Открыть сервис

Encrypting File System

Encrypting File System (EFS) — это компонент файловой системы NTFS, реализованный в операционных системах семейства Microsoft Windows, который обеспечивает прозрачное шифрование данных на уровне отдельных файлов и папок. EFS позволяет пользователям шифровать данные таким образом, что доступ к ним возможен только с использованием закрытого ключа, связанного с учётной записью пользователя, выполнившего шифрование. Технология встроена в Windows начиная с версии Windows 2000 и присутствует во всех последующих версиях, включая Windows 10, Windows 11 и Windows Server.

История

Разработка EFS началась в конце 1990-х годов как часть платформы Windows 2000, которая должна была обеспечить защиту данных на жёстких дисках без необходимости использования сторонних решений. Первая реализация была представлена в Windows 2000 Professional и Server. Изначально EFS использовал алгоритм DESX (вариант DES с увеличенной длиной ключа), но с выходом Windows XP и Windows Server 2003 алгоритм был заменён на более стойкий AES (Advanced Encryption Standard) с длиной ключа 256 бит. В последующих версиях Windows, включая Windows Vista, 7, 8, 10 и 11, функциональность EFS была расширена, но принципиальных изменений в архитектуре не произошло. В Windows 10 и 11 EFS остаётся доступным в редакциях Pro, Enterprise и Education, но отсутствует в редакции Home.

Принцип работы

EFS работает на уровне файловой системы NTFS, используя комбинацию симметричного и асимметричного шифрования. Каждый файл, подлежащий шифрованию, шифруется уникальным случайным симметричным ключом — ключом шифрования файла (File Encryption Key, FEK). FEK, в свою очередь, шифруется с помощью открытого ключа пользователя, полученного из сертификата EFS, и сохраняется в заголовке файла вместе с данными. Для расшифровки файла система использует закрытый ключ пользователя, который хранится в защищённом хранилище — профиле пользователя, защищённом паролем учётной записи.

Процесс шифрования и расшифровки происходит прозрачно для пользователя: при записи файла на диск EFS автоматически шифрует его, а при чтении — расшифровывает. Пользователь не видит разницы в работе с зашифрованными и незашифрованными файлами, если у него есть соответствующий сертификат и закрытый ключ. Если же доступ к файлу пытается получить другой пользователь или процесс, система выдаёт ошибку доступа.

Ключи и сертификаты

Для работы EFS каждому пользователю необходим сертификат EFS, который может быть создан автоматически при первом шифровании файла или выдан центром сертификации (Certificate Authority, CA) в доменной среде. Сертификат содержит открытый ключ, а закрытый ключ хранится в хранилище сертификатов пользователя, защищённом с помощью Data Protection API (DPAPI). В случае утери закрытого ключа (например, при переустановке системы) доступ к зашифрованным данным становится невозможным без использования агента восстановления данных (Data Recovery Agent, DRA).

Классификация и режимы работы

EFS может работать в двух основных режимах: локальном и доменном.

  • Локальный режим: используется на отдельных компьютерах, не входящих в домен Active Directory. Сертификаты EFS создаются автоматически и хранятся локально. Восстановление данных возможно только при наличии резервной копии сертификата и закрытого ключа.
  • Доменный режим: применяется в корпоративных средах с Active Directory. Сертификаты EFS могут выдаваться централизованно через групповые политики, а агенты восстановления данных (DRA) настраиваются администраторами для возможности расшифровки данных в случае утери ключей пользователем.

Устройство и характеристики

Шифрование на уровне файлов

В отличие от технологий полного шифрования диска (например, BitLocker), EFS шифрует только отдельные файлы и папки, а не весь том. Это позволяет гибко управлять защитой данных: пользователь может зашифровать только конфиденциальные документы, оставив остальные файлы незашифрованными для повышения производительности. EFS поддерживает шифрование как локальных, так и сетевых файлов, если они хранятся на томах NTFS.

Алгоритмы шифрования

Начиная с Windows XP, EFS использует алгоритм AES с длиной ключа 256 бит для шифрования FEK. Ранее, в Windows 2000, применялся алгоритм DESX. FEK генерируется случайным образом для каждого файла, что обеспечивает высокую криптостойкость. Для шифрования самого FEK используется асимметричный алгоритм RSA с длиной ключа до 2048 бит.

Агент восстановления данных

В доменных средах администратор может назначить одного или нескольких агентов восстановления данных (DRA), которые имеют возможность расшифровать любой файл, зашифрованный пользователем в домене. DRA хранит свой закрытый ключ, который может быть использован для расшифровки FEK. В локальных средах DRA по умолчанию является администратор локальной машины, но его ключ также должен быть сохранён.

Применение

EFS применяется в следующих сценариях:

  • Защита конфиденциальных документов: пользователи шифруют личные файлы, такие как финансовые отчёты, медицинские данные, юридические документы, чтобы предотвратить несанкционированный доступ при краже или утере устройства.
  • Корпоративная безопасность: в организациях EFS используется для защиты данных на мобильных устройствах (ноутбуках) и на серверах, где хранятся конфиденциальные данные. В сочетании с групповыми политиками и DRA это обеспечивает централизованное управление доступом.
  • Многоуровневая защита: EFS может применяться совместно с BitLocker для обеспечения дополнительной защиты — BitLocker шифрует весь диск, а EFS защищает отдельные файлы от доступа других пользователей той же системы.

Ограничения и недостатки

  • Зависимость от профиля пользователя: если профиль пользователя повреждён или удалён, доступ к зашифрованным данным может быть потерян навсегда, если не создана резервная копия сертификата и закрытого ключа.
  • Отсутствие защиты от администратора: в локальных системах администратор (или злоумышленник, получивший права администратора) может сменить пароль учётной записи и получить доступ к зашифрованным данным, так как закрытый ключ защищён только паролем пользователя.
  • Несовместимость с некоторыми приложениями: некоторые программы, работающие с файлами напрямую (например, редакторы реестра или инструменты резервного копирования), могут не поддерживать работу с зашифрованными файлами EFS.
  • Отсутствие в домашних редакциях: начиная с Windows 10, EFS недоступен в редакции Home, что ограничивает его использование на массовых потребительских устройствах.

Критика

EFS подвергается критике за недостаточную защиту от атак с использованием административных привилегий. Поскольку закрытый ключ пользователя хранится в профиле и защищён только паролем, злоумышленник, получивший доступ к системе с правами администратора, может сбросить пароль и расшифровать данные. Кроме того, в случае утери сертификата без резервной копии восстановление данных невозможно, что может привести к безвозвратной потере информации. Некоторые эксперты также отмечают, что EFS не обеспечивает защиту от атак по сторонним каналам, таким как анализ электромагнитного излучения или перехват данных в оперативной памяти.

Интересные факты

  • EFS является одной из немногих технологий шифрования, встроенных непосредственно в файловую систему, а не реализованных как отдельное приложение.
  • В Windows 10 и 11 EFS поддерживает шифрование файлов, расположенных на сетевых дисках, только если они смонтированы как локальные тома NTFS.
  • Сертификаты EFS могут быть экспортированы в файл формата PFX (PKCS#12) для резервного копирования и переноса на другой компьютер.

Источники

  • Microsoft Docs. «Encrypting File System (EFS)». Windows Client Documentation.
  • Microsoft Support. «How to use the Encrypting File System (EFS) in Windows».
  • TechNet. «EFS (Encrypting File System) Overview».
  • Русскоязычная документация Microsoft. «Шифрующая файловая система (EFS)».

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →