efs titkosított fájlrendszer. Titkosító fájlrendszer (EFS). Az EFS menedzsment két szakasza

Dátum: 14.01.2022

Az Encrypting File System (EFS) hatékony megoldás a Windows rendszerű számítógépeken tárolt adatok védelmére. Az EFS ingyenes, és a Windows 2000 óta minden operációs rendszerben megtalálható. A technológiai fejlődés mindenhol jelen van, és ez alól az EFS sem kivétel. A technológia fejlődésével sokkal könnyebbé vált az EFS használata a tárolókörnyezet nagy részében. Előfordulhat azonban, hogy nincs mindenhol szükség az EFS-re, ezért szűkíteni kell a határokat és az ellenőrzést olyan mértékben, hogy egy ilyen fájlrendszer használható legyen. Ezért jó ötlet lenne kihasználni csoportszabályzat az EFS kezelésére.

Az EFS menedzsment két szakasza

Az EFS két testreszabási szinttel rendelkezik. Az első szint a számítógép szintjén van beállítva, amely meghatározza, hogy ez a fájlrendszer támogatott-e és elérhetővé válik-e. A második szint a mappák és fájlok szintje, ez a szint végzi az adatok titkosítását.

Windows 2000 (szerver és professzionális), Windows XP Professional, Windows Server A 2003, a Windows Vista és a Windows Server 2008 egyaránt támogatja a számítógépen található adatok titkosítását. Alapértelmezés szerint ezek a számítógépek mindegyike támogatja az EFS használatával történő adattitkosítást. Ez természetesen negatív tulajdonság is lehet, hiszen egyes adatoknak vagy számítógépeknek a logisztika miatt nem kell titkosítaniuk az adatokat.

A logisztika, amiről itt beszélek, lehetővé teszi a felhasználók számára az adatok titkosítását. Mivel alapértelmezés szerint minden számítógép támogatja az adattitkosítást, és minden felhasználó titkosíthatja azokat, az adatok titkosíthatók a helyi számítógépen, valamint a hálózaton megosztott adatok. Az 1. ábra azokat a lehetőségeket mutatja be, amelyekkel az adatok titkosíthatók Windows XP Professional számítógépen.

1. ábra: Az adattitkosítás az ő tulajdonuk

Az 1. ábrán látható titkosítási lehetőség eléréséhez csak a titkosítani kívánt fájl vagy mappa tulajdonságait kell kiválasztani a jobb gombbal kattintva és a titkosítandó objektum "Tulajdonságok" helyi menüjének meghívásával. Ezután kattintson a "Speciális" gombra a tulajdonságok párbeszédpanelen, amely viszont megjeleníti a "További attribútumok" párbeszédpanelt.

Az Active Directory tartományi számítógépek EFS-támogatásának vezérlése

Amikor egy számítógép csatlakozik egy tartományhoz Active Directory, már nem lehet vezérelni rajta az EFS támogatási opciót. Ehelyett ez a lehetőség vezérli az Active Directoryban tárolt alapértelmezett tartományi szabályzatot. Minden számítógép, amely tagja egy Windows Active Directory tartománynak, támogatja az EFS-t, egyszerűen azáltal, hogy tagja annak.

Ne feledje, hogy a Windows 2000 tartományok ezt a konfigurációt az alapértelmezett tartományházirendben kezelik másként, mint a Windows Server 2003 és a Windows Server 2008 tartományok.

Windows 2000 tartományvezérlés az EFS-en keresztül

Windows számítógépek A 2000 némileg eltérően támogatja az EFS-t, mint a későbbi operációs rendszerek, ezért az EFS beállítása eltér a szabványos tartományi szabályzatban. Windows 2000 esetén az EFS engedélyezése és letiltása az EFS ügynöktanúsítványon alapul adat visszanyerés szerepel a szabványos tartományi szabályzatban. Alapértelmezés szerint a rendszergazdai fiók rendelkezik ezzel a tanúsítvánnyal, és adat-helyreállítási ügynökként van konfigurálva. Ha nincs adat-helyreállítási tanúsítvány, az EFS nem működik.

Ennek a beállításnak az alapértelmezett tartományházirendben való eléréséhez kövesse az alábbi lépéseket megadott elérési út ha egy csoportházirend-objektumot szerkeszt a Csoportházirend-szerkesztőben:

Számítógép konfigurációja\Windows-beállítások\Biztonsági beállítások\Nyilvános kulcs házirendjei\Titkosított adat-helyreállító ügynökök

Ezen a helyen látni fogja az adminisztrátor EFS fájltitkosítási tanúsítványát, ahogy az a 2. ábrán látható.

2. ábra: A Windows 2000 tartományok az EFS fájltitkosítási tanúsítványt a következőként jelenítik meg felhasználónév, például "Rendszergazda"

Ez a beállítás minden számítógép számára lehetővé teszi a fájlok titkosítását. A funkció letiltásához egyszerűen el kell távolítania a rendszergazdai tanúsítványt a csoportházirend-objektumból. Ha ezután úgy dönt, hogy bekapcsolja ezt a funkciót korlátozott mennyiség Az Active Directoryban lévő számítógépeken az alábbi lépéseket kell végrehajtania:

Hozzon létre egy új csoportházirend-objektumot, és társítsa azt egy olyan szervezeti egységhez, amely tartalmazza az összes fájltitkosítási támogatást igénylő számítógépet.
Lépjen be a "Titkosított fájl-helyreállító ügynökök" fülre a csoportházirend-objektumban, és adjon hozzá egy tanúsítványt, amely támogatja az EFS-adat-helyreállítást.

Ez lehetővé teszi a csoportházirend-objektum által lefedett számítógépek számára, hogy az EFS-t használják az ezeken a számítógépeken tárolt adatokhoz.

Windows 2003 és 2008 tartományvezérlés az EFS-en keresztül

Az újabb tartományok és operációs rendszerek (minden, ami a Windows 2000 után jelent meg) nagyjából ugyanúgy támogatják az EFS-t, de megvannak a maguk sajátos különbségei.

Az adatok titkosítása a Windows 2000-nél későbbi számítógépeken nem igényel adat-helyreállító ügynököt.
Az EFS-t nem szabályozza az adat-helyreállítási ügynök tanúsítványának a csoportházirend-objektumban való szerepeltetése.
Az EFS támogatja a többfelhasználós hozzáférést a titkosított fájlokhoz.

Így a Windows 2003 és 2008 tartományok esetén más feladatokra lesz szükség az EFS vezérléséhez azokon a számítógépeken, amelyek tagjai ezeknek a tartományoknak. A beállítás azonban továbbra is a szabványos tartományi házirendben található. Itt a következő útvonalra lesz szüksége:

Számítógép konfigurációja\Windows-beállítások\Biztonsági beállítások\Nyilvános kulcs házirendjei\Fájlrendszer titkosítása

Most az adat-helyreállító ügynök átalakítása helyett jobb gombbal kell kattintania az EFS fülre. A megjelenő beállítások menüben válassza a Tulajdonságok lehetőséget. Itt egy sor jelenik meg a Windows 2003 tartományában, amely azt írja: "A felhasználók titkosíthatják a fájlokat a titkosító fájlrendszerrel (EFS)". A Windows Server 2008 tartományok radikálisan megváltoztatták a felületet, és gazdag támogatást biztosítanak az EFS-hez ezen a tulajdonságoldalon, amint az a 3. ábrán látható.

3. ábra: A Windows Server 2008 átfogó vezérlést biztosít az EFS felett

Ne feledje, hogy az Általános lapon van egy ellentétes gomb, melynek neve "Ne engedje". Ezzel a beállítással letiltható az EFS támogatás a tartomány összes számítógépén. Vegye figyelembe azt is, hogy ezen a párbeszédpanelen számos egyéb EFS-vezérlési lehetőség is elérhető.

Egy tartományban meghatározott számítógépeket is megadhat a Windows 2000 tartomány fenti szakaszában ismertetett lépések végrehajtásával.

Következtetés

Az EFS egy nagyon hatékony és hasznos lehetőség. Ez képes titkosítani a Windows számítógépeken tárolt adatokat. A titkosítás segít megvédeni az adatokat azoktól a felhasználóktól vagy hackerektől, akik megpróbálnak hozzáférni, de nem tudják visszafejteni az adatokat. Az EFS egy kétlépéses folyamat, először aktiválni kell az EFS-t a számítógépen. Ez a beállítás a csoportházirend segítségével vezérelhető, vagy amikor a számítógép tartományhoz csatlakozik. A rendszergazdáknak jogukban áll engedélyezni vagy letiltani az EFS-t a tartomány bármely számítógépén csoportházirend-objektum-beállítások használatával. Ha az összes számítógépen letiltja az EFS-t, majd létrehoz és konfigurál egy új csoportházirend-objektumot, csak bizonyos számítógépek fogják tudni használni az EFS-t.

Laboratóriumi munka

Számítástechnika, kibernetika és programozás

A titkosítani kívánt dokumentumokra kattintson a jobb gombbal, és válassza a helyi menü Tulajdonságok menüpontját. A megjelenő tulajdonságablak Általános lapján kattintson az Egyéb elemre. A Tömörítési és titkosítási attribútumok csoportban jelölje be a Tartalom titkosítása az adatok védelme érdekében jelölőnégyzetet, majd kattintson az OK gombra. Kattintson az OK gombra a titkosítani kívánt fájl vagy mappa tulajdonságai ablakban A megjelenő párbeszédpanelen adja meg a titkosítási módot: Csak ebbe a mappába vagy Ebbe a mappába és minden almappába és fájlba.

Laborszám 5

Fájlrendszer titkosítása EFS és tanúsítványkezelés

Gólok

Ismerkedjen meg a titkosító fájlrendszer képességeivel EFS operációs rendszer Windows 2000 (XP).
Ismerje meg a fájlok titkosításának és visszafejtésének műveletsorát egy titkosító fájlrendszer használatával EFS operációs rendszer Windows 2000 (XP).
Gyakorlati készségek elsajátítása az információk jogosulatlan hozzáféréssel szembeni védelmében.

Rövid elméleti információk

Fájlrendszer titkosítása EFS lehetővé teszi a felhasználók számára, hogy titkosított formában tárolják az adatokat a lemezen.

A titkosítás az a folyamat, amikor az adatokat olyan formátumba konvertálják, amelyet más felhasználók nem tudnak olvasni. Ha egy fájl titkosításra került, az automatikusan titkosítva marad, bárhol is tárolják a lemezen.

A visszafejtés az a folyamat, amelynek során az adatokat egy titkosított űrlapról az eredeti formátumba konvertálják.

A titkosító fájlrendszer használatakor EFS a következő információkat és ajánlásokat kell figyelembe venni.

Csak az NTFS-köteten található fájlok és mappák titkosíthatók.
A tömörített fájlok és mappák nem titkosíthatók. Ha a titkosítást egy tömörített fájlon vagy mappán hajtják végre, akkor a fájl vagy mappa tömörítetlen állapotba kerül.
A titkosított fájlok visszafejthetők, ha a fájlt nem NTFS-kötetre másolják vagy helyezik át.
Amikor titkosítatlan fájlokat helyez át egy titkosított mappába, a rendszer automatikusan titkosítja azokat az új mappában. A fordított művelet azonban nem oldja meg automatikusan a fájlokat. A fájlokat kifejezetten vissza kell fejteni.
A „Rendszer” attribútummal rendelkező fájlok és a mappastruktúrában lévő fájlok nem titkosíthatókrendszer gyökérkönyvtárában.
Egy mappa vagy fájl titkosítása nem védi meg a törléstől. Bármely törlési jogosultsággal rendelkező felhasználó törölheti a titkosított mappákat vagy fájlokat.
A titkosítási folyamat átlátható a felhasználó számára.

Jegyzet. Az átlátszó titkosítás azt jelenti, hogy a fájlt nem kell visszafejteni használat előtt. A szokásos módon megnyithatja és módosíthatja a fájlt. Az átlátszó titkosítási rendszerekben (on-the-fly titkosítás) a kriptográfiai átalakítások valós időben, a felhasználó számára észrevétlenül történnek. Például a felhasználó felkészülten ír szöveg szerkesztő dokumentumot egy védett lemezre, és a védelmi rendszer titkosítja azt a rögzítési folyamat során.

EFS használata hasonló a fájl- és mappaengedélyek használatához. Mindkét módszer az adatokhoz való hozzáférés korlátozására szolgál. De egy támadó, aki illetéktelen fizikai hozzáférést szerzett a titkosított fájlokhoz és mappákhoz, nem fogja tudni elolvasni azokat. Amikor megpróbál megnyitni vagy másolni egy titkosított fájlt vagy mappát, megjelenik egy üzenet, hogy nincs hozzáférés.

A fájlok titkosítása és visszafejtése a mappák és fájlok titkosítási tulajdonságainak, valamint egyéb attribútumok (például csak olvasható, tömörített vagy rejtett) beállításával történik. Ha egy mappa titkosított, akkor a titkosított mappában létrehozott összes fájl és almappa automatikusan titkosításra kerül. Javasoljuk a mappaszintű titkosítás használatát. A titkosító fájlrendszer automatikusan létrehoz egy titkosítási kulcspárt a felhasználó számára, ha az hiányzik. A titkosító fájlrendszer a Data Encryption Standard (DESX) titkosítási algoritmust használja.

Gyakorlat:

Fájlok titkosításának engedélyezése és letiltása a Fájlrendszer titkosításával EFS . Kulcsokkal rendelkező tanúsítvány exportálása egy másik számítógépen lévő fájlok visszafejtéséhez.

Algoritmus a munkavégzéshez.

A) A titkosítási mód engedélyezéséhez futtassa a következő műveleteket.

1. Adjon meg egy fájlt vagy mappát (például hozzon létre egy fájlt rejtjel. dokumentumot a Dokumentumok mappában ), amelyet titkosítani szeretne, kattintson a jobb gombbal, és válassza ki a parancsot a helyi menüből Tulajdonságok.

2. A megjelenő tulajdonságablakban a laponÁltalános Kattintson az Egyéb elemre . Megjelenik egy párbeszédpanelTovábbi attribútumok.

3. Csoportban jelölje be a négyzetetTitkosítsa a tartalmat az adatok védelme érdekébenés nyomja meg a gombot"RENDBEN".

4. Kattintson az OK gombra a titkosítandó fájl vagy mappa tulajdonságai ablakban a megjelenő párbeszédpanelen adja meg a titkosítási módot:

Csak ehhez a mappához

vagy

Ez a mappa és az összes almappa és fájl.

Figyelem! A lépések végrehajtása után az Ön adatait tartalmazó fájl automatikusan titkosításra kerül. Másik számítógépen nem lesz megtekinthető.

B) A titkosítási mód kikapcsolásához kövesse az alábbi lépéseket.

Válassza ki a titkosított fájlt. dokumentumot a Dokumentumok mappában.
1. Nyomja meg a jobb egérgombot, és válassza ki az elemet Tulajdonságok.
  1. Az Általános lapon kattintson az Egyéb elemre.
  2. A megnyíló párbeszédpanelen a csoportbanTömörítési és titkosítási attribútumok törölje a jelölést a négyzetből Titkosítsa a tartalmat az adatok védelme érdekében.

Figyelem! Ezen lépések végrehajtása után az Ön adatait tartalmazó fájl nem lesz titkosítva.

C) Teremtés biztonsági mentés A tanúsítvány azt jelenti Windows 2000 (XP0.

A tanúsítvány biztonsági másolata szükséges az adatok visszafejtéséhez az operációs rendszer újratelepítése után vagy a megtekintéshez f rovannoy információkat egy másik számítógépen.

Figyelem! Az operációs rendszer újratelepítése előtt mindenképpen készítsen másolatot a Tanúsítványokról, mint után p e telepítse újra, akkor nem tudja visszafejteni az információkat r máció.

Tanúsítvány biztonsági mentéséhez kövesse az alábbi lépéseket:

Válassza a Start gombot a tálcán.
1. Ugrás az elemre Fuss.
  1. A megnyíló ablak beviteli mezőjébe írja be a parancsot mmc.
  2. ennek eredményeként megnyílik a felügyeleti konzol mmc.

Jegyzet. MMC konzol a konzoloknak nevezett adminisztrációs eszközök gyűjteményének létrehozására, mentésére és megnyitására szolgáló eszköz. A konzolok olyan elemeket tartalmaznak, mint pl csattan , beépülő bővítmények, vezérlők, feladatok, varázslók és számos hardver, szoftver és hálózati összetevő kezeléséhez szükséges dokumentáció Windows rendszerek. Hozzáadhat elemeket egy meglévő MMC-hez, vagy létrehozhat új konzolokat, és testreszabhatja azokat bizonyos rendszerösszetevők kezeléséhez.

A konzol menüjében válassz egy csapatot Hozzáadás vagy távolítsa el a rögzítőt(1. kép), majd nyomja meg a gombot Add hozzá.

1. kép

A területen dupla kattintás Tanúsítványok (2. kép), állítsa a kapcsolót állásbafiókot számítógépés nyomja meg a gombot Tovább .

2. ábra

Hajtsa végre a következő műveletek egyikét.
- Tanúsítványok kezelésére helyi számítógép, állítsa a kapcsolót állásbahelyi számítógépés nyomja meg a gombot Kész .
  - A távoli számítógép-tanúsítványok kezeléséhez állítsa a választógombot állásbamásik számítógépés írja be a számítógép nevét, vagy kattintson a gombra Felülvizsgálat számítógép kiválasztásához, majd nyomja meg a gombot Kész .
  1. Kattintson a Bezárás gombra.
  2. Az elem megjelenik az új konzol kiválasztott beépülő moduljainak listájában. Tanúsítványok (számítógép név).
  3. Ha nem szeretne további beépülő modulokat hozzáadni a konzolhoz, kattintson az OK gombra.
  4. A konzol mentéséhez a menüben Konzol válassz egy csapatot Megment és adja meg a csattanó nevét Tanúsítványok.
  5. Zárja be a Konzol ablakot és válassza a parancsot Start, majd Minden program.
  6. Keressen egy elemet Adminisztrációés válasszon ki egy altételt Tanúsítványok (t most pattanj vele A tanúsítványok a Start menüben érhetők el).
  7. A kattintás bal oldali ablaktáblájában Tanúsítványok megnyitott mappája Megbízható gyökértanúsítványok, majd a Tanúsítványok mappát. A tanúsítványok listája megjelenik a jobb oldali ablaktáblában.
  8. Adja meg az átvinni kívánt tanúsítványt (például az első a listában, 3. ábra), és kattintson a gombra Jobb klikk egerek. A megjelenő helyi menüben válassza ki a parancsot Minden feladat és még sok más válassz egy csapatot Export.

3. ábra

Ezzel elindítja a Tanúsítványexportálás varázslót.
1. Nyomja meg a "Tovább" gombot.
  1. A varázsló következő ablakában válassza ki a lehetőségetIgen, exportálja a privát kulcsot.
  2. Ezután nyomja meg a gombot További.
  3. A varázsló következő ablakában csak egy formátum érhető el ( PFX ), amelyet személyes információcserére terveztek. Kattintson a gombra További.
  4. A következő ablakokban adja meg a jelszót (pl. 11 ) védi a fájladatokat bizonyítvány. pfx , valamint a fájl mentési útvonalát (írja fel annak a mappának az elérési útját, amelybe a Tanúsítvány másolatát mentette) bizonyítvány . pfx .
  5. Nyomja meg a "Tovább" gombot.
  6. Megjelenik az exportált tanúsítványok és kulcsok listája. Kattintson a gombra Kész.
  7. A gombra kattintva fejezze be a Tanúsítványexportálás varázslót rendben párbeszédpanelen, amely tájékoztatja Önt, hogy az exportálási eljárás sikeres volt.

Ennek eredményeként a tanúsítvány és a privát kulcs egy kiterjesztésű fájlba kerül exportálásra Certificate.pfx, amely hajlékonylemezre másolható és átvihető egy másik számítógépre vagy az operációs rendszer újratelepítése után használható.

Kövesse az alábbi lépéseket a tanúsítvány biztonsági másolatból történő visszaállításához.

Vigye át az előző lépésben létrehozott fájlt a kiterjesztéssel Certificate.pfx a számítógépre ( Emlékeznie kell a tanúsítvány másolatának elérési útjára).
1. Fuss egy pillanatra bizonyítványok, ehhez válassza a gombot Rajt tálca és egyebek Minden program mi/Adminisztráció/ Tanúsítványok.
  1. A raszterszerkezet ablakban Tanúsítványok megnyitott mappája megbízható gyökértanúsítványok, majd a Tanúsítványok mappát. A tanúsítványok listája megjelenik a jobb oldali ablaktáblában.
    1. Kattintson a jobb gombbal egy üres helyre a jobb oldali ablaktáblában.
    2. A megjelenő helyi menüben válassza ki a parancsot Minden feladat.
    3. Az almenüjében válassza ki a parancsot Import ( Import ).
    4. Elindul a Tanúsítványimportáló varázsló.
    5. Kövesse a varázslót adja meg a tanúsítványfájl helyét. pfx és adja meg a fájl védelméhez szükséges jelszót.
    6. Kattintson a gombokra az importálási művelet elindításához. Kész és OK.
    7. Az importálási folyamat befejezése után kattintson a gombra rendben és zárja be az importáló varázsló ablakát;

Műveleteinek eredményeként a jelenlegi felhasználó vagy Ön képes lesz titkosított adatokkal dolgozni ezen a számítógépen.

Önálló munkához szükséges feladatok

Exportálja a 2. számú tanúsítványt a Köztes hitelesítésszolgáltatók mappából gyökérügynökség (a beszámoló illusztrációit őrizze meg a tanárnak).
Importálja az exportált tanúsítványt a Személyes mappába (tartsa meg az illusztrációkat a tanári jelentéshez).

tesztkérdések

Mit tartalmaz a kriptorendszer?
Hasonlítsa össze a nyilvános és a privát kulcsú titkosítási módszereket (aszimmetrikus vs. szimmetrikus titkosítás).
Mi az az mmc?
Mi teszi lehetővé az EFS-t.

A jelentési űrlap leírása

Az önálló munkavégzés elvégzett feladatát és az ellenőrző kérdésekre adott válaszokat a tanárnak kell megküldeni ellenőrzésre.

Valamint más művek, amelyek érdekelhetik
38728.		Az intelligencia kulcsfogalmai	169,5 KB
	Csak fokozatosan derül ki, hogy az intelligencia jelensége mennyire tartalmas, terjedelmes, összetett, sokrétű és érdekes. Minden definiálási és leírási kísérletet olyan fogalmak használata kísér, amelyek az intelligencia hordozóira jellemzőek, vagy valamilyen módon jellemzik őket. De vannak olyan fogalmak, amelyek meghatározzák az intelligenciát. Életünk nagy része azon múlik, hogy milyen mélyen vagyunk képesek megvalósítani ezeket.
38731.		Mobil tér kialakítása az iskolamúzeum számára	4,31 MB
	Oktatási és módszertani kézikönyv: „Múzeum-Oktatási Tér” 1. szám „Pedagógiai Múzeum: a hagyományoktól az újításokig” a múzeumpedagógiai komplexum, mint oktatási terület koncepcióját tükrözi – egy speciális fejlődő környezet, amelyben:
38732.		Egy vörös óriás fényességében bekövetkező változások mechanizmusának modellezése, amelyet több rendszer gravitációs kölcsönhatása indított el	473,5 KB
	A tanulmány a matematikai modellezés módszereire épül. A vizsgált rendszer kezdeti modelljének megalkotásának fő módszertani megközelítéseként a mechanika egyik variációs elvét alkalmazták - a Hamilton-elvet (a legkisebb cselekvés elvét).
38733.		A logikai kapcsolatvezérlő réteg LLC protokollja. Protokolltípusok és felépítésük	289 KB
	A helyi hálózatot általában hálózatnak nevezik, amelynek minden eleme viszonylag kis területen található. Az ilyen hálózatok általában egy vállalaton vagy szervezeten belüli információk összegyűjtésére, továbbítására és elosztott feldolgozására szolgálnak.
38734.		A menedzsment alapjai	874,5 KB
	A szervezet vezetése és üzleti tevékenysége. A menedzsment helye és szerepe a szervezet üzleti tevékenységének rendszerében. A szervezet vezetése és üzleti tevékenysége 1. A vezetéselmélet tárgyának és tárgyának lényege A szervezet céljainak eléréséhez feladatainak összehangolása szükséges.
38736.		Merev test transzlációs-forgó mozgásának dinamikájának vizsgálata	159,5 KB
	Az 1. függőleges oszlopon egy milliméteres skálát alkalmaznak, amelyen az inga löketét határozzák meg. A fényérzékelőt úgy tervezték, hogy elektromos jeleket adjon ki a 10 stoppernek abban a pillanatban, amikor a fénysugarat az ingakorong keresztezi. Elméleti információk Az m tömegű Maxwell-ingának, amelyet az inga rúdjára felfüggesztett menetek feltekerésével h magasságba emeltünk, potenciális energiája mgh.

Microsoft Windows Az XP és az Encrypting File System (EFS) lehetővé teszi az adatok titkosított formátumú lemezen történő tárolását, azonban a rendszer újratelepítése vagy a felhasználói fiók törlése esetén a titkosított adatok helyrehozhatatlanul elvesznek, ha nem vigyáz a tanúsítvány és a kulcsok mentése, helyreállítási ügynök fiók létrehozása.

Az EFS titkosított fájlrendszer titkosított fájlok tárolására szolgál NTFS 5.0 fájlrendszerköteten. Ha egy fájl vagy mappa titkosítva van, akkor ugyanúgy dolgozhat vele, mint más fájlokkal vagy mappákkal, pl. A titkosítás átlátható a fájlt titkosító felhasználó számára. Ez azt jelenti, hogy a fájlt nem kell visszafejteni használat előtt. A szokásos módon megnyithatja és módosíthatja a fájlt.

Az EFS használata hasonló a fájl- és mappaengedélyek használatához. Mindkét módszer feladata az adatokhoz való hozzáférés korlátozása. A fájl- és mappaengedélyek azonban nem védik meg Önt, ha egy támadó fizikailag hozzáfér az Ön adataihoz, például HDD egy másik számítógépre, vagy egy másik operációs rendszerről indul, amely hozzáfér az NTFS-kötetekhez. Amikor megpróbál megnyitni vagy másolni egy titkosított fájlt vagy mappát, kimerítő választ kap: "Nincs hozzáférés".

A fájlok titkosítása és visszafejtése a fájl vagy mappa attribútum beállításával történik Mappa- vagy fájlbeállítások > Általános > Egyéb > Tartalom titkosítása az adatok védelme érdekében(1. ábra).

Amint titkosítunk egy mappát vagy fájlt, a Windows létrehoz számunkra egy tanúsítványt és a hozzá tartozó kulcspárt (nyilvános és titkos kulcs), amely alapján a fájlok titkosításra és visszafejtésre kerülnek. A tanúsítvány nyilvános hálózatokon (Internet, Intranet, Extranet) való hitelesítésre és adatok biztonságos továbbítására szolgáló digitális dokumentum, amely egy nyilvános kulcsot társít a megfelelő privát kulcsot tartalmazó objektumhoz.

A mi feladatunk a végrehajtás biztonsági mentés kulcsok. Ezt a Kezelőkonzol beépülő moduljával teheti meg Tanúsítványok. Alapértelmezés szerint a rendszer telepítésekor ez nincs jelen, ezért egy lépéssorozatot követve hozzáadjuk.

Kattintson a gombra Rajt, válasszon egy parancsot Fuss, belép mmcés nyomja meg a gombot rendben. A menün Konzol válassz egy csapatot Snap hozzáadása vagy eltávolításaés nyomja meg a gombot Hozzáadás. A terepen kötélzet dupla kattintás Tanúsítványok. Ezután jelölje be a négyzetet Felhasználói fiókomés nyomja meg a gombot Kész. A menün Konzol > Beállításokállítsa be a konzol módot Felhasználó – korlátozott. hozzáférés, egy ablak, kattintson az Alkalmaz gombra. Most a konzol készen áll a működésre (2. ábra).

Ha már titkosított egy fájlt vagy mappát, akkor be Konzolgyökér > Tanúsítványok – Aktuális felhasználó > Személyes > Tanúsítványok látnia kell azt a tanúsítványt, amely a privát kulccsal van társítva, és amelyet fájlba kell exportálnunk. Menjünk oda és hívjunk helyi menü, választ Minden feladat, és akkor Export. Kínálatban Exportálja a privát kulcsot a tanúsítvánnyal együtt « Igen”, hagyja változatlanul a fájlformátumot, adja meg a jelszót, melynek ismeretére fordított eljáráshoz – a tanúsítvány importálásához – lesz szükségünk. Az így kapott .pfx fájlt el kell rejteni, mivel minden felhasználó, aki importálja ezt a tanúsítványt a fiókjához, hozzáférhet az Ön fájljaihoz, természetesen, ha ismeri vagy kitalálja a tanúsítvány importálásához szükséges jelszót.

Javasoljuk a mappaszintű titkosítás használatát. Ha egy mappa titkosított, akkor a titkosított könyvtárban létrehozott összes fájl és almappa automatikusan titkosításra kerül. Ez az eljárás lehetővé teszi olyan titkosított fájlok létrehozását, amelyek adatai soha nem jelennek meg a lemezen egyszerű szövegként – még a programok által a szerkesztési folyamat során létrehozott ideiglenes fájlok is titkosítva lesznek.

A titkosított fájlokkal és mappákkal való munka során számos dolgot szem előtt kell tartani.

Csak az NTFS-köteten található fájlok és mappák titkosíthatók. A tömörített fájlok és mappák nem titkosíthatók. Ha a titkosítást egy tömörített fájlon vagy mappán hajtják végre, akkor a fájl vagy mappa tömörítetlen állapotba kerül.

A titkosított fájlok visszafejthetők, ha a fájlt nem NTFS-kötetre másolják vagy helyezik át. Amikor a titkosítatlan fájlokat titkosított mappába helyezi át, azok automatikusan titkosításra kerülnek az új mappában, azonban a fordított művelet nem oldja meg automatikusan a fájlokat, a fájlokat kifejezetten vissza kell fejteni. A System attribútummal rendelkező fájlok és a rendszerkönyvtárban lévő fájlok nem titkosíthatók. A mappa vagy fájl titkosítása nem védi meg a törléstől – minden törlési engedéllyel rendelkező felhasználó törölheti a titkosított mappákat vagy fájlokat. Emiatt az EFS és az NTFS rendszerengedélyek együttes használata javasolt. A fájlok és mappák titkosíthatók vagy visszafejthetők egy távoli számítógépen, amelyen a távoli titkosítás engedélyezve van. Ha azonban titkosított fájlt nyitnak meg a hálózaton keresztül, a hálózaton keresztül továbbított adatok nem lesznek titkosítva. Más protokollokat, például SSL/TLS-t vagy IPSec-et kell használni a hálózaton keresztül továbbított adatok titkosításához.

Most nézzük meg a Microsoft Windows XP titkosítási folyamatát alacsonyabb szinten, hogy megvédjük magunkat a titkosítás többletterhelésétől, nevezetesen az adatvesztéstől.

Először is emlékezzünk vissza a két fő kriptográfiai rendszerre. A legegyszerűbb a titkosítás titkos (szimmetrikus) kulccsal, pl. Ugyanazt a kulcsot használják az adatok titkosításához és visszafejtéséhez. Előnyök: nagy titkosítási sebesség; hátrányok: a titkos kulcs átvitelének problémája, nevezetesen az elfogás lehetősége. Képviselők: DES, 3DES, DESX, AES. A különbség a nyilvános kulcsú titkosítás (aszimmetrikus titkosítás) között az, hogy az adatokat egy kulccsal titkosítják, és egy másik kulccsal visszafejtik; ugyanazzal a kulccsal a fordított átalakítás nem hajtható végre. Ez a titkosítási technológia feltételezi, hogy minden felhasználónak egy pár kulcsa van – egy nyilvános kulcs (nyilvános kulcs) és egy személyes vagy privát kulcs (privát kulcs). Így a nyilvános kulcs szabad terjesztésével lehetőséget ad más felhasználóknak arra, hogy titkosítsák az Önnek küldött üzeneteiket, amelyeket csak Ön tud visszafejteni. Ha a nyilvános kulcs „rossz kezekbe” kerül, akkor ez nem teszi lehetővé a titkos kulcs meghatározását és az adatok visszafejtését. Innen származik a nyilvános kulcsú rendszerek fő előnye: nincs szükség a titkos kulcs átvitelére, de van egy hátránya is - alacsony titkosítási sebesség. Képviselői: RSA, ElGamal algoritmus, Diffie-Hellman algoritmus.

Az EFS teljes mértékben kihasználja a fenti rendszereket a titkosításhoz. Az adatok titkosítása szimmetrikus algoritmussal történik, fájltitkosítási kulcs (FEK) használatával. A FEK egy véletlenszerűen generált EFS-kulcs. A következő lépésben a FEK titkosításra kerül a felhasználó nyilvános kulcsával, és egy Data Decryption Field-nek (DDF) nevezett attribútumban tárolódik közvetlenül a fájlban. Ezenkívül az EFS titkosítja a FEK-et a helyreállítási ügynök nyilvános kulcsával, és elhelyezi az adat-helyreállítási mező attribútumában - DRF. A DRF több helyreállítási ügynök adatait is tartalmazhatja.

Ki ez a titokzatos helyreállító ügynök? A Data Recovery Agent (DRA) olyan felhasználó, aki hozzáfér a többi felhasználó összes titkosított adatához. Ez akkor fontos, ha a felhasználók elveszítik a kulcsokat, vagy más előre nem látható helyzetekben. Az adat-helyreállító ügynök általában rendszergazda. Helyreállítási ügynök létrehozásához először létre kell hoznia egy adat-helyreállítási tanúsítványt és meg kell határoznia a helyreállítási szabályzatot, majd ki kell jelölnie az egyik felhasználót helyreállítási ügynöknek. A helyreállítási házirend fontos szerepet játszik a Windows XP titkosítási rendszerében, meghatározza a helyreállítási ügynököket, és ezek hiánya vagy eltávolítása általában megtiltja a felhasználóknak a titkosítás használatát.

A helyreállítási házirend konfigurálásához futtassa a konzolt Start > Beállítások > Vezérlőpult > Felügyeleti eszközök > Helyi biztonsági házirend, amelyben az elemre léphet Nyilvános kulcsú házirendek > EFS fájlrendszerek(3. ábra). Alapértelmezés szerint a helyreállítási házirend olyan, hogy a helyreállítási ügynök jogai a rendszergazdát illetik. Ha az alapértelmezett helyreállítási ügynök tanúsítványt eltávolítják, és nincs más ügynök a házirendben, akkor a számítógépen üres helyreállítási házirend lesz. Az üres helyreállítási házirend azt jelenti, hogy nem létezik helyreállítási ügynök. Ez letiltja az EFS-t, így a felhasználók nem tudják titkosítani a fájlokat ezen a számítógépen. Létrehozhatunk rendszergazdai fiókot a helyreállítási ügynök használatával, és exportálhatjuk a kulcsát a megbízhatóság érdekében, vagy létrehozhatunk egy új helyreállítási tanúsítványt, és hozzárendelhetünk egy másik felhasználót ügynökként.

Helyreállítási tanúsítvány létrehozásához a segédprogramot kell használnia parancs sor titkosítás, amelyet a titkosítás kezelésére terveztek ( részletes információk erről a segédprogramról az operációs rendszer súgójában olvashat). Rendszergazdai jogokkal kell bejelentkeznie, írja be a parancssorba:

titkosítás /R: tanúsítvány fájlneve

Ezután adja meg az importáláshoz szükséges jelszót. A tanúsítványfájlok kiterjesztése . pfx(tartalmazza a tanúsítványt és a hozzá tartozó nyilvános és privát kulcsot) ill. cer(tanúsítvány és a kapcsolódó nyilvános kulcs) és az Ön által megadott név. Ezek a fájlok lehetővé teszik, hogy a rendszer bármely felhasználója helyreállítási ügynökké váljon, így a mi feladatunk az, hogy biztonságos helyen tartsuk őket, és ami a legfontosabb, ne felejtsük el a helyreállítási ügynök tanúsítványát hozzáadni a nyilvános kulcs szabályzatához.

Ennek az ügynöknek a létrehozásához a következő lépéseket kell végrehajtania: jelentkezzen be egy olyan fiókkal, amelynek adat-helyreállító ügynökké kell válnia; konzolban Tanúsítványok menj a szakaszhoz Tanúsítványok - Aktuális felhasználó > Személyes > Tanúsítványok; További Művelet > Minden feladat > Importálás a Tanúsítványimportáló varázsló elindításához, majd importálja a helyreállítási tanúsítványt. És ne feledje: a fájlok visszafejtéséhez importálnia kell a privát kulcsot, ezért az importálandó fájl kiválasztásakor használja a fájlt .pfx.

Az EFS használatával történő titkosítás hátránya gyakran a titkosított adatok szállításának lehetetlensége, pl. nem lehet "üresre" adatokat írni a titkosságuk elvesztése nélkül. De ez nem teljesen igaz - sőt, nem csak leírhatja őket, hanem használhatja a Windows XP archiváló programot - NTBackup, ebben az esetben az adatok dekódolás nélkül másolódnak a megadott adathordozóra, és előfordulhat, hogy az adathordozó nem támogatja az NTFS 5.0-t. A helyreállítás után a titkosított adatok titkosítva maradnak.

És még néhány tipp. Mindig engedélyezze a titkosítást a mappák számára, mivel ez megvédi az ideiglenes fájlokat. Exportálja a helyreállítási ügynök-fiók privát kulcsát, mentse biztonságos helyre, majd törölje a számítógépről. A helyreállítási irányelvek módosításakor ne rohanjon a régi tanúsítványok törlésével, amíg nem biztos abban, hogy az ezekkel a tanúsítványokkal titkosított fájlokat nem frissíti.

Ne feledje: a "rossz" titkosítás több kárt okozhat, mint hasznot!

1/5. oldal

Az Encrypting File System az NTFS-szel szorosan integrált, a Windows 2000 rendszermagban található szolgáltatás, amelynek célja, hogy titkosítással megvédje a lemezen tárolt adatokat az illetéktelen hozzáféréstől. A szolgáltatás megjelenése nem véletlen, és sokáig várták. A lényeg, hogy az áram fájlrendszerek nem biztosítja az adatok szükséges védelmét az illetéktelen hozzáférés ellen. Egy figyelmes olvasó tiltakozhat velem: mi a helyzet a Windows NT-vel az NTFS-sel? Hiszen az NTFS hozzáférés-szabályozást és adatvédelmet biztosít az illetéktelen hozzáférés ellen! Igen ez igaz. De mi a teendő abban az esetben, ha az NTFS-partícióhoz való hozzáférés nem a Windows NT operációs rendszer eszközeivel történik, hanem közvetlenül fizikai szinten? Végül is ez viszonylag könnyen megvalósítható, például floppy lemezről indítva és futtatva speciális program: például a nagyon gyakori ntfsdos. Kifinomultabb példa az NTFS98 termék, amely innen tölthető le

(a nem regisztrált verzió lehetővé teszi az NTFS-kötetek olvasását Windows98 alól, a regisztrált verzió pedig az ilyen kötetekre való írást is). Természetesen megadhatja ezt a lehetőséget, és beállíthat egy jelszót a rendszer indításához, de a gyakorlat azt mutatja, hogy az ilyen védelem nem hatékony, különösen akkor, ha több felhasználó dolgozik ugyanazon a számítógépen egyszerre. És ha egy támadó el tudja távolítani a merevlemezt a számítógépről, akkor itt semmilyen jelszava nem segít. Ha a meghajtót egy másik számítógéphez csatlakoztatja, annak tartalma ugyanolyan könnyen olvasható, mint ebben a cikkben. Így a támadó könnyen hozzájuthat a merevlemezen tárolt bizalmas információkhoz.

Az adatok fizikai leolvasása elleni védekezés egyetlen módja a fájlok titkosítása. Az ilyen titkosítás legegyszerűbb esete egy fájl jelszóval történő archiválása. Itt azonban számos komoly hiányosság van. Először is, a felhasználónak manuálisan kell titkosítania és visszafejteni (ez esetünkben archiválni és törölni) az adatokat minden munka előtt és után, ami önmagában csökkenti az adatbiztonságot. Előfordulhat, hogy a felhasználó a munka befejezése után elfelejti titkosítani (archiválni) a fájlt, vagy (még banálisabb) egyszerűen a lemezen hagyja a fájl másolatát. Másodszor, a felhasználó által létrehozott jelszavak általában könnyen kitalálhatók. Mindenesetre elegendő számú segédprogram létezik, amelyek lehetővé teszik a jelszóval védett archívumok kicsomagolását. Általában az ilyen segédprogramok a jelszó kitalálását a szótárban rögzített szavak felsorolásával végzik.

Az EFS rendszert e hiányosságok kiküszöbölésére tervezték. A következőkben közelebbről megvizsgáljuk a titkosítási technológia részleteit, az EFS felhasználói interakcióját és az adat-helyreállítási módszereket, megismerjük az EFS elméletét és megvalósítását a Windows 2000 rendszerben, valamint egy példát a címtár titkosítására. EFS.

Titkosítási technológia

Az EFS a Windows CryptoAPI architektúrát használja. Nyilvános kulcsú titkosítási technológián alapul. Az egyes fájlok titkosításához véletlenszerűen generálnak egy fájltitkosítási kulcsot. Ebben az esetben bármilyen szimmetrikus titkosítási algoritmus használható a fájl titkosításához. Jelenleg az EFS egyetlen algoritmust használ, a DESX-et, amely a széles körben használt DES szabvány speciális módosítása.

Az EFS titkosítási kulcsok egy rezidens tárolókészletben vannak tárolva (maga az EFS a Windows 2000 kernelben található), ami megakadályozza, hogy az oldalfájlon keresztül illetéktelenül hozzáférjenek.

Felhasználói interakció

Egy könyvtár Windows Intézőből történő titkosításához a felhasználónak egyszerűen ki kell választania egy vagy több könyvtárat, és be kell jelölnie a titkosítási négyzetet a címtár speciális tulajdonságai ablakában. Az ebben a könyvtárban később létrehozott összes fájl és alkönyvtár szintén titkosítva lesz. Így titkosíthat egy fájlt egyszerűen úgy, hogy átmásolja (vagy áthelyezi) egy "titkosított" könyvtárba.

A titkosított fájlok titkosított formában tárolódnak a lemezen. Egy fájl olvasásakor az adatok automatikusan visszafejtésre kerülnek, íráskor pedig automatikusan titkosításra kerülnek. A felhasználó a titkosított fájlokkal ugyanúgy dolgozhat, mint a hagyományos fájlokkal, azaz megnyithatja és szerkesztheti szövegszerkesztőben Microsoft Word dokumentumokat, képeket szerkeszteni Adobe Photoshop vagy grafikus szerkesztő festék, és így tovább.

Meg kell jegyezni, hogy semmi esetre sem szabad titkosítani a rendszer indításakor használt fájlokat - jelenleg még nem érhető el a felhasználó privát kulcsa, amellyel a visszafejtés történik. Ez azt eredményezheti, hogy a rendszer nem tud elindulni! Az EFS egyszerű védelmet nyújt az ilyen helyzetek ellen: a "rendszer" attribútummal rendelkező fájlok nincsenek titkosítva. Legyen azonban óvatos: ez "lyukat" hozhat a biztonsági rendszerben! Ellenőrizze, hogy a fájlattribútum beállítása "rendszer", hogy megbizonyosodjon arról, hogy a fájl valóban titkosítva lesz.

Fontos megjegyezni azt is, hogy a titkosított fájlok nem tömöríthetők Windows 2000 rendszerben és fordítva. Más szóval, ha egy könyvtár tömörített, akkor annak tartalma nem titkosítható, ha pedig egy könyvtár tartalma titkosított, akkor nem tömöríthető.

Abban az esetben, ha az adatok visszafejtésére van szükség, egyszerűen törölnie kell a titkosítási jelölőnégyzeteket a kiválasztott könyvtáraknál a Windows Intézőben, és a fájlok és alkönyvtárak automatikusan visszafejtésre kerülnek. Meg kell jegyezni, hogy erre a műveletre általában nincs szükség, mivel az EFS "átlátszó" működést biztosít titkosított adatokkal a felhasználó számára.

TitkosításfájltRendszer

Bár az NTFS hozzáférés-szabályozást és adatvédelmet is biztosít az illetéktelen hozzáférés ellen, mi van akkor, ha az NTFS partícióhoz nem a Windows NT operációs rendszer használatával, hanem közvetlenül, fizikai szinten férünk hozzá? Hiszen viszonylag könnyen megvalósítható például floppy lemezről indítva és egy speciális program futtatásával: például egy nagyon elterjedt program.Természetesen gondoskodhat erről a lehetőségről és beállíthat egy jelszót a rendszer indításához , de a gyakorlat azt mutatja, hogy az ilyen védelem nem hatékony, különösen Több felhasználó dolgozik ugyanazon a számítógépen egyszerre. És ha egy támadó el tudja távolítani a merevlemezt a számítógépről, akkor itt semmilyen jelszava nem segít. Ha a lemezt egy másik számítógéphez csatlakoztatja, annak tartalma gond nélkül olvasható. Így a támadó könnyen hozzájuthat a merevlemezen tárolt bizalmas információkhoz. Az adatok fizikai olvasása elleni védekezés egyetlen módja a fájltitkosítás. Az ilyen titkosítás legegyszerűbb esete egy fájl jelszóval történő archiválása. Itt azonban számos komoly hiányosság van. Először is, a felhasználónak manuálisan kell titkosítania és visszafejteni (ez esetünkben archiválni és törölni) az adatokat minden munka előtt és után, ami önmagában csökkenti az adatbiztonságot. Előfordulhat, hogy a felhasználó a munka befejezése után elfelejti titkosítani (archiválni) a fájlt, vagy (még banálisabb) egyszerűen a lemezen hagyja a fájl másolatát. Másodszor, a felhasználó által létrehozott jelszavak általában könnyen kitalálhatók. Mindenesetre elegendő számú segédprogram létezik, amelyek lehetővé teszik a jelszóval védett archívumok kicsomagolását. Általában az ilyen segédprogramok a jelszó kitalálását a szótárban rögzített szavak felsorolásával végzik. Az EFS rendszert e hiányosságok kiküszöbölésére tervezték.

2.1. Titkosítási technológia

Az EP$ a Windows CryptoAPI architektúrát használja. Nyilvános kulcsú titkosítási technológián alapul, minden egyes fájlok titkosításához véletlenszerűen generálnak egy fájltitkosítási kulcsot. Ebben az esetben bármilyen szimmetrikus titkosítási algoritmus használható a fájl titkosításához. Jelenleg az EFS egy algoritmust használ - ez a DESX, amely a széles körben használt DES szabvány speciális módosítása. Az EFS titkosítási kulcsok egy rezidens tárolókészletben vannak tárolva (maga az EFS a Windows 2000 kernelben található), ami megakadályozza, hogy az oldalfájlon keresztül illetéktelenül hozzáférjenek.

Alapértelmezés szerint az EFS úgy van beállítva, hogy a felhasználó azonnal elkezdhesse használni a fájltitkosítást. A titkosítási művelet és a fordított művelet támogatott fájlok és könyvtárak esetén. Ha egy könyvtár titkosítva van, akkor a könyvtár minden fájlja és alkönyvtára automatikusan titkosításra kerül. Meg kell jegyezni, hogy ha egy titkosított fájlt áthelyeznek vagy átneveznek egy titkosított könyvtárból egy nem titkosított könyvtárba, az továbbra is titkosított marad. A titkosítási/visszafejtési műveletek két különböző módon hajthatók végre – a Windows Intéző vagy a Cipher konzol segédprogram használatával. egy könyvtár Windows Intézőből történő titkosításához a felhasználónak egyszerűen ki kell választania egy vagy több könyvtárat, és be kell jelölnie a titkosítási négyzetet a címtár speciális tulajdonságai ablakában. Az ebben a könyvtárban később létrehozott összes fájl és alkönyvtár szintén titkosítva lesz. Így titkosíthat egy fájlt egyszerűen úgy, hogy átmásolja (vagy áthelyezi) egy "titkosított" könyvtárba. A titkosított fájlok titkosított formában tárolódnak a lemezen. A fájl beolvasásakor az adatok automatikusan visszafejtésre kerülnek, a fájl írásakor pedig automatikusan titkosításra kerül. A felhasználó a titkosított fájlokkal ugyanúgy dolgozhat, mint a normál fájlokkal, azaz megnyithat és szerkeszthet dokumentumokat a Microsoft Word szövegszerkesztőben, rajzokat szerkeszthet Adobe Photoshopban vagy Paint grafikus szerkesztőben stb.

Meg kell jegyezni, hogy semmi esetre sem szabad jelenleg a rendszer indításakor használt fájlokat titkosítani, a felhasználó privát kulcsa, amellyel a visszafejtés történik, még nem érhető el. Ez azt eredményezheti, hogy a rendszer nem tud elindulni! Az EFS egyszerű védelmet nyújt az ilyen helyzetek ellen: a "rendszer" attribútummal rendelkező fájlok nincsenek titkosítva. Legyen azonban óvatos: ez "lyukat" hozhat a biztonsági rendszerben! Ellenőrizze, hogy a fájlattribútum be van-e állítva<системный» для того, чтобы убедиться, что файл действительно будет зашифрован.

Abban az esetben, ha az adatok visszafejtésére van szükség, egyszerűen törölnie kell a titkosítási jelölőnégyzeteket a kiválasztott könyvtáraknál a Windows Intézőben, és a fájlok és alkönyvtárak automatikusan visszafejtésre kerülnek. Megjegyzendő, hogy erre a műveletre általában nincs szükség, mivel az EFS „átlátszó” műveletet biztosít titkosított adatokkal a felhasználó számára.