Шифрующая файловая система

Шифрующая файловая система (Encrypting File System, EFS) доступна в Windows 7 Professional, Enterprise и Ultimate и позволяет шифровать отдельные файлы и папки. EFS отличается от технологии BitLocker То Go тем, что последняя полностью шифрует тома и не работает на уровне файлов и папок. Например, BitLocker можно использовать, чтобы зашифровать USB-накопитель. Зашифрованы будут все файлы и папки на накопителе, поскольку зашифрован весь том, на котором они находятся. С другой стороны, если файлы на накопителе не защищены правами доступа, их сможет прочитать любой пользователь компьютера Windows 7, поскольку том расшифровывается для определенного клиента Windows 7, а не для конкретного пользователя этого клиента. EFS позволяет шифровать файлы и папки на USB-накопителе для конкретных учетных записей. Даже если у пользователя есть разрешение на чтение файла, он не может открыть файл, если у него нет соответствующего сертификата шифрования.

В EFS используется шифрование с открытым ключом (public key encryption). У пользователя есть два ключа: открытый ключ, или сертификат, и персональный ключ. Открытый ключ хранится в памяти компьютера и доступен любому пользователю. Он используется для шифрования данных. Личный ключ хранится в хранилище личных сертификатов пользователя и может использоваться только самим пользователем. Личный ключ расшифровывает данные, которые были зашифрованы при помощи открытого ключа. Когда пользователь впервые шифрует файл на компьютере Windows 7, компьютер создает сертификат EFS и личный ключ.

EFS позволяет шифровать файлы только на томах NTFS. Поскольку на большинстве USB-накопителей используется файловая система FAT32, прежде чем сохранить на «флешке» файлы и папки, зашифрованные EFS, вам придется переформатировать ее в файловой системе NTFS. В проводнике Windows Explorer зашифрованные файлы и папки выделяются зеленым цветом.

Windows шифрует все файлы, которые копируются в зашифрованную папку, а также все файлы, которые в ней создаются. Шифрование EFS несовместимо со сжатием файлов и папок в Windows 7. Когда вы шифруете файл, сохраненный в сжатой папке, перед шифрованием происходит распаковка файла, и он остается несжатым, но зашифрованным. Если вы копируете зашифрованный файл в сжатую папку, файл остается несжатым. Если вы перемещаете сжатый файл в зашифрованную папку, он распаковывается и шифруется. Если вы копируете шифрованный файл или папку EFS в том FAT32, Windows 7 автоматически дешифрует файл при записи.

При помощи EFS можно зашифровать отдельные файлы для нескольких пользователей. В этом случае читать содержимое файла смогут только пользователи, для которых он зашифрован. Зашифровать файл для определенного пользователя можно только в том случае, если у этого пользователя в хранилище компьютера есть сертификат EFS. Если вы хотите зашифровать файл для другого пользователя и не находите его сертификат, необходимо, чтобы он сам вошел в компьютер и зашифровал файл. После этого его сертификат EES будет опубликован в хранилище компьютера, и вы сможете использовать его, чтобы шифровать файлы для данной учетной записи. Средствами EFS нельзя шифровать папки для нескольких учетных записей. Файлы можно шифровать для нескольких индивидуальных пользователей, но не для группы.