Najvhodnejšie postupy pre systém šifrovania súborov EFS

S U H R N

Systém Microsoft Windows zahŕňa funkciu priameho šifrovania údajov na zväzkoch využívajúcich systém súborov NTFS, ktorá znemožní iným používateľom získať prístup k údajom. Súbory a priečinky môžete šifrovať, ak nastavíte atribút v dialógovom okne Vlastnosti daného objektu.

Keďže proces šifrovania a dešifrovania je pre používateľov úplne transparentný, musia organizácie, ktoré chcú využívať šifrovanie súborov, uplatňovať prísne smernice používania tejto funkcie.

D A L S I E I N F O R M A C I E

Nasledujúci zoznam obsahuje štandardné postupy:
 • Naučte používateľov, aby exportovali svoje certifikáty a súkromné kľúče na odpojiteľné médiá, a aby tieto médiá uchovávali na bezpečnom mieste, keď ich nepoužívajú. Ak chcete dosiahnuť maximálne zabezpečenie, je nutné, aby sa súkromný kľúč odstránil z počítača vždy, keď sa počítač nepoužíva. Týmto je zaručená ochrana proti útočníkom, ktorí fyzicky získajú počítač a pokúsia sa získať súkromný kľúč. Keď je nutné získať prístup k šifrovaným údajom, súkromný kľúč je možné jednoducho importovať z odpojiteľného média.
 • Zašifrujte priečinok My Documents pre všetkých používateľov (User_profile\My Documents). Takto zabezpečíte, že osobný priečinok, v ktorom je uložená väčšina dokumentov, bude predvolene zašifrovaný.
 • Naučte používateľov, že nikdy nesmú šifrovať jednotlivé súbory, ale celé priečinky. Programy pracujú so súbormi rôznymi spôsobmi. Dôsledné šifrovanie súborov na úrovni priečinkov zaručí, že nedôjde k neočakávanému dešifrovaniu súborov.
 • Súkromné kľúče, ktoré sú priradené k certifikátom obnovenia, sú mimoriadne citlivé. Tieto kľúče musia byť vytvorené v počítači, ktorý je fyzicky zabezpečený, alebo ich certifikáty musia byť exportované do súboru .pfx, ktorý je chránený silným heslom, a uložené na disku uchovávanom na fyzicky zabezpečenom mieste.
 • Certifikáty agentov na obnovenie musia byť priradené k špeciálnym kontám agentov na obnovenie, ktoré sa nepoužívajú na žiadny iný účel.
 • Nelikvidujte certifikáty obnovenia ani súkromné kľúče, keď dôjde k zmene agentov na obnovenie. (Agenti sa pravidelne menia). Všetky ich uchovajte, kým sa neaktualizujú všetky súbory, ktoré mohli byť zašifrované ich prostredníctvom.
 • Pre každú organizačnú jednotku (OJ) určite v závislosti od veľkosti danej OJ dve alebo viac kont agentov na obnovenie. Určite dva alebo viac počítačov pre obnovenie, jeden pre každé určené konto agenta na obnovenie. Prideľte povolenia príslušným správcom, aby mohli používať kontá agentov na obnovenie. Odporúča sa vytvoriť dve kontá agentov na obnovenie, aby sa tak zaistila dodatočná možnosť obnovy súborov. Ak máte k dispozícií dva počítače, v ktorých sú uložené tieto kľúče, máte k dispozícii dodatočnú možnosť obnovy stratených súborov.
 • Používaním archivačného programu agenta na obnovenie zabezpečíte, aby zašifrované súbory bolo možné obnoviť pomocou zastaraných kľúčov pre obnovenie. Certifikáty obnovenia a súkromné kľúče je nutné exportovať a ukladať kontrolovaným a bezpečným spôsobom. Ideálnym spôsobom, rovnako ako pri všetkých zabezpečených údajoch, je uchovávanie archívov v trezore s riadením prístupu a je potrebné mať dva archívy: hlavný a záložný. Hlavný archív je uložený priamo na mieste používania, zatiaľ čo záložný archív sa nachádza na bezpečnom mieste mimo miesta používania.
 • Vyhnite sa používaniu súborov zaraďovania do frontu tlače v architektúre tlačového servera alebo zabezpečte, aby sa súbory zaraďovania do frontu tlače vytvárali v šifrovanom priečinku.
 • Systém šifrovania súborov pri každom šifrovaní a dešifrovaní súboru používateľom do určitej miery zaťažuje procesor. Plánujte preto využívanie servera s rozvahou. Zabezpečte rovnomerné zaťaženie serverov v prípadoch, keď systém šifrovania súborov EFS používa veľa klientov.

Povolenie zdieľania súborov systému šifrovania súborov

Systém šifrovania súborov EFS v systéme Microsoft Windows XP podporuje zdieľanie šifrovaných súborov viacerými používateľmi. Táto podpora umožňuje prideľovať jednotlivým používateľom povolenie na prístup k šifrovanému súboru. Možnosť pridávania ďalších používateľov je obmedzená na jednotlivé súbory. Podpora pre viacerých používateľov v priečinkoch nie je k dispozícii v systéme Microsoft Windows 2000 ani v systéme Windows XP. Zároveň v systéme EFS nie je pri šifrovaných súboroch podporované používanie skupín.

Po zašifrovaní súboru je zdieľanie súboru možné povoliť prostredníctvom nového tlačidla v používateľskom rozhraní. Predtým, ako bude možné pridať ďalších používateľov, musí byť súbor najskôr zašifrovaný a potom aj uložený. Používateľov je možné pridávať prostredníctvom lokálneho počítača alebo prostredníctvom adresárovej služby Active Directory, ak používateľ disponuje platným certifikátom pre systém EFS. Možnosť pridávania ďalších používateľov je obmedzená na jednotlivé súbory. Podpora pre viacerých používateľov v priečinkoch šifrovaných prostredníctvom systému EFS nie je k dispozícii. Zároveň je možné k súborom pridávať len jednotlivých používateľov. V systéme EFS nie je pri šifrovaných súboroch podporované používanie skupín.

Ďalšie informácie o povolení šifrovania priečinkov a súborov prostredníctvom systému EFS nájdete v časti „Šifrovanie a dešifrovanie prostredníctvom systému šifrovania súborov“.

Šifrovanie súboru pre viacerých používateľov

Poznámka. Tento postup platí len pre systém Windows XP. V operačnom systéme Windows 2000 nie je možné šifrovať súbor pre viacerých používateľov.

Použite tento postup:
 1. Spustite program Microsoft Windows Prieskumník a potom vyberte šifrovaný súbor, ku ktorému chcete pridať ďalších používateľov.
 2. Kliknite pravým tlačidlom myši na šifrovaný súbor a potom kliknite na položku Vlastnosti.
 3. Kliknutím na položku Spresniť prejdite na nastavenia systému EFS.
 4. Kliknite na tlačidlo Podrobnosti a pridajte ďalších používateľov.
 5. Kliknite na tlačidlo Pridať. V dialógovom okne Pridať sa zobrazia všetky ostatné certifikáty použiteľné so systémom EFS, ktoré sa nachádzajú vo vašom priestore na ukladanie osobných certifikátov, alebo certifikáty iných používateľov, ktorí sa nachádzajú vo vašich miestach na uloženie certifikátov pre ostatné osoby a dôveryhodné osoby.

  Ak používateľ, ktorého chcete pridať, nie je zobrazený, kliknutím na tlačidla Nájsť používateľa prehľadajte službu Active Directory. Zobrazí sa okno Vybrať používateľa. V dialógovom okne sa na základe vami vybratých kritérií vyhľadávania zobrazia platné certifikáty systému EFS nachádzajúce sa v službe Active Directory. Ak sa pre daného používateľa nenájde platný certifikát, budete prostredníctvom hlásenia informovaní, že pre vybratého používateľa neexistujú žiadne zodpovedajúce certifikáty. V takomto prípade vám budú musieť daní používatelia poslať kópiu svojho certifikátu, ktorú bude potrebné importovať. Potom ich môžete pridať k svojmu šifrovanému súboru.
 6. Vyberte certifikát používateľa, ktorého chcete pridať, a potom kliknite na tlačidlo OK. Vrátite sa na kartu Podrobnosti, na ktorej sa zobrazia všetci používatelia, ktorí budú mať prístup k šifrovanému súboru, a ich certifikáty systému EFS.
 7. Tento postup opakujte, kým nepridáte všetkých požadovaných používateľov. Kliknutím na tlačidlo OK uložte zmenu a prejdite k ďalšiemu kroku.
Poznámka. Každý z používateľov, ktorý môže dešifrovať súbor, môže zároveň odstrániť ostatných používateľov, ak disponuje aj povoleniami na zápis do súboru.

Šifrovanie a dešifrovanie prostredníctvom systému šifrovania súborov

Nasledovný postup slúži na šifrovanie a dešifrovanie súboru alebo priečinka prostredníctvom systému šifrovania súborov.

Poznámka. Tieto pokyny sa vzťahujú na systémy Windows 2000 a Windows XP.

Šifrovanie priečinka

Aj keď je súbory možné šifrovať jednotlivo, dôrazne odporúčame, aby ste vyhradili určitý priečinok, v ktorom budete uchovávať šifrované údaje.

Šifrovanie priečinka a jeho obsahu


Aj keď je súbory možné šifrovať aj jednotlivo, vo všeobecnosti je vhodné vytvoriť vyhradený priečinok, ktorý bude slúžiť na uchovávanie šifrovaných súborov, a potom zašifrovať tento priečinok. Ak použijete tento postup, všetky súbory, ktoré sa vytvoria v tomto priečinku alebo sa do tohto priečinka presunú, automaticky získajú atribút šifrovaného súboru.

Ak chcete zašifrovať určitý priečinok a jeho aktuálny obsah, použite tento postup:
 1. Kliknite pravým tlačidlom myši na priečinok, ktorý chcete zašifrovať, a potom kliknite na položku Vlastnosti.
 2. V dialógovom okne Vlastnosti kliknite na položku Spresniť.
 3. V dialógovom okne Rozšírené atribúty sa zobrazia možnosti atribútov pre kompresiu a šifrovanie. Toto okno obsahuje aj atribúty pre archiváciu a indexovanie.

  Poznámka. Systém súborov NTFS síce podporuje kompresiu aj šifrovanie, ale nepodporuje súčasné používanie oboch uvedených funkcií. To znamená, že nemôžete vybrať obe možnosti súčasne. Súbor ani priečinok nie je možné súčasne šifrovať aj komprimovať.

  Ak chcete šifrovať priečinok, začiarknite políčko Zašifrovať obsah z dôvodu zabezpečenia údajov a potom kliknite na tlačidlo OK.
 4. Kliknutím na tlačidlo OK zatvorte dialógové okno Rozšírené atribúty.
 5. Ak priečinok vybratý na šifrovanie v krokoch 1 až 3 už obsahuje súbory, zobrazí sa dialógové okno Potvrdenie zmien atribútov.

  Môžete vybrať možnosť šifrovania len samotného priečinka, aby boli zašifrované všetky súbory, ktoré následne presuniete do tohto priečinka alebo vytvoríte v tomto priečinku. Ak chcete šifrovať aj celý obsah tohto priečinka, kliknite na položku Použiť zmeny na tento priečinok, podpriečinky a súbory a potom kliknite na tlačidlo OK.

Dešifrovanie priečinka

Ak chcete dešifrovať priečinok, v podstate používate ten istý postup, ibaže kroky vykonávate v opačnom poradí:
 1. Kliknite pravým tlačidlom myši na priečinok, ktorý chcete dešifrovať, a potom kliknite na položku Vlastnosti.
 2. Kliknite na tlačidlo Spresniť.
 3. Kliknutím zrušte začiarknutie políčka Zašifrovať obsah z dôvodu zabezpečenia údajov, aby sa údaje dešifrovali.
 4. Kliknutím na tlačidlo OK zatvorte dialógové okno Rozšírené atribúty.
 5. Kliknutím na tlačidlo OK zatvorte dialógové okno Vlastnosti.
 6. Ak priečinok obsahuje súbory, zobrazí sa dialógové okno Potvrdenie zmien atribútov. Môžete vybrať možnosť dešifrovať len samotný priečinok. Ak však použijete túto možnosť, nedešifrujú sa žiadne zo súborov nachádzajúcich sa v priečinku.

  Ak chcete dešifrovať celý obsah tohto priečinka, kliknite na položku Použiť zmeny na tento priečinok, podpriečinky a súbory a potom kliknite na tlačidlo OK.

Ďalšie informácie.

Spôsob šifrovania súborov

Súbory sú šifrované prostredníctvom algoritmov, ktoré údaje zakódujú, zašifrujú a zásadne zmenia ich usporiadanie. Pri šifrovaní prvého súboru sa náhodne vygeneruje dvojica kľúčov. Táto dvojica kľúčov pozostáva zo súkromného a verejného kľúča. Dvojica kľúčov sa používa na kódovanie a dekódovanie šifrovaných súborov.

Ak dôjde k strate alebo poškodeniu dvojice kľúčov a nie je vytvorený agent na obnovenie kľúčov, údaje nie je možné obnoviť.

Dôvody na zálohovanie certifikátov

Keďže nie je možné obnoviť údaje, ktoré boli zašifrované prostredníctvom poškodeného alebo strateného certifikátu, je veľmi dôležité certifikáty zálohovať a uchovávať ich na bezpečnom mieste. Je tiež možné určiť agenta na obnovenie. Tento agent dokáže údaje obnoviť. Certifikát agenta na obnovenie slúži na iný účel ako certifikát používateľa.

Zálohovanie certifikátu

Ak chcete zálohovať certifikáty, použite tento postup:
 1. Spustite program Microsoft Internet Explorer.
 2. V ponuke Nástroje kliknite na položku Možnosti siete Internet.
 3. Na karte Obsah kliknite v časti Certifikáty na tlačidlo Certifikáty.
 4. Kliknite na kartu Osobné.

  Poznámka. V zozname sa môže nachádzať viacero certifikátov v závislosti od toho, či ste inštalovali aj certifikáty na iné účely.
 5. Postupne klikajte na certifikáty dovtedy, kým sa v časti Plánované účely certifikátu nezobrazí hodnota Systém šifrovania súborov. Toto je certifikát, ktorý bol vygenerovaný pri šifrovaní prvého priečinka.
 6. Kliknutím na tlačidlo Exportovať otvorte okno Sprievodca exportom certifikátov a potom kliknite na tlačidlo Ďalej.
 7. Kliknite na políčko Áno, exportovať súkromný kľúč, aby sa exportoval súkromný kľúč, a potom kliknite na tlačidlo Ďalej.
 8. Kliknite na položku Zapnúť vysoký stupeň ochrany a potom kliknite na tlačidlo Ďalej.
 9. Zadajte svoje heslo. (Na ochranu súkromného kľúča je nutné heslo.)
 10. Zadajte cestu, na ktorej chcete uložiť kľúč. Kľúč môžete uložiť na disketu, na iné miesto na pevnom disku alebo na disk CD. V prípade zlyhania alebo preformátovania pevného disku dôjde k strate kľúča aj záložnej kópie. (Ak zálohujete kľúč na disketu alebo na disk CD, musíte túto disketu alebo disk CD uchovávať na bezpečnom mieste.)
 11. Zadajte cieľové umiestnenie a kliknite na tlačidlo Ďalej.
Ďalšie informácie o systéme šifrovania súborov EFS nájdete na nasledovnej webovej lokalite spoločnosti Microsoft:
Systém šifrovania súborov v systéme Windows 2000
http://www.microsoft.com/technet/security/prodtech/windows2000/w2kccadm/dataprot/w2kadm21.mspx

Systém šifrovania súborov v systémoch Windows XP a Microsoft Windows Server 2003
http://www.microsoft.com/technet/security/guidance/cryptographyetc/efs.mspx
Vlastnosti

ID článku: 223316 – Posledná kontrola: 28. 4. 2008 – Revízia: 1

Pripomienky