Открыть сервис

Шифрующая файловая система

Шифрующая файловая система (англ. Encrypting File System, EFS) — это компонент операционной системы, обеспечивающий прозрачное шифрование данных на уровне отдельных файлов и папок на диске с файловой системой NTFS. EFS входит в состав ряда версий Microsoft Windows, начиная с Windows 2000, и предназначена для защиты конфиденциальной информации от несанкционированного доступа в случае физического доступа к накопителю (например, при краже компьютера или извлечении жёсткого диска). Шифрование и расшифровка выполняются автоматически при обращении авторизованного пользователя, без необходимости ручного ввода пароля или использования сторонних программ.

Принцип работы

EFS использует асимметричную криптографию для защиты ключей шифрования и симметричную — для шифрования самих данных. Каждый файл или папка шифруется с помощью уникального симметричного ключа — ключа шифрования файла (File Encryption Key, FEK). FEK генерируется случайным образом для каждого файла и имеет длину, как правило, 128 или 256 бит в зависимости от версии Windows и используемого алгоритма (AES, DESX, 3DES).

Для защиты FEK применяется пара асимметричных ключей пользователя (открытый и закрытый), которые хранятся в сертификате пользователя. Открытый ключ шифрует FEK, и зашифрованная копия FEK сохраняется вместе с файлом в атрибуте $EFS (специальный атрибут NTFS). Закрытый ключ, необходимый для расшифровки FEK, защищён паролем учётной записи пользователя и хранится в профиле пользователя (в контейнере ключей). При попытке доступа к зашифрованному файлу операционная система автоматически получает закрытый ключ из профиля, расшифровывает FEK, а затем с помощью FEK расшифровывает содержимое файла.

Роль агента восстановления

Для предотвращения потери данных в случае утраты закрытого ключа пользователя (например, при переустановке системы или удалении профиля) в EFS предусмотрен механизм агента восстановления (Data Recovery Agent, DRA). Агент восстановления — это доверенная учётная запись (обычно администратор домена), чей открытый ключ также шифрует FEK. Таким образом, для каждого зашифрованного файла существует как минимум две зашифрованные копии FEK: одна для пользователя, другая для агента восстановления. Агент может расшифровать любой файл в домене, используя свой закрытый ключ. В Windows, не входящих в домен (например, в домашних версиях), агентом восстановления по умолчанию является локальный администратор.

Поддерживаемые алгоритмы и версии

EFS в разных версиях Windows использует различные алгоритмы шифрования:

  • Windows 2000 — DESX (56-битный ключ).
  • Windows XP — 3DES (168-битный ключ).
  • Windows Vista и новее — AES (128-битный или 256-битный ключ, в зависимости от настроек групповой политики). По умолчанию в Windows 7 и выше используется AES-256.

Выбор алгоритма может быть изменён администратором через групповые политики или реестр. Поддержка AES была добавлена для соответствия современным стандартам безопасности и повышения производительности.

Классификация и особенности

Прозрачное шифрование

Главная особенность EFS — прозрачность для пользователя. После настройки шифрования (например, установки флажка «Шифровать содержимое для защиты данных» в свойствах папки) все файлы, создаваемые или копируемые в эту папку, автоматически шифруются. При открытии файла авторизованным пользователем расшифровка происходит на лету, без запроса пароля. Это отличает EFS от программ-архиваторов с паролем или отдельных криптоконтейнеров.

Шифрование на уровне файлов

В отличие от полнодискового шифрования (например, BitLocker), EFS шифрует не весь диск целиком, а отдельные файлы и папки. Это позволяет гибко управлять защитой: можно зашифровать только критически важные данные, оставив системные файлы и общедоступные документы незашифрованными. Однако это же создаёт риск: если файл перемещается или копируется на незашифрованный том (например, на USB-флешку), шифрование снимается, и данные становятся открытыми.

Ограничения

  • EFS работает только с файловой системой NTFS. На FAT32 или exFAT шифрование недоступно.
  • Не поддерживается шифрование системных файлов, файлов подкачки, временных файлов и некоторых других системных объектов.
  • При использовании EFS в сетевом окружении требуется дополнительная настройка (например, использование сертификатов для доступа по сети).
  • EFS не защищает данные от атак во время работы системы (например, от вредоносного ПО, работающего от имени пользователя, так как расшифрованные данные доступны в оперативной памяти).
  • В Windows 10/11 в редакциях «Домашняя» EFS отсутствует (доступна только в версиях «Pro», «Enterprise» и «Education»).

Применение

EFS применяется в корпоративной среде и на персональных компьютерах для защиты конфиденциальных документов, финансовых данных, личных файлов от доступа посторонних лиц при физическом доступе к устройству. Типичные сценарии:

  • Защита ноутбуков сотрудников, которые могут быть украдены.
  • Хранение паролей, ключей, сертификатов в зашифрованных папках.
  • Обеспечение соответствия требованиям законодательства о защите персональных данных (например, Федеральный закон № 152-ФЗ «О персональных данных» в России).

Критика и недостатки

Несмотря на удобство, EFS имеет ряд критических замечаний:

  • Уязвимость к атакам на память. Поскольку расшифрованные данные временно находятся в оперативной памяти, злоумышленник, получивший доступ к системе (например, через удалённую эксплуатацию уязвимости), может прочитать их.
  • Сложность восстановления. Если пользователь потеряет свой профиль (например, при переустановке системы без экспорта сертификата), расшифровать файлы становится невозможно без агента восстановления. Это может привести к полной потере данных.
  • Отсутствие защиты от администратора. Администратор системы (локальный или доменный) может сбросить пароль пользователя, получить доступ к его профилю и расшифровать файлы, если не настроены дополнительные меры (например, BitLocker с TPM).
  • Проблемы с совместимостью. Некоторые приложения (например, старые версии антивирусов или утилиты резервного копирования) могут некорректно работать с зашифрованными файлами.

Взаимодействие с другими технологиями

EFS может использоваться совместно с другими средствами защиты Windows. Например, BitLocker шифрует весь диск, включая системные файлы, а EFS — только выбранные пользовательские данные. В некоторых организациях применяется комбинация: BitLocker для защиты от физического доступа, а EFS — для дополнительной защиты отдельных папок от других пользователей того же компьютера.

Интересные факты

  • EFS была впервые представлена в Windows 2000 как часть файловой системы NTFS 5.0.
  • В Windows XP и Windows 7 EFS использовалась для шифрования папки «Мои документы» по умолчанию, если пользователь включал эту опцию.
  • В Windows 10/11 EFS не является единственным средством шифрования: Microsoft активно продвигает BitLocker для полнодискового шифрования, а EFS остаётся для точечной защиты.
  • Существуют сторонние утилиты, позволяющие взломать EFS при физическом доступе к диску, если не настроен агент восстановления и не экспортирован сертификат.

Источники

  • Microsoft Docs. Encrypting File System (EFS) — Technical Reference.
  • Русскоязычная документация Microsoft Windows Server 2008 R2: «Обзор EFS».
  • Книга: «Windows Internals» (7-е издание), Марк Руссинович, Дэвид Соломон, Алекс Ионеску.
  • Федеральный закон № 152-ФЗ «О персональных данных» (Российская Федерация).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →