Efs шифрованные файлы. Encrypting File System (EFS) - Шифрование папок и файлов в Windows

По сети ходит множество слухов про объективы Canon, признаюсь честно, я и сам до недавнего времени заблуждался относительно разницы между объективами EF и EF-S. В этой статье я постарался собрать некоторую информацию о них, которая поможет сделать выбор в пользу той или иной модификации, поставит точку в спорах и развеет некоторые мифы.

Давайте для начала расшифруем аббревиатуру EF — она происходит от словосочетания Electro-Focus («Электрофокус»). С байонетом EF появилась система автоматической фокусировки, встроенная в оптику, т.е. между объективом и камерой нет подвижных частей, только контакты, а за наведение на резкость и диафрагму отвечает электромотор в объективе. К слову, первый объектив серии EF появился в далеком 1987 году.

EF-S — это модификация байонета для фотоаппаратов с матрицей формата APS-C, которая была разработана в 2003 году. Буква «S» означает Short Back Focus («Короткий задний фокус»). Последний оптический элемент в таких объективах расположен ближе к матрице, чем у EF. Для сравнения приведу картинку двух объективов разных модификаций байонета.

Слева объектив EF, справа EF-S

Как видите у правого объектива последняя линза расположена уже после резбы байонета т.е. при установке на камеру она окажется заметно ближе к матрице. По сути это единственное, но очень важное отличие. Дело в том, что оптика EF-S не может использоваться с полнокадровыми фотоаппаратами. Несмотря на совместимость крепления, выпирающая линза может повредить зеркало у камеры. При этом объективы EF совместимы и могут использоваться с любыми камерами Canon системы EOS (зеркалками).

Для камер формата APS-C в фокусные расстояния объективов необходимо вносить поправку. Чтобы рассчитать фокусное расстояние эквивалентное получаемому на полноформатной матрице, нужно умножить значения указанные на объективе на 1.6. В сети распространено мнение, что для серии EF-S этого делать не нужно и на оптике указаны реальные значения уже с учетом пересчета. Это не так. В качестве примера приведу описание нового объектива Canon EF-S 18-55mm f/3.5-5.6 IS II с официального сайта компании:

The EF-S 18-55mm f/3.5-5.6 IS II is a high-quality, standard zoom lens that will appeal to photographers who prefer to travel light. With a focal length equivalent of 29-88mm in 35mm format…

Как видите для этих линз используется стандартный пересчет фокусных расстояний и 18-55 превращаются в 29-88мм. Возникает вполне закономерный вопрос, а зачем вообще городить весь этот огород? Дело в том, что подобная конструкция позволила делать более легкие объективы меньшего размера. Это по словам Canon, а на самом деле, вполне возможно, это сделано, чтобы недорогие линзы не использовались с дорогой полнокадровой техникой.

Еще один интересный штрих ни EF, ни EF-S не были лицензированы сторонним производителям оптики, например Sigma или Tamron. Несмотря на заявления этих производителей о 100% совместимости, Canon такой гарантии не дает. Поэтому при покупке нефирменных объективов, их надо тестировать особенно тщательно.

Давайте сделаем выводы по объективам производства Canon:

• фокусное расстояние на камерах APS-C пересчитывается для всех типов объективов;
• сверхширокий угол на кропнутых камерах доступен только с объективом EF-S 10-22мм;
• фишай на кропнутых камерах увы недоступен вовсе;
• объективы EF подходят для любых камер Canon;
• при переходе с камеры формата APS-C на полный кадр, объективы EF-S использовать будет нельзя.

Если вы планируете в будущем переходить на камеру с полным кадром, то обдумывайте покупку объективов заранее.

Шифрованная файловая система (EFS) – это мощная опция для защиты данных, которые хранятся на компьютерах Windows. EFS бесплатна и включается в каждую ОС, начиная с Windows 2000. Повсюду наблюдаются усовершенствования технологии, и EFS в этом смысле не является исключением. С развитием технологии стало значительно проще использовать EFS для большей части среды хранения данных. Однако вам не везде может понадобиться EFS, поэтому вам необходимо сузить границы и контроль до тех рамок, в которых такая файловая система может использоваться. Таким образом, будет отличной идеей воспользоваться преимуществом групповой политики для управления EFS.

Две стадии управления EFS

EFS имеет два уровня настройки. Первый уровень установлен на компьютерном уровне, который определяет, будет ли поддерживаться эта файловая система, и будет ли она доступна. Второй уровень – это уровень папок и файлов, этот уровень выполняет шифрование данных.

Windows 2000 (Server и Professional), Windows XP Professional, Windows Server 2003, Windows Vista и Windows Server 2008 все поддерживают шифрование данных, расположенных на компьютере. По умолчанию все эти компьютеры поддерживают шифрование данных, используя EFS. Конечно, это может быть и отрицательной характеристикой, поскольку некоторые данные или некоторые компьютеры не должны шифровать данные из-за логистики.

Логистика, о которой я говорю здесь, представляет собой разрешение пользователям шифровать данные. Поскольку все компьютеры поддерживают шифрование данных по умолчанию, и каждый пользователь может их зашифровать, данные могут быть зашифрованы на локальном компьютере, равно как и данные, совместно использующиеся в сети. На рисунке 1 показаны опции, при которых данные могут быть зашифрованы на компьютере Windows XP Professional.

Рисунок 1: Шифрование данных – это их свойство

Чтобы получить доступ к опции шифрования, как показано на рисунке 1, вам нужно лишь выбрать свойства файла или папки, которую вы хотите зашифровать путем нажатия правой клавишей и вызова контекстного меню «Свойства» шифруемого объекта. Затем нажать кнопку «Дополнительно» в диалоговом окне свойств, которое в свою очередь покажет диалоговое окно «Дополнительные атрибуты».

Контролирование поддержки EFS для компьютеров домена Active Directory

Когда компьютер присоединяется к домену Active Directory, на нем больше невозможно контролировать опцию поддержки EFS. Вместо этого данную возможность контролирует политика домена по умолчанию, хранящаяся в Active Directory. Все компьютеры, входящие в состав домена Windows Active Directory поддерживают EFS, просто входя в его состав.

Следует учесть, что домены Windows 2000 управляют этой конфигурацией в стандартной политике домена не так, как домены Windows Server 2003 и Windows Server 2008.

Контроль домена Windows 2000 над EFS

Компьютеры Windows 2000 имеют немного другую поддержку EFS, чем более поздние ОС, поэтому настройка для EFS в них отличается в стандартной политике доменов. Для Windows 2000, активация и отключение EFS основывается на сертификате агента EFS восстановления данных, включенном в стандартную политику доменов. По умолчанию, учетная запись администратора имеет такой сертификат и настраивается в качестве агента восстановления данных. Если сертификат восстановления данных отсутствует, EFS не работает.

Чтобы получить доступ к этой настройке в стандартной политике доменов, следуйте указанному пути при редактировании GPO в редакторе групповой политики:

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики публичных ключей\Агенты восстановления зашифрованных данных

В этом месте вы увидите сертификат шифрования файлов EFS для администратора, как показано на рисунке 2.

Рисунок 2: Домены Windows 2000 отображают сертификат шифрования файлов EFS в виде имени пользователя, например «Администратор»

Эта настройка является тем, что предоставляет всем компьютерам возможность шифровать файлы. Чтобы отключить эту возможность, вам нужно просто удалить сертификацию администратора из объекта GPO. Если вы затем решите включить такую возможность на ограниченном количестве компьютеров в Active Directory, вам нужно будет следовать этим шагам:

1. Создайте новый GPO и свяжите его с организационной единицей, содержащей все компьютеры, которым нужна поддержка шифрования файлов.
2. Войдите во вкладку «Агенты восстановления зашифрованных файлов» в GPO и добавьте сертификат, который поддерживает EFS восстановление данных.

Это предоставит компьютерам, на которые распространяется GPO, возможность использования EFS для данных, хранящихся на этих компьютерах.

Контроль доменов Windows 2003 и 2008 над EFS

Более новые домены и ОС (все, которые вышли после Windows 2000) поддерживают EFS примерно так же, но имеют свои специфические отличия.

1. Для шифрования данных на компьютерах позже Windows 2000 не требуется никаких агентов восстановления данных.
2. EFS не контролируется посредством включения сертификата агента восстановления данных в GPO.
3. EFS поддерживает доступ нескольких пользователей к зашифрованным файлам.

Таким образом, для доменов Windows 2003 и 2008 вам понадобится другой набор заданий, чтобы контролировать EFS на компьютерах, входящих в такие домены. Однако настройка все еще находится в стандартной политике доменов. Здесь вам понадобится следующий путь:

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики публичных ключей\Шифрованная файловая система

Теперь, вместо преобразования агента восстановления данных, вам нужно правой клавишей нажать по вкладке EFS. Из появившегося меню опций выберите «Свойства». Здесь вы увидите строку на вашем домене Windows 2003, которая гласит "Разрешить пользователям шифровать файлы, используя Encrypting File System (EFS)". Домены Windows Server 2008 радикально поменяли интерфейс, обеспечивая многогранную поддержку EFS на этой странице свойств, как показано на рисунке 3.

Рисунок 3: Windows Server 2008 обеспечивает многогранный контроль над EFS

Обратите внимание, что на вкладке «Общие» есть противоположенная кнопка с названием "Не разрешать". Этот параметр может использоваться для отключения поддержки EFS на всех компьютерах домена. Также обратите внимание на то, что в этом диалоговом окне доступно множество других параметров контролирования EFS.

Вы также можете указывать определенные компьютеры в домене, следуя шагам, описанным выше в разделе о домене Windows 2000.

Заключение

EFS является очень мощной и полезной опцией. Она может шифровать данные, хранящиеся на компьютерах Windows. Шифрование поможет защитить данные от пользователей или хакеров, пытающихся получить к ним доступ, но не имеющих возможности расшифровать эти данные. EFS представляет собой процесс из двух шагов, во-первых EFS необходимо активировать на компьютере. Эта опция может контролироваться с помощью групповой политики, либо когда компьютер включается в домен. Администраторы имеют право активировать или отключить EFS на любом компьютере домена с помощью настройки GPO. При отключении EFS для всех компьютеров и последующем создании и настройке нового объекта GPO только определенные компьютеры смогут использовать EFS.

Страница 1 из 5

Шифрующая файловая система это тесно интегрированная с NTFS служба, располагающаяся в ядре Windows 2000. Ее назначение: защита данных, хранящихся на диске, от несанкционированного доступа путем их шифрования. Появление этой службы не случайно, и ожидалось давно. Дело в том, что существующие на сегодняшний день файловые системы не обеспечивают необходимую защиту данных от несанкционированного доступа. Внимательный читатель может возразить мне: а как же Windows NT с ее NTFS? Ведь NTFS обеспечивает разграничение доступа и защиту данных от несанкционированного доступа! Да, это правда. Но как быть в том случае, когда доступ к разделу NTFS осуществляется не с помощью средств операционной системы Windows NT, а напрямую, на физическом уровне? Ведь это сравнительно легко реализовать, например, загрузившись с дискеты и запустив специальную программу: например, весьма распространенную ntfsdos. В качестве более изощренного примера можно указать продукт NTFS98, который можно скачать

(незарегистрированная версия позволяет читать тома NTFS из под Windows98, зарегистрированная версия позволяет к тому же производить запись на такие тома). Конечно, можно предусмотреть такую возможность, и задать пароль на запуск системы, однако практика показывает, что такая защита малоэффективна, особенно в том случае, когда за одним компьютером работают сразу несколько пользователей. А если злоумышленник может извлечь жесткий диск из компьютера, то здесь уже не помогут никакие пароли. Подключив диск к другому компьютеру, его содержимое можно будет прочитать с такой же легкостью, что и эту статью. Таким образом, злоумышленник свободно может овладеть конфиденциальной информацией, которая хранится на жестком диске.

Единственный способ защиты от физического чтения данных это шифрование файлов. Простейший случай такого шифрования - архивирование файла с паролем. Однако здесь есть ряд серьезных недостатков. Во-первых, пользователю требуется каждый раз вручную шифровать и дешифровать (то есть, в нашем случае архивировать и разархивировать) данные перед началом и после окончания работы, что уже само по себе уменьшает защищенность данных. Пользователь может забыть зашифровать (заархивировать) файл после окончания работы, или (еще более банально) просто оставить на диске копию файла. Во-вторых, пароли, придуманные пользователем, как правило, легко угадываются. В любом случае, существует достаточное количество утилит, позволяющих распаковывать архивы, защищенные паролем. Как правило, такие утилиты осуществляют подбор пароля путем перебора слов, записанных в словаре.

Система EFS была разработана с целью преодоления этих недостатков. Ниже мы рассмотрим более подробно детали технологии шифрования, взаимодействие EFS с пользователем и способы восстановления данных, познакомимся с теорией и реализацией EFS в Windows 2000, а также рассмотрим пример шифрования каталога при помощи EFS.

Технология шифрования

EFS использует архитектуру Windows CryptoAPI. В ее основе лежит технология шифрования с открытым ключом. Для шифрования каждого файла случайным образом генерируется ключ шифрования файла. При этом для шифрования файла может применяться любой симметричный алгоритм шифрования. В настоящее же время в EFS используется один алгоритм, это DESX, являющийся специальной модификацией широко распространенного стандарта DES.

Ключи шифрования EFS хранятся в резидентном пуле памяти (сама EFS расположена в ядре Windows 2000), что исключает несанкционированный доступ к ним через файл подкачки.

Взаимодействие с пользователем

По умолчанию EFS сконфигурирована таким образом, что пользователь может сразу начать использовать шифрование файлов. Операция шифрования и обратная поддерживаются для файлов и каталогов. В том случае, если шифруется каталог, автоматически шифруются все файлы и подкаталоги этого каталога. Необходимо отметить, что если зашифрованный файл перемещается или переименовывается из зашифрованного каталога в незашифрованный, то он все равно остается зашифрованным. Операции шифрования/дешифрования можно выполнить двумя различными способами - используя Windows Explorer или консольную утилиту Cipher.

Для того чтобы зашифровать каталог из Windows Explorer, пользователю нужно просто выбрать один или несколько каталогов и установить флажок шифрования в окне расширенных свойств каталога. Все создаваемые позже файлы и подкаталоги в этом каталоге будут также зашифрованы. Таким образом, зашифровать файл можно, просто скопировав (или перенеся) его в "зашифрованный" каталог.

Зашифрованные файлы хранятся на диске в зашифрованном виде. При чтении файла данные автоматически расшифровываются, а при записи - автоматически шифруются. Пользователь может работать с зашифрованными файлами так же, как и с обычными файлами, то есть открывать и редактировать в текстовом редакторе Microsoft Word документы, редактировать рисунки в Adobe Photoshop или графическом редакторе Paint, и так далее.

Необходимо отметить, что ни в коем случае нельзя шифровать файлы, которые используются при запуске системы - в это время личный ключ пользователя, при помощи которого производится дешифровка, еще недоступен. Это может привести к невозможности запуска системы! В EFS предусмотрена простая защита от таких ситуаций: файлы с атрибутом "системный" не шифруются. Однако будьте внимательны: это может создать "дыру" в системе безопасности! Проверяйте, не установлен ли атрибут файла "системный" для того, чтобы убедиться, что файл действительно будет зашифрован.

Важно также помнить о том, что зашифрованные файлы не могут быть сжаты средствами Windows 2000 и наоборот. Иными словами, если каталог сжат, его содержимое не может быть зашифровано, а если содержимое каталога зашифровано, то он не может быть сжат.

В том случае, если потребуется дешифровка данных, необходимо просто снять флажки шифрования у выбранных каталогов в Windows Explorer, и файлы и подкаталоги автоматически будут дешифрованы. Следует отметить, что эта операция обычно не требуется, так как EFS обеспечивает "прозрачную" работу с зашифрованными данными для пользователя.

Encrypting File System

Шифрующая файловая система - это тесно интегрированная с NTFS служба, располагающаяся в ядре Windows 2000. Ее назначение: защита данных, хранящихся на диске, от несанкционированного доступа путем их шифрования. Появление этой службы не случайно и ожидалось давно. дело в том, что существующие на сегодняшний день файловые системы не обеспечивают необходимую защиту данных от несанкционированного доступа.

Хотя и NTFS обеспечивает разграничение доступа и защиту данных от несанкционированного доступа, но как быть в том случае, когда доступ к разделу NTFS осуществляется не с помощью средств операционной системы Windows NТ, а напрямую, на физическом уровне? Ведь это сравнительно легко реализовать, например, загрузившись с дискеты и запустив специальную программу: например, весьма распространенную Конечно, можно предусмотреть такую возможность, и задать пароль на запуск системы, однако практика показывает, что такая защита малоэффективна, особенно в том случае, когда за одним компьютером работают сразу несколько пользователей. А если злоумышленник может извлечь жесткий диск из компьютера, то здесь уже не помогут никакие пароли. Подключив диск к другому компьютеру, его содержимое можно будет прочитать без особых проблем. Таким образом, злоумышленник свободно может овладеть конфиденциальной информацией, которая хранится на жестком диске. Единственный способ защиты от физического чтения данных - это шифрование файлов. Простейший случай такого шифрования - архивирование файла с паролем. Однако здесь есть ряд серьезных недостатков. Во-первых, пользователю требуется каждый раз вручную шифровать и дешифровать (то есть, в нашем случае архивировать и разархивировать) данные перед началом и после окончания работы, что уже само по себе уменьшает защищенность данных. Пользователь может забыть зашифровать (заархивировать) файл после окончания работы или (еще более банально) просто оставить на диске копию файла. Во-вторых, пароли, придуманные пользователем, как правило, легко угадываются. В любом случае, существует достаточное количество утилит, позволяющих распаковывать архивы, защищенные паролем. Как правило, такие утилиты осуществляют подбор пароля путем перебора слов, записанных в словаре. Система EFS была разработана с целью преодоления этих недостатков.

2.1. Технология шифрования

ЕР$ использует архитектуру Windows CryptoAPI. В ее осноне лежит технология шифрования с открытым ключом, для шифрования каждого файла случайным образом генерируется ключ шифрования файла. При этом для шифрования файла может применяться любой симметричный алгоритм шифрования. В настоящее же время в EFS используется один алгоритм - это DESX, являющийся специальной модификацией широко распространенного стандарта DES. Ключи шифрования EFS хранятся в резидентном пуле памяти (сама EFS расположена в ядре Windows 2000), что исключает несанкционированный доступ к ним через файл подкачки.

По умолчанию EFS сконфигурирована таким образом, что пользователь может сразу начать использовать шифрование файлов. Операция шифрования и обратная поддерживаются для файлов и каталогов. В том случае, если шифруется каталог, автоматически шифруются все файлы и подкаталоги этого каталога. Необходимо отметить, что если зашифрованный файл перемещается или переименовывается из зашифрованного каталога в незашифрованный, то он все равно остается зашифрованным. Операции шифрования/дешифрования можно выполнить двумя различными способами - используя Windows Explorer или консольную утилиту Cipher. для того чтобы зашифровать каталог из Windows Explorer, пользователю нужно просто выбрать один или несколько каталогов и установить флажок шифрования в окне расширенных свойств каталога. Все создаваемые позже файлы и подкаталоги в этом каталоге будут также зашифрованы. Таким образом, зашифровать файл можно, просто скопировав (или перенеся) его в «зашифрованный» каталог. Зашифрованные файлы хранятся на диске в зашифрованном виде. При чтении файла данные автоматически расшифровываются, а при записи автоматически шифруются. Пользователь может работать с зашифрованными файлами так же, как и с обычными файлами, то есть открывать и редактировать в текстовом редакторе Microsoft Word документы, редактировать рисунки в Adobe Photoshop или графическом редакторе Paint, и так далее.

Необходимо отметить, что ни в коем случае нельзя шифровать файлы, которые используются при запуске системы в это время личный ключ пользователя, при помощи которого производится дешифровка, еще недоступен. Это может привести к невозможности запуска системы! B EFS предусмотрена простая защита от таких ситуаций: файлы с атрибутом «системный» не шифруются. Однако будьте внимательны: это может создать «дыру» в системе безопасности! Проверяйте, не установлен ли атрибут файла <системный» для того, чтобы убедиться, что файл действительно будет зашифрован.

Важно также помнить о том, что зашифрованные файлы не могут быть сжаты средствами Windows 2000 и наоборот. Иными словами, если каталог сжат, его содержимое не может быть зашифровано, а если содержимое каталога зашифровано, то он не может быть сжат.

В том случае, если потребуется дешифровка данных, необходимо просто снять флажки шифрования у выбранных каталогов в Windows Explorer, и файлы и подкаталоги автоматически будут дешифрованы. Следует отметить, что эта операция обычно не требуется, так как EFS обеспечивает «прозрачную» работу с зашифрованными данными для пользователя.

Предположим, что у вас есть компьютер под управлением Windows самой распоследней версии. Вы на нем играете в игры–стрелялки, пишите свою диссертацию, ведете бухгалтерию ИП по упрощенной системе, да и вообще, развлекаетесь, как можете. Но, вдруг, совершенно необоснованно вы начинаете чувствовать, что что-то извне угрожает безопасности некоторых данных, что хранятся на вашем персональном компьютере. Вы, с горячим взглядом, читаете многочисленные кибер-форумы и с ужасом понимаете, что все ваши данные на жестком диске никак не защищены. И если ваш любимый компьютер похитят, а риск хищения для портативной техники не такой уж и низкий, то злоумышленник сможет добраться до всего содержимого жесткого диска! О, моя бесценная диссертация!

Давайте попробуем разобраться, действительно ли можно получить несанкционированный доступ к файлам, если на компьютере работает операционная система Windows 10. Инженеры IBM, а впоследствии и Microsoft, потратили немало усилий на реализацию системы разделения прав для файловой системы NTFS (в бытность IBM это была HPFS). И если Win10 запущена на компьютере, то получить без разрешения доступ к чужим файлам очень и очень сложно, а в случае блокировки доступа и вовсе нельзя. Windows надежно охраняет файлы пользователей.

Но стоит только загрузиться в другую операционную систему, например, в Linux Mint , то все пользовательские файлы будут как на ладони. Качай что хочешь. А загрузиться в Mint можно хоть с флешки, хоть с CD-ROM, нужно только добраться до UEFI (BIOS) и активировать загрузку со съемных накопителей, если она не была активирована ранее, либо воспользоваться меню загрузки. Предположим, что вы поставили пароль на вход в UEFI и отключили выбор накопителя для загрузки как класс, тогда ваши файлы защищены немного сильнее. А злоумышленник может просто развинтить ваш компьютер, вытащить жесткий диск и подключить его к своему компьютеру, а затем скачать, все, что требуется. Ведь данные в виде файлов будут у него как открытая тетрадь на руках.

Специалисты от IT, знают, что несколько обезопасить данные в своем компьютере можно при помощи технологии BitLocker . BitLocker - штука хорошая, но позволяет шифровать только целиком разделы на дисках, либо физические, либо виртуальные. При этом обеспечивается сохранность ключей, в том числе и с хранением в модулях TPM . Что весьма удобно. Однако, шифрование целиком всего и вся, далеко не всегда удобно, хотя, безусловно, применение полного шифрования диска имеет определенный смысл. А вот про частичное шифрование файлов и каталогов, почему-то все забывают.

В Windows 10, как и в предыдущих ее реинкарнациях, присутствует Шифрованная Файловая Система, что в переводе означает Encrypted File System (EFS). Данная функция доступна начиная с редакции Pro и выше, поэтому если у вас версия Windows Home, то необходимо проапгрейдиться как минимум до Pro. В Wikipedia много написано о том, как и что, шифруется в EFS. Я лишь постараюсь объяснить все как можно проще и приведу самую подробную инструкцию по включению защиты ваших файлов.

Помимо наличия минимума в виде Pro редакции, необходимо чтобы вы работали под пользователем, у которого есть пароль. Пароль должен присутствовать обязательно, пусть это будет привязка к облачному сервису Microsoft, либо же полностью автономный пароль. Входите ли вы в систему по PIN-коду или же с применением рисунка - не важно, важно, что к вашей учетной записи привязан пароль. Помимо наличия пароля в активной учетной записи, необходимо чтобы защищаемые файлы и каталоги размещались на диске или его разделе с файловой системой NTFS. Скорее всего, именно такая файловая система и применяется у вас.

Шифрование данных происходит абсолютно прозрачно для пользователей и для подавляющего большинства программных продуктов, т.к. шифрование происходит на уровне файловой системы NTFS. Зашифровать можно как один файл, так и целую папку сразу. Зашифровать можно как пустую папку, а затем добавить в нее новые файлы и они тоже зашифруются, а можно зашифровать папку уже с файлами и каталогами внутри. Все на ваш выбор.

При работе с зашифрованными папками и файлами стоит учитывать следующее:

1. Файлы зашифрованы до тех пор, пока они не будут перенесены на любую другую файловую системы отличную от NTFS. Например, вы копируете зашифрованный файл на «флешку». Если там FAT32, а скорее всего там именно он, то файл расшифруется. В десятой версии Windows Microsoft все же реализовал функцию, когда файл остается зашифрованным даже если вы его перенесли на флешку с FAT, так что стоит быть бдительным если сливаете какие-то файлы своему другу. Сможет ли он их потом открыть без мата? Если вы отправляете файл по электронной почте - он расшифруется (иначе пропадает смысл его отправке по почте). При передаче файла по сети также произойдет расшифровка.
2. При перемещении между NTFS разделами файл остается зашифрованным. При перемещении файла с одного NTFS диска на другой NTFS диск, файл будет зашифрованным. При копировании файла на жесткий сменный диск с файловой системой NTFS он будет зашифрованным и в новом месте.
3. При насильственной смене пароля учетной записи третьим лицом, например, администратором, либо же насильственная смена пароля привязанной учетной записи домена, либо облачной службы - доступ к файлам без резервного сертификата (формируется при первом шифровании) будет уже невозможен.

Последний пункт весьма важен, особенно лицам с ненадежной памятью, которые постоянно сбрасывают пароли. Тут такой фокус может обернуться навсегда зашифрованными файлами, если, конечно, не импортировать в систему сохраненный сертификат. Тем не менее, когда смена пароля происходит добровольно, например, в соответствии с политикой смены пароля, то безвременная потеря зашифрованных файлов не произойдет.

Скептики вполне справедливо заметят, что подобная защита, впрочем, как и BitLocker, не является супернадежной, дескать, хакеры могут подобрать пароль, если он слабый, да и спецслужбы все расшифруют. Действительно, ваш пароль могут банально подобрать, если он короток, да прост. А спецслужбы на то они и спецслужбы, чтобы иметь техническую возможность добраться до содержимого файлов слишком уж мнительных пользователей. Более того, когда вы вошли в систему, вы сразу же получаете прозрачный доступ ко всем вашим зашифрованным при помощи EFS файлам. И если на вашем компьютере завелся троян или вирус, то он совершенно аналогично получит доступ к драгоценным файликам. Компьютерную гигиену стоит соблюдать неукоснительно.

Подробная инструкция по включению шифрования при помощи EFS под Win10 Pro на папке

Ниже я предлагаю пошаговую, точную инструкцию, как зашифровать папку с файлами в ней. Отдельный файл шифруется аналогичным образом.

Шаг 1 . Создаем папку. Пусть она называется «Мои картинки».

Создаем каталог

Шаг 2 . Нажимаем на папке правой кнопкой мышки и в контекстном меню выбираем «Свойства».

Правой кнопкой нажимаем на папке и получаем вот это

Шаг 3 . В меню «Свойства» переходим в расширенные атрибуты папки посредством нажатия кнопки «Другие…».

Свойства папки

Шаг 4 . Ставим галочку в пункте «Шифровать содержимое для защиты данных» и жмем ОК. Если потребуется отменить шифрование, то отжимаем эту же галочку и файл расшифровывается.

В расширенных атрибутах свойств папки

Шаг 5 . Завершаем работу со «Свойства», нажимаем ОК или «Применить».

Шаг 6 . Отвечаем в диалоговом окне, что «применить» к нашей папке и всему ее содержимому.

Выбираем нужный пункт шифрования

На этом наша папка и все ее содержимое зашифровано при помощи EFS. При желании можно проверить, что наша папка и все файлы в ней надежно закрыты от посторонних.

Шаг 7 . Проходим по шагам 1-3 и видим, что галочка «шифровать» активна. А рядом активна кнопка «Подробно». Нажимаем на «подробно».

Проверка того, что зашифровалось

Шаг 8 . В появившемся окне видим, что данный файл имеет всего один сертификат для доступа только одного пользователя, плюс никакие сертификаты по восстановлению доступа не установлены.

Папка зашифрована одним сертификатом

Понять, что конкретный файл зашифрован можно и в Проводнике Windows, на файле появляется значок замочка.

Галерея с зашифрованными картинками. Просмотреть их может только владелец учетной записи.

Значок отображается и на всех других видах файлов и в представлениях проводника. Правда, на некоторых пиктограммах их очень плохо видно и приходится присматриваться.

Та же галерея, только в виде таблицы. Замочки в правом верхнем углу пиктограммы.

После того, как были зашифрованы первые файлы, Windows предлагает сделать копию сертификата. Того самого сертификата, который позволит расшифровать файлы, если вдруг, что-то пойдет не так с вашим компьютером (переустановили систему, сбросили пароль, перекинули диск на другой компьютер и т.п.).

Шаг 9 . Для сохранения резервного сертификата восстановления следует нажать на пиктограмму архивации ключа.

Значок в трее призывающий к архивации резервного сертификата для восстановления шифрования

Шаг 10 . В появившемся окне выбрать «Архивировать сейчас».

Выбор когда архивировать

Шаг 11 . В диалоговом окне мастера активации нажать «Далее».

Окно мастера экспорта сертификатов

Шаг 12 . Если вы используете только шифрование EFS, то можно оставить значения по умолчанию. И нажать на «Далее».

Настройки экспорта резервного сертификата

Шаг 13 . Экспортируемый сертификат имеет смысл защитить паролем. Вводим пароль, может быть любым, не обязательно от вашей почты или для входа в Windows. И жмем «Далее».

Вводим пароль для дополнительной защиты сертификата восстановления

Шаг 15 . Подтверждаем результат нажатием на ОК.

Завершаем работу мастера экспорта

И собственно на этом все. Выгруженный сертификат стоит переписать в надежное место. Например, на дискету, флешку, в защищенное облако. Оставлять сертификат восстановления на компьютере - плохая затея, поэтому после сохранения его в «надежном месте» файл с компьютера удаляем, а заодно очищаем корзину.

Кстати, шифровать можно и каталоги, в которые синхронизируются облачные файлы на вашем компьютере, например, OneDrive, DropBox, Yandex Disk и многие другие. Если требуется зашифровать такую папку, то для начала следует выключить приложение синхронизации с облаком, либо поставить синхронизацию на паузу. Так же стоит закрыть все открытые файлы в каталоге, который будет подвержен шифрованию, например, закрыть Word, Excel или другие программы. После этого можно включить шифрование на выбранной папке. Когда процедура шифрования завершится, позволительно включить синхронизацию заново. В противном случае, шифрование может затронуть не все файлы в папке, т.к. встроенная система может зашифровать только файлы, доступные на запись. Да, при синхронизации в облако файлы будут расшифровываться и в облаке они будут уже незашифрованными.

Перед началом шифрования необходимо выйти из OneDrive

Настало время проверить, насколько хорошо работает шифрование EFS. Я создал файл с текстом в зашифрованном каталоге. А затем загрузился в Linux Mint с флешки. Данная версия Linux может спокойно работать с жесткими дисками в формате NTFS, поэтому добраться до содержимого моего жесткого диска не составило труда.

Создаем файл с текстом в зашифрованной папке.

Однако при попытке открыть файлы с зашифрованной папки меня ждало разочарование. Ни один файл так и не удалось открыть. Просмотрщики Linux Mint с отвагой сообщали, что доступа к указанным файлам у них нет. А вот все остальные открывались без сучка и задоринки.

Зашифрованные файлы в Win10 из Mint видно, но открыть их нельзя.

«Ага!» - сказали суровые сибирские мужики. А ведь если записать на флешку файлик зашифрованный, то он останется зашифрованным, наверное. А затем перенести его на другой компьютер, под другую операционную систему, то вдруг он откроется? Нет, не откроется. Вернее откроется, но его содержимое будет полностью нечитабельным. Зашифровано же.

Попытка открыть зашифрованный файл с текстом, записанный на флешку.

В целом, пользоваться EFS можно, а в некоторых случаях даже нужно. Поэтому если вы работаете под Windows 10 начиная с редакции Pro и выше, оцените риски доступа к вашему ПК или ноутбуку посторонних и смогут ли они получить ваши конфиденциальные файлы. Может быть, что-то стоит уже зашифровать сегодня?