System szyfrowania plików (EFS) jest częścią wszystkich profesjonalnych wersji systemu Windows od Windows 2000. Ta funkcja zapewnia szyfrowanie na poziomie plików danych przechowywanych w systemach NTFS i jest bezpośrednio połączone z określonym kontem użytkownika w systemie operacyjnym. Tylko użytkownik, który zaszyfrował pliki i foldery, będzie mógł uzyskać do nich dostęp po ich zaszyfrowaniu. Zaszyfrowane dane są również chronione przed dostępem z zewnątrz, ponieważ nie można uzyskać do nich dostępu poprzez uruchomienie się w innym systemie operacyjnym lub analizę dysku twardego.
W przypadku danego użytkownika pliki i foldery są wyświetlane jak wszystkie inne pliki w systemie, z wyjątkiem tego, że są podświetlone na zielono.
Oto kilka przykładów zastosowania szyfrowania EFS:
- Ochrona plików konfiguracyjnych Dropbox
- Ochrona bazy danych KeePass lub innej bazy danych
- Ochrona plików, których nigdy nie chcesz, aby ktokolwiek otwierał
Wsparcie EFS
Następujące wersje i wydania systemu Windows obsługują EFS:
- Windows 2000, XP Professional
- Windows Server (wszystkie)
- Windows Vista Business, Enterprise, Ultimate
- Windows 7 Professional, Enterprise, Ultimate
Szyfrowanie danych za pomocą EFS
Możesz szyfrować dane w Eksploratorze Windows. Wybierz jeden lub wiele plików i folderów w Eksploratorze Windows, kliknij prawym przyciskiem myszy zaznaczenie i wybierz Właściwości z menu kontekstowego.
Kliknij Zaawansowane i zlokalizuj Szyfrowanie zawartości w celu zabezpieczenia danych w nowym oknie. Jeśli wybrałeś co najmniej jeden folder, zostaniesz zapytany, czy chcesz zaszyfrować tylko pliki główne tego folderu lub pliki w podfolderach.
Pliki i foldery są następnie wyświetlane w Eksploratorze Windows na zielono. Gratulacje, właśnie zaszyfrowałeś swoje pierwsze pliki lub foldery za pomocą EFS.
Możesz normalnie pracować z plikami i folderami, o ile jesteś zalogowany na odpowiednim koncie użytkownika. Pamiętaj, że nawet administratorzy systemu nie mogą uzyskać dostępu do zaszyfrowanych plików.
Deszyfrowanie danych za pomocą systemu szyfrowania plików
Może nadejść czas, w którym możesz chcieć odszyfrować dane, na przykład przed przeniesieniem plików do nowego systemu komputerowego. Odbywa się to poprzez powtórzenie dokładnie tego samego procesu.
Wybierz pliki i foldery, kliknij je prawym przyciskiem myszy i wybierz Właściwości. Kliknij przycisk Zaawansowane i usuń zaznaczenie z Szyfruj zawartość, aby zabezpieczyć dane.
Kopia zapasowa EFS
Szyfrowanie jest bezpośrednio powiązane z kontem i hasłem, co oznacza, że każda zmiana hasła lub konta powoduje, że plików nie można już odszyfrować. Może to być problematyczne, biorąc pod uwagę, że możesz zapomnieć hasła do konta, co uniemożliwiłoby dostęp do wszystkich zaszyfrowanych plików.
W tym przypadku rozwiązaniem jest tworzenie kopii zapasowych. Microsoft Windows generuje certyfikat po pierwszym użyciu EFS. Możesz wykonać kopię zapasową certyfikatu, aby przywrócić dostęp do pliku, nawet jeśli zmieni się konto lub system operacyjny.
Użyj Windows-r, aby wyświetlić okno poleceń uruchamiania. Wpisz certmgr.msc w polu i naciśnij Enter. Spowoduje to otwarcie Menedżera certyfikatów systemu Windows. Przejdź do Osobiste> Certyfikaty w obszarze Bieżący użytkownik. Powinieneś zobaczyć certyfikat dla swojego konta użytkownika.
Kliknij ten wpis prawym przyciskiem myszy i wybierz Wszystkie zadania -> Eksportuj z menu kontekstowego.
Spowoduje to uruchomienie Kreatora eksportu certyfikatów. Kliknij przycisk Dalej na ekranie startowym i przejdź do opcji Tak, wyeksportuj klucz prywatny na następnym ekranie.
Nie zmieniaj ustawień domyślnych na ekranie Format pliku eksportu, po prostu wybierz Dalej.
Zostaniesz teraz poproszony o podanie hasła, które będzie używane do ochrony klucza prywatnego przed dostępem osób trzecich. Ktoś z dostępem do klucza i prawidłowego hasła może zaimportować certyfikat do innego systemu, aby uzyskać dostęp do zaszyfrowanych plików w systemie.
W ostatnim kroku musisz wybrać lokalizację i nazwę pliku klucza prywatnego. Możesz wybrać dowolną nazwę pliku i lokalizację, na przykład na wolumenie lub kontenerze True Crypt lub Bitlocker.
Na szczęście import certyfikatów nie trwa tak długo. Wystarczy dwukrotnie kliknąć plik, który utworzyłeś. Pojawi się monit o podanie hasła wybranego podczas tworzenia. Jeśli hasło jest prawidłowe, certyfikat zostanie zaimportowany, po czym stanie się aktywny, a zaszyfrowane pliki i foldery będą czytelne.
Jest to przydatne na przykład, jeśli chcesz uzyskać dostęp do zaszyfrowanych plików na wielu systemach komputerowych.
Słowa ostrzeżenia
Ważne jest, aby wykonać kopię zapasową certyfikatu, ponieważ jest to jedyna opcja, aby odzyskać dostęp do zaszyfrowanych plików w przypadku zapomnienia hasła, ponownej instalacji systemu Windows lub przypadkowego usunięcia konta użytkownika używanego do szyfrowania plików. Konieczne jest wybranie hasła bezpiecznego certyfikatu kopii zapasowej, aby chronić certyfikat przed nieautoryzowanymi użytkownikami.
Dla jednego sugeruję przechowywać kopię zapasową certyfikatu na zaszyfrowanej przestrzeni dyskowej dla dodatkowego bezpieczeństwa.
