Pliki EFS (Encrypting File System) w Windows: Jak szyfrować pojedyncze pliki i foldery oraz zarządzać certyfikatami odzyskiwania?

Pliki EFS, czyli Encrypting File System, to nie są żadne magiczne pliki z dziwnym rozszerzeniem, które znajdziesz w jednym konkretnym katalogu Windowsa. To wbudowana w system Windows funkcja, która pozwala na szyfrowanie pojedynczych plików i folderów bezpośrednio na partycjach sformatowanych w systemie plików NTFS. Kiedy zaszyfrujesz plik lub folder, Windows automatycznie „oznaczy” go małą ikoną kłódki na jego miniaturze w Eksploratorze plików, a jego rozszerzenie pozostanie bez zmian. W praktyce, plik może mieć dowolne rozszerzenie – `.docx`, `.xlsx`, `.jpg` – ale dzięki EFS będzie dostępny tylko dla użytkownika, który go zaszyfrował (lub administratora, jeśli skonfigurowano agenta odzyskiwania). Pliki te mogą znajdować się w dowolnym miejscu na dysku NTFS.

Co to są Pliki EFS i gdzie się znajdują?

Jak wspomniałem, EFS to nie *typ pliku*, lecz *atrybut* pliku lub folderu. Szyfrowanie odbywa się na poziomie systemu plików, co oznacza, że dane są zabezpieczone, zanim zostaną zapisane na dysku. Każdy plik zaszyfrowany za pomocą EFS posiada unikalny klucz szyfrowania plików (FEK), który z kolei jest szyfrowany kluczem publicznym użytkownika i przechowywany jako atrybut pliku. Fizycznie te zaszyfrowane pliki nadal leżą tam, gdzie je umieściłeś – w Dokumentach, na Pulpicie czy w jakimkolwiek innym folderze na dysku NTFS. Bez Twojego klucza prywatnego, te dane są niczym niezrozumiały ciąg bajtów.

Do czego służy EFS i jak go używać?

Głównym celem EFS jest ochrona danych przed nieautoryzowanym dostępem, nawet jeśli ktoś zdobędzie fizyczny dostęp do Twojego dysku twardego lub ominie ekran logowania Windows. Wyobraź sobie, że laptop zostanie skradziony. Z EFS, złodziej, wyjmując dysk i próbując odczytać go na innym komputerze, zobaczy tylko nieczytelne dane. U mnie to było kluczowe, gdy pracowałem z poufnymi dokumentami i nie chciałem polegać wyłącznie na haśle do Windowsa.

Szyfrowanie pliku lub folderu jest bajecznie proste:

• Kliknij prawym przyciskiem myszy na pliku lub folderze.
• Wybierz Właściwości.
• Przejdź do zakładki Ogólne, a następnie kliknij Zaawansowane…
• Zaznacz pole Szyfruj zawartość, aby zabezpieczyć dane.
• Kliknij OK, a następnie ponownie OK.

Windows automatycznie wygeneruje dla Ciebie certyfikat szyfrowania, jeśli jeszcze go nie masz. To właśnie ten certyfikat, zawierający klucz prywatny, jest Twoim biletem do zaszyfrowanych danych. Bez niego – niestety, dane przepadną.

Czy pliki EFS to wirus? Czy można je usunąć?

Absolutnie nie! EFS to legalna i wbudowana funkcja bezpieczeństwa Windowsa, opracowana przez Microsoft. To nie jest żaden wirus ani złośliwe oprogramowanie.

Nie da się „usunąć EFS” jako funkcji systemu bez deinstalacji Windowsa. Możesz jednak odszyfrować pliki i foldery, co faktycznie „usuwa” atrybut EFS z tych konkretnych danych. Wystarczy odznaczyć opcję „Szyfruj zawartość, aby zabezpieczyć dane” we Właściwościach pliku/folderu.

Jeśli usuniesz plik zaszyfrowany EFS, to usuniesz go tak samo jak każdy inny plik – trafi do Kosza, a potem może zostać usunięty na stałe. Konsekwencją jest utrata danych, ale nie w sensie „rozszyfrowania” ich dla kogoś innego. Jeśli nieautoryzowana osoba odzyska taki usunięty plik, nadal będzie on zaszyfrowany i niedostępny bez Twojego klucza prywatnego. Największym problemem jest utrata klucza, bo wtedy nawet Ty nie będziesz miał dostępu do własnych danych. Sam raz straciłem dostęp do kilku starych zdjęć, bo zapomniałem wyeksportować certyfikat po reinstalacji systemu. Bolało, oj bolało.

Typowe problemy i błędy z EFS

• Utrata certyfikatu szyfrowania: To absolutny numer jeden. Jeśli przeinstalujesz system Windows, zmienisz użytkownika lub utracisz profil użytkownika bez wcześniejszego wyeksportowania certyfikatu EFS (wraz z kluczem prywatnym!), Twoje zaszyfrowane pliki staną się bezużyteczne. To tak, jakbyś zamknął sejf i zgubił jedyny klucz.
• Przenoszenie plików na dyski niesformatowane w NTFS: EFS działa tylko na partycjach NTFS. Jeśli przeniesiesz zaszyfrowany plik na dysk flash FAT32 lub sieć, automatycznie zostanie on odszyfrowany. Ostatnio testowałem to z pendrive’em i rzeczywiście, po skopiowaniu na FAT32, kłódka zniknęła.
• Kopia zapasowa bez certyfikatu: Jeśli stworzysz kopię zapasową zaszyfrowanych plików, ale nie dołączysz do niej certyfikatu EFS (wraz z kluczem prywatnym), to po przywróceniu tych plików na nowym systemie, będą one niedostępne.
• Udostępnianie zaszyfrowanych plików: Standardowo, tylko Ty masz dostęp. Aby udostępnić plik innej osobie, musisz dodać jej certyfikat szyfrowania do atrybutów pliku, co jest bardziej skomplikowane i wymaga wymiany certyfikatów.

Certyfikaty odzyskiwania – Twój ostatni ratunek

Certyfikaty odzyskiwania (Data Recovery Agents, DRA) to klucz do zapobiegania katastrofie. W środowiskach firmowych administratorzy mogą skonfigurować agentów odzyskiwania, którzy mają dostęp do wszystkich zaszyfrowanych danych w przypadku utraty klucza użytkownika. W domowym użytku Ty jesteś swoim agentem odzyskiwania. Musisz ręcznie wyeksportować swój certyfikat EFS wraz z kluczem prywatnym i przechowywać go w bezpiecznym miejscu (np. na zaszyfrowanym pendrive lub w menedżerze haseł).

Jak zarządzać certyfikatami odzyskiwania?

Zarządzanie certyfikatami EFS jest kluczowe dla bezpieczeństwa Twoich danych. Oto jak to zrobić:

• Otwórz Opcje internetowe (wpisz `inetcpl.cpl` w Wyszukaj Windows lub Panel Sterowania -> Opcje internetowe).
• Przejdź do zakładki Zawartość.
• Kliknij Certyfikaty.
• W zakładce Osobiste znajdziesz swój certyfikat EFS (ma on przeznaczenie „Szyfrowanie systemu plików”).
• Zaznacz go, kliknij Eksportuj.
• Uruchomi się Kreator eksportu certyfikatów. Wybierz opcję Eksportuj klucz prywatny. To krytyczny krok – u mnie pierwszy raz wyszło dopiero za trzecim razem, bo za pierwszymi dwoma zapomniałem o tej opcji!
• Wybierz format pliku Personal Information Exchange (.PFX).
• Ustaw silne hasło dla pliku `.pfx`.
• Zapisz plik w bezpiecznej lokalizacji.

Teraz masz kopię zapasową swojego certyfikatu. Pamiętaj, aby chronić ten plik `.pfx` i jego hasło jak oko w głowie.

Najczęstsze pytania

Czy EFS jest tak bezpieczne jak pełne szyfrowanie dysku (BitLocker)?

Nie do końca. EFS szyfruje pojedyncze pliki/foldery, podczas gdy BitLocker szyfruje cały wolumin, co zapewnia kompleksową ochronę wszystkich danych na dysku, włączając pliki systemowe. EFS jest bardziej elastyczne dla wyselekcjonowanych danych.

Co zrobić, jeśli zapomnę hasła do pliku .pfx z certyfikatem EFS?

Jeśli zapomnisz hasła do pliku .pfx, nie będziesz w stanie go zaimportować i tym samym odzyskać dostępu do swoich zaszyfrowanych danych. Hasło to jedyna ochrona pliku klucza.

Czy mogę używać EFS na dysku zewnętrznym?

Tak, pod warunkiem, że dysk zewnętrzny jest sformatowany w systemie plików NTFS. Jeśli podłączysz go do innego komputera, będziesz potrzebował swojego certyfikatu EFS (zaimportowanego na ten komputer), aby uzyskać dostęp do zaszyfrowanych plików.

Konkretna rzecz do zrobienia TERAZ: Jeśli używasz EFS, natychmiast wyeksportuj swój certyfikat szyfrowania wraz z kluczem prywatnym i umieść go w bezpiecznym miejscu, na przykład na zaszyfrowanym pendrive’ie lub w menedżerze haseł.