Аннотация

Данный лабораторный практикум предназначен для изучения основных возможностей, представляемых шифрующей файловой системой EFS в операционных системах Microsoft Windows, в рамках темы «Управление информационной безопасностью АС на базе операционных систем Microsoft Windows».

Введение

Шифрующая файловая система EFS появилась впервые в Microsoft Windows 2000. Данная технология разрабатывалась как простой и эффективный способ защиты данных от несанкционированного использования в случае физического доступа злоумышленника к носителю информации.

Шифрующая файловая система EFS – это интегрированная с NTFS служба, располагающаяся в ядре Windows, предназначенная для защиты данных на томах NTFS от несанкционированного доступа путем их криптографического преобразования.

EFS использует симметричные и ассиметричные криптографические алгоритмы, определяемые установленным в системе криптопровайдером – библиотекой криптографических алгоритмов, доступных прикладным программам посредством интерфейса CryptoAPI.

С точки зрения пользователя, процедура применения EFS-шифрования довольно проста. Имея разрешения NTFS «Чтение» и «Запись» для каталога или файла пользователь устанавливает на них атрибут «Шифровать содержимое для защиты данных» (Свойства – Вкладка «Общие» – Дополнительные атрибуты), после чего работает с ними обычным образом, не замечая, что данные были зашифрованы, так как процессы зашифрования и расшифрования выполняются EFS «прозрачно» для пользователя. Однако пользователи, которые попытаются обратиться к защищенному файлу или папке без соответствующих разрешений EFS, увидят имя файла или папки, но не смогут получить доступ к зашифрованной информации.

Для возможности восстановления доступа к зашифрованной информации пользователя (в случае удаления из системы его учетной записи или по любой другой причине, приведшей к утрате криптографических ключей пользователя) в EFS используется т.н. агент восстановления данных.

В настоящем лабораторном практикуме рассматривается создание зашифрованных пользовательских ресурсов, создание агента восстановления данных, работа с ключевыми сертификатами.