Microsoft Windows Server 2003. Наиболее полное руководство


Система EFS и Windows Server 2003



EPS тесно взаимодействует с NTFS 5.0. Временные файлы, создаваемые приложениями, наследуют атрибуты оригинальных файлов (если файлы находятся в разделе NTFS). Вместе с файлом шифруются также и его временные копии. EFS находится в ядре Windows Server 2003 и использует для хранения ключей специальный пул, не выгружаемый на жесткий диск. Поэтому ключи никогда не попадают в файл подкачки.

В Windows Server 2003 файловая система EFS имеет некоторые новые возможности:

  • с зашифрованными файлами могут работать несколько пользователей. Пользователь, зашифровавший файл, может разрешить другим локальным и доменным пользователям (на компьютерах под управлением Windows 2000 и Windows XP) работать с этим файлом;
  •  можно шифровать автономные папки и файлы (offline folders);
  •  агент восстановления (recovery agent) по умолчанию не используется;
  •  стандартный алгоритм шифрования — Advanced Encryption Standard, AES (Rijndael) (256 бит). Алгоритм DESX, используемый по умолчанию системой EFS в Windows 2000 и Windows XP Professional, не может применяться для шифрования файлов в Windows Server 2003;
  •  вместо AES может использоваться алгоритм шифрования 3DES (128 или 168 бит), для этого нужно изменить политику безопасности;
  •  зашифрованные файлы могут располагаться в веб-папках;
  •  сертификаты EFS могут автоматически доставляться пользователю службами сертификатов (Certificate Services) и механизмом автоподписи сертификатов;
  •  личные ключи могут сохраняться и восстанавливаться при помощи средств архивации, имеющихся в службах сертификатов;
  •  вся служебная информация, сохраняемая на диске, не просто удаляется, а очищается (заполняется пустыми байтами); это увеличивает защищенность шифрованных данных.

Внимание


Нужно помнить о том, что операции сжатия данных (средствами файловой системы NTFS) и их шифрования (с помощью EFS) являются несовместимыми, т. е. исключающими друг друга.

Напомним, что каталоги и файлы можно шифровать только на томах NTFS.




Начало  Назад  Вперед