Encrypting File System (EFS)

Serviciul Encrypting File System sau EFS permite criptarea directoarelor sau fisierelor, pentru a le proteja impotriva atacurilor externe. Acest serviciu, ce poate fi activat sau dezactivat din tab-ul de proprietati al directorului sau fisierului, in Windows Explorer sau prin comanda cipher, permite utilizatorului care foloseste calculatorul pe care sunt criptate fisierele sa le administreze precum fisiere obisnuite, insa blocheaza accesul, respectiv stergerea sau modificarea acestora, oricarui utilizator de pe alt calculator pe care key-ul privat de acces nu coincide cu cel public. Procesul are loc prin criptarea key-ului de criptare unic al fisierului, protejat de cel al utilizatorului (public key), dupa un algoritm de criptare (Data Encryption Standard) si se desfasoara in mod transparent pentru utilizator – acesta nu observa efectiv cum se realizeaza (dupa ce procesul a fost terminat, numele fisierelor apare intr-o culoare distincta, daca optiunea este activata); de asemenea, el este complet reversibil pentru administator sau alti utilizatori autorizati de catre acesta.

Acest program se poate efectua numai pe volumele de stocare care folosesc fisierul de sistem NTFS, introdus odata cu sistemul de operare Windows 2000, care ofera utilizatorului cateva programe de management al hard-disk-ului, cum ar fi: disk qouta, restrictionarea accesului la fisiere, compresia datelor sau EFS. Cu toate acestea, fisierele incriptate pot fi decriptate automat atunci cand sunt relocate pe un mediu de stocare FAT sau FAT32, deoarece aceste volume nu recunosc fisiere incriptate. Orice tip de fisier, director, arhiva sau executabil poate fi incriptat, insa doar in cazul in care acesta nu are atributul compressed, caz in care la executarea comenzii encrypt, acesta va fi decompresat.

In cazul pierderii private-key-ului, serviciul are inglobata o metoda de recuperare folosind politica de recuperare a EFS. Prin aceasta se administreaza si desemneaza unul sau mai multi agenti de recuperare, adica persoane care pot recupera datele folosind key-urile personale. Autentificarea agentilor de recuperare se face cu certificate de autentificare, care pot fi adaugate sau sterse pentru un anumit domeniu numai de administratori.