Posiadając w komputerze poufne dane, których wartość jest
tak duża, że nie chcemy by w żadnym wypadku dostały się w niepowołane ręce
powinniśmy je dobrze zabezpieczyć. Jedną z metod, która umożliwi nam całkowite
lub częściowe ograniczenie dostępu do tychże informacji jest szyfrowanie (EFS),
dostępne w systemie Windows XP.
Szyfrowanie to proces, którego głównym celem jest
zakodowanie (zaszyfrowanie) poufnych danych za pomocą specjalnego algorytmu.
Odczyt w ten sposób zaszyfrowanych danych nie jest możliwy bez odpowiedniego
klucza wg którego zostały zabezpieczone dane.
System Windows XP Professional obsługuje system szyfrowania
plików EFS, który umożliwia zabezpieczenie danych na tym poziomie, że
nie będą miały do nich dostępu osoby korzystające z innych kont użytkowników
znajdujących się na tym samym komputerze. W momencie gdy ktoś uzyska dostęp do
naszego dysku twardego (np. poprzez jego kradzież) nie będzie w stanie odczytać
zaszyfrowanych plików, folderów etc. Tego typu rozwiązanie ma także swoje złe
strony, mianowicie w momencie utraty tzw. klucza umożliwiającego odszyfrowanie
danych – tracimy wszystkie zabezpieczone w ten sposób informacje.
Proces szyfrowania i
odszyfrowania danych
System szyfrowania danych EFS umożliwia
zabezpieczenie zarówno pojedynczych plików jak i całych folderów w taki sposób,
iż dostęp do nich będzie miała tylko osoba, która te dane zaszyfrowała. Tego
typu operacje możemy dokonać tylko i wyłącznie na danych znajdujących się na
partycjach i dyskach, których system plików to NTFS.
EFS przy szyfrowaniu informacji korzysta z
publicznego klucza, który losowo generuje unikalny klucz szyfrowania danych – FEK.
Zabezpieczone w ten sposób informacje odszyfrować może tylko użytkownik, z
konta którego dane zostały zakodowane lub przy pomocy specjalnie stworzonego
agenta. Jak już wcześniej wspomnieliśmy inni użytkownicy nie mają możliwości
odczytu i odszyfrowania zabezpieczonych danych, gdyż używany przez nich
certyfikat i powiązany z nim klucz nie jest zgodny z tym, użytym przez
użytkownika, który zakodował poufne pliki i foldery.
Jeśli bezpośrednio zależy nam na bezpieczeństwie
przechowywanych informacji zalecane w tym aspekcie jest szyfrowanie całych
folderów, nie tylko pojedynczych plików.
Chcąc zaszyfrować folder zawierający poufne dane, wykonujemy
następujące: klikamy prawym przyciskiem myszy na folderze, który chcielibyśmy
zaszyfrować i z menu kontekstowego wybieramy pozycję Właściwości.
W zakładce Ogólne klikamy przycisk Zaawansowane,
następnie naszym oczom ukarze się okno Atrybuty zaawansowane, w którym
zaznaczamy pole wyboru opcji Szyfruj zawartość, aby zabezpieczyć dane.
Klikamy przycisk OK, wracając do okna właściwości
szyfrowanego folderu – tutaj kolejno klikamy Zastosuj i OK.
Jeśli wszystko jest w porządku tak oto zaszyfrowaliśmy
folder z poufnymi danymi. Nazwa zabezpieczonego w ten sposób folderu powinna
być wyświetlana przez Eksplorator Windows w kolorze zielonym.
Pamiętajmy jednak, iż nie jest możliwe szyfrowanie
skompresowanych danych oraz informacji nie znajdujących się na dysku z systemem
plików NTFS.
Szyfrowanie pojedynczych plików opiera się na tej same
zasadzie co szyfrowanie całych folderów zawierających dane do zabezpieczenia.
Jedyną różnicą jaką napotkamy będzie komunikat, w którym system poinformuje nas,
iż folder gdzie znajduje się plik przez nas zabezpieczany plik nie jest
zaszyfrowany.
Jeśli mamy zamiar zaszyfrować tylko plik wybieramy Szyfruj
tylko plik, jednak zalecamy zabezpieczenie także folderu, w którym znajdują
się pojedyncze, poufne informacje poprzez wybranie opcji Szyfruj plik i
folder nadrzędny i potwierdzenie wyboru przyciskiem OK. Od tego
momentu podobnie jak wspomniana wcześniej nazwa folderu, także i nazwa pliku
będzie wyświetlana teraz w eksploratorze w kolorze zielonym.
Może jednak zdarzyć się, iż system szyfrowania plików EFS nie będzie
uaktywniony w systemie i zabezpieczanie pików nie będzie możliwe – system
będzie informował nas o błędzie podczas próby szyfrowania. W tym momencie
będziemy musieli aktywować EFS w rejestrze systemowym.
Proces odszyfrowywania zabezpieczonych danych jest procesem
analogicznym do procesu szyfrowania, klikamy prawym przyciskiem myszy na
obiekcie, którego atrybuty chcemy zmodyfikować i z menu kontekstowego wybieramy
Właściwości, w zakładce Ogólne klikamy Zaawansowane i
odznaczamy opcję Szyfruj zawartość, aby zabezpieczyć dane, następnie
swój wybór potwierdzamy dwukrotnie przyciskiem OK.
Korzystanie z
zaszyfrowanych danych przez innych użytkowników
Twórca systemu Windows XP dał możliwość udostępniania
zaszyfrowanych danych wybranym użytkownikom, którzy korzystają z tego samego
komputera lub będą mieli dostęp do zabezpieczonych plików czy folderów za
pośrednictwem sieci.
Proces udostępniania innym osobom zaszyfrowanych informacji
prezentuje się następująco:
Klikamy prawym przyciskiem myszy na zaszyfrowany plik lub
folder i z menu kontekstowego wybieramy opcję Właściwości i na zakładce Ogólne
przechodzimy do opcji zaawansowanych klikając przycisk Zaawansowane.
W oknie dialogowym Atrybuty zaawansowane klikamy przycisk Szczegóły.
Następnie klikamy przycisk Dodaj…, zostanie
wyświetlone okno, w którym wybieramy i dodajemy użytkowników, którym chcemy udostępnić
zaszyfrowane dane. Gdy nadamy już prawa do przeglądania zabezpieczonych treści
wybranym użytkownikom klikamy OK., by zatwierdzić dokonane zmiany.
Polecenie Cipher
System Windows XP daje użytkownikom możliwość zarządzania
szyfrowaniem poprzez wiersz poleceń. Odpowiedzialne jest za to polecenie Cipher.exe,
które zabezpieczy zarówno pojedyncze pliki jak i foldery oraz podobnie jak
oknie dialogowym pozwala zadecydować czy zaszyfrowany ma być tylko folder czy
znajdujące się w nim pliki i podfoldery
Oto lista parametrów polecenia Cipher.exe wraz z
krótkimi opisami:
/E – szyfruje określone foldery;
/D – odszyfrowuje określone foldery;
/S:folder – wykonuje operacje na folderze i
podfolderach, ale nie na plikach;
/A – wykonuje operacje na określonych plikach i
plikach znajdujących się w określonych folderach;
/K – tworzy nowy klucz szyfrowania pliku dla
użytkownika, który użył polecenia Cipher;
/R – tworzy klucz i certyfikat, które zapisywane są w
pliku .pfx, sam certyfikat zapisywany jest w pliku .cer;
/U – aktualizuje klucz szyfrowania pliku użytkownika
lub klucz szyfrowania agenta odzyskiwania w każdym zaszyfrowanym pliku na
wszystkich dyskach lokalnych
/U /N - tworzy listę wszystkich zaszyfrowanych
danych na dyskach lokalnych;
Aby zaszyfrować lub odszyfrować jakiekolwiek dane w wierszu
poleceń za pośrednictwem polecenia Cipher musimy do samego polecenia
dołączyć lokalizację (ścieżkę danych do zabezpieczenia) oraz odpowiednie dla
wykonywanej operacji parametry.
Dla przykładu by zaszyfrować obiekt systemowy jakim jest
folder Moje dokumenty wraz z wszystkimi znajdującymi się tam plikami i
podfolderami wpisujemy polecenie: cipher /e/a/s: ”%UserProfile%\moje
dokumenty”. Deklarując kilka nazw plików i folderów równocześnie wystarczy
oddzielić je klawiszem spacji.