Теперь о «Шифрованной файловой системе» (EFS). EFS работает, шифруя каждый файл с помощью алгоритма симметричного шифрования, зависящего от версии операционной системы и настроек. Для зашифрования с помощью EFS зайдите в свойства объекта (папки или файла) – Другое – Шифровать содержимое для защиты данных (рис. 17).
Рисунок 17 – Действия для зашифровки папки
Если у вас неактивна эта строка, то прочитайте пару советов по её активации в Интернете, статей много и действия несложные, например, https://recoverit.wondershare.com.ru/windows-computer-tips/encrypt-content-to-secure-data-greyed-out.html. Давайте для изучения Служб подробнее с ними ознакомимся в данном контексте. Бывает так, что ту или иную службу надо включить (найдите в поиске компьютера или выполните WIN+R – далее введите services.msc). Запустите вручную «Шифрованную файловую систему» (обычно она в самом конце списка), как показано на рисунке 18, после чего перезагрузите компьютер.
Рисунок 18 – EFS в «Службах»
Если включение службы не помогло, то повторите нажатие клавиш WIN + R. В открывшемся окне (программа Выполнить) введите regedit, затем подтвердите запуск. Откроется «Редактор реестра», давайте тоже его изучим подробнее. Введите этот текст в строке поиска (сверху поисковик): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem. Найдите ключ NtfsDisableEncryption и дважды щелкните по нему. Измените данные значения с 1 на 0 в диалоговом окне и нажмите ОК (рис. 19). Перезагрузите компьютер. Если советы не помогли, обратитесь к вышеуказанной статье про активацию EFS. Возможно, вы обладатель домашней версии и не сможете воспользоваться данной программой (не расстраивайтесь, есть аналоги).
Рисунок 19 – Значение NtfsDisableEncryption в «Редакторе реестра»
Если EFS работает, то подробную инструкцию по использованию легко найти в Интернете, например: https://remontka.pro/encrypt-files-folders-efs-windows/. После зашифровки файлы (папки) будут доступны только для пользователя и на том компьютере, где выполнялось шифрование. Другие пользователи на этом же компьютере будут видеть файлы и их имена на накопителе, но не смогут получить доступ к ним, даже если они имеют права администратора. Если по той или иной причине (например, после переустановки «Windows») вы потеряли возможность открыть файлы в зашифрованных EFS папках или вам потребовалась возможность открывать их на другом компьютере или под другим пользователем, то воспользуйтесь инструкциями из Интернета: https://remontka.pro/encrypt-files-folders-efs-windows/.
Встроенное шифрование в «MacOS».
В «MacOS» есть своя система шифрования «FileVault». Она позволяет зашифровать диск целиком, или по отдельному файлы. Запустите Системные настройки, зайдите в пункт меню Защита и безопасность, затем во вкладку FileVault, снимите блокировку, нажав замочек в левом нижнем углу. Выберите Включить FileVault, выберите подходящий вариант сброса пароля. Если выбран ключ восстановления, вам предоставят код, который нужно запомнить и сохранить в безопасном месте. Перегрузите устройство и сразу после этого будет выполняться фоновое зашифрование, при этом компьютером можно будет пользоваться без ограничений. Подробнее – https://support.apple.com/ru-ru/guide/mac-help/mh40593/mac. Также для зашифрования данных на «MacOS» можно использовать бесплатную утилиту «Encrypto» из магазина приложений «App Store». Она защищает данные при помощи алгоритма шифрования AES-256. Для расшифровки на компьютере тоже должна быть установлена данная программа [11].
«VeraCrypt».
К сожалению, «BitLocker» и EFS можно использовать только на «Windows». Существует множество аналогов «BitLocker», например для Unix подобных систем (Linux) есть утилита «cryptsetup» (LUKS), «eCryptfs», «Gparted» с графическим пользовательским интерфейсом (GUI) и другие, а для обладателей домашней версии «Windows» и «MacOS» есть множество бесплатных программ для установки, в том числе более старых, проверенных и авторитетных, для любой версии операционной системы (почти), например, «VeraCrypt» (последователь бывшей «TrueCrypt»). У программы открытый и проверенный годами специалистами исходный код, а значит ей можно доверять. На рисунке 20 представлен интерфейс программы.
Также одним из преимуществ данной программы является кроссплатформенность, поэтому в зависимости от вашей ОС («Windows», Linux, «MacOS») скачать её можно здесь: https://veracrypt.fr/en/Downloads.html. Хорошая и подробная инструкция по использованию даётся также на официальном сайте: https://veracrypt.eu/ru/Beginner%27s%20Tutorial.html и здесь: https://remontka.pro/veracrypt/.
Рисунок 20 – Интерфейс «VeraCrypt»
Основные функции «VeraCrypt»: создаёт виртуальный зашифрованный диск внутри файла и монтирует его как реальный диск; зашифрует весь раздел или запоминающее устройство, например USB-накопитель или жёсткий диск; зашифрует раздел или диск, на котором установлена «Windows» (аутентификация перед загрузкой); зашифрование является автоматическим, в реальном времени (на лету) и прозрачным; параллелизация и конвейерная обработка позволяют считывать и записывать данные так же быстро, как если бы диск не был зашифрован; зашифрование может быть аппаратно ускорено на современных процессорах. Также он обеспечивает возможность правдоподобного отрицания на случай, если злоумышленник заставит вас раскрыть пароль: скрытый том и скрытая операционная система. Принцип «двойного дна» – позволяет создать скрытый том внутри зашифрованного тома. Это обеспечивает дополнительный уровень конфиденциальности и безопасности, так как даже если кто-то заставит вас раскрыть пароль, вы можете предоставить доступ только к внешнему тому, скрывая существование внутреннего [12].
«Cryptomator».
А если вы пользуетесь удалённым хранилищем (для чего они нужны и как ими пользоваться узнаете в подглаве 1.9. «Сохранность данных и устройств») и вам важно сохранить конфиденциальность отправляемых туда данных, то есть бесплатное решение «Cryptomator». Скачать его можно на официальном сайте: https://cryptomator.org/downloads/ (там же даются понятные инструкции) или на «GitHub»: https://github.com/cryptomator/cryptomator в разделе «Releases». Установка интуитивно понятна. На рисунке 21 показан интерфейс программы. Зашифрование происходит с помощью AES-256, как для файлов, так и их имён.
Рисунок 21 – Интерфейс «Cryptomator»
После запуска программы нажмите + (снизу слева), далее Создать новое хранилище, выберите место для его размещения (например, в корне диска C или на Рабочий стол), введите название и создайте пароль (обязательно запишите его себе в безопасное место), также можно создать ключ восстановления (по желанию). Хранилище готово, найти его можно там, куда вы его создали, можете загружать (перетаскивать) туда любые файлы и папки, он будет на лету их шифровать. В том числе зайти в хранилище можно через Проводник – Этот компьютер (рис. 22).
Рисунок 22 – Зашифрованное хранилище
После завершения работы нажмите Заблокировать хранилище – Да. Для разблокировки там же откройте хранилище (файл masterkey.cryptomator) и введите пароль. К сожалению, перенести зашифрованное хранилище в облако через браузер невозможно. А чтобы отправить хранилище в облако необходимо иметь декстопную версию облака, т. е. скачайте и установите то облачное хранилище, которое захотите или которым уже пользуетесь, например, «Google Drive», «OneDrive» (https://www.microsoft.com/ru-ru/microsoft-365/onedrive/download), «Яндекс Диск» (https://360.yandex.ru/disk/download?src=Yandex.Sidebar), или любое другое, войдите (или создайте) в свой аккаунт, и просто перенесите зашифрованное хранилище в облако (обычно в Проводнике его сразу видно). Всё. Зайдя в облачное хранилище, вы увидите зашифрованную непонятную информацию (в том числе если зайдёте через браузер). Такой способ защищает вашу информацию от корпорации вашего облачного хранилища, в случае если вы ей не доверяете, хотя конечно они заявляют о своём шифровании и конфиденциальности, но всё же, разные случаи бывали, тут уже вопрос доверия.
Также это удобно, если у вас несколько устройств и хотите использовать шифрованное хранилище где-то ещё. Скачайте на устройство облако, зайдите в свой аккаунт, расшифруйте хранилище с помощью «Cryptomator» – при запуске программы надо будет не создавать хранилище, а открыть имеющееся, которое вы наблюдаете в Проводнике. Хорошие инструкции по использованию программы: https://yandex.ru/video/preview/520809375670226265, https://rutube.ru/video/989d5549ce82664f828464956935503b, https://xakep.ru/2021/12/02/cloud-fs-testing/. Программа работает и на мобильных устройствах, к тому же можно поискать и аналоги.
Хорошая статья на тему безопасного хранения файлов и информации: https://habr.com/ru/companies/first/articles/656653. Помните о том, что такие меры, как зашифрование всего диска, не всегда необходимы, особенно если дома кроме вас никто в компьютер не полезет или вы доверяете своим близким и облаку, не нарушаете Законодательство.
1.2.5. BIOS/UEFI и Безопасный режим
BIOS/UEFI на компьютере.
Также есть возможность задания пароля до загрузки операционной системы в настройках BIOS/UEFI, который имеется на любом компьютере, вне зависимости от типа ОС. Пароль на вход в компьютер в ОС «Windows» мешает посторонним входить в учётную запись пользователя, но он не препятствует доступу к настройкам BIOS, с помощью которых можно навредить компьютеру, просто разблокировать вход в «Windows», или получить несанкционированный доступ к вашему диску через ОС с помощью загрузочной «флешки». Чтобы защитить устройство от этих проблем, установите дополнительный пароль на BIOS, если вы не доверяете людям, с которыми живёте, или же решили отдать ноутбук в ремонт (об этом ещё будет ближе к концу книги в подглавах 1.8. «Цифровая безопасность в общественном месте» и 1.9. «Сохранность данных и устройств»). Помимо этого, в организациях, где очень важно сохранить конфиденциальность или секретность информации, устанавливают средства защиты от НСД (например, «Secret Net Studio», «Dallas Lock» и др.), как программные, так и программно-аппаратные с особым модулем, подключаемым к материнской плате, блокируя или вытащив USB-порт (разъём).
