Bezpečnostní informační portál. Transparentní šifrování: výhody a nevýhody

Blog CyberSoft

Široké použití síťových technologií(LAN , CAN , VPN) umožňuje společnostem organizovat rychle a pohodlná výměna informace o různé vzdálenosti. Přesto je ochrana informací v podnikovém prostředí úkolem, který je aktuální dodnes a trápí mysl manažerů malých, středních i velkých podniků v nejrůznějších oblastech činnosti. Navíc bez ohledu na velikost společnosti je téměř vždy nutné, aby management rozlišoval práva přístupu zaměstnanců k důvěrným informacím podle stupně jejich důležitosti.

V tomto článku budeme hovořit o transparentní šifrování jako jeden z nejběžnějších způsobů ochrany informací v podnikovém prostředí zvažte obecné zásadyšifrování pro více uživatelů (kryptografie s více veřejnými klíči), a také jak nastavit transparentní šifrování síťových složek pomocí programu CyberSafe Files Encryption.

Jaká je výhoda transparentního šifrování?

Použití virtuálních kryptodisků nebo funkce úplného šifrování disku je plně opodstatněné místní počítač v podnikovém prostoru je však vhodnější použít přístup transparentní šifrování, protože tato funkce poskytuje rychlé a pohodlná práce s klasifikovanými soubory pro několik uživatelů současně. Při vytváření a úpravách souborů probíhají procesy jejich šifrování a dešifrování automaticky, za běhu. Pro práci s chráněnými dokumenty nepotřebují zaměstnanci společnosti žádné kryptografické dovednosti, nemusí provádět žádné další kroky k dešifrování nebo šifrování tajných souborů.

Práce s utajovanými dokumenty probíhá v obvyklém režimu pomocí standardu systémové aplikace. Všechny funkce pro nastavení šifrování a vymezení přístupových práv lze přiřadit jedné osobě, například správci systému.

Šifrování s více veřejnými klíči a digitální obálky

Transparentní šifrování funguje následovně. K zašifrování souboru se používá náhodně generovaný symetrický klíč relace, který je zase chráněn veřejným asymetrickým klíčem uživatele. Pokud uživatel přistupuje k souboru, aby v něm provedl nějaké změny, ovladač transparentního šifrování dešifruje symetrický klíč pomocí soukromého (soukromého) klíče uživatele a poté pomocí symetrického klíče dešifruje samotný soubor. O tom, jak transparentní šifrování funguje, jsme podrobně hovořili v .

Ale co když existuje několik uživatelů a tajné soubory nejsou uloženy na místním počítači, ale ve složce na vzdáleném serveru? Koneckonců, šifrovaný soubor je stejný, ale každý uživatel má svůj vlastní jedinečný pár klíčů.

V tomto případě se jedná o tzv digitální obálky.

Jak je vidět z obrázku, digitální obálka obsahuje soubor zašifrovaný náhodně generovaným symetrickým klíčem a také několik kopií tohoto symetrického klíče, chráněných veřejnými asymetrickými klíči každého uživatele. Bude existovat tolik kopií, kolik bude uživatelům povoleno přistupovat k chráněné složce.

Ovladač transparentního šifrování funguje následovně: když uživatel přistupuje k souboru, zkontroluje, zda jeho certifikát existuje ( veřejný klíč) v seznamu povolených. Pokud ano, kopie symetrického klíče, která byla zašifrována pomocí veřejného klíče uživatele, se dešifruje pomocí soukromého klíče tohoto uživatele. Pokud je v seznamu certifikátů tohoto uživatele ne, přístup bude odepřen.

Šifrování síťových složek pomocí CyberSafe

Pomocí CyberSafe, Správce systému bude moci nastavit transparentní šifrování síťové složky bez použití dalších protokolů ochrany dat, jako je IPSec nebo WebDAV, a dále spravovat přístup uživatelů ke konkrétní šifrované složce.

Pro konfiguraci transparentního šifrování musí mít každý uživatel, kterému má být povolen přístup k důvěrným informacím, na svém počítači nainstalován CyberSafe, vytvořen osobní certifikát a veřejný klíč zveřejněný na serveru veřejného klíče CyberSafe.

Dále vytvoří správce systému na vzdáleném serveru nová složka, přidá ji do CyberSafe a přiřadí klíče těm uživatelům, kteří budou moci v budoucnu pracovat se soubory v této složce. Složek si samozřejmě můžete vytvořit, kolik chcete, ukládat do nich důvěrná informace různé stupně důležitosti a správce systému může kdykoli odebrat uživatele z těch, kteří mají ke složce přístup, nebo přidat nového.

Zvažte jednoduchý příklad:

Na souborový server Enterprise ABC uchovává 3 databáze s důvěrnými informacemi různého stupně důležitosti – DSP, Secret a Top Secret. Je vyžadováno poskytnutí přístupu: k DB1 uživatelů Ivanov, Petrov, Nikiforov, k DB2 Petrova a Smirnova, k DB3 Smirnova a Ivanova.

Chcete-li to provést, na souborovém serveru, který může být libovolný síťový zdroj, budete muset vytvořit tři samostatné složky pro každou databázi a těmto složkám přiřadit certifikáty (klíče) odpovídajících uživatelů:

Tento nebo jiný podobný úkol s přístupovými právy lze samozřejmě vyřešit pomocí ACL Windows. Tato metoda však může být účinná pouze při rozlišování přístupových práv na počítačích zaměstnanců v rámci firmy. Samo o sobě neposkytuje ochranu důvěrných informací v případě připojení třetí strany na souborový server a použití kryptografie k ochraně dat je nutností.

Kromě toho lze všechna nastavení zabezpečení systému souborů resetovat pomocí příkazového řádku. Ve Windows na to existuje speciální nástroj - "calcs", pomocí kterého lze prohlížet oprávnění k souborům a složkám a také je resetovat. Ve Windows 7 se tento příkaz nazývá „icacls“ a provádí se následovně:

1. V příkazový řádek s právy správce zadejte: cmd
2. Přejděte na disk nebo oddíl, například: CD /D D:
3. Chcete-li resetovat všechna oprávnění, zadejte: icacls * / T / Q / C / RESET

Je možné, že icacls nebude fungovat napoprvé. Poté před krokem 2 musíte spustit následující příkaz:
Po tom dříve nastavit oprávnění na souborech a složkách budou resetovány.

Je možné vytvořit systém založený na virtuální kryptodisk a ACL(více o takovém systému při používání kryptodisků v organizacích je napsáno.). Takový systém je však také zranitelný, protože pro zajištění neustálého přístupu zaměstnanců k datům na kryptodisku jej bude muset správce udržovat připojený (namontovaný) po celý pracovní den, což ohrožuje důvěrné informace na kryptodisku i bez znát heslo k němu, pokud se během připojení může útočník připojit k serveru.

Síťové disky s vestavěným šifrováním problém také neřeší, protože chrání data, pouze když s nimi nikdo nepracuje. To znamená, že vestavěná funkce šifrování může chránit důvěrná data před kompromitací pouze v případě odcizení samotného disku.

V CyberSafe se šifrování/dešifrování souborů neprovádí na souborovém serveru, ale na straně uživatele. Důvěrné soubory jsou proto na serveru uloženy pouze v zašifrované podobě, což vylučuje možnost jejich kompromitace přímé spojeníútočníka na souborový server. Všechny soubory na serveru, uložené v transparentně zašifrované složce, jsou šifrované a zabezpečené. Uživatelé a aplikace je zároveň vidí jako běžné soubory: Poznámkový blok, Word, Excel, HTML atd. Aplikace mohou tyto soubory přímo číst a zapisovat; skutečnost, že jsou šifrována, je pro ně transparentní.

Uživatelé bez přístupu mohou tyto soubory také vidět, ale nemohou je číst ani upravovat. To znamená, že pokud správce systému nemá přístup k dokumentům v žádné ze složek, může je stále provádět záloha. Samozřejmě všechno zálohy soubory jsou také šifrovány.

Když však uživatel otevře některý ze souborů pro práci na svém počítači, existuje možnost, že k němu získají přístup nechtěné aplikace (samozřejmě pokud je počítač infikován). Aby se tomu zabránilo, má CyberSafe jako další bezpečnostní opatření, díky kterému může správce systému definovat seznam programů, které mají přístup k souborům z chráněné složky. Všechny ostatní aplikace, které nejsou uvedeny v seznamu důvěryhodných, nebudou mít přístup. To omezí přístup k důvěrným informacím pro spyware, rootkity a další malware.

Protože veškerá práce se šifrovanými soubory probíhá na straně uživatele, znamená to, že CyberSafe není nainstalován na souborovém serveru a při práci v podnikovém prostředí lze program použít k ochraně informací na síťové úložiště ah se souborem systém NTFS, jako je Windows Storage Server. Všechny důvěrné informace jsou v takovém úložišti šifrovány a CyberSafe je nainstalován pouze na počítačích uživatelů, ze kterých přistupují k zašifrovaným souborům.

To je výhoda CyberSafe oproti TrueCrypt a dalším šifrovacím programům, které vyžadují instalaci v místě fyzického úložiště souborů, což znamená, že pouze Osobní počítač, ale ne síťový disk. Využití síťových úložišť ve firmách a organizacích je samozřejmě mnohem pohodlnější a oprávněnější než použití klasického počítače.

Tedy s CyberSafe bez jakýchkoliv dodatečné finanční prostředky lze zařídit účinná ochrana cenné soubory, poskytují pohodlnou práci se šifrovanými síťovými složkami a také rozlišují uživatelská přístupová práva k důvěrným informacím.

Všichni víme, jak šifrovat data přenášená přes internet - musíte používat všechny druhy . Pokud se bavíme o ochraně firemních dat přenášených mezi pobočkami (často se takový přenos uskutečňuje přes internet: budovat vlastní linky pro přenos dat není ekonomicky rentabilní), pak v firemní síť nasadit svůj vlastní server VPN.

Pokud potřebujete chránit osobní provoz, pak se s platbou za provoz používají všechny druhy služeb VPN. Jejich služby jsou velmi levné. Kromě toho můžete projekt používat - je obecně zdarma.

Transparentní šifrování s CyberSafe

Úvodní slovo
Jak funguje transparentní šifrování v CyberSafe

Ale co když potřebujete šifrovat přenášená data lokální síť? Představte si, že jste důležité dokumenty zašifrovali pomocí EFS, nebo je ukládáte na virtuální disk. Pokud tyto dokumenty používáte osobně, není problém. Problémy však nastanou, pokud budete na těchto dokumentech potřebovat spolupracovat. Systém souborů EFS nepodporuje šifrování dat přenášených po síti.

U virtuálního disku je situace podobná: ano, přístup k virtuálnímu disku můžete „sdílet“, ale vaše data zůstanou zašifrována pouze na vašem počítači. Jakmile opustí její limity, budou přenášeny po lokální síti v čistém stavu. A to znamená, že útočník (což může být váš kolega, který je připojen ke stejné lokální síti jako vy, ale nemá přístup k šifrovaným datům) je může snadno zachytit.

Všechna řešení pro šifrování provozu jsou zaměřena hlavně na šifrování dat, která přesahují místní síť, to znamená, že ochrana se provádí při přenosu dat přes internet. Místní síť je považována za přirozeně bezpečné prostředí.

Ano, existují hardwarové způsoby, jak tento problém vyřešit – speciální síťové adaptéry a přepínače s podporou šifrování. Ale jen se zamyslete: takový přepínač musí být nainstalován v každé podsíti a podobně síťový adaptér pro každý počítač v síti. Je to dost nákladné.

Začal jsem hledat levnější řešení. A našel jsem to. Tento program . Vlastně proto jsem se s tímto programem seznámil. Ano, program je komerční. Pravda, díky nepochopitelné cenové politice vývojáře na stránce si ho můžete pořídit za pouhých 32 dolarů (licence pro 2 PC), nikoli za 100 dolarů (taková cena na cybersafesoft.com). Ukazuje se, že cena ochrany jednoho počítače je 16 dolarů. Pokud je počet uživatelů, kteří potřebují pracovat s tajnými daty, větší, budete si muset koupit.

Transparentní šifrování v CyberSafe

Podívejme se, jak je transparentní šifrování implementováno v programu CyberSafe. Pro transparentní šifrování se používá ovladač Alfa Transparent File Encryptor1, který šifruje soubory pomocí algoritmu AES-256.

Šifrovací pravidlo (maska souboru, povolené/zakázané procesy atd.) a šifrovací klíč jsou předány ovladači. Samotný šifrovací klíč je uložen ve složce ADS (Alternate Data Streams) a zašifrován pomocí OpenSSL ( Algoritmus RSA) - k tomu slouží certifikáty.

Logika je následující: přidáme složku, CyberSafe vytvoří klíč pro ovladač, zašifruje jej vybranými veřejnými certifikáty (musí být předem vytvořeny nebo importovány do CyberSafe). Když se jakýkoli uživatel pokusí o přístup ke složce, CyberSafe otevře ADS složky a přečte šifrovaný klíč. Pokud má tento uživatel soukromý klíč certifikátu (může mít jeden nebo více vlastních certifikátů), který byl použit k zašifrování klíče, může otevřít tuto složku a číst soubory. Je třeba poznamenat, že ovladač při udělování přístupu k souboru dešifruje pouze to, co je potřeba, a ne všechny soubory.

Například, pokud uživatel otevře velké wordový dokument, pak se dešifruje pouze ta část, která je aktuálně načtena do editoru, zbytek se načte podle potřeby. Pokud je soubor malý, bude dešifrován celý, ale zbytek souborů zůstane zašifrován.

Pokud je složka sdílená v síti, pak soubory v ní zůstávají zašifrované, klientský ovladač dešifruje pouze soubor nebo část souboru v paměti, i když to platí také pro místní složka. Při úpravě souboru ovladač zašifruje změny v paměti a zapíše je do souboru. Jinými slovy, i když je složka povolena (co to je, si ukážeme později), data na disku zůstanou vždy zašifrována.

Princip je jednoduchý: na server uložíme zašifrovanou složku (takto budeme podmíněně nazývat počítač, kde je složka se zašifrovanými dokumenty uložena), přístup do této složky je sdílený. Program CyberSafe je nainstalován na počítači každého uživatele, který musí mít přístup k tajným dokumentům. Pointa je, že k šifrování a dešifrování dat dochází na klientovi, nikoli na serveru. Data jsou tedy přenášena po síti v šifrované podobě.

Pozornost! Program CyberSafe má jednu velmi důležitou a pro mě nepochopitelnou vlastnost. Počítač, kde budou uloženy šifrované dokumenty, by neměl mít nainstalovaný CyberSafe. Pokud jej nainstalujete, budou mít ostatní počítače problémy s přístupem k zašifrované složce. Proč se to dělá, nechápu. Ve velkých podnicích je toto chování samozřejmě velmi pohodlné a oprávněné. Sdílené dokumenty jsou obvykle uloženy na serveru (obvykle pod Ovládání Windows Server) a není vyžadováno přidělení samostatného počítače – je již přidělen. A pro server nemusíte kupovat samostatnou licenci, což, jak se říká, je maličkost, ale pěkná.

Jak nastavit transparentní šifrování

Popíšu pouze obecný proces nastavení:

Každý uživatel si musí vygenerovat a publikovat svůj vlastní klíč.
Na serveru musíte vytvořit prázdnou složku a po zašifrování do ní zkopírovat data. Nechť je to složka \\ACER\test\secret.
Potřeba poskytnout obecný přístup do složky s tajnými dokumenty.
Na jednom z počítačů musíte importovat certifikáty všech
uživatelé, kteří potřebují přístup k tajným dokumentům. Vše je připraveno k zašifrování složky.
Přejděte do části Transparentní šifrování a klikněte na tlačítko Přidat. složku a vyberte složku, kterou chcete zašifrovat. Připomeňte si, abyste si vybrali síťové složky\\ACER\test\secret.
Klepněte na tlačítko Použít. Budete vyzváni k přidání šifrovacích klíčů pro složku, klepněte na Ano. Pokud jste omylem odpověděli Ne, zvýrazněte složku v seznamu a klikněte na tlačítko Klíče.
Zobrazí se dialogové okno pro výběr uživatelského klíče. Vyberte pouze ty, kteří by měli mít přístup ke složce (ti, kteří mohou dešifrovat soubory). Klepněte na tlačítko OK.
Budete vyzváni k přidání klíče správce do složky. Správce může spravovat seznam uživatelských klíčů. Pokud se nezmění seznam uživatelů, kteří mají přístup ke složce, lze klíč správce vynechat. Dále budete muset vybrat správce složky.
To je vše, složka je zašifrována. Chcete-li s ním začít pracovat, vyberte jej a klikněte na tlačítko Povolit. Poté můžete začít pracovat se složkou.

Důležité! Pokaždé, když potřebujete šifrovanou složku, musíte ji povolit pomocí tlačítka Povolit. Pokud složka není zahrnuta a jsou do ní přidány soubory, nebudou zašifrovány!

To je vše. Ale ještě jednou bych vás rád upozornil na server. Může fungovat jako server běžný počítač se systémem Windows. Jen nezapomeňte na počet uživatelů současně pracujících se síťovou složkou. Toto číslo je omezeno samotnými Windows a pokud je uživatelů hodně, budete si pravděpodobně muset koupit Windows Server. A ještě jedna věc: jak již bylo uvedeno, nemusíte program instalovat na server, jinak nebude proces šifrování probíhat správně.

) umožňuje společnostem organizovat rychlou a pohodlnou výměnu informací na různé vzdálenosti. Přesto je ochrana informací v podnikovém prostředí úkolem, který je aktuální dodnes a trápí mysl manažerů malých, středních i velkých podniků v nejrůznějších oblastech činnosti. Navíc bez ohledu na velikost společnosti je téměř vždy nutné, aby management rozlišoval práva přístupu zaměstnanců k důvěrným informacím podle stupně jejich důležitosti.

V tomto článku budeme hovořit o transparentní šifrování jako jeden z nejběžnějších způsobů ochrany informací ve firemním prostředí se budeme zabývat obecnými principy šifrování pro více uživatelů (kryptografie s více veřejnými klíči) a také si povíme, jak pomocí programu nastavit transparentní šifrování síťových složek.

Jaká je výhoda transparentního šifrování?

Použití virtuálních kryptodisků nebo šifrování celého disku je na lokálním počítači uživatele zcela oprávněné, nicméně v podnikovém prostoru je vhodnější použít transparentní šifrování, protože tato funkce umožňuje rychlou a pohodlnou práci s klasifikovanými soubory současně několika uživatelům. Při vytváření a úpravách souborů probíhají procesy jejich šifrování a dešifrování automaticky, za běhu. Pro práci s chráněnými dokumenty nepotřebují zaměstnanci společnosti žádné kryptografické dovednosti, nemusí provádět žádné další kroky k dešifrování nebo šifrování tajných souborů.

Práce s utajovanými dokumenty probíhá v obvyklém režimu pomocí standardních systémových aplikací. Všechny funkce pro nastavení šifrování a vymezení přístupových práv lze přiřadit jedné osobě, například správci systému.

Šifrování s více veřejnými klíči a digitální obálky

V tomto případě se jedná o tzv digitální obálky.

Ovladač transparentního šifrování funguje následovně: když uživatel přistupuje k souboru, zkontroluje, zda je jeho certifikát (veřejný klíč) na seznamu povolených. Pokud ano, kopie symetrického klíče, která byla zašifrována pomocí veřejného klíče uživatele, se dešifruje pomocí soukromého klíče tohoto uživatele. Pokud certifikát tohoto uživatele není uveden, bude přístup odepřen.

Šifrování síťových složek pomocí CyberSafe

Pomocí CyberSafe bude správce systému schopen nastavit transparentní šifrování síťové složky bez použití dalších protokolů ochrany dat, jako je například další kontrola uživatelského přístupu k určité šifrované složce.

Dále správce systému na vzdáleném serveru vytvoří novou složku, přidá ji do CyberSafe a přiřadí klíče těm uživatelům, kteří budou moci v budoucnu pracovat se soubory v této složce. Samozřejmě můžete vytvořit tolik složek, kolik potřebujete, uložit do nich důvěrné informace různé důležitosti a správce systému může kdykoli odebrat uživatele z těch, kteří mají ke složce přístup, nebo přidat nového.

Zvažte jednoduchý příklad:

Souborový server podniku ABC uchovává 3 databáze s důvěrnými informacemi různého stupně důležitosti - DSP, Secret a Top Secret. Je vyžadováno poskytnutí přístupu: k DB1 uživatelů Ivanov, Petrov, Nikiforov, k DB2 Petrova a Smirnova, k DB3 Smirnova a Ivanova.

Chcete-li to provést, na souborovém serveru, kterým může být jakýkoli síťový prostředek, budete muset vytvořit tři samostatné složky pro každou databázi a těmto složkám přiřadit certifikáty (klíče) odpovídajících uživatelů:

Tento nebo jiný podobný problém s rozlišením přístupových práv lze samozřejmě řešit i pomocí Nápověda systému Windows. Tato metoda však může být účinná pouze při rozlišování přístupových práv na počítačích zaměstnanců v rámci firmy. Sám o sobě neposkytuje ochranu důvěrných informací v případě připojení třetí strany k souborovému serveru a použití kryptografie k ochraně dat je prostě nezbytné.

1. Do příkazového řádku s právy správce zadejte: cmd
2. Přejděte na disk nebo oddíl, například: CD /D D:
3. Chcete-li resetovat všechna oprávnění, zadejte: icacls * / T / Q / C / RESET

Je možné, že icacls nebude fungovat napoprvé. Poté před krokem 2 musíte spustit následující příkaz:

Poté budou resetována dříve nastavená oprávnění k souborům a složkám.

Šifrování/dešifrování souborů se neprovádí na souborovém serveru, ale na straně uživatele. Důvěrné soubory jsou proto na serveru uloženy pouze v zašifrované podobě, což vylučuje možnost jejich kompromitace v případě přímého připojení útočníka k souborovému serveru. Všechny soubory na serveru, uložené v transparentně zašifrované složce, jsou šifrované a zabezpečené. Uživatelé a aplikace je zároveň vidí jako běžné soubory: Poznámkový blok, Word, Excel, HTML atd. Aplikace mohou tyto soubory přímo číst a zapisovat; skutečnost, že jsou šifrována, je pro ně transparentní.

Uživatelé bez přístupu mohou tyto soubory také vidět, ale nemohou je číst ani upravovat. To znamená, že pokud správce systému nemá přístup k dokumentům v některé ze složek, může je stále zálohovat. Všechny zálohy souborů jsou samozřejmě také šifrované.

Když však uživatel otevře některý ze souborů pro práci na svém počítači, existuje možnost, že k němu získají přístup nechtěné aplikace (samozřejmě pokud je počítač infikován). Aby se tomu zabránilo, má CyberSafe jako další bezpečnostní opatření, díky kterému může správce systému definovat seznam programů, které mají přístup k souborům z chráněné složky. Všechny ostatní aplikace, které nejsou uvedeny v seznamu důvěryhodných, nebudou mít přístup, což omezí přístup k důvěrným informacím pro spyware, rootkity a další malware.

Vzhledem k tomu, že veškerá práce se šifrovanými soubory probíhá na straně uživatele, znamená to, že CyberSafe není nainstalován na souborovém serveru a při práci v podnikovém prostoru lze program použít k ochraně informací na síťových úložištích se systémem souborů NTFS. , jako . Všechny důvěrné informace jsou v takovém úložišti šifrovány a CyberSafe je nainstalován pouze na počítačích uživatelů, ze kterých přistupují k zašifrovaným souborům.

To je výhoda CyberSafe oproti TrueCrypt a dalším šifrovacím programům, které vyžadují instalaci ve fyzickém úložišti souborů, což znamená, že jako server lze použít pouze osobní počítač, ale ne síťový disk. Využití síťových úložišť ve firmách a organizacích je samozřejmě mnohem pohodlnější a oprávněnější než použití klasického počítače.

S pomocí CyberSafe tak můžete bez dalších nástrojů organizovat účinnou ochranu cenných souborů, zajistit pohodlnou práci se šifrovanými síťovými složkami a také rozlišit uživatelská přístupová práva k důvěrným informacím.

V tomto článku budeme hovořit o transparentní šifrování jako jeden z nejběžnějších způsobů ochrany informací v podnikovém prostředí se podíváme na obecné principy šifrování pro více uživatelů (kryptografie s více veřejnými klíči) a také si povíme, jak nastavit transparentní šifrování síťových složek pomocí CyberSafe Files. Šifrovací program.

Jaká je výhoda transparentního šifrování?

Šifrování s více veřejnými klíči a digitální obálky

Transparentní šifrování funguje následovně. K zašifrování souboru se používá náhodně generovaný symetrický klíč relace, který je zase chráněn veřejným asymetrickým klíčem uživatele. Pokud uživatel přistupuje k souboru, aby v něm provedl nějaké změny, ovladač transparentního šifrování dešifruje symetrický klíč pomocí soukromého (soukromého) klíče uživatele a poté pomocí symetrického klíče dešifruje samotný soubor. Jak transparentní šifrování funguje, jsme podrobně popsali v předchozím tématu.

V tomto případě se jedná o tzv digitální obálky.

Šifrování síťových složek pomocí CyberSafe

Pomocí CyberSafe bude správce systému schopen nastavit transparentní šifrování síťové složky bez použití dalších protokolů ochrany dat, jako je IPSec nebo WebDAV, a dále řídit přístup uživatelů ke konkrétní šifrované složce.

Zvažte jednoduchý příklad:

Tento nebo jiný podobný úkol s přístupovými právy lze samozřejmě vyřešit pomocí ACL Windows. Tato metoda však může být účinná pouze při rozlišování přístupových práv na počítačích zaměstnanců v rámci firmy. Sám o sobě neposkytuje ochranu důvěrných informací v případě připojení třetí strany k souborovému serveru a použití kryptografie k ochraně dat je prostě nezbytné.

1. Do příkazového řádku s právy správce zadejte: cmd
2. Přejděte na disk nebo oddíl, například: CD /D D:
3. Chcete-li resetovat všechna oprávnění, zadejte: icacls * / T / Q / C / RESET

Je možné, že icacls nebude fungovat napoprvé. Poté před krokem 2 musíte spustit následující příkaz:

Poté budou resetována dříve nastavená oprávnění k souborům a složkám.

Chcete-li šifrovat fyzické disky a vytvářet virtuální šifrované disky. Takové šifrování však není vždy vhodné.
Za prvé, není vždy možné zašifrovat celý fyzický disk. Za druhé, pokud používáte virtuální disky, pak kontejnerové soubory mají tendenci zabírat stovky megabajtů. místo na disku a útočník je velmi snadno odhalí. Ano, data jsou, ale vítězí lidská lenost. Zatřetí, šifrovaná složka se může neustále zvětšovat a velikost kryptodisku je omezena na hodnotu zadanou při jeho vytvoření.
Každý chce pracovat se soubory pohodlně a zároveň jsou soubory bezpečně chráněny. Existuje takový kompromis - je to transparentní šifrování souborů, kdy jsou soubory šifrovány a dešifrovány "za běhu" - v procesu práce s nimi. Soubory zůstávají zašifrované a pracujete s nimi jako s běžnými soubory. Pokud jste například zašifrovali složku C:\Documents a umístili do ní své dokumenty, pak při otevření dokumentu z této složky se spustí Word nebo Excel a ani nemají podezření, že jsou zašifrovány. Pracujete se zašifrovanými soubory jako s těmi nejběžnějšími, aniž byste přemýšleli o šifrování, připojování, virtuální disky atd.
Kromě snadného použití má transparentní šifrování ještě jednu významnou výhodu. Zpravidla se ukládají virtuální šifrované disky velký počet soubory. Chcete-li pracovat i s jedním z nich, musíte připojit celý kryptodisk. V důsledku toho se všechny ostatní soubory stanou zranitelnými. Samozřejmě můžete vytvořit mnoho malých kryptodisků, každému přiřadit samostatné heslo, ale to není příliš pohodlné.
V případě transparentního šifrování můžete vytvořit tolik šifrovaných složek, kolik potřebujete, a do každé z nich vložit různé skupiny souborů – dokumenty, osobní fotografie atd. V tomto případě jsou dešifrovány pouze ty soubory, ke kterým se přistupuje, a ne všechny soubory kryptodisku najednou.

Výhody a nevýhody EFS

Ve Windows (počínaje Windows 2000 a kromě edic Home) se k organizaci transparentního šifrování tradičně používá systém souborů EFS (Encrypting File System).
EFS je navržen tak, aby zabránil jednomu uživateli v přístupu k (šifrovaným) souborům jiného uživatele. Proč bylo nutné vytvořit EFS, když NTFS podporuje řízení přístupu? Přestože je NTFS celkem bezpečný souborový systém, postupem času se objevily různé utility (jeden z prvních byl NTFSDOS, který umožňuje číst soubory umístěné na NTFS oddílu z prostředí DOS), ignorující oprávnění NTFS. Bylo potřeba dodatečná ochrana. Takovou ochranou měl být EFS.
EFS je ve skutečnosti doplněk pro NTFS. EFS je praktické, protože je součástí systému Windows a k šifrování souborů nepotřebujete žádný další software. software- vše, co potřebujete, je již ve Windows. Pro zahájení šifrování souborů nemusíte nic dělat, protože při prvním zašifrování souboru se uživateli automaticky vygeneruje šifrovací certifikát a soukromý klíč.
Výhodou EFS je také to, že když přesunete soubor ze zašifrované složky do jakékoli jiné, zůstane zašifrovaný, a když soubor zkopírujete do zašifrované složky, automaticky se zašifruje. Není třeba podnikat žádné další kroky.
Tento přístup je samozřejmě velmi pohodlný a uživateli se zdá, že EFS je jedinou výhodou. Ale není. Na jedné straně může uživatel za nepříznivých okolností ztratit přístup k zašifrovaným souborům úplně. To se může stát v následujících případech:

Problémy s hardwarem, např. mimo provoz základní deska, poškozený bootloader, poškozený systémové soubory kvůli selhání pevný disk(špatné sektory). Nakonec HDD můžete se připojit k jinému počítači a kopírovat z něj soubory, ale pokud jsou šifrovány pomocí EFS, neuspějete.
Systém byl přeinstalován. Systém Windows lze přeinstalovat z různých důvodů. V takovém případě samozřejmě dojde ke ztrátě přístupu k šifrovaným datům.
Uživatelský profil byl odstraněn. I když vytvoříte uživatele se stejným jménem, bude mu přiděleno jiné ID a data stále nebudou dešifrována.
Správce systému nebo uživatel resetoval heslo. Poté bude také ztracen přístup k datům EFS.
Nesprávný převod uživatele do jiné domény. Pokud je přenos proveden nesprávně, nebude mít přístup ke svým zašifrovaným souborům.

Když uživatelé (zejména začátečníci) začnou používat EFS, málokdo o tom přemýšlí. Ale na druhou stranu existuje speciální software (a to bude ukázáno později v práci), který umožňuje přístup k datům, i když byl systém přeinstalován a některé klíče byly ztraceny. A ani nevím, zda lze tuto skutečnost připsat výhodám nebo nevýhodám - tento software vám umožňuje obnovit přístup k datům, ale zároveň jej může útočník použít k získání neoprávněného přístupu k šifrovaným souborům.
Zdá se, že data šifrovaná pomocí EFS jsou velmi spolehlivá. Soubory na disku jsou totiž šifrovány pomocí klíče FEK (File Encryption Key), který je uložen v atributech souboru. Samotný FEK je zašifrován hlavním klíčem, který je zase zašifrován pomocí klíčů systémových uživatelů, kteří mají k tomuto souboru přístup. Klíče uživatele jsou zašifrovány pomocí hash hesel těchto uživatelů a hodnoty hash hesel jsou také šifrovány pomocí SYSKEY.
Zdálo by se, že takový šifrovací řetězec by měl poskytnout spolehlivou ochranu data, ale vše se scvrkává na uživatelské jméno a heslo. Jakmile uživatel resetuje heslo nebo přeinstaluje systém, nebude již možný přístup k šifrovaným datům.
Vývojáři EFS hráli na jistotu a implementovali agenty obnovy (EFS Recovery Agent), tedy uživatele, kteří dokážou dešifrovat data zašifrovaná jinými uživateli. Použití konceptu EFS RA však není příliš pohodlné a dokonce obtížné, zejména pro začínající uživatele. Výsledkem je, že tito začínající uživatelé vědí, jak šifrovat pomocí soubory EFS ale nevím, co dělat v případě nouze. Je dobré, že existuje speciální software, který může v této situaci pomoci, ale stejný software lze použít i pro neoprávněný přístup k datům, jak již bylo uvedeno.
Mezi nevýhody EFS patří nemožnost síťového šifrování (pokud jej potřebujete, musíte použít jiné protokoly pro šifrování dat, např. IPSec) a chybějící podpora jiných souborových systémů. Pokud zkopírujete zašifrovaný soubor do souborový systém, který nepodporuje šifrování, například na FAT / FAT32 bude soubor dešifrován a může si jej prohlédnout každý. Na tom není nic překvapivého, EFS je jen doplněk k NTFS.
Ukazuje se, že EFS přináší více škody než užitku. Ale abych nebyl neopodstatněný, uvedu příklad použití programu Advanced EFS Data Recovery pro získání přístupu k zašifrovaným datům. Scénář bude nejjednodušší: nejprve se přihlásím jako jiný uživatel a pokusím se získat přístup k zašifrovanému souboru, který druhý uživatel zašifroval. Poté nasimuluji reálnou situaci, kdy byl smazán certifikát uživatele, který soubor zašifroval (to se může stát např. přeinstalování Windows). Jak uvidíte, program speciální problémy se s touto situací vypořádat.

Použití Advanced EFS Data Recovery k dešifrování EFS šifrovaných souborů

Podívejme se, jak můžete dešifrovat soubory zašifrované pomocí EFS. Prvním krokem je povolit šifrování pro jednu ze složek. Pro demonstraci jsem konkrétně vytvořil složku EFS-Crypted. Pro aktivaci EFS šifrování pro složku stačí povolit odpovídající atribut v jejích vlastnostech (obr. 1).

Rýže. 1. Povolte šifrování pro složku

Název zašifrované složky a všechny soubory v ní umístěné (které budou automaticky zašifrovány) se zobrazí v Průzkumníku v zeleném. Jak je znázorněno na Obr. 2, v zašifrované složce, kterou jsem přidal textový soubor config.txt, jehož obsah se pokusíme zobrazit po přihlášení jako jiný uživatel. Pro test byl vytvořen další uživatel s administrátorskými právy (taková práva potřebuje program Advanced EFS Obnova dat(AEFSDR) od ElcomSoft), viz obr. 3.

Rýže. 2. Obsah šifrované složky

Rýže. 3. Vytvořil nového uživatele

Samozřejmě, pokud se přihlásíte jako jiný uživatel a pokusíte se přečíst soubor config.txt, nic z toho nebude (obr. 4).

Rýže. 4. Přístup odepřen

Ale to nevadí – spustíme program Advanced EFS Data Recovery a přejdeme rovnou do Expertního režimu (můžete samozřejmě použít průvodce, který se otevře při prvním spuštění (obr. 5)), ale já preferuji expertní režim .

Rýže. 5. Průvodce při spouštění Advanced EFS Data Recovery

Rýže. 6. Expert pokročilý mód Záchrana dat EFS

Přejděte tedy na kartu Šifrované soubory a stiskněte tlačítko Vyhledejte zašifrované soubory. Na Obr. 6 již ukazuje výsledek kontroly - byl nalezen náš jediný zašifrovaný soubor C:\EFS-Crypted\config.txt. Vyberte jej a klikněte na tlačítko Dešifrovat. Program vás vyzve k výběru adresáře, kde chcete soubory dešifrovat (obr. 7).

Rýže. 7. Vyberte adresář, kde budou soubory dešifrovány

Protože mám zkušební verze programu, musíte stisknout pro pokračování. Pokračovat(obr. 8). Dešifrované soubory jsou umístěny v podsložce AEFS_<имя_диска>_DECRYPTED (Obrázek 9). Upozorňujeme, že náš soubor config.txt již není zvýrazněn zeleně a můžeme si prohlédnout jeho obsah (obr. 10).

Rýže. 8. Stiskněte tlačítko Pokračovat

Rýže. 9. Dešifrované soubory

Rýže. 10. Obsah souboru config.txt

Nyní zkomplikujeme úlohu programu Pokročilá obnova dat EFS, konkrétně odstranit osobní certifikát. Přihlaste se jako uživatel, který vytvořil šifrovanou složku a spusťte konzolu mmc, vyberte příkaz nabídky Soubor, Přidat nebo odebrat Snap. Dále vyberte příslušenství Certifikáty a stiskněte tlačítko Přidat(obr. 11). V okně, které se zobrazí, vyberte můj účet uživatel(obr. 12).

Rýže. 11. Přidání snímku

Rýže. 12. Správce certifikátů snap-in

Dále klikněte na tlačítko OK a v zobrazeném okně přejděte na Certifikáty, Osobní, Certifikáty. Uvidíte vygenerované certifikáty pro aktuálního uživatele (obrázek 13). V mém případě je volán uživatel test. Klepněte pravým tlačítkem myši na jeho certifikát a vyberte příkaz Vymazat k odebrání certifikátu. Zobrazí se upozornění, že již nebude možné dešifrovat data zašifrovaná tímto certifikátem. No, brzy to prověříme.

Rýže. 13. Osobní certifikáty

Rýže. 14. Upozornění při mazání certifikátu

Zavřete modul snap-in a zkuste získat přístup k zašifrovanému souboru. Neuspějete, přestože jste tento soubor zašifrovali. Koneckonců, certifikát je odstraněn.
Změňte uživatele, spusťte Advanced EFS Data Recovery. Zkuste soubor dešifrovat, jak je uvedeno výše. Nejprve program oznámí, že certifikát nebyl nalezen. Proto musíte přejít na kartu EFS související soubory a stiskněte tlačítko Vyhledejte klíče. Po chvíli vám program oznámí, že klíče našel, ale pravděpodobně ne všechny (obr. 15). Program doporučuje znovu naskenovat klíče, ale tentokrát se zapnutou možností Skenování podle sektorů(obr. 16), ale to jsem neudělal a okamžitě jsem přešel na záložku Šifrované soubory. Program úspěšně našel a dešifroval soubor. Na Obr. Obrázek 17 ukazuje, že jsem již uložil dešifrovaný soubor na plochu.

Rýže. 15. Vyhledávání klíčů

Rýže. 16. Okno skenování

Rýže. 17. Soubor je znovu dešifrován

K ostudě EFS nebo ke cti Advanced EFS Data Recovery byl soubor v obou případech dešifrován. Přitom, jak vidíte, nepotřeboval jsem žádné speciální znalosti a dovednosti. Stačí spustit program, který veškerou práci udělá za vás. O tom, jak program funguje, si můžete přečíst na webu vývojářů (http://www.elcomsoft.ru/), v tomto článku nebudeme podrobně zvažovat princip jeho fungování, protože AEFSDR není předmětem článku .
Poctivě je třeba říci, že specialisté dokážou nakonfigurovat systém tak, že Advanced EFS Data Recovery bude bezmocný. Pokryli jsme však nejčastější použití EFS u naprosté většiny uživatelů.

Transparentní šifrovací systém implementovaný v CyberSafe Top Secret

Pojďme se podívat, jak je v CyberSafe implementováno transparentní šifrování. Pro transparentní šifrování se používá ovladač Alfa Transparent File Encryptor (http://www.alfasp.com/products.html), který šifruje soubory pomocí algoritmu AES-256 nebo algoritmu GOST 28147-89 (při použití Crypto-Pro ).
Šifrovací pravidlo (maska souboru, povolené/zakázané procesy atd.) a šifrovací klíč jsou předány ovladači. Samotný šifrovací klíč je uložen ve složce ADS (Alternate Data Streams, eb.by/Z598) a šifrován pomocí OpenSSL (algoritmus RSA) nebo GOST R 34.10-2001 - k tomu slouží certifikáty.
Logika je následující: přidáme složku, CyberSafe vytvoří klíč pro ovladač, zašifruje jej vybranými veřejnými certifikáty (musí být předem vytvořeny nebo importovány do CyberSafe). Když se jakýkoli uživatel pokusí o přístup ke složce, CyberSafe otevře ADS složky a přečte šifrovaný klíč. Pokud má tento uživatel soukromý klíč certifikátu (může mít jeden nebo více vlastních certifikátů), který byl použit k zašifrování klíče, může otevřít tuto složku a číst soubory. Je třeba poznamenat, že ovladač při udělování přístupu k souboru dešifruje pouze to, co je potřeba, a ne všechny soubory. Pokud například uživatel otevře velký dokument aplikace Word, dešifruje se pouze ta část, která je aktuálně načtena do editoru, zbytek se načte podle potřeby. Pokud je soubor malý, bude dešifrován celý, ale zbytek souborů zůstane zašifrován.
Pokud je složka sdílená v síti, pak soubory v ní zůstanou zašifrované, klientský ovladač dešifruje pouze soubor nebo část souboru v paměti, i když to platí i pro místní složku. Při úpravě souboru ovladač zašifruje změny v paměti a zapíše je do souboru. Jinými slovy, i když je složka povolena (co to je, si ukážeme později), data na disku zůstanou vždy zašifrována.

Použití CyberSafe Top Secret k transparentnímu šifrování souborů a složek

Je čas zvážit praktické využití Přísně tajný program CyberSafe. Chcete-li zašifrovat složku, přejděte do sekce programy Transparentní šifrování(tab Šifrování souborů), viz obr. 18. Poté z Průzkumníka přetáhněte složky, které chcete zašifrovat, do pracovní plochy programu. Můžete také použít tlačítko ext. složku. Přidal jsem jednu složku - C:\CS-Crypted.

Rýže. 18. Přísně tajný program CyberSafe

Klepněte na tlačítko Aplikovat. V okně, které se objeví (obr. 19), klikněte na tlačítko Ano nebo Ano na všechno x (pokud se pokoušíte zašifrovat více složek najednou). Dále se vám zobrazí okno pro výběr certifikátů, jejichž klíče budou použity k transparentnímu zašifrování složky (obr. 20). Certifikáty jsou zpravidla vytvářeny ihned po instalaci programu. Pokud jste to ještě neudělali, budete se muset vrátit do sekce Soukromé klíče a stiskněte tlačítko Vytvořit.

Rýže. 19. Klepněte na Ano

Rýže. 20. Výběr certifikátů pro transparentní šifrování

Další otázkou programu je, zda je nutné pro tuto složku nastavit administrátorský klíč (obr. 21). Bez klíče správce nebudete moci ve složce provádět změny, klikněte na tlačítko Ano.

Rýže. 21. Stiskněte znovu Ano

Poté se vrátíte do hlavního okna programu. Než začnete pracovat se šifrovanou složkou, musíte ji vybrat a kliknout na tlačítko Zapnout. Program se zeptá na heslo certifikátu (obr. 22) určeného pro šifrování této složky. Poté se práce se šifrovanou složkou nebude lišit od práce s běžnou složkou. V okně CyberSafe bude složka označena jako otevřená a vlevo od ikony složky se objeví ikona zámku (obr. 23).

Rýže. 22. Zadejte heslo certifikátu

Rýže. 23. Šifrovaná složka je připojena

V Průzkumníku není šifrovaná složka ani šifrované soubory nijak označeny. Navenek vypadají stejně jako ostatní složky a soubory (na rozdíl od EFS, kde jsou názvy zašifrovaných souborů/složek zvýrazněny zeleně), viz obr. 24.

Rýže. 24. CS-Crypted Encrypted Folder v Průzkumníku souborů

Je třeba poznamenat, že stejným způsobem můžete zašifrovat síťovou složku. V tomto případě musí být program CyberSafe umístěn pouze na počítači uživatele, nikoli na souborovém serveru. Veškeré šifrování se provádí na klientovi a již zašifrované soubory se přenášejí na server. Toto rozhodnutí je více než oprávněné. Nejprve se po síti přenášejí již zašifrovaná data. Za druhé, i když správce serveru chce získat přístup k souborům, neuspěje, protože soubory mohou dešifrovat pouze uživatelé, jejichž certifikáty byly zadány během šifrování. Správce však může v případě potřeby zálohovat zašifrované soubory.
Když už šifrovaná složka není potřeba, musíte přejít do programu CyberSafe, vybrat složku a kliknout na tlačítko Vypnout. Takové řešení se vám nemusí zdát tak pohodlné jako EFS – je potřeba mačkat tlačítka zapnutí/vypnutí. Ale to je jen na první pohled. Za prvé, uživatel má jasno v tom, že složka je zašifrovaná a na tuto skutečnost nezapomene ani při přeinstalaci Windows. Za druhé, když používáte EFS, pokud potřebujete opustit počítač, musíte se odhlásit, protože když jste pryč, kdokoli může přijít k počítači a získat přístup k vašim souborům. Vše, co bude potřeba udělat, je zkopírovat soubory do zařízení, které nepodporuje šifrování, jako je například flash disk FAT32. Poté bude moci prohlížet soubory mimo váš počítač. S programem CyberSafe je vše o něco pohodlnější. Ano, musíte provést další akci („vypnout“ složku) a všechny zašifrované soubory budou nedostupné. Ale na druhou stranu nebudete muset restartovat všechny programy a otevírat všechny dokumenty (včetně nešifrovaných) – jako po opětovném přihlášení do systému.
Každý produkt má však své vlastní vlastnosti. CyberSafe není výjimkou. Představme si, že jste zašifrovali složku C:\CS-Crypted a umístili tam soubor report.txt. Když je složka deaktivována, samozřejmě nebudete moci soubor číst. Když složka povoleno, můžete k souboru přistupovat a v souladu s tím jej zkopírovat do jakékoli jiné nezašifrované složky. Ale po zkopírování souboru do nezašifrované složky si nadále žije svým vlastním životem. Na jednu stranu to není tak pohodlné jako v případě EFS, na druhou stranu při znalosti této vlastnosti programu bude uživatel ukázněnější a své tajné soubory bude ukládat pouze do šifrovaných složek.

Výkon

Nyní se pokusme zjistit, co je rychlejší - EFS nebo CyberSafe Top Secret. Všechny testy se provádějí na skutečném počítači – žádné virtuální stroje. Konfigurace notebooku je následující - Intel 1000M (1,8 GHz)/4 GB RAM/WD WD5000LPVT (500 GB, SATA-300, 5400 RPM, 8 MB vyrovnávací paměti/Windows 7 64-bit). Stroj není moc výkonný, ale co už.
Test bude velmi jednoduchý. Zkopírujeme soubory do každé ze složek a uvidíme, jak dlouho kopírování trvá. Abychom zjistili, který transparentní šifrovací nástroj je rychlejší, můžeme použít následující jednoduchý skript:

@echo off echo "Kopírování 5580 souborů do EFS-Crypted" echo %time% robocopy c:\Joomla c:\EFS-Crypted /E > log1 echo %time% echo "Kopírování 5580 souborů do CS-Crypted" echo %time% robocopy c:\Joomla c:\CS-Crypted /E > log2 echo %time%

Nemusíte být programátorský guru, abyste uhodli, co tento skript dělá. Není žádným tajemstvím, že často pracujeme s relativně malými soubory o velikosti od několika desítek do několika stovek kilobajtů. Tento skript kopíruje soubor Joomla! 3.3.6, která obsahuje 5580 takových malých souborů, nejprve do složky zašifrované EFS a poté do složky zašifrované CyberSoft. Uvidíme, kdo bude vítěz.
Příkaz robocopy slouží k rekurzivnímu kopírování souborů včetně prázdných (volba /E) a jeho výstup je záměrně přesměrován do textového souboru (pokud si přejete, můžete vidět, co se zkopírovalo a co ne), aby nedošlo k ucpání výstup skriptu.
Výsledky druhého testu jsou uvedeny na Obr. 25. Jak můžete vidět, EFS dokončil tento úkol za 74 sekund, zatímco CyberSoft to zvládl za pouhých 32 sekund. Vzhledem k tomu, že ve většině případů uživatelé pracují s mnoha malými soubory, CyberSafe bude více než dvakrát rychlejší než EFS.

Rýže. 25. Výsledky testů

Výhody CyberSafe Transparent Encryption

Teď si to trochu zrekapitulujeme. Mezi výhody transparentního šifrování CyberSafe patří následující skutečnosti:

Když složku vypnete, soubory lze zkopírovat v zašifrované podobě kamkoli, což vám umožní organizovat cloudové šifrování.
Ovladač programu CyberSafe vám umožňuje pracovat po síti, což umožňuje organizaci.
K dešifrování složky potřebujete nejen znát heslo, ale musíte mít příslušné certifikáty. Při použití Crypto-Pro lze klíč převést na token.
Aplikace CyberSafe podporuje instrukční sadu AES-NI, což má pozitivní vliv na výkon programu (prokázaly to testy výše).
Před neoprávněným přístupem ke svým soukromým klíčům se můžete chránit pomocí dvoufaktorové autentizace.
Podpora důvěryhodných aplikací

Poslední dvě výhody si zaslouží zvláštní pozornost. Abyste se ochránili před přístupem k soukromým klíčům uživatele, můžete chránit samotný program CyberSafe. Chcete-li to provést, spusťte příkaz Nástroje, Nastavení(obr. 26). V okně Nastavení na kartě Autentizace můžete povolit buď ověřování heslem nebo dvoufaktorové ověřování. Podrobnosti o tom, jak to provést, najdete v Průvodci programem CyberSafe na straně 119.

Rýže. 26. Ochrana samotného programu CyberSafe

Na kartě Povoleno. aplikací můžete definovat důvěryhodné aplikace, které mohou pracovat se šifrovanými soubory. Ve výchozím nastavení jsou všechny aplikace důvěryhodné. Pro větší bezpečnost však můžete nastavit aplikace, které mohou pracovat se šifrovanými soubory. Na Obr. 27 jsem zadal jako důvěryhodné aplikace MS Word a MS Excel. Pokud se jakýkoli jiný program pokusí o přístup k zašifrované složce, bude mu přístup odepřen. Dodatečné informace najdete v článku „Transparentní šifrování souborů na lokálním počítači pomocí CyberSafe Files Encryption“ (http://website/company/cybersafe/blog/210458/). Přidat štítky