Posiadając w komputerze poufne dane, których wartość jest tak duża, że nie chcemy by w żadnym wypadku dostały się w niepowołane ręce powinniśmy je dobrze zabezpieczyć. Jedną z metod, która umożliwi nam całkowite lub częściowe ograniczenie dostępu do tychże informacji jest szyfrowanie (EFS), dostępne w systemie Windows XP.
Szyfrowanie to proces, którego głównym celem jest zakodowanie (zaszyfrowanie) poufnych danych za pomocą specjalnego algorytmu. Odczyt w ten sposób zaszyfrowanych danych nie jest możliwy bez odpowiedniego klucza wg którego zostały zabezpieczone dane.
System Windows XP Professional obsługuje system szyfrowania plików EFS, który umożliwia zabezpieczenie danych na tym poziomie, że nie będą miały do nich dostępu osoby korzystające z innych kont użytkowników znajdujących się na tym samym komputerze. W momencie gdy ktoś uzyska dostęp do naszego dysku twardego (np. poprzez jego kradzież) nie będzie w stanie odczytać zaszyfrowanych plików, folderów etc. Tego typu rozwiązanie ma także swoje złe strony, mianowicie w momencie utraty tzw. klucza umożliwiającego odszyfrowanie danych – tracimy wszystkie zabezpieczone w ten sposób informacje.
Proces szyfrowania i odszyfrowania danych
System szyfrowania danych EFS umożliwia zabezpieczenie zarówno pojedynczych plików jak i całych folderów w taki sposób, iż dostęp do nich będzie miała tylko osoba, która te dane zaszyfrowała. Tego typu operacje możemy dokonać tylko i wyłącznie na danych znajdujących się na partycjach i dyskach, których system plików to NTFS.
EFS przy szyfrowaniu informacji korzysta z publicznego klucza, który losowo generuje unikalny klucz szyfrowania danych – FEK. Zabezpieczone w ten sposób informacje odszyfrować może tylko użytkownik, z konta którego dane zostały zakodowane lub przy pomocy specjalnie stworzonego agenta. Jak już wcześniej wspomnieliśmy inni użytkownicy nie mają możliwości odczytu i odszyfrowania zabezpieczonych danych, gdyż używany przez nich certyfikat i powiązany z nim klucz nie jest zgodny z tym, użytym przez użytkownika, który zakodował poufne pliki i foldery.
Jeśli bezpośrednio zależy nam na bezpieczeństwie przechowywanych informacji zalecane w tym aspekcie jest szyfrowanie całych folderów, nie tylko pojedynczych plików.
Chcąc zaszyfrować folder zawierający poufne dane, wykonujemy następujące: klikamy prawym przyciskiem myszy na folderze, który chcielibyśmy zaszyfrować i z menu kontekstowego wybieramy pozycję Właściwości.
W zakładce Ogólne klikamy przycisk Zaawansowane, następnie naszym oczom ukarze się okno Atrybuty zaawansowane, w którym zaznaczamy pole wyboru opcji Szyfruj zawartość, aby zabezpieczyć dane.
Klikamy przycisk OK, wracając do okna właściwości szyfrowanego folderu – tutaj kolejno klikamy Zastosuj i OK.
Jeśli wszystko jest w porządku tak oto zaszyfrowaliśmy folder z poufnymi danymi. Nazwa zabezpieczonego w ten sposób folderu powinna być wyświetlana przez Eksplorator Windows w kolorze zielonym.
Pamiętajmy jednak, iż nie jest możliwe szyfrowanie skompresowanych danych oraz informacji nie znajdujących się na dysku z systemem plików NTFS.
Szyfrowanie pojedynczych plików opiera się na tej same zasadzie co szyfrowanie całych folderów zawierających dane do zabezpieczenia. Jedyną różnicą jaką napotkamy będzie komunikat, w którym system poinformuje nas, iż folder gdzie znajduje się plik przez nas zabezpieczany plik nie jest zaszyfrowany.
Proces odszyfrowywania zabezpieczonych danych jest procesem analogicznym do procesu szyfrowania, klikamy prawym przyciskiem myszy na obiekcie, którego atrybuty chcemy zmodyfikować i z menu kontekstowego wybieramy Właściwości, w zakładce Ogólne klikamy Zaawansowane i odznaczamy opcję Szyfruj zawartość, aby zabezpieczyć dane, następnie swój wybór potwierdzamy dwukrotnie przyciskiem OK.
Korzystanie z zaszyfrowanych danych przez innych użytkowników
Twórca systemu Windows XP dał możliwość udostępniania zaszyfrowanych danych wybranym użytkownikom, którzy korzystają z tego samego komputera lub będą mieli dostęp do zabezpieczonych plików czy folderów za pośrednictwem sieci.
Proces udostępniania innym osobom zaszyfrowanych informacji prezentuje się następująco:
Klikamy prawym przyciskiem myszy na zaszyfrowany plik lub folder i z menu kontekstowego wybieramy opcję Właściwości i na zakładce Ogólne przechodzimy do opcji zaawansowanych klikając przycisk Zaawansowane. W oknie dialogowym Atrybuty zaawansowane klikamy przycisk Szczegóły.
Następnie klikamy przycisk Dodaj…, zostanie wyświetlone okno, w którym wybieramy i dodajemy użytkowników, którym chcemy udostępnić zaszyfrowane dane. Gdy nadamy już prawa do przeglądania zabezpieczonych treści wybranym użytkownikom klikamy OK., by zatwierdzić dokonane zmiany.
Polecenie Cipher
System Windows XP daje użytkownikom możliwość zarządzania szyfrowaniem poprzez wiersz poleceń. Odpowiedzialne jest za to polecenie Cipher.exe, które zabezpieczy zarówno pojedyncze pliki jak i foldery oraz podobnie jak oknie dialogowym pozwala zadecydować czy zaszyfrowany ma być tylko folder czy znajdujące się w nim pliki i podfoldery
Oto lista parametrów polecenia Cipher.exe wraz z krótkimi opisami:
/E – szyfruje określone foldery;
/D – odszyfrowuje określone foldery;
/S:folder – wykonuje operacje na folderze i podfolderach, ale nie na plikach;
/A – wykonuje operacje na określonych plikach i plikach znajdujących się w określonych folderach;
/K – tworzy nowy klucz szyfrowania pliku dla użytkownika, który użył polecenia Cipher;
/R – tworzy klucz i certyfikat, które zapisywane są w pliku .pfx, sam certyfikat zapisywany jest w pliku .cer;
/U – aktualizuje klucz szyfrowania pliku użytkownika lub klucz szyfrowania agenta odzyskiwania w każdym zaszyfrowanym pliku na wszystkich dyskach lokalnych
/U /N - tworzy listę wszystkich zaszyfrowanych danych na dyskach lokalnych;
Aby zaszyfrować lub odszyfrować jakiekolwiek dane w wierszu poleceń za pośrednictwem polecenia Cipher musimy do samego polecenia dołączyć lokalizację (ścieżkę danych do zabezpieczenia) oraz odpowiednie dla wykonywanej operacji parametry.
Dla przykładu by zaszyfrować obiekt systemowy jakim jest folder Moje dokumenty wraz z wszystkimi znajdującymi się tam plikami i podfolderami wpisujemy polecenie: cipher /e/a/s: ”%UserProfile%\moje dokumenty”. Deklarując kilka nazw plików i folderów równocześnie wystarczy oddzielić je klawiszem spacji.
341f31d.png)