Файл: Пз 1 Шифрованная файловая система Windows Цель работы.pdf

ПЗ №1 Шифрованная файловая система Windows
1. Цель работы
Цель работы: Изучение штатного средства шифрования информации в операционных системах Microsoft Windows.
2. Краткие теоретические сведения
Наиболее действенный способ защиты файлов и содержащих их каталогов от несанкционированного доступа — это шифрование. В операционных системах Microsoft Windows штатным средством, служащим для этой цели, является шифрованная файловая система
(Encrypting File System — EFS). Данное средство присутствует в операционных системах Microsoft Windows, начиная с Microsoft Windows
2000, за исключением базовых (домашних) версий (EFS присутствует в выпусках Professional, Enterprise, Ultimate).
EFS фактически представляет собой надстройку файловой системы NTFS, и является недоступной для разделов жесткого диска с файловой системой FAT32. Все этапы шифрования производятся при сохранении и открытии файла и проходят незаметно для пользователя.
Симметричный алгоритм шифрования, используемый EFS, зависит от версии операционной системы и выбранных настроек.
Возможные варианты: 3DES, DESX, AES. Для шифрования каждого файла должен быть сгенерирован случайный ключ, называемый File
Encryption Key (FEK). Секретность данного ключа, в свою очередь, обеспечивается с помощью асимметричного шифрования по алгоритму
RSA, для чего используется открытый ключ пользователя, содержащийся в цифровом сертификате (рис. 1).
Когда пользователю необходимо получить доступ к содержимому зашифрованного файла, драйвер шифрованной файловой системы прозрачно для него расшифровывает FEK, используя закрытый ключ пользователя, а затем с помощью соответствующего симметричного алгоритма на расшифрованном ключе — сам файл (рис. 2).
Войдя в систему под своей учетной записью, пользователь может работать с зашифрованными ранее файлами: просматривать их содержимое и редактировать. При добавлении новых файлов в зашифрованный каталог они также шифруются. Перемещение или копирование файла из зашифрованного каталога не приводит к автоматическому расшифрованию, при условии, что файл перемещается в раздел NTFS. Остальные пользователи не могут получить доступ к содержимому файлов.
При шифровании каталога шифруются все находящиеся в нем

файлы.
Рис. 1. Схема зашифрования файла
Рис. 2. Схема расшифрования файла
3. Ход работы
3.1 Шифрованная файловая система
Данная практическая работа может быть выполнена на любой виртуальной машине, удовлетворяющей требованиям к шифрованной

файловой системе, указанным в предыдущем разделе. В качестве примера будет рассмотрена Windows 10.
Прежде чем приступить к изучению шифрованной файловой системы Windows, необходимо создать двух пользователей, от имени которых будут выполняться операции по шифрованию файлов (рис. 3).
Как вариант, можно использовать при создании пользователей номер группы (NNNN) и инициалы студента на английском языке (FIO), выполняющего данную работу.
Рис. 3. Созданные пользователи для работы
Далее потребуется выбрать файлы, с которыми будет вестись дальнейшая работа. Для этого на локальном диске виртуальной машины создайте два произвольных файла, например, два текстовых файла
NNNN.txt и FIO.txt (рис. 4) с указанием номера группы и фамилии исполнителя. Обязательно добавьте текст в содержание файла. Каждому из них затем будут назначены свои параметры шифрования.
Рис. 4. Схема расшифрования файла
Зайдите под первым созданным пользователем (NNNN_FIO в текущем примере) и перейдите к шифрованию первого файла. Для этого необходимо выполнить следующие действия:

вызвать контекстное меню нужного объекта (файла или папки) и выбрать пункт «Свойства»;

перейти на вкладку «Общие» и нажать кнопку «Другие», что приведет к открытию окна «Дополнительные атрибуты»;


активировать параметр «Шифровать содержимое для защиты данных» (рис. 5);

закрыть оба окна при помощи кнопки «ОК».
Если шифрование было применено к отдельному файлу, который расположен не в корне локального диска, а в какой-либо папке, то система выдаст дополнительный запрос на запуск шифрования только данного файла или всей папки, в которой этот файл расположен (рис. 6).
Рис. 5. Настройка атрибутов для шифрования файла

Рис. 6. Дополнительный запрос при шифровании файла
Если шифрование было применено к папке, то система выдаст дополнительный запрос на запуск шифрования всего каталога (рис. 7).
Рис. 7. Дополнительный запрос при шифровании папки

После этого файл (папка с файлами) будет зашифрован, а система сообщит о том, что в папке имеется зашифрованный файл (рис. 8) – значок файла изменится на аналогичный изначальному, но с обозначением замка в верхнем правом углу (на Windows 7 название зашифрованного файла отображалось зелёным цветом). Если нужно отключить шифрование, то необходимо снова открыть панель
«Дополнительные атрибуты» и отключить параметр «Шифровать содержимое для защиты данных».
Рис.8. Вид файла с включенным шифрованием
При первой настройке функции шифрования отобразится предложение о создании архивной копии сертификата и ключа шифрования (рис. 9). Данную процедуру обязательно необходимо произвести, поскольку есть шанс потерять зашифрованные файлы, например, после переустановки системы или удаления учетной записи.
В случае, если по какой-то причине данное окно не появилось, можно запустить процесс архивации ключей следующим образом.
Зайдите в свойства зашифрованного файла и откройте окно с дополнительными атрибутами. Нажмите на кнопку «Подробно» для отображения информации о доступе к данному файлу (рис. 10).
Выберите пользователя, чей сертификат необходимо архивировать и нажмите на кнопку «Архивация ключей». В результате будет запущен мастер экспорта сертификатов (рис. 11). Ознакомьтесь с информацией, указанной на приветственном окне мастера и нажмите кнопку «Далее».

Рис.9. Вид файла с включенным шифрованием
Рис.10. Информация о предоставленном доступе к зашифрованному файлу

Рис.11. Мастер экспорта сертификатов
В следующем окне потребуется выбрать в каком формате будет осуществлен экспорт файла сертификата. Доступным для данного вида сертификатов является только формат файла обмена личной информацией (рис. 12).
Данный файл будет сформирован в соответствии с 12-м стандартом семейства Public Key Cryptography Standards (PKCS). Данные стандарты криптографии с открытым ключом являются спецификациями, разработанными RSA Security для ускорения разработки ассиметричных криптографических методов. Первый стандарт в данной группе как раз относится к алгоритму шифрования
RSA.
PKCS#12 определяет формат файла, используемый для хранения и/или транспортировки закрытого ключа, цепочки доверия от сертификата пользователя до корневого сертификата удостоверяющего центра и списка отзыва сертификатов. Формат распознаётся и используется многими браузерами и почтовыми агентами. В файлах
PKCS#12 хранятся одновременно и сертификат, и закрытый ключ.
Защита файла осуществляется одним из двух способов: безопасным, с использованием доверенной ключевой пары
(открытый/закрытый ключи, подходящие для цифровой подписи и шифрования) или менее безопасным, с использованием симметричного ключа, основанного на пароле. Второй подходит для случаев, когда использование доверенных пар открытый/закрытый ключей недоступны.

Рис.12. Формат файла экспортируемого сертификата
В текущем окне можете оставить все параметры по умолчанию и нажать на кнопку «Далее». Откроется раздел, относящийся к организации безопасности закрытого ключа (рис. 13). Раздел, относящийся к выбору групп или пользователей, доступен на компьютерах, включенных в состав домена. Поэтому в данном случае раздел игнорируем.
Поставьте галочку напротив пункта «Пароль». Задайте пароль и его подтверждение. В качестве алгоритма шифрования выберите AES.
Альтернативой к нему идет вариант с тройным шифрованием по алгоритму DES (Triple DES или 3DES).

Нажмите на кнопку «Далее». В результате откроется следующая вкладка, в которой необходимо задать информацию по создаваемому файлу.
Рис.13. Защита закрытого ключа для субъекта безопасности
Нажмите на кнопку «Обзор» и выберите расположение, куда хотите сохранить экспортируемый сертификат с ключом (рис. 14). После внесения всей необходимой информации нажмите на кнопку
«Далее».
На следующем шаге будет выведена обобщенная информация по процедуре экспорта сертификата. Ознакомьтесь с ней и нажмите кнопку
«Готово». В результате будет выведено сообщение об успешном экспорте сертификата (рис. 15).

Рис.14. Защита закрытого ключа паролем
Рис.15. Уведомление об успешном экспорте сертификата
Чтобы проверить, что данный файл зашифрован, зайдите под учетной записью второго созданного пользователя. Попробуйте открыть файл первого пользователя (зашифрованный им) под учетной записью второго пользователя. Будет выведено сообщение об отказе доступа к файлу (рис. 16).
Рис.16. Уведомление об отказе в доступе

Теперь зашифруйте второй файл из-под учетной записи второго пользователя, а также создайте архивную копию сертификата и закрытого ключа второго пользователя. Перейдите на учетную запись первого пользователя и попробуйте открыть файл, зашифрованный вторым пользователем. Также отобразится сообщение об отказе доступа к файлу.
Если по какой-либо причине будут потеряны данные о сертификате и закрытом ключе пользователя, то и сам пользователь не сможет получить доступ к зашифрованным им файлам и папкам.
Удалим данный сертификат вручную у первого пользователя.
Откройте меню «Пуск», в поле поиска введите название утилиты
«certmgr.msc» и нажмите Enter (рис. 17).
Рис.17. Вызов оснастки управления хранилищем сертификатов
В открывшемся окне управления хранилищем сертификатов откройте сертификаты раздела «Личное» (рис. 18).
Рис.18. Сертификат первого пользователя в хранилище
Удалите сертификат первого пользователя. Система предупредит о том, что данная операция может привести к невозможности просмотреть и расшифровать файлы, зашифрованные с помощью данного ключа (рис. 19).

Рис.19. Предупреждение о последствиях удаления сертификата
Чтобы изменения вступили в силу, завершите сеанс первого пользователя и снова зайдите под учетной записью первого пользователя.
Теперь доступ от первого пользователя к файлам, зашифрованным первым пользователем не доступен.
Чтобы вернуть доступ, необходимо восстановить сертификат и закрытый ключ пользователя. Для этого снова откройте хранилище сертификатов, перейдите в сертификаты раздела «Личное» и, вызвав правой кнопкой контекстное меню, выберите «Все задачи/Импорт…».
Запустится мастер импорта сертификатов, нажмите «Далее» (рис. 20).
Рис.20. Мастер импорта сертификатов

Укажите нужный сертификат, при этом нужно сменить указанный тип файлов с .cer и .crt на .pfx, так как по умолчанию в программе задаются сертификаты без закрытого ключа, нажмите
«Далее» (рис. 21).
Рис.21. Выбор восстанавливаемого сертификата
В следующем окне необходимо ввести пароль, указанный при архивировании сертификата первого пользователя. Введите пароль и нажмите «Далее» (рис. 22).
Рис.22. Ввод пароля для восстановления сертификата

Поместите сертификат в хранилище сертификатов «Личное», нажмите «Далее» (рис. 23).
Рис.23. Выбор хранилища для импорта сертификата
Восстановление сертификата с закрытым ключом завершено (рис.
24). Теперь доступ к файлам должен быть восстановлен. Проверьте от лица первого пользователя возможность просмотра содержимого файла.
Рис.24. Уведомление об успешном импорте сертификата
3.2 Совместное использование файлов
Использовать шифрование файлов можно и при совместном использовании одного файла несколькими пользователями. Общий доступ для папок не устанавливается. Сделайте доступным второй файл первому пользователю. Для этого войдите под вторым пользователем и

откройте его личное хранилище сертификатов пользователя. Выделите сертификат, вызовите контекстное меню и выполните команду «Все задачи/Экспорт…» (рис. 25).
Рис.25. Экспорт сертификата второго пользователя
При этом необходимо выполнить экспорт сертификата без закрытого ключа (рис. 26).
Рис.26. Экспорт сертификата без закрытого ключа
Представим, что данный сертификат был передан первому пользователю. Снова перейдите на учетную запись первого пользователя и откройте хранилище сертификатов пользователя. Перейдите в раздел сертификатов «Личное», вызовите контекстное меню и выполните команду «Все задачи/Импорт…». Импортируйте сертификат второго пользователя без закрытого ключа в раздел
«Доверенные лица».
Откройте свойства первого созданного файла, перейдите на вкладку «Общие» и нажмите кнопку «Другие». В окне
«Дополнительные атрибуты» нажмите кнопку «Подробно», откроется окно доступа к файлу (рис. 27).

Рис.27. Настройка доступа к первому файлу
Нажмите кнопку «Добавить…» и выберите сертификат первого пользователя (рис. 28).
Рис.28. Добавление сертификата второго пользователя

Проверьте доступ к данному файлу для первого пользователя. Чтобы убедиться, что данный файл доступен только первому и второму пользователю – создайте третьего пользователя и попробуйте через его учетную запись открыть второй файл.
4. Задание на практическую работу
1. Создайте учетные записи двух пользователей и файлы для каждого из них для выполнения практической работы.
2. Зашифруйте по одному файлу каждому из пользователей.
3. Архивируйте сертификаты с закрытым ключом для каждого из пользователей.
4. Сделайте совместный доступ к одному зашифрованному файлу для обоих пользователей.
5. Создайте третьего пользователя и проверьте доступ к файлу от него.
6. Составить по проделанной работе отчет.
5. Контрольные вопросы

1. В каких выпусках операционных систем Windows присутствует шифрованная файловая система?
2. Для каких файловых систем применима шифрованная файловая система?

3. Для чего в шифрованной файловой системе используется симметричное шифрование?
4. Для чего в шифрованной файловой системе используется асимметричное шифрование?
5. Опишите алгоритм работы шифрованной файловой системы Windows.

6. Для чего нужно архивировать закрытый ключ и сертификат пользователя?
7. Что такое PKCS?

8. Для чего используется PKCS#12?
9. Каким образом можно предоставить доступ к зашифрованному файлу другому пользователю?

10. В каких форматах можно экспортировать сертификат из локального хранилища без экспорта закрытого ключа?