Прозрачное шифрование по локальной сети с CyberSafe Top Secret. Шифрование дисков «на лету»: как защитить конфиденциальную информацию

Почти ежедневно поступают сообщения о взломах корпоративных сетей злоумышленниками и промышленными шпионами. Озабоченность этой проблемой нашла отражение в юридических документах, к примеру Федеральном законе о защите данных. Довольно часто возникают опасения и по поводу того, что собственный сетевой администратор во время обеденного перерыва может просмотреть данные о зарплатах. Тем более удивительно, что во многих компаниях меры по обеспечению безопасности заканчиваются установкой брандмауэра.

ПОХИЩЕНИЕ ДАННЫХ - НЕВИДИМОЕ ПРЕСТУПЛЕНИЕ

На ошибках учатся, гласит пословица. Однако в отношении безопасности ИТ, как показывает опыт, следует внести уточнения: «Учатся только на ошибках, но не всегда». Практически повсеместная установка брандмауэров и антивирусных сканеров на предприятиях доказывает, что большинство из них готовы реагировать на причиняемый, к примеру вирусом, ущерб принятием определенных контрмер. А вот криптографические решения до сих пор влачат жалкое существование. Причина конечно же в том, что воровство данных не оставляет за собой столь очевидных следов, как вирус или атака по типу «отказ в обслуживании», парализующая сеть. Однако во многих случаях экономический ущерб от кражи данных оказывается во много раз больше.

Кроме того, брандмауэры затрудняют проникновение в сеть только извне, однако не могут защитить от растущего числа внутренних преступлений. Уже в 2001 г. в исследовании консалтинговой компании Mummert und Partner общий ущерб от кражи данных на предприятиях Германии был оценен в 20 млрд марок, причем от 60 до 80% случаев вызвано действиями самих сотрудников. Статистика уголовного розыска указывает на повышение уровня компьютерной преступности при снижающейся доле раскрытия. Тем не менее при упоминании этой темы многие предпочитают прятать голову в песок.

ШИФРОВАНИЕ КАК ПРЕДУПРЕДИТЕЛЬНАЯ МЕРА

Против хищения данных имеется уже давно испытанное средство - шифрование. Идея не нова, но многие предприятия, как и прежде, отказываются от повсеместного шифрования своих данных. Наряду с отсутствием осознания серьезности проблемы и страхом перед вложением денег в безопасность ИТ причина кроется в том, что зачастую сами решения шифрования не отвечают практическим требованиям. Вместо этого производители аппаратного и программного обеспечения устраивают битву за характеристики, предлагая максимальное количество индивидуально настраиваемых криптографических алгоритмов или максимальную длину ключа.

Конечно, хороший метод шифрования и достаточная длина ключа очень важны. Порекомендовать можно гибридные методы из хорошего симметричного алгоритма, к примеру Triple DES или AES, с длиной ключа не менее 128 бит для шифрования полезной нагрузки и асимметричного метода, как RSA, с длиной ключа 1024 бит для управления ключами. Однако уровень безопасности, предлагаемый программным обеспечением, нельзя свести к выбору криптографических параметров. Для практического применения в корпоративной области необходимо решить и ряд других вопросов.

ПОЛЬЗОВАТЕЛИ ПРЕДПОЧИТАЮТ ПРОЗРАЧНОСТЬ

В первую очередь речь идет о четырех требованиях к решению шифрования:

отсутствие изменений в привычных деловых процессах;
простое администрирование и интеграция в существующие системные среды;
соблюдение внутренних правил безопасности;
высокая отказоустойчивость.

Правилами безопасности должно предусматриваться, что всемогущего администратора, имеющего доступ ко всем без исключения данным, быть не может. Кроме того, при необходимости должна быть возможность быстрого блокирования доступа пользователя к зашифрованным данным. В этом контексте обязательным является создание центральной системы администрирования решения обеспечения безопасности, поскольку в противном случае соблюдение директив зависело бы от каждого конкретного пользователя, который, как правило, заинтере-сован в выполнении только своей основной работы. «Прозрачное шифрование» - вот волшебное слово, которое понравится пользователям.

СТАНДАРТНЫЕ СРЕДСТВА В СРАВНЕНИИ СО СПЕЦИАЛИЗИРОВАННЫМИ

Прозрачное шифрование означает, что данные зашифровываются и расшифровываются без участия пользователя работающим в фоновом режиме драйвером фильтра, который следит за всеми обращениями к данным. Для этой цели некоторые операционные системы уже предлагают стандартные средства. Пользователям Linux доступна файловая система с прозрачным шифрованием (Transparent Cryptographic File System, TCFS), а Microsoft оснащает свои Windows 2000 и Windows XP Professional шифруемой файловой системой (Encrypted File System, EFS). Сколь ни привлекательны эти подходы, они еще должны доказать свою пригодность. Как для TCFS в Linux, так и для EFS в Windows известен ряд «дыр» в системе безопасности.

В ходе анализа EFS, результаты которого были представлены в 2003 г. на конгрессе Федерального ведомства безопасности информационных технологий (BSI), выяснилось, что «EFS лишь условно подходит для использования на предприятиях, поскольку отчасти или полностью не отвечает важным требованиям к корпоративному решению шифрования данных». Среди прочего в качестве важных аспектов отмечается следующее: передача Windows EFS данных по сети в незашифрованном виде и невозможность шифровать данные, доступ к которым предоставляется нескольким пользователям из одной рабочей группы. Кроме того, в Windows EFS, как и прежде, администратор остается всемогущим. При недостаточном внимании со стороны администратора по безопасности этим же пороком страдают продукты Safeguard Lancrypt и Protectfile от Eracom Technologies. В обоих случаях, если не используется смарт-карта, вся процедура связана с регистрацией в Windows, причем управление информацией о ключах происходит децентрализованно на соответствующих клиентах. Однако в Windows 2000 системному администратору совсем не сложно обойти пароль члена домена и получить доступ к системе соответствующего пользователя. Как только администратор получает доступ к профилю шифрования, ему становятся доступны все зашифрованные данные. Кроме того, Protectfile, как и Windows EFS, не в состоянии шифровать сжатые данные.

КЛИЕНТ-СЕРВЕРНОЕ РЕШЕНИЕ КАК ВЫХОД

Децентрализованное управление информацией о ключах порождает принципиальные проблемы. Первой является упомянутый доступ администратора, который путем сброса пароля может войти в систему от лица пользователя. Вторая заключается в том, что у пользователя, имеющего доступ ко всей необходимой информации, далеко не так просто отобрать это право. К тому же уже существующие массивы данных шифруются на файловом сервере, только когда пользователь обратится к нему при помощи активного драйвера фильтра. Однако пока этого не произойдет, данные сохраняются в виде открытого текста.

Альтернативой с хорошими надеждами на успех является переход от клиентского решения к клиент-серверной модели. На клиенте требуется лишь инсталлировать драйвер фильтра, который будет заниматься шифрованием в фоновом режиме. Однако информацию о ключах клиент получает лишь в случае необходимости от сервера безопасности, отвечающего за управление ключами и соблюдение правил безопасности. Этот сервер, кроме того, может осуществлять первоначальное шифрование всех нуждающихся в защите данных на файловом сервере, и тогда они оказываются защищены от слишком любопытных взглядов еще до первого обращения со стороны клиента.

Для предотвращения входа администратора под чужим паролем важно, чтобы авторизация в системе шифрования не была привязана исключительно к регистрации в операционной системе. При помощи технологий «вопрос/ответ» можно обезопасить процесс, чтобы лишь авторизованные пользователи получали доступ к зашифрованным данным. Тем, кому требуются дополнительные гарантии, для хранения ключа понадобятся смарт-карты. Если не хочется работать с нестандартными решениями,то при выборе решения безопасности следует обратить внимание на наличие у него международного стандартизированного интерфейса для чтения смарт-карт, к примеру PKCS#11. То обстоятельство, что пользователь помимо регистрации в операционной системе должен лишний раз авторизоваться при помощи пароля или смарт-карты, при этих преимуществах выглядит приемлемо.

В подобном сценарии доступу к зашифрованному файлу, хранимому на файловом сервере, предшествует запрос от клиента к серверу. Затем сервер на основе своих директив безопасности проверяет, имеет ли клиент право расшифровывать запрашиваемый файл. В случае положительного ответа сервер надежным путем предоставляет ему необходимый для расшифровки ключ. Если доступ не разрешен, он ключа не получает. Таким образом, одним выстрелом убиваются два зайца. Во-первых, администратор системы безопасности может лишить пользователя права на доступ, удалив соответствующий атрибут разрешения на сервере безопасности. Во-вторых, системный администратор больше не способен выдать себя за уполномоченного пользователя, поскольку авторизация на сервере безопасности проходит независимо от регистрации в операционной системе.

Естественно, необходимо следить за тем, чтобы роли системного администратора и администратора безопасности де-факто распределялись между разными лицами. В противном случае повышение безопасности за счет введения сервера безопасности будет сведено на нет из-за неверных организационных мер. Последние по порядку, но не по значению преимущество состоит в том, что таким образом очень легко организовать пользовательские группы, обладающие общим доступом к защищенным данным. Достаточно объединить всех сотрудников, например отдела кадров, в группу «Отдел кадров» и дать всем ее членам одинаковые права. После этого любые действия будут касаться всей группы и не должны производиться для каждого пользователя в отдельности.

При повсеместном применении клиент-серверное шифрование должно быть избыточным, чтобы при необходимости параллельно запускался второй сервер безопасности, который в случае недостижимости первого (проблемы с сетью, отказ питания, профилактическое обслуживание и проч.) немедленно возьмет на себя выполнение его задач. Это обеспечивает высокую отказоустойчивость системы и постоянную готовность данных.

Клиент-серверный подход был реализован в продукте Fideas Enterprise («fideas» по-латыни означает «ты должен доверять») компании Applied Security. Стоит отметить, что клиент-серверная концепция функционирует лишь до тех пор, пока управление распространяется на все оборудование во всей сети. Как только устройство, к примеру ноутбук, удаляется из сети, в этом случае возможна работа лишь с локальными ключами. Это не всегда является недостатком, поскольку на собственной машине каждый пользователь в любом случае остается хозяином своих данных. Если подобные решения получат такое же распространение, как вирусные сканеры и брандмауэры, информационный шпионаж сойдет на нет.

Фолькер Шайдеманн - консультант по безопасности ИТ компании Apsec и преподаватель безопасности ИТ во Франкфуртском высшем профессиональном училище. С ним можно связаться по адресу: [email protected] .

Идентичность и роль

Шифрование данных занимает свое место в структуре безопасности ИТ, где в центр концепции безопасности ставится управление доступом с аутентификацией и авторизацией: отдельные действующие лица раздельно управляют доступом к отдельным документам, а системы поддержки коллективной работы под контролем администратора решают задачу на основе ролей и групп. Интересно, что недорогие системы с поддержкой групп пользователей сегодня охотно применяются и самостоятельно администрируются отделами предприятий, которым требуется обеспечить конфиденциальность при отсутствии поддержки от отдела ИТ предприятия.

04.02.2016, ЧТ, 11:49, Мск, Текст: Павел Притула

Системы прозрачного шифрования дисков – высокотехнологичный наукоемкий продукт, разработка и поддержка которого по силам весьма ограниченному кругу компаний. Но свою основную функцию – снижение уровня риска утечки конфиденциальной информации – они выполняют неплохо.

Как отмечалось в «Как управлять рисками утечки критичных данных», бизнес вынужден постоянно снижать уровень риска утечки конфиденциальной информации. Наиболее простой и сравнительно недорогой способ – это использование систем прозрачного шифрования. Основное достоинство прозрачного шифрования заключается в том, что от пользователя не требуется никакого участия в процессах, все они происходят в фоновом режиме «на лету».

От постановки требований к системе зависит многое

Системы прозрачного шифрования, представленные на рынке, имеют, на первый взгляд, много общего: ведь все они решают одну и ту же задачу. Но у бизнеса всегда есть свои специфические требования. Ниже приведен список наиболее актуальных из них.

Требования, предъявляемые к системам прозрачного шифрования

№	Описание требований
1	Стойкость шифрования	Стойкость защиты должна быть такой, чтобы секретность не нарушалась даже в том случае, когда злоумышленнику становится известен метод шифрования
2	Надежность алгоритмов шифрования	Используемый алгоритм шифрования не должен иметь слабых мест, которыми могли бы воспользоваться криптоаналитики
3	Безопасное использование ключей	Ключ шифрования должен быть недоступен для злоумышленника. Несоблюдение принципов безопасного использования ключей шифрования может поставить под угрозу защищенность информации, даже при том, что в системе будут реализованы самые криптостойкие алгоритмы
4	«Прозрачность» шифрования	Шифрование должно происходить максимально «прозрачно» для пользователя – он не замечает процесса зашифрования и расшифрования данных во время работы
5	Устойчивость к ошибкам	Система должна быть максимально устойчива к случайным ошибкам и неправильным действиям пользователей
6	Многофакторная аутентификация	Выполнение проверки прав пользователей на доступ к защищаемым данным должно быть реализовано на основе средств многофакторной аутентификации
7	Дополнительный функционал для работы в чрезвычайных ситуациях	В чрезвычайных ситуациях, когда становится известно о попытке физического доступа или попытке изъятия серверного оборудования, крайне полезным инструментом защиты становится возможность экстренного прекращения доступа к данным
8	Защита от инсайдеров	Все пользователи системы, включая системных администраторов и технический персонал, должны иметь доступ к физической файловой системе исключительно в рамках своих полномочий, прописанных в ИБ-политиках компании

Первые два пункта, касающиеся надежности и стойкости алгоритмов шифрования, требуют от поставщиков службы криптографии соответствия их продуктов требованиям регуляторов. В РФ это использование ГОСТ 28147‐89 с длиной ключа 256 бит в решениях от криптопровайдеров, имеющих лицензию ФСБ России.

Как защититься от системного администратора?

Злоумышленники, интересующиеся приватными данными, могут находиться и внутри компании. Серьезную угрозу, от которой не спасет криптография, представляют технические специалисты и системные администраторы компании. Но при всем при этом они, в силу своих должных обязанностей, обязаны следить за работоспособностью систем, обеспечивающих безопасность на каждом компьютере.

В условиях текущей непростой экономической ситуации у ряда сотрудников, включая системных администраторов, возникает желание скопировать корпоративную информацию для ее продажи на черном рынке или в качестве дополнительного преимущества перед конкурентами-соискателями при устройстве на новую работу. Это обостряет отношения между руководством и персоналом компаний.

А значит, выбираемая система прозрачного шифрования просто обязана иметь механизмы, реализующие комплекс требований по защите от системного администратора, что нашло свое место в списке требований к решению.

Виртуальная файловая система – важный компонент защиты

Так какой же механизм лежит в основе лучших в своем классе систем прозрачного шифрования, позволяющий реализовать многочисленные требования, представленные выше? На практике он выражается простой формулой: файл для владельца информации доступен в расшифрованном виде, а для всех остальных – только в зашифрованном виде без доступа к ключам. Специалисты называют этот функционал «одновременностью доступа».

«Но если на компьютере пользователя установлена ОС Windows, что в РФ практически стало корпоративным стандартом, то достижение «одновременности доступа» – задача не из простых. Виной тому эффект когерентности Windows: файл в ней может иметь свои копии, помимо файловой системы, в менеджере памяти или кэше. Поэтому приходится решать и проблему «одновременности существования» файлов», – рассказывает Илья Щавинский , менеджер по развитию бизнеса компании «Аладдин Р.Д.». А проблема решается оригинальным способом при помощи совместной работы «виртуальной файловой системы» (ВФС) и фильтра драйвера файловых систем, схема работы которых приведена ниже.

Виртуальная файловая система

Источник: «Аладдин Р.Д.», 2016

Как видно из схемы, диспетчер кэша «считает», что работает с двумя разными файлами. Для этого ВФС формирует дополнительную парную структуру описателей файлов. Специальный драйвер файловых систем обеспечивает постоянное обновление зашифрованного файла в реальной файловой системе, вслед за изменением его незашифрованной копии в ВФС. Таким образом, находящиеся на диске данные всегда зашифрованы.

Для ограничения доступа к файлам драйвер файловых систем при обращении к защищенным ресурсам загружает в оперативную память ключи шифрования. Сама же ключевая информация защищена ключевой парой сертификата пользователя и хранится в криптохранилище.

В результате авторизованный пользователь видит одну файловую систему, виртуальную с расшифрованными файлами, а неавторизованные в то же самое время будут видеть физическую (реальную) файловую систему, где имена и содержимое файлов зашифрованы.

Системные администраторы и другие технические специалисты, у которых нет возможности получить ключи шифрования в расшифрованном виде, будут работать с реальной, надежно зашифрованной файловой системой. При этом у них сохраняется возможность корректно выполнять свои служебные обязанности, например создавать резервные копии зашифрованной информации, не нарушая конфиденциальности самой информации. Тем самым выполнятся важное требование о защите информации от инсайдеров.

Без многофакторной аутентификации риски не снизить

Для многофакторной аутентификации пользователей для загрузки операционной системы и для доступа к зашифрованным данным обычно применяют токен или смарт-карту – устройство, на которых хранится сертификат открытого ключа этого пользователя и соответствующий ему закрытый ключ.

Централизованная система управления и хранения ключей шифрования защищает от потери этих ключей ‐ они находятся на защищенном сервере и передаются пользователю лишь по мере необходимости. Также компания контролирует доступ сотрудников к принадлежащим им данным и в любой момент может запретить его. Кроме того, возможен мониторинг событий доступа к защищенным данным, а также включение режима шифрования всех данных, отправляемых на флэш-накопители и т.д.

Состав типичной системы прозрачного шифрования

) позволяет компаниям организовать быстрый и удобный обмен информацией на различных расстояниях. Тем не менее, защита информации в корпоративной среде – задача, которая остается актуальной по сегодняшний день и тревожит умы руководителей предприятий малого, среднего и крупного звена самых разнообразных сфер деятельности. Кроме того, какой бы ни была численность компании, для руководства практически всегда возникает необходимость разграничить права доступа сотрудников к конфиденциальной информации исходя из степени ее важности.

В этой статье мы поговорим о прозрачном шифровании как об одном из наиболее распространенных способов защиты информации в корпоративной среде, рассмотрим общие принципы шифрования для нескольких пользователей (криптография с несколькими открытыми ключами), а также расскажем о том, как настроить прозрачное шифрование сетевых папок при помощи программы CyberSafe Files Encryption .

В чем преимущество прозрачного шифрования?

Использование виртуальных криптодисков либо функции полнодискового шифрования вполне оправдано на локальном компьютере пользователя, однако в корпоративном пространстве более целесообразным подходом является использование прозрачного шифрования , поскольку эта функция обеспечивает быструю и удобную работу с засекреченными файлами одновременно для нескольких пользователей. При создании и редактировании файлов процессы их шифрования и дешифрования происходят автоматически, “на лету”. Для работы с защищенными документами сотрудникам компании не нужно иметь какие-либо навыки в области криптографии, они не должны выполнять какие-либо дополнительные действия для того чтобы расшифровать или зашифровать секретные файлы.

Работа с засекреченными документами происходит в привычном режиме при помощи стандартных системных приложений. Все функции по настройке шифрования и разграничению прав доступа могут быть возложены на одного человека, например системного администратора.

Криптография с несколькими открытыми ключами и цифровые конверты

Прозрачное шифрование работает следующим образом. Для шифрования файла используется случайно сгенерированный симметричный сеансовый ключ, который в свою очередь защищается при помощи открытого асимметричного ключа пользователя. Если пользователь обращается к файлу для того, чтобы внести в него какие-то изменения, драйвер прозрачного шифрования расшифровывает симметричный ключ при помощи закрытого (приватного) ключа пользователя и далее, при помощи симметричного ключа, расшифровывает сам файл. Подробно о том, как работает прозрачное шифрование, мы рассказали в предыдущем топике .

Но как быть в том случае, если пользователей несколько и засекреченные файлы хранятся не на локальном ПК, а в папке на удаленном сервере? Ведь зашифрованный файл - один и тот же, однако у каждого пользователя своя уникальная ключевая пара.

В этом случае используются так называемые цифровые конверты .

Как видно из рисунка, цифровой конверт содержит файл, зашифрованный при помощи случайно сгенерированного симметричного ключа, а также несколько копий этого симметричного ключа, защищенных при помощи открытых асимметричных ключей каждого из пользователей. Копий будет столько, скольким пользователям разрешен доступ к защищенной папке.

Драйвер прозрачного шифрования работает по следующей схеме: при обращении пользователя к файлу он проверяет, есть ли его сертификат (открытый ключ) в списке разрешенных. Если да – при помощи закрытого ключа этого пользователя расшифровывается именно та копия симметричного ключа, которая была зашифрована при помощи его открытого ключа. Если в списке сертификата данного пользователя нет, в доступе будет отказано.

Шифрование сетевых папок при помощи CyberSafe

Используя CyberSafe, системный администратор сможет настроить прозрачное шифрование сетевой папки без использования дополнительных протоколов защиты данных, таких как IPSec или WebDAV и в дальнейшем управлять доступом пользователей к той или иной зашифрованной папке.

Для настройки прозрачного шифрования у каждого из пользователей, которым планируется разрешить доступ к конфиденциальной информации, на компьютере должен быть установлен CyberSafe, создан персональный сертификат, а открытый ключ опубликован на сервере публичных ключей CyberSafe.

Далее сисадмин на удаленном сервере создает новую папку, добавляет ее в CyberSafe и назначает ключи тех пользователей, которые в дальнейшем смогут работать с файлами в этой папке. Конечно, можно создавать столько папок, сколько требуется, хранить в них конфиденциальную информацию различной степени важности, а системный администратор в любой момент может удалить пользователя из числа имеющих к доступ к папке, либо добавить нового.

Рассмотрим простой пример:

На файловом сервере предприятия ABC хранится 3 базы данных с конфиденциальной информацией различной степени важности – ДСП, Секретно и Совершенно Секретно. Требуется обеспечить доступ: к БД1 пользователей Иванов, Петров, Никифоров, к БД2 Петрова и Смирнова, к БД3 Смирнова и Иванова.

Для этого на файл-севере, в качестве которого может быть любой сетевой ресурс, потребуется создать три отдельных папки для каждой БД и назначить этим папкам сертификаты (ключи) соответствующих пользователей:

Конечно, такую или другую аналогичную задачу с разграничением прав доступа можно решить и при помощи ACL Windows. Но этот метод может оказаться эффективным лишь при разграничении прав доступа на компьютерах сотрудников внутри компании. Сам по себе он не обеспечивает защиту конфиденциальной информации в случае стороннего подключения к файловому серверу и применение криптографии для защиты данных просто необходимо.

Кроме того, все настройки параметрами безопасности файловой системы можно сбросить при помощи командной строки. В Windows для этого существует специальный инструмент - «calcs», который можно использовать для просмотра разрешений на файлах и папках, а также для их сброса. В Windows 7 эта команда называется «icacls» и исполняется следующим образом:

1. В командной строке с правами администратора, вводим: cmd
2. Переходим к диску или разделу, например: CD /D D:
3. Для сброса всех разрешений вводим: icacls * /T /Q /C /RESET

Возможно, что icacls с первого раза не сработает. Тогда перед шагом 2 нужно выполнить следующую команду:

После этого ранее установленные разрешения на файлах и папках будут сброшены.

Можно создать систему на базе виртуального криптодиска и ACL (подробнее о такой системе при использовании криптодисков в организациях написано .). Однако такая система также уязвима, поскольку для обеспечения постоянного доступа сотрудников к данным на криптодиске администратору потребуется держать его подключенным (монтированным) в течении всего рабочего дня, что ставит под угрозу конфиденциальную информацию на криптодиске даже без знания пароля к нему, если на время подключения злоумышленник сможет подключиться к серверу.

Сетевые диски со встроенным шифрованием также не решают проблему, поскольку обеспечивают защиту данных лишь тогда, когда с ними никто не работает. То есть, встроенная функция шифрования сможет защитить конфиденциальные данные от компрометации лишь в случае хищения самого диска.

Для шифрования физических дисков и создания виртуальных зашифрованных дисков. Однако не всегда такое шифрование удобно.
Во-первых, не всегда есть возможность зашифровать весь физический диск. Во-вторых, если вы используете виртуальные диски, то файлы контейнеров, как правило, занимают сотни мегабайт дискового пространства и их весьма просто обнаружить злоумышленнику. Да, есть данных, но побеждает человеческая лень. В-третьих, зашифрованная папка может постоянно расти, а размер криптодиска ограничен величиной, указанной при его создании.
Всем хочется и удобно работать с файлами, и чтобы при этом файлы были надежно защищены. Такой компромисс есть - это прозрачное шифрование файлов, когда файлы зашифровываются и расшифровываются «на лету» - в процессе работы с ними. Файлы остаются зашифрованными, а вы работаете с ними, как с обычными файлами. Например, если вы зашифровали папку C:\Documents и поместили в нее свои документы, то при открытии документа из этой папки запускается Word или Excel и они даже не подозревают, что они являются зашифрованными. Вы работаете с зашифрованными файлами, как с самыми обычными, совершенно не задумываясь о шифровании, монтировании, виртуальных дисках и т.д.
Кроме удобства использования у прозрачного шифрования есть еще одно весомое преимущество. Как правило, на виртуальных зашифрованных дисках хранится большое количество файлов. Для работы даже с одним из них вам нужно подключать весь криптодиск. В результате становятся уязвимыми все остальные файлы. Конечно, можно создать множество небольших криптодисков, присвоить каждому отдельный пароль, но это не очень удобно.
В случае с прозрачным шифрованием можно создать столько зашифрованных папок, сколько вам нужно и поместить в каждую из них различные группы файлов - документы, личные фото и т.д. При этом расшифровываются только те файлы, к которым осуществляется доступ, а не все файлы криптодиска сразу.

Преимущества и недостатки EFS

В Windows (начиная с Windows 2000 и кроме Home-выпусков) традиционно для организации прозрачного шифрования используется шифрованная файловая система - EFS (Encrypting File System).
EFS предназначена, чтобы один пользователь не мог получить доступ к файлам (зашифрованным) другого пользователя. Зачем нужно было создавать EFS, если NTFS поддерживает разграничение прав доступа? Хотя NTFS и является довольно безопасной файловой системой, но со временем появились различные утилиты (одной из первых была NTFSDOS, позволяющая читать файлы, находящиеся на NTFS-разделе, из DOS-окружения), игнорирующие права доступа NTFS. Появилась необходимость в дополнительной защите. Такой защитой должна была стать EFS.
По сути, EFS является надстройкой над NTFS. EFS удобна тем, что входит в состав Windows и для шифрования файлов вам не нужно какое-либо дополнительное программное обеспечение - все необходимое уже есть в Windows. Для начала шифрования файлов не нужно совершать какие-либо предварительные действия, поскольку при первом шифровании файла для пользователя автоматически создается сертификат шифрования и закрытый ключ.
Также преимуществом EFS является то, что при перемещении файла из зашифрованной папки в любую другую он остается зашифрованным, а при копировании файла в зашифрованную папку он автоматически шифруется. Нет необходимости выполнять какие-либо дополнительные действия.
Такой подход, конечно же, очень удобен, и пользователю кажется, что от EFS одна только польза. Но это не так. С одной стороны, при неблагоприятном стечении обстоятельств, пользователь может вообще потерять доступ к зашифрованным файлам. Это может произойти в следующих случаях:

Аппаратные проблемы, например, вышла из строя материнская плата, испорчен загрузчик, повреждены системные файлы из-за сбоя жесткого диска (bad sectors). В итоге жесткий диск можно подключить к другому компьютеру, чтобы скопировать с него файлы, но если они зашифрованы EFS, у вас ничего не выйдет.
Система переустановлена. Windows может быть переустановлена по самым разнообразным причинам. В этом случае доступ к зашифрованным данным, понятно, будет потерян.
Удален профиль пользователя. Даже если создать пользователя с таким же именем, ему будет присвоен другой ID, и расшифровать данные все равно не получится.
Системный администратор или сам пользователь сбросил пароль. После этого доступ к EFS-данным также будет потерян.
Некорректный перенос пользователя в другой домен. Если перенос пользователя выполнен неграмотно, он не сможет получить доступ к своим зашифрованным файлам.

Когда пользователи (особенно начинающие) начинают использовать EFS, об этом мало кто задумывается. Но, с другой стороны, существует специальное программное обеспечение (и далее оно будет продемонстрировано в работе), позволяющее получить доступ к данным, даже если система была переустановлена, и были потеряны некоторые ключи. И я даже не знаю к преимуществам или недостаткам отнести сей факт - данное ПО позволяет восстановить доступ к данным, но в то же время оно может использоваться злоумышленником для получения несанкционированного доступа к зашифрованным файлам.
Казалось бы, данные с помощью EFS зашифрованы очень надежны. Ведь файлы на диске шифруются с помощью ключа FEK (File Encryption Key), который хранится в атрибутах файлов. Сам FEK зашифрован master-ключом, который, в свою очередь, зашифрован ключами пользователей системы, имеющих доступ к этому файлу. Ключи пользователей зашифрованы хэшами паролей этих пользователей, а хэши паролей - зашифрованы еще и SYSKEY.
Казалось бы, такая цепочка шифрования должна была обеспечить надежную защиту данных, но все банально сводится к логину и паролю. Стоит пользователю сбросить пароль или переустановить систему, получить доступ к зашифрованным данным уже не получится.
Разработчики EFS перестраховались и реализовали агентов восстановления (EFS Recovery Agent), то есть пользователей, которые могут расшифровать данные, зашифрованные другими пользователями. Однако использовать концепцию EFS RA не очень удобно и даже сложно, особенно для начинающих пользователей. В итоге, эти самые начинающие пользователи знают, как зашифровать с помощью EFS файлы, но не знают, что делать в нештатной ситуации. Хорошо, что есть специальное ПО, которое может помочь в этой ситуации, но это же ПО может использоваться и для несанкционированного доступа к данным, как уже отмечалось.
К недостаткам EFS можно также отнести невозможность сетевого шифрования (если оно вам нужно, то необходимо использовать другие протоколы шифрования данных, например, IPSec) и отсутствие поддержки других файловых систем. Если вы скопируете зашифрованный файл на файловую систему, которая не поддерживает шифрование, например, на FAT/FAT32, файл будет дешифрован и его можно будет просмотреть всем желающим. Ничего удивительного в этом нет, EFS - всего лишь надстройка над NTFS.
Получается, что от EFS вреда больше, чем пользы. Но, чтобы не быть голословным, приведу пример использования программы Advanced EFS Data Recovery для получения доступа к зашифрованным данным. Сценарий будет самый простой: сначала я войду в систему под другим пользователем и попытаюсь получить доступ к зашифрованному файлу, который зашифровал другой пользователь. Затем я смоделирую реальную ситуацию, когда сертификат пользователя, зашифровавшего файл, был удален (это может произойти, например, в случае переустановки Windows). Как вы увидите, программа без особых проблем справится и с этой ситуацией.

Использование программы Advanced EFS Data Recovery для расшифровки зашифрованных EFS файлов

Посмотрим, как можно расшифровать зашифрованные с помощью EFS файлы. Первым делом нужно включить шифрование для одной из папок. Для демонстрации я специально создал папку EFS-Crypted. Чтобы включить EFS-шифрование для папки, нужно просто включить соответствующий атрибут в ее свойствах (рис. 1).

Рис. 1. Включение шифрования для папки

Название зашифрованной папки и всех помещенных в нее файлов (которые автоматически будут зашифрованы) в Проводнике отображается зеленым цветом. Как показано на рис. 2, в зашифрованную папку я добавил текстовый файл config.txt, содержимое которого мы попытаемся просмотреть, войдя в систему под другим пользователем. Для теста был создан другой пользователь с правами администратора (такие права нужны программе Advanced EFS Data Recovery (AEFSDR) компании ElcomSoft), см рис. 3.

Рис. 2. Содержимое зашифрованной папки

Рис. 3. Создан новый пользователь

Естественно, если зайти под другим пользователем и попытаться прочитать файл config.txt, у вас ничего не выйдет (рис. 4).

Рис. 4. Отказано в доступе

Но не беда - запускаем программу Advanced EFS Data Recovery и переходим сразу в Expert mode (можно, конечно, воспользоваться мастером, который открывается при первом запуске (рис. 5)), но мне больше нравится экспертный режим.

Рис. 5. Мастер при запуске Advanced EFS Data Recovery

Рис. 6. Экспертный режим Advanced EFS Data Recovery

Итак, перейдите на вкладку Encrypted files и нажмите кнопку Scan for encrypted files . На рис. 6 уже изображен результат сканирования - найден наш единственный зашифрованный файл C:\EFS-Crypted\config.txt. Выделите его и нажмите кнопку Decrypt . Программа предложит вам выбрать каталог, в который нужно дешифровать файлы (рис. 7).

Рис. 7. Выберите каталог, в который будут дешифрованы файлы

Поскольку у меня пробная версия программы, то для продолжения нужно нажать Continue (рис. 8). Расшифрованные файлы помещаются в подпапку AEFS_<имя_диска>_DECRYPTED (рис. 9). Обратите внимание - наш файл config.txt уже не выделен зеленым и мы можем просмотреть его содержимое (рис. 10).

Рис. 8. Нажмите кнопку Continue

Рис. 9. Расшифрованные файлы

Рис. 10. Содержимое файла config.txt

Теперь усложним задачу программе Advanced EFS Data Recovery , а именно - удалим личный сертификат. Войдите как пользователь, создавший зашифрованную папку, и запустите консоль mmc, выберите команду меню Файл, Добавить или удалить оснастку . Далее выберите оснастку Сертификаты и нажмите кнопку Добавить (рис. 11). В появившемся окне выберите моей учетной записи пользователя (рис. 12).

Рис. 11. Добавление оснастки

Рис. 12. Оснастка диспетчера сертификатов

Далее нажмите кнопку OK и в появившемся окне перейдите в Сертификаты, Личное, Сертификаты . Вы увидите созданные сертификаты для текущего пользователя (рис. 13). В моем случае пользователь называется тест . Щелкните на его сертификате правой кнопкой мыши и выберите команду Удалить для удаления сертификата. Вы увидите предупреждение о том, что расшифровать данные, зашифрованные с помощью этого сертификата, будет уже невозможно. Что ж, скоро мы это проверим.

Рис. 13. Личные сертификаты

Рис. 14. Предупреждение при удалении сертификата

Закройте оснастку и попробуйте обратиться к зашифрованному файлу. У вас ничего не выйдет, не смотря на то, что вы зашифровали этот файл. Ведь сертификат то удален.
Смените пользователя, запустите программу Advanced EFS Data Recovery. Попробуйте расшифровать файл, как было показано ранее. Сначала программа сообщит, что сертификат не найден. Поэтому нужно перейти на вкладку EFS related files и нажать кнопку Scan for keys . Через некоторое время программа сообщит вам, что нашла ключи, но вероятно не все (рис. 15). Программа рекомендует вам просканировать ключи еще раз, но на этот раз с включенной опцией Scan by sectors (рис. 16), но я этого не делал и сразу перешел на вкладку Encrypted files . Программа успешно нашла и дешифровала файл. На рис. 17 показано, что я уже сохранил расшифрованный файл на рабочий стол.

Рис. 15. Поиск ключей

Рис. 16. Окно сканирования

Рис. 17. Файл опять расшифрован

К стыду EFS или к чести Advanced EFS Data Recovery, в обоих случаях файл был расшифрован. При этом, как видите, мне не понадобились какие-то специальные знания или навыки. Достаточно запустить программу, которая сделает за вас всю работу. О том, как работает программа можно прочитать на сайте разработчиков (http://www.elcomsoft.ru/), подробно принцип ее работы рассматривать в этой статье не будем, поскольку AEFSDR не является предметом статьи.
Справедливости ради нужно сказать, что специалисты могут настроить систему так, чтобы Advanced EFS Data Recovery будет бессильна. Однако, мы рассмотрели самое обычное использование EFS для подавляющего большинства пользователей.

Система прозрачного шифрования, реализованная в CyberSafe Top Secret

Рассмотрим, как реализовано прозрачное шифрование в CyberSafe. Для прозрачного шифрования используется драйвер Alfa Transparent File Encryptor (http://www.alfasp.com/products.html), который шифрует файлы с помощью алгоритма AES-256 или алгоритмом ГОСТ 28147-89 (при использовании Крипто-Про).
В драйвер передается правило шифрования (маска файлов, разрешенные/запрещенные процессы и т.д.), а также ключ шифрования. Сам ключ шифрования хранится в ADS папки (Alternate Data Streams, eb.by/Z598) и зашифрован с помощью OpenSSL (алгоритм RSA) или ГОСТ Р 34.10-2001 - для этого используются сертификаты.
Логика следующая: добавляем папку, CyberSafe создает ключ для драйвера, шифрует его выбранными публичными сертификатами (они должна быть предварительно созданы или импортированы в CyberSafe). При попытке доступа какого-либо пользователя к папке CyberSafe открывает ADS папки и читает зашифрованный ключ. Если у этого пользователя есть приватный ключ сертификата (у него может быть один или несколько своих сертификатов), который применялся для шифрования ключа, он может открыть эту папку и прочитать файлы. Нужно отметить, что драйвер расшифровывает только то, что нужно, а не все файлы при предоставлении доступа к файлу. Например, если пользователь открывает большой документ Word, то расшифровывается только та часть, которая сейчас загружается в редактор, по мере необходимости загружается остальная часть. Если файл небольшой, то он расшифровывается полностью, но остальные файлы остаются зашифрованными.
Если папка - сетевая расшаренная, то в ней файлы так и остаются зашифрованными, драйвер клиента расшифровывает только файл или часть файла в памяти, хотя это справедливо и для локальной папки. При редактировании файла драйвер шифрует изменения в памяти и записывает в файл. Другими словами, даже когда папка включена (далее будет показано, что это такое), данные на диске всегда остаются зашифрованными.

Использование программы CyberSafe Top Secret для прозрачного шифрования файлов и папок

Настало время рассмотреть практическое использование программы CyberSafe Top Secret. Для шифрования папки перейдите в раздел программы Прозрачное шифрование (вкладка Шифрование файлов ), см. рис. 18. Затем из Проводника перетащите папки, которые вы хотите зашифровать, в рабочую область программы. Можете также воспользоваться кнопкой Доб. папку . Я добавил одну папку - C:\CS-Crypted.

Рис. 18. Программа CyberSafe Top Secret

Нажмите кнопку Применить . В появившемся окне (рис. 19) нажмите кнопку Да или Да для все х (если за один раз вы пытаетесь зашифровать несколько папок). Далее вы увидите окно выбора сертификатов, ключи которых будут использоваться для прозрачного шифрования папки (рис. 20). Как правило, сертификаты создаются сразу после установки программы. Если вы этого еще не сделали, придется вернуться в раздел Личные ключи и нажать кнопку Создать .

Рис. 19. Нажмите кнопку Да

Рис. 20. Выбор сертификатов для прозрачного шифрования

Следующий вопрос программы - нужно ли установить ключ администратора для этой папки (рис. 21). Без ключа администратора вы не сможете вносить изменения в папку, поэтому нажмите кнопку Да .

Рис. 21. Опять нажмите Да

После этого вы вернетесь в основное окно программы. Прежде, чем начать работу с зашифрованной папкой, нужно ее выделить и нажать кнопку Включить . Программа запросит пароль сертификата (рис. 22), указанного для шифрования этой папки. После этого работа с зашифрованной папкой не будет отличаться от работы с обычной папкой. В окне CyberSafe папка будет отмечена, как открытая, а слева от пиктограммы папки появится значок замка (рис. 23).

Рис. 22. Вводим пароль сертификата

Рис. 23. Зашифрованная папка подключена

В Проводнике ни зашифрованная папка, ни зашифрованные файлы никак не помечаются. Внешне они выглядят так же, как и остальные папки и файлы (в отличие от EFS, где имена зашифрованных файлов/папок выделяются зеленым цветом), см. рис. 24.

Рис. 24. Зашифрованная папка CS-Crypted в Проводнике

Нужно отметить, что аналогичным образом вы можете зашифровать и сетевую папку. При этом программа CyberSafe должна находиться только на компьютере пользователей, а не на файловом сервере. Все шифрование осуществляется на клиенте, а на сервер передаются уже зашифрованные файлы. Такое решение более чем оправдано. Во-первых, по сети передаются уже зашифрованные данные. Во-вторых, даже если администратор сервера захочет получить доступ к файлам, у него ничего не выйдет, поскольку расшифровать файлы могут только пользователи, сертификаты которых были указаны при шифровании. Зато администратор при необходимости может выполнить резервное копирование зашифрованных файлов.
Когда зашифрованная папка больше не нужна, нужно перейти в программу CyberSafe, выделить папку и нажать кнопку Выключить . Такое решение может показаться вам не столь удобным, как EFS - нужно нажимать кнопки включения/выключения. Но это только на первый взгляд. Во-первых, у пользователя есть четкое понимание, что папка зашифрована и он уже не забудет об этом факте, когда будет переустанавливать Windows. Во-вторых, при использовании EFS, если вам нужно отойти от компьютера, вам нужно выходить из системы, поскольку за время вашего отсутствия кто угодно может подойти к компьютеру и получить доступ к вашим файлам. Все, что ему нужно будет сделать - это скопировать ваши файлы на устройство, которое не поддерживает шифрование, например, на FAT32-флешку. Далее он сможет просматривать файлы вне вашего компьютера. С программой CyberSafe все немного удобнее. Да, вам нужно сделать дополнительное действие («выключить» папку) и все зашифрованные файлы станут недоступны. Но зато вам не нужно будет заново запускать все программы и открывать все документы (в том числе и незашифрованные) - как после повторного входа в систему.
Впрочем, у каждого продукта есть свои особенности. CyberSafe - не исключение. Представим, что вы зашифровали папку C:\CS-Crypted и поместили туда файл report.txt. Когда папка выключена, понятное дело, прочитать файл вы не сможете. Когда папка включена , вы можете получить доступ к файлу и, соответственно, скопировать его в любую другую, незашифрованную папку. Но после копирования файла в незашифрованную папку он продолжает жить собственной жизнью. С одной стороны, не так удобно, как в случае с EFS, с другой стороны, зная такую особенность программы, пользователь будет более дисциплинированным и будет хранить свои секретные файлы только в зашифрованных папках.

Производительность

Сейчас попытаемся выяснить, что быстрее - EFS или CyberSafe Top Secret. Все испытания проводятся на реальной машине - никаких виртуалок. Конфигурация ноутбука следующая - Intel 1000M (1.8 GHz)/4 Гб ОЗУ/WD WD5000LPVT (500 Гб, SATA-300, 5400 RPM, буфер 8 Мб/Windows 7 64-bit). Машина не очень мощная, но какая есть.
Тест будет предельно прост. Мы скопируем в каждую из папок файлы и посмотрим, сколько времени займет копирование. Выяснить, какое средство прозрачного шифрования быстрее, нам поможет следующий простой сценарий:

@echo off echo "Копирование 5580 файлов в EFS-Crypted" echo %time% robocopy c:\Joomla c:\EFS-Crypted /E > log1 echo %time% echo "Копирование 5580 файлов в CS-Crypted" echo %time% robocopy c:\Joomla c:\CS-Crypted /E > log2 echo %time%

Не нужно быть гуру программирования, чтобы догадаться, что делает этот сценарий. Не секрет, что мы чаще работаем с относительно небольшими файлами с размером от нескольких десятков до нескольких сотен килобайт. Данный сценарий копирует дистрибутив Joomla! 3.3.6, в котором находится 5580 таких небольших файлов сначала в папку, зашифрованную EFS, а затем в папку, зашифрованную CyberSoft. Посмотрим, кто будет победителем.
Команда robocopy используется для рекурсивного копирования файлов, в том числе пустых (параметр /E), а ее вывод сознательно перенаправляется в текстовый файл (при желании можно просмотреть, что скопировалось, а что нет), чтобы не засорять вывод сценария.
Результаты второго теста изображены на рис. 25. Как видите, EFS справилась с этим заданием за 74 секунды, а CyberSoft - всего за 32 секунды. Учитывая, что в большинстве случаев пользователи работают с множеством мелких файлов, CyberSafe будет более чем в два раза быстрее, чем EFS .

Рис. 25. Результаты тестирования

Преимущества прозрачного шифрования CyberSafe

Теперь немного подытожим. К преимуществам прозрачного шифрования CyberSafe можно отнести следующие факты:

При выключении папки файлы могут быть скопированы в зашифрованном виде куда угодно, что позволяет организовать облачное шифрование .
Драйвер программы CyberSafe позволяет работать по сети, что дает возможность организовать .
Для расшифровки папки не только нужно знать пароль, необходимо иметь соответствующие сертификаты. При использовании Крипто-Про ключ можно вынести на токен.
Приложение CyberSafe поддерживает набор инструкций AES-NI, что положительно сказывается на производительности программы (было доказано тестами выше).
Защититься от несанкционированного доступа к личным ключам можно с помощью двухфакторной аутентификации.
Поддержка доверенных приложений

Последние два преимущества заслуживают отдельного внимания. Чтобы обезопаситься от доступа к личным ключам пользователя, вы можете защитить саму программу CyberSafe. Для этого выполните команду Инструменты, Настройки (рис. 26). В окне Настройки на вкладке Аутентификация вы можете включить или аутентификацию по паролю или двухфакторную аутентификацию. Подробно о том, как это сделать, можно прочитать в руководстве по программе CyberSafe на странице 119.

Рис. 26. Защита самой программы CyberSafe

На вкладке Разрешен. приложения можно определить доверенные приложения, которым разрешено работать с зашифрованными файлами. По умолчанию все приложения являются доверенными. Но для большей безопасности вы можете задать приложения, которым разрешено работать с зашифрованными файлами. На рис. 27 я указал в качестве доверенных приложения MS Word и MS Excel. Если какая-то другая программа попытается обратиться к зашифрованной папке, ей будет отказано в доступе. Дополнительную информацию вы можете найти в статье «Прозрачное шифрование файлов на локальном компьютере при помощи CyberSafe Files Encryption» (http://сайт/company/cybersafe/blog/210458/). Добавить метки

В чем преимущество прозрачного шифрования?

Криптография с несколькими открытыми ключами и цифровые конверты

В этом случае используются так называемые цифровые конверты .

Шифрование сетевых папок при помощи CyberSafe

Используя CyberSafe, системный администратор сможет настроить прозрачное шифрование сетевой папки без использования дополнительных протоколов защиты данных, таких как или и в дальнейшем управлять доступом пользователей к той или иной зашифрованной папке.

Рассмотрим простой пример:

Конечно, такую или другую аналогичную задачу с разграничением прав доступа можно решить и при помощи Windows. Но этот метод может оказаться эффективным лишь при разграничении прав доступа на компьютерах сотрудников внутри компании. Сам по себе он не обеспечивает защиту конфиденциальной информации в случае стороннего подключения к файловому серверу и применение криптографии для защиты данных просто необходимо.

1. В командной строке с правами администратора, вводим: cmd
2. Переходим к диску или разделу, например: CD /D D:
3. Для сброса всех разрешений вводим: icacls * /T /Q /C /RESET

Возможно, что icacls с первого раза не сработает. Тогда перед шагом 2 нужно выполнить следующую команду:

После этого ранее установленные разрешения на файлах и папках будут сброшены.

В шифрование/дешифрование файлов осуществляется не на файловом сервере, а на стороне пользователя . Поэтому конфиденциальные файлы хранятся на сервере только в зашифрованном виде, что исключает возможность их компрометации при прямом подключении злоумышленника к файл-серверу. Все файлы на сервере, хранящиеся в папке, защищенной при помощи прозрачного шифрования, зашифрованы и надежно защищены. В то же время, пользователи и приложения видят их как обычные файлы: Notepad, Word, Excel, HTML и др. Приложения могут осуществлять процедуры чтения и записи этих файлов непосредственно; тот факт, что они зашифрованы прозрачен для них.

Пользователи без доступа также могут видеть эти файлы, но они не могут читать и изменять их. Это означает, что если у системного администратора нет доступа к документам в какой-то из папок, он все равно может осуществлять их резервное копирование. Конечно, все резервные копии файлов также зашифрованы.

Однако когда пользователь открывает какой-либо из файлов для работы на своем компьютере, существует возможность, что к нему получат доступ нежелательные приложения (в том случае, конечно, если компьютер инфицирован). Для предотвращения этого в CyberSafe в качестве дополнительной меры безопасности существует , благодаря которой системный администратор может определить список программ, которые смогут получить доступ к файлам из защищенной папки. Все остальные приложения, не вошедшие в список доверенных, не будут иметь доступа.Так мы ограничим доступ к конфиденциальной информации для шпионских программ, руткитов и другого вредоносного ПО.

Поскольку вся работа с зашифрованными файлами осуществляется на стороне пользователя, это означает, что CyberSafe не устанавливается на файл-сервер и при работе в корпоративном пространстве программа может быть использована для защиты информации на сетевых хранилищах с файловой системой NTFS, таких как . Вся конфиденциальная информация в зашифрованном виде находится в таком хранилище, a CyberSafe устанавливается только на компьютеры пользователей, с которых они получают доступ к зашифрованным файлам.

В этом заключается преимущество CyberSafe перед TrueCrypt и другими программами для шифрования, которые требуют установки в место физического хранения файлов, а значит, в качестве сервера могут использовать лишь персональный компьютер, но не сетевой диск. Безусловно, использование сетевых хранилищ в компаниях и организациях намного более удобно и оправдано, нежели использование обычного компьютера.

Таким образом, при помощи CyberSafe без каких-либо дополнительных средств можно организовать эффективную защиту ценных файлов, обеспечить удобную работу с зашифрованными сетевыми папками, а также разграничить права доступа пользователей к конфиденциальной информации.