т без закритого тунелю.
Більше того, втрата сертифіката шифрування - ахіллесова п'ята шифрування - не буде такою вже проблемою. До тих пір, поки сертифікат все ще існує у будь-якого з членів групи, цей користувач все ще буде володіти копією сертифіката для розшифровки файлів. Так, як вона реалізована сьогодні, EFS завжди створює ключ для агента відновлення (за замовчуванням це локальний адміністратор), незалежно від того, хоче користувач чи ні, щоб агент відновлення міг розшифрувати файл.
EFS (так само, як реплікація файлів) - ще один приклад служби, яка була б по-справжньому чудовою, якби Microsoft реалізувала се належним чином. У тому вигляді, в якому вона існує зараз, вона зроблена рівно настільки, щоб Microsoft могла стверджувати про наявність у неї шифрування файлової системи.
Крім того факту, що EFS працює тільки для окремих користувачів, вона має низку інших проблем:
В§ сертифікати шифрування за умовчанням зберігаються в реєстрі локального комп'ютера, де їх можна відновити і використовувати для розшифровки файлів на комп'ютері. Для того щоб EFS функціонувала коректно як безпечна служба шифрування, сертифікати мають бути видалені з локального комп'ютера на фізично безпечний сервер сертифікатів або експортовані на знімний носій, який не залишає разом з комп'ютером.
Єдиний спосіб забезпечити безпеку локальних сертифікатів EFS - це використовувати аутентифікацію при допомоги смарт-карти або-скористатися SysKey , хеш-значення, використовуваного для шифрування локальної бази даних облікових записів SAM , яка містить сертифікат розшифровки EFS , на гнучкий диск або використовувати його в якості пароля під час початкового завантаження - і цей пароль або гнучкий диск повинні бути доступні для всіх, кому потрібно завантажувати комп'ютер;
В§ операції переміщення шляхом перетягування мишею в шифровану папку не приведуть до автоматичному шифруванню файлу, тому що операції переміщення не змінюють атрибутів фай-ла. Операції В«вирізати і вставитиВ» змінюють, бо ви явно видаляєте старий файл і створюєте новий.
В§ зашифровані файли будуть розшифровані, якщо вони будуть переміщені на томи з відмінною від NTFS файлової системою, що не підтримує шифрування.
В§ зашифровані файли не можуть бути зроблені загальними шляхом приміщення в загальну папку. Це обмеження призначене для збереження файлів у зашифрованому вигляді, загальні файли відправляються по мережі в простому текстовому форматі і хто завгодно може їх розшифрувати, маючи в наявності...
