Najważniejsze wskazówki dotyczące systemu szyfrowania plików EFS

Streszczenie

System Windows ma możliwość szyfrowania danych bezpośrednio w woluminach, które używają systemu plików NTFS, tak żeby inni użytkownicy nie mogli używać danych. Pliki i foldery można szyfrować po ustawieniu atrybutu w oknie dialogowym Właściwości danego obiektu.


Ponieważ proces szyfrowania/odszyfrowywania jest dla użytkownika przezroczysty, jest bardzo ważne, aby organizacje, które chcą używać szyfrowania plików w największym możliwym zakresie, rozpowszechniały zalecenia, których należy ściśle przestrzegać podczas używania.

Więcej informacji

Lista najlepszych wskazówek:
 • Zaszyfruj folder Moje dokumenty dla wszystkich użytkowników (Profil_użytkownika
  \Moje Dokumenty). Umożliwi to domyślne zaszyfrowanie folderu osobistego, w którym jest przechowywana większość dokumentów pakietu Office.
 • Przekaż użytkownikom zalecenie, aby nie szyfrowali pojedynczych plików, tylko foldery. Programy pracują z plikami w różny sposób. Konsekwentne szyfrowanie plików na poziomie folderu zapewnia, że pliki nie zostaną nieoczekiwanie odszyfrowane.
 • Klucze prywatne skojarzone z certyfikatami odzyskiwania są wyjątkowo wrażliwe. Powinny być generowane na komputerze fizycznie zabezpieczonym lub ich certyfikaty powinny być w całości eksportowane do pliku PFX, chronionego silnym hasłem i przechowywanego na bezpiecznej dyskietce.
 • Certyfikaty agenta odzyskiwania powinny być przypisane do specjalnych kont agenta odzyskiwania, nieużywanych do innych celów.
 • Nie niszcz certyfikatów odzyskiwania lub kluczy prywatnych po zmianie agentów odzyskiwania (należy to robić okresowo). Zachowaj wszystkie z nich, dopóki wszystkie pliki, które mogły zostać zaszyfrowane za ich pomocą, nie zostaną zaktualizowane.
 • Wyznacz dwa lub więcej kont agenta odzyskiwania na jednostkę organizacyjną, zależnie od jej rozmiaru. Wyznacz dwa lub więcej komputerów do odzyskiwania, jeden na każde wyznaczone konto agenta odzyskiwania, i nadaj odpowiednim administratorom uprawnienia do używania kont agenta odzyskiwania. Podanie dwóch kont agenta odzyskiwania zapewnia redundancję odzyskiwania plików. Przechowywanie kluczy na dwóch komputerach umożliwia dalszą redundancję odzyskiwania utraconych danych.
 • Zaimplementuj program archiwizujący agenta odzyskiwania, aby upewnić się, że można odzyskać szyfrowane pliki przy użyciu przestarzałych kluczy odzyskiwania. Certyfikaty odzyskiwania i klucze prywatne należy wyeksportować i przechowywać w kontrolowany i bezpieczny sposób. Idealnym rozwiązaniem, tak jak w przypadku wszystkich bezpiecznych danych, jest przechowywanie archiwów w magazynie z kontrolowanym dostępem i należy mieć dwa archiwa: główne oraz zapasowe. Archiwum główne powinno znajdować się na komputerze, a zapasowe w bezpiecznej lokalizacji poza komputerem.
 • Unikaj używania plików buforu wydruku w architekturze serwera wydruku albo upewnij się, że pliki buforu wydruku są generowane w szyfrowanym folderze.
 • System szyfrowania plików EFS używa części zapasu procesora przy każdym szyfrowaniu i odszyfrowywaniu plików. Należy rozsądnie planować pracę serwerów, na których wielu klientów używa systemu szyfrowania plików.
Aby uzyskać dodatkowe informacje dotyczące systemu szyfrowania plików, zobacz dokument „Encrypting File System for Windows 2000 Server Technical Overview” w następującej witrynie firmy Microsoft w sieci Web:
Właściwości

Identyfikator artykułu: 223316 — ostatni przegląd: 26.10.2007 — zmiana: 1

Opinia