Как зашифровать файлы и папки с помощью EFS в Windows 10, 8.1 и Windows 7

Установка пароля с помощью сторонних программ

Существует большое количество утилит, которые способны установить пароль на любую выбранную папку. При их выборе стоит руководствоваться следующими правилами:

скачивать только с официального сайта разработчиков;
проверять на наличие вирусов;
контролировать процесс установки, убирая галочки, разрешающие установку дополнительных программ;
обращать внимание на наличие русского языка;

При этом программы могут быть как бесплатными и находиться в свободном доступе, так и условно-бесплатными с пробным тридцатидневным периодом, или платными.

Название программы	Описание
Anvide Seal Folder	Одна из самых удобных программ, имеющих русскую версию
Lock-a-Folder	Нет русифицированной версии
Dir Lock	Нет официального сайта для скачивания. Не работает на Windows 10
Lim Block Folder	Есть русскоязычная версия. Не работает на Windows 8 и 10

Программа Folder Lock

Данная программа является одной из самых популярных среди платных, так как предоставляет множество возможностей:

защиту паролем файлов, папок, диска;
сделать недоступными для видения другими пользователями файлов;
в платной версии файлы и папки невозможно найти с помощью проводника. В бесплатной такая возможность существует;

Разработчики предоставляют возможность ознакомиться с бесплатной версией программы, которую можно скачать, нажав зеленую кнопку.

Бесплатная версия программы Folder Lock

Программа скачивается быстро, размер ее составляет всего 10 Мб.

Скачивание программы

При запуске установочного файла она запросит выбрать нужный язык. Русского в списке нет.

Выбор нужного языка при запуске установочного файла

Затем потребуется принять условия пользовательского соглашения.

Принятие условий пользовательского соглашения

Галочку напротив строки «Создать ярлык для всех пользователей» лучше убрать, достаточно создать ярлык на рабочем столе.

Выбор папки для сохранения устанавливаемой программы

Установка программы довольно быстрая, занимает 5-20 секунд.

Установка программы Folder Lock

При завершении установки программа автоматически запускается. Если убрать галочку напротив строки «Launch Folder Lock 7», запуск произведен не будет.

Автоматический запуск программы при завершении установки

Запустить программу можно будет самостоятельно нажатием ярлыка в виде ключика на рабочем столе.

Запуск программы нажатием ярлыка

При первом запуске программы будет предложено сразу установить пароль. Для этого можно использовать виртуальную клавиатуру, которая запускается нажатием значка возле кнопки «Ok».

Запуск виртуальной клавиатуры для установки пароля

Данный пароль следует запомнить, так как в дальнейшем он потребуется для открытия всех зашифрованных файлов и папок.

Шифрование файлов и папок

Добавление файлов для скрытия производится нажатием на кнопку с закрытым замком.

Добавление файлов для скрытия

Разблокировка файлов производится выделением нужного элемента, после чего потребуется нажать кнопку с изображением открытого замка.

Данная программа удобна в использовании и, несмотря на отсутствие русифицированной версии, проста в использовании благодаря интуитивно понятному интерфейсу. Однако этими преимуществами обладает только платная версия.

На сайте разработчика представлено несколько тарифных планов, включающих в себя разные степени защиты файлов, папок и дисков. На данный момент действует скидка на полный пакет.

Отличия шифрующей файловой системы EFS и Bitlocker

Основные отличия, связанные с думая различными возможностями шифрования в — Windows 7

Bitlocker шифрует целые диски (в том числе системные) или разделы дисков, в то время как EFS применяется к отдельным файлам и папкам. Впрочем, шифрование Bitlocker можно применить и к виртуальному диску (который на компьютере будет храниться как обычный файл).
Сертификаты шифрования EFS привязываются к конкретной учетной записи Windows и хранятся в системе (также ключ можно экспортировать в виде файла на флешке или записать на смарт-карту).
Ключи шифрования Bitlocker хранятся либо в аппаратном модуле TPM, либо могут быть сохранены на внешний накопитель. Открытый диск с Bitlocker одинаково доступен всем пользователям системы, более того, если не использовался TPM, такой диск можно легко открыть и на любом другом компьютере или ноутбуке, достаточно будет ввести пароль.
Шифрование для папок в случае использования EFS нужно включать вручную (файлы внутри будут в дальнейшем шифроваться автоматически). При использовании Bitlocker всё, что попадает на зашифрованный диск шифруется на лету.

С точки зрения безопасности более эффективно использование Bitlocker. Однако, если требуется всего лишь не дать открыть ваши файлы другим пользователям Windows, а вы используете домашнюю редакцию ОС (где нет Bitlocker) — для этого подойдет и EFS.

Возможные нюансы

При установке на компьютер с системой Windows 7 специальных программ для защиты учитывайте, что работать можно не более чем с одной программой, так как в противном случае возможны сбои в системе. Происходит взаимная ресурсная блокировка.
При удалении этих программ следует разблокировать защищённые папки, потому что это не всегда происходит автоматически.

Несмотря на то что в Windows 7 нет встроенной возможности для прямой защиты папок паролем, это можно делать с помощью файла-ключа или специально предназначенных для этой цели внешних программ. Последний вариант наиболее прост и удобен.

Как зашифровать файлы с помощью EFS в Windows

Мы рассмотрим два метода шифрования файлов с помощью EFS в Windows 10, но наряду с этим мы также рассмотрим, как шифровать папки с помощью EFS в Windows 10. Шифрование файлов и папок по отдельности мало чем отличается, но мы проверим это. в любом случае, чтобы все было ясно.

1. Шифрование с использованием расширенных атрибутов файла

Во-первых, давайте посмотрим, как шифровать файлы с помощью расширенных атрибутов файлов. Начните с выбора файла, который вы хотите зашифровать с помощью EFS.

Теперь нажмите на него правой кнопкой мыши и выберите Свойства.

В разделе Атрибуты на вкладке Общие нажмите кнопку с названием Дополнительно. Теперь откроется мини-окно с именем Расширенные атрибуты.

В разделе Сжать или зашифровать атрибуты установите флажок Зашифровать содержимое для защиты данных.

Нажмите ОК.

Это даст вам подтверждение, если вы действительно хотите зашифровать файл или если вы хотите зашифровать родительскую папку. Выберите наиболее подходящий вам вариант и нажмите ОК.

Затем нажмите Применить , а затем нажмите ОК.

Это зашифрует ваш выбранный файл в Windows 10/8/7 с использованием шифрования EFS.

Теперь, если вы хотите зашифровать только папку, а не файлы внутри этой папки, вы можете сделать это тоже.

Все, что вам нужно сделать — вместо выбора файла, который вы хотите зашифровать, выбрать папку.

Давайте посмотрим, как это сделать подробно.

Начните с выбора папки, которую вы хотите зашифровать с помощью EFS.

Теперь нажмите на него правой кнопкой мыши и выберите Свойства.

В разделе Атрибуты на вкладке Общие нажмите кнопку с названием Дополнительно.

Теперь откроется мини-окно с именем Расширенные атрибуты. В разделе Сжать или зашифровать атрибуты установите флажок Зашифровать содержимое для защиты данных.

Нажмите ОК.

Это даст вам подтверждение, если вы хотите зашифровать папку или если вы хотите зашифровать файлы и папки внутри нее. Выберите параметр «Зашифровать папку», а затем нажмите ОК.

Затем нажмите Применить , а затем нажмите ОК.

Это зашифрует выбранную папку в Windows 10/8/7 с использованием шифрования EFS.

2: Шифрование с использованием командной строки

Начните с нажатия комбинированной кнопки WINKEY + X или правой кнопки мыши на кнопке «Пуск» и нажмите Командная строка (Admin) или просто найдите cmd в окне поиска Cortana, справа нажмите на значок командной строки и нажмите Запуск от имени администратора .

Теперь, если вы хотите зашифровать файл с помощью EFS в Windows 10/8/7, введите следующую команду:

 cipher/e ""

Здесь замените на полный адрес файла, включая расширение.

Теперь нажмите Enter.

Введите выход , чтобы закрыть командную строку.

Выбранный вами файл теперь будет зашифрован с помощью EFS.

Теперь, если вам случится работать с папкой, она будет несколько хитрой и немного другой.

Прежде всего, начните с нажатия комбинации клавиш WINKEY + X или правой кнопки мыши на кнопке «Пуск» и нажмите Командная строка (Admin) или просто найдите cmd в Кортане. В окне поиска щелкните правой кнопкой мыши значок командной строки и выберите Запуск от имени администратора .

Теперь, если вы хотите зашифровать папку с помощью EFS в Windows 10/8/7, введите следующую команду:

 cipher/e ""

Обратите внимание, что приведенная выше команда просто зашифрует папку.
Если вы хотите зашифровать папку и другие файлы и папки внутри нее, вам придется использовать эту команду,

 cipher/e/s: ""

Введите exit , чтобы закрыть окно командной строки.

Это способ шифрования файлов и папок в Windows 10/8/7 с помощью шифрования EFS.

Далее мы увидим, как расшифровать зашифрованные файлы и папки EFS завтра.

Практическое применениеPractical applications

Данные на потерянном или украденном компьютере уязвимы к несанкционированному доступу в результате программной атаки или передачи жесткого диска на другой компьютер.Data on a lost or stolen computer is vulnerable to unauthorized access, either by running a software-attack tool against it or by transferring the computer’s hard disk to a different computer. BitLocker помогает предотвратить несанкционированный доступ к данным, усиливая защиту файлов и системы.BitLocker helps mitigate unauthorized data access by enhancing file and system protections. Кроме того, BitLocker помогает сделать данные недоступными при выводе из эксплуатации защищенных при помощи этого компонента компьютеров или передаче таких компьютеров другим пользователям.BitLocker also helps render data inaccessible when BitLocker-protected computers are decommissioned or recycled.

В средствах удаленного администрирования сервера есть еще два инструмента, с помощью которых можно управлять BitLocker.There are two additional tools in the Remote Server Administration Tools, which you can use to manage BitLocker.

Средство просмотра паролей восстановления BitLocker.BitLocker Recovery Password Viewer. Средство просмотра паролей восстановления BitLocker позволяет находить и просматривать пароли восстановления для шифрования дисков BitLocker, резервные копии которых созданы в доменных службах Active Directory (AD DS).The BitLocker Recovery Password Viewer enables you to locate and view BitLocker Drive Encryption recovery passwords that have been backed up to Active Directory Domain Services (AD DS). С помощью этого средства можно восстанавливать данные на диске, зашифрованном с помощью BitLocker.You can use this tool to help recover data that is stored on a drive that has been encrypted by using BitLocker. Средство просмотра паролей восстановления BitLocker — дополнение к оснастке «Пользователи и компьютеры Active Directory» для консоли управления (MMC).The BitLocker Recovery Password Viewer tool is an extension for the Active Directory Users and Computers Microsoft Management Console (MMC) snap-in.
С помощью этого средства можно изучить диалоговое окно Свойства объекта-компьютера, чтобы просмотреть соответствующие пароли восстановления BitLocker.By using this tool, you can examine a computer object’s Properties dialog box to view the corresponding BitLocker recovery passwords. Кроме того, вы можете щелкнуть контейнер домена правой кнопкой мыши, а затем искать пароль восстановления BitLocker на всех доменах в лесу Active Directory.Additionally, you can right-click a domain container and then search for a BitLocker recovery password across all the domains in the Active Directory forest. Просматривать пароли восстановления может администратор домена или пользователь, которому этот администратор делегировал соответствующие разрешения.To view recovery passwords, you must be a domain administrator, or you must have been delegated permissions by a domain administrator.
Средства шифрования диска BitLocker.BitLocker Drive Encryption Tools. В средства шифрования диска BitLocker входят программы командной строки manage-bde и repair-bde, а также командлеты Windows PowerShell для BitLocker.BitLocker Drive Encryption Tools include the command-line tools, manage-bde and repair-bde, and the BitLocker cmdlets for Windows PowerShell. Как manage-bde, так и командлеты для BitLocker позволяют решить любую задачу, выполнимую с помощью панели управления BitLocker. Кроме того, они подойдут для автоматического развертывания и других сценариев, в которых применяются сценарии.Both manage-bde and the BitLocker cmdlets can be used to perform any task that can be accomplished through the BitLocker control panel, and they are appropriate to use for automated deployments and other scripting scenarios. Программа командной строки repair-bde предназначена для аварийного восстановления в тех случаях, когда защищенный с помощью BitLocker диск не удается разблокировать обычным способом или с помощью агента восстановления.Repair-bde is provided for disaster recovery scenarios in which a BitLocker protected drive cannot be unlocked normally or by using the recovery console.

⇡#Шифрование стандартными средствами Windows 7, Mac OS X 10.7 и Ubuntu 12.04

Windows

При подключении зашифрованного тома вас каждый раз будут просить ввести пароль для доступа к данным, если вы не включите автоматическую разблокировку, а делать это не рекомендуется. Управлять параметрами зашифрованного тома можно всё в том же разделе «Шифрование диска BitLocker» панели управления. Если вы вдруг забыли пароль от BitLocker, то для расшифровки надо использовать 48-значный цифровой ключ восстановления — после его ввода том будет временно разблокирован.

Система EFS прозрачна для пользователя, то есть с файлами и папками можно работать как обычно. Но если попытаться открыть их в другой среде (ОС, ПК), то доступ к ним будет закрыт. Чтобы зашифровать файл или папку, достаточно в их свойствах нажать кнопку «Другие…» на вкладке «Общие» и поставить галочку «Шифровать содержимое для защиты данных». После применения изменений цвет имени зашифрованного элемента по умолчанию меняется на зелёный для лучшей визуальной идентификации защищённых данных.

Для расшифровки достаточно снять галочку в свойствах файла/папки. При попытке скопировать защищённые данные в неподходящие для этого места — на диск c FAT32, в сетевое хранилище и так далее — появится предупреждение, что данные будут расшифрованы и попадут туда в незащищённом виде. Для удобства работы с EFS можно добавить в контекстное меню проводника соответствующие пункты. Достаточно создать DWORD-параметр EncryptionContextMenu в ветке реестра HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\ и выставить его значение в 1.

Для расшифровки данных на накопителе в случае недоступности машины, на которой они шифровались, нужна резервная копия сертификата и пароль к ней. Для импорта достаточно дважды кликнуть по pfx-файлу и следовать указаниям мастера. Если вы хотите в дальнейшем экспортировать данный сертификат для работы с данными на ещё одной машине, то отметьте эту опцию галочкой.

Сохранить импортируемый сертификат нужно в личном хранилище. После окончания процесса доступ к зашифрованным файлам и папкам будет открыт. Управлять личными сертификатами можно с помощью оснастки MMC — Win+R, certmgr.msc, Enter.

Ещё одна крайне полезная опция, а именно затирание свободного места на диске, доступна только с помощью командной строки. Ключ /W — очистка места, /E — шифрование, /D — расшифровка. Описание остальных параметров доступно во встроенной справке — ключ /?.

cipher /W X:\\путь\\до\\любой\\папки\\на\\очищаемом\\диске

Mac OS X

В дисковой утилите выберите «Новый образ» и в появившемся диалоге укажите имя файла и его местоположение, задайте имя диску и выберите размер. В качестве ФС вполне подойдёт журналируемая Mac OS Extended. Шифрование лучше выбрать AES-256. В списке «Разделы» оставьте выбор «Жёсткий диск», а в качестве формата укажите растущий пакет-образ. Осталось придумать или сгенерировать пароль для доступа, но не запоминать его в связке ключей для пущей безопасности, а каждый раз вводить вручную. При двойном клике по образу он подмонтируется с запросом пароля. После сохранения на нём важных данных не забудьте отмонтировать образ.

Ubuntu

sudo apt-get install ecryptfs-utils cryptsetup

Здесь есть один нюанс — чтобы зашифровать домашний каталог какого-нибудь пользователя, файлы в этом каталоге не должны быть открыты в какой-либо программе, а значит, пользователь должен выйти из системы. Для этого придётся создать ещё одну временную учётную запись с правами администратора. После создания оной выходим из системы и логинимся с новым аккаунтом.

От имени второго пользователя выполняем следующую команду, в которой username заменяем именем пользователя, чей домашний каталог мы будем шифровать. Преобразование файлов займёт некоторое время, так что наберитесь терпения.

sudo ecryptfs-migrate-home -u username

После завершения операции выходим из системы и снова входим в неё под основной учётной записью. Теперь можно удалить временный аккаунт и все его файлы. Через несколько минут после входа появится предупреждение о том, что надо бы сохранить в надёжном месте случайно сгенерированный пароль для доступа к только что зашифрованным файлам на случай экстренного восстановления. Не забудьте это сделать.

Наконец, осталось удалить «старый» домашний каталог home/имя_пользователя.XXXXXXXX, где XXXXXXXX — случайный набор букв.

sudo rm -rf /home/username.XXXXXXXX

Для шифрования раздела подкачки достаточно выполнить одну-единственную команду, затем убедиться, что в etc/fstab закомментирована запись о старом swap-разделе, а в качестве нового указан /dev/mapper/cryptswap1.

sudo ecryptfs-setup-swap

Как узнать мастер ключи Windows

В mimikatz есть функция, которая извлекает все мастер ключи для текущего пользователя. Но прежде чем перейти к ней, давайте «пощупаем» сами мастер ключи, чтобы они не были для нас чем-то абстрактными.

В расшифрованном виде пример мастер ключа выглядит так: 5dccd3bea06a52d4355fa6b03421845c9fe96277db0d5af1a24eb3daefb14d6fc66b386a3a235a29327d0dc1f7ca990389644af173893d4cf3392b3950953dd8

Зашифрованные мастер ключи хранятся в папке вида %appdata%\Microsoft\Protect\{sid}\*. В этой записи:

%appdata% означает C:\Users\\AppData\Roaming
{sid} означает SID пользователя

В CMD (Win+r → набрать cmd) свой SID можно посмотреть командой:

wmic useraccount where name="%USERNAME%" get sid

Предыдущая команда не сработает в PowerShell. Следующие команды сработают как в CMD, так и в PowerShell.

Чтобы узнать свой SID:

whoami /user

Чтобы узнать SID всех пользователей:

wmic useraccount get name,sid

Зашифрованные файлы мастер ключей на жёстком диске:

Функция dpapi::masterkey умеет расшифровывать мастер ключи. Если использовать эту функцию только с опцией /in, после которой указать путь до мастер ключа, то будет выведена информация о нём без его расшифровки:

dpapi::masterkey /in:"%appdata%\Microsoft\Protect\S-1-5-21-4099021954-1290662600-116018068-1001\ac45381a-d9db-4c68-b0e9-7410667c3984"

Чуть позже мы ещё вернёмся к этой функции, когда будем расшифровывать мастер ключ офлайн, т. е. на другом компьютере, без возможности запустить сессию для владельца целевого мастер ключа.

Для того, чтобы извлечь сразу все мастер ключи текущего пользователя выполните команду:

sekurlsa::dpapi

Мастер ключи в этой секции:

Authentication Id : 0 ; 371163 (00000000:0005a9db)
Session           : Interactive from 1
User Name         : MiAl
Domain            : HACKWARE-MIAL
Logon Server      : HACKWARE-MIAL
Logon Time        : 25.02.2020 13:25:54
SID               : S-1-5-21-4099021954-1290662600-116018068-1001
         
         * GUID      :  {abd3abfe-f620-46e4-a5ee-8dc314ef4169}
         * Time      :  25.02.2020 18:34:11
         * MasterKey :  450e3e2609e394dfef60c90533a06ddd84dc9968965bd8579a3c40607704077e506c8d0738e6f42cfd934b3eb75eedc3c29fe7deb8dd0cf05ddb4deb653fcbff
         * sha1(key) :  806d3a6453a45b9b4eb3e8edafc9dd4b12c0d494
         
         * GUID      :  {ac45381a-d9db-4c68-b0e9-7410667c3984}
         * Time      :  25.02.2020 18:26:00
         * MasterKey :  5dccd3bea06a52d4355fa6b03421845c9fe96277db0d5af1a24eb3daefb14d6fc66b386a3a235a29327d0dc1f7ca990389644af173893d4cf3392b3950953dd8
         * sha1(key) :  d5a7975eea70b6fe5eae3809ed3c7e9c864d1333

GUID — это идентификатор, имя файла мастер ключа. MasterKey — сам мастер ключ.

Для удобства, mimikatz хранит кэш извлечённых мастер ключей. Причём не просто хранит и показывает их, но и использует нужный мастер ключ в том случае, если он нужен для определённых операций. Чтобы посмотреть содержимое кэша выполните команду:

dpapi::cache

Извлечённые мастер ключи, то есть кэш, можно сохранить для использования на другой машине или в другой раз.