhasználók számára lehetséges más felhasználók eltávolítása.

Titkosítás és visszafejtés a titkosított fájlrendszerrel

A következő módon titkosíthat és fejthet vissza fájlt vagy mappát a titkosított fájlrendszerrel.

Megjegyzés: A következők Windows 2000 és Windows XP rendszerre vonatkoznak.

Mappa titkosítása

Bár lehetséges a fájlok egyenkénti tikosítása, javasoljuk, hogy jelöljön ki külön mappát a titkosított adatok tárolására.

Mappa és a benne lévő fájlok titkosítása


Bár lehetséges a fájlok egyenkénti tikosítása, az esetek többségében érdemes külön mappát létrehozni a titkosított fájlok tárolására, és azt titkosítani. Ilyenkor az ebben a mappában létrehozott vagy oda másolt fájlok automatikusan titkosítva lesznek.

Egy mappa és a benne lévő fájlok titkosításához végezze el a következőket:
 1. Kattintson a jobb gombbal a titkosítani kívánt mappára, majd válassza a Tulajdonságok parancsot.
 2. A Tulajdonságok párbeszédpanelen kattintson a Speciális gombra.
 3. A Speciális tulajdonságok párbeszédpanelen különböző tömörítési és titkosítási beállítások találhatók. A párbeszédpanel archiválási és indexelési tulajdonságokat is tartalmaz.

  Megjegyzés: Az NTFS fájlrendszer a tömörítést és a titkosítást is támogatja, de egyszerre csak az egyik vehető igénybe. Ez azt jelenti, hogy csak egyet választhat közülük: egy fájlt vagy mappát nem lehet titkosítani és tömöríteni is.

  A mappa titkosításához jelölje be a Tartalom titkosítása az adatvédelem érdekében jelölőnégyzetet, majd kattintson az OK gombra.
 4. A Speciális attribútumok párbeszédpanel bezárásához kattintson az OK gombra.
 5. Ha az 1-3. lépésben titkosításra kiválasztott mappa már tartalmaz fájlokat, megjelenik az Attribútummódosítások megerősítése párbeszédpanel.

  Megadhatja, hogy csak a mappát titkosítja, így csak azok a fájlok lesznek titkosítva, amelyek később kerülnek a mappába. Ha a mappa teljes tartalmát tikosítani szeretné, kattintson a Módosítások érvényesítése ebben a mappában, az almappákban és a fájlokban elemre, majd kattintson az OK gombra.

Mappa visszafejtése

A mappákat a fenti lépéseket fordított sorrendben elvégezve fejtheti vissza:
 1. Kattintson a jobb gombbal a visszafejteni kívánt mappára, majd válassza a Tulajdonságok parancsot.
 2. Kattintson a Speciális gombra.
 3. Törölje a jelet a Tartalom titkosítása az adatvédelem érdekében jelölőnégyzetből az adatok visszafejtéséhez.
 4. A Speciális attribútumok párbeszédpanel bezárásához kattintson az OK gombra.
 5. A Tulajdonságok párbeszédpanel bezárásához kattintson az OK gombra.
 6. Ha a mappában fájlok vannak, megjelenik az Attribútummódosítások megerősítése párbeszédpanel. Megadhatja azt, hogy csak a mappát kívánja visszafejteni, így a mappában lévő fájlok titkosítása megmarad.

  Ha a mappa teljes tartalmát vissza kívánja fejteni, kattintson a Módosítások érvényesítése ebben a mappában, az almappákban és a fájlokban elemre, majd kattintson az OK gombra.

További információk

A fájlok titkosításának módja

A fájlok titkosítása algoritmusokkal megy végbe, amelyek átrendezik, összekuszálják és kódolják az adatokat. Az első fájl titkosításakor véletlenszerűen generált kulcspár jön létre, amely egy személyes és egy nyilvános kulcsból áll. A kulcspár a titkosított fájlok kódolásához és dekódolásához szükséges.

Ha a kulcspár elveszik vagy megsérül, és nem rendelkezik helyreállítási ügynökkel, akkor nem tudja helyreállítani az adatokat.

Miért fontos biztonsági másolatot készíteni a tanúsítványokról?

Mivel a sérült vagy hiányzó tanúsítvánnyal titkosított adatokat nem lehet helyreállítani, nagyon fontos, hogy rendelkezzen biztonsági másolattal a tanúsítványokról, és azokat biztonságos helyen tárolja. Helyreállítási ügynököt is megadhat, amely képes az adatok helyreállítására. A helyreállítási ügynök tanúsítványa más célt szolgál, mint a felhasználóé.

A tanúsítvány biztonsági mentése

A tanúsítványokról a következőképp készíthet biztonsági másolatot:
 1. Indítsa el a Microsoft Internet Explorer böngészőt.
 2. Az Eszközök menüből válassza az Internetbeállítások elemet.
 3. Kattintson a Tartalom lap Tanúsítványok csoportjában található Tanúsítványok gombra.
 4. Kattintson a Személyes fülre.

  Megjegyzés: Több tanúsítvány is lehet itt, ha más célra is telepített tanúsítványokat.
 5. Jelölje ki egyenként a tanúsítványokat, amíg A tanúsítvány kívánt felhasználási céljai mezőben meg nem jelenik a Titkosított fájlrendszer szöveg. Ez az a tanúsítvány, amely az első mappa titkosításakor létrejött.
 6. Kattintson az Exportálás gombra a Tanúsítványexportáló varázsló elindításához, majd kattintson a Tovább gombra.
 7. Kattintson az Igen, a személyes kulcs exportálását választom elemre a személyes kulcs exportálásához, majd kattintson a Tovább gombra.
 8. Jelölje be az Erős védelem választógombot, majd kattintson a Tovább gombra.
 9. Írja be jelszavát. (Jelszó szükséges a személyes kulcs védelméhez.)
 10. Adja meg azt az elérési utat, ahol a kulcsot tárolni szeretné. A kulcsot mentheti hajlékonylemezre, a merevlemez egy másik helyére vagy CD-re. Ha a merevlemez meghibásodik vagy formázzák, a kulcs és a biztonsági másolat is elveszik. (Ha hajlékonylemezre vagy CD-re menti a kulcs biztonsági másolatát, tárolja azt biztonságos helyen.)
 11. Adja meg a célt, és kattintson a Tovább gombra.
A titkosított fájlrendszerről a Microsoft alábbi webhelyén olvashat bővebben:
Titkosított fájlrendszer a Windows 2000 rendszerben
http://www.microsoft.com/technet/security/prodtech/windows2000/w2kccadm/dataprot/w2kadm21.mspx

Titkosított fájlrendszer a Windows XP és a Microsoft Windows Server 2003 rendszerekben
http://www.microsoft.com/technet/security/guidance/cryptographyetc/efs.mspx
Tulajdonságok

Cikkazonosító: 223316 - Utolsó ellenőrzés: 2007. okt. 26. - Verziószám: 1

Visszajelzés