Как поставить пароль на папку, файл или флешку. Запароливаем Всё!
Вопрос от пользователя
Здравствуйте.
Подскажите, как запаролить папку, в которой у меня находятся мои документы. Папка находится на флешке, а ее приходится носить с собой и подключать к разным ПК и ноутбукам. Не хотелось бы, чтобы кто-то их увидел или скопировал к себе.
Маленькое добавление: пароль нужно поставить именно на папку, а не на саму флешку. Т.е. чтобы посмотреть конкретную папку — ввести пароль, а всё остальное свободно и открыто для просмотра. Заранее благодарю!
Задача вполне выполнимая, ниже я приведу несколько вариантов, как поставить пароль на свои файлы (а исходя из плюсов/минусов каждого способа — сможете выбрать оптимальный вариант для себя). 👌
Некоторые пользователи (особенно начинающие) ставят пароли на всё: фильмы, музыку, игры и пр. Как правило, все эти медиа-файлы, которые вы загрузили просто из сети, — мало кому интересны (кроме вас), и вряд ли имеет смысл их защищать (если только не хотите, чтобы кто-то узнал о том, что вы интересуетесь ими) .
В тоже время приходится наблюдать, как попустительски относятся к паролям, личным персональным данным, к сканам паспортов, ИНН и пр. В первую очередь, защищать требуется именно эти документы!
👉 В помощь!
Кстати, также рекомендую защитить свой телефон. По следующей ссылке, Вы узнаете, как поставить пароль (графический ключ) на телефон Android.

Ставим пароль
На файл (документ, блокнот)
Самый простой, быстрый и эффективный способ поставить пароль на свои папки и файлы — это отправить их в запароленный (и зашифрованный) архив . Когда вам необходимо будет получить доступ к файлам и папкам внутри архива — необходимо ввести пароль для доступа, и спокойно ими пользоваться.
Из плюсов : защитить таким образом можно любые файлы: документы Word/Excel, картинки, текстовые файлы (блокноты), сканы, и т.д. Также архиваторы есть на любом ПК/ноутбуке, а значит и файлы вы можете открыть на любом компьютере!
Есть, правда, минусы : если забудете пароль — то открыть такой архив очень сложно (в некоторых случаях невозможно); не удобно работать с большими файлами (например, с папкой видео).
Ниже рассмотрю, как создать такой зашифрованный архив в популярных архиваторах 7-Zip и WinRAR.
👉 В помощь!
Аналоги WinRAR: бесплатные архиваторы для Windows — самые удобные программы
Очень популярный архиватор, позволяющий сжимать файлы сильнее своих конкурентов: WinRAR, WinZIP и пр. Архиватор бесплатен, удобен и выполнен в стиле минимализм (нет ничего лишнего). В общем-то, по праву занимает лидирующие позиции.
После его установки, в проводнике у вас появиться одноименное меню: 7-Zip. Теперь, чтобы создать архив, вам достаточно щелкнуть правой кнопкой мышки по нужному файлу или папке и выбрать в появившемся меню «Добавить к архиву. « (см. скриншот ниже).
Добавить к архиву // 7-Zip
Далее есть ряд важных параметров, которые необходимо правильно задать. Я их пометил цифрами на скриншоте ниже и сейчас поясню поподробнее:
- (1) — необходимо задать имя вашего архива и место, где он будет сохранен. В общем-то, имя архива может быть любым, и его в последствии можно переименовать, как и обычный файл;
- (2) — формат архива . Лучшее сжатие обеспечивает формат 7-Zip, именно его и рекомендую выбрать;
- (3) — SFX-архив — самораспаковывающийся архив . То есть, если вы поставите галочку напротив этого пункта, будет создан EXE-файл (как обычная программа), запустив который, можно будет извлечь файлы без применения архиватора (удобная штука для того, чтобы извлекать файлы можно было на любом компьютере, даже на тех, где нет вообще архиваторов) ;
- (4) введение пароля — пароль может быть любым, здесь архиватор не устанавливает никаких ограничений. Однако помните, что пароль вида «12345», «Бог», «Любовь» и пр., связанные с вашем именем и датой рождения — взламываются очень легко! Установите, что-нибудь более надежное (рекомендуется 6-10 символов, с заглавными и строчными буквами, цифрами и спец. знаками) ;
- (5) выбор метода шифрования — рекомендую оставить по умолчанию AES-256, и дополнительно поставить галочку «Шифровать имена файлов». Благодаря этому, ваши файлы в архиве не только нельзя открыть, но даже и увидеть, что за имена файлов скрыты в архиве!
- (6) — начать архивирование.
Создание архива // 7-Zip
После того, как архив будет создан — можете попробовать его открыть. На это действие, любой архиватор (даже и не 7-Zip) — обязательно вас попросит ввести для расшифрования пароль. Если вы не знаете его или забыли — то ваши файлы останутся недоступны!
Попытка открыть запароленный архив
WinRAR
Один из самых знаменитых архиваторов, обеспечивающий хорошую степень сжатия. Позволяет открывать и извлекать файлы из всех самых популярных форматов архивов: ZIP, RAR, ACE, TAR, GZIP и пр.
Для создания архива в WinRAR — достаточно щелкнуть правой кнопкой мышки по какому-нибудь файлу/папке, и в появившемся меню проводника выбрать «WinRAR/Add to Archive» (прим.: добавить к архиву).
WinRAR — Add Archive. (Создание архива)
- (1) — задать имя для архива (Archive name), может быть любым;
- (2) — выбрать формат архива (рекомендуется RAR);
- (3) — выбрать опцию «Set Password» (установка пароля) для шифрования архива.
Основные настройки при создании архива в WinRAR
Затем указать сам пароль (строка «Enter password» , т.е. ввод пароля) и очень желательно поставить галочку в строке «Encrypt file names» (т.е. шифровать имена файлов).
Ввод пароля — WinRAR
После этого можно начать архивирование. В общем-то, запароленный архив готов — можно пользоваться.
Защита паролем документов Word/Excel и пр.
Документы, создаваемые в Microsoft Office, могут быть зашифрованы штатными средствами, без дополнительных программ. Очень удобно, когда с шифруемым документом вам часто нужно работать. Кстати, в такой документ можно поместить и картинки.
Для установки пароля: откройте меню ФАЙЛ/СВЕДЕНИЯ . Затем щелкните по функции «Защита документа» и выберите желаемое: зашифровать с использованием пароля (кстати, помимо этого, документ можно, например, запретить для редактирования, ограничить доступ и пр.) .
Файл/сведения // Microsoft Word
Учтите, что введенный пароль (если вы его забудете или потеряете) — восстановить почти нереально! Об этом, кстати, предупреждается сам офис, при его задании.
После того, как документ будет защищен, войдя в раздел «СВЕДЕНИЯ» , вы увидите, что появился значок ключа с замком, и написано примечание, что для открытия файла потребуется пароль. Собственно, всё, документ защищен!
Документ защищен паролем // Microsoft Word
На папку/каталог
Не всегда удобно ставить пароль на конкретный файл. Например, есть у вас каталог с картинками, личными фото, с которыми вы часто работаете (редактируете старые, загружаете новые и пр.), и которые не хотелось бы чтобы кто-о увидел без вашего разрешения.
В этом случае — создавать архив каждый раз не удобно, и приходится прибегать к другим инструментам. О них ниже.
Protected Folder
Protected Folder — скриншот главного окна
Очень удобная утилита для защиты и скрытия от посторонних своих файлов и папок. Чтобы защитить папку паролем — достаточно просто перенести её в окно (в «сейф») — и всё, что находится в ней, будет надежно защищено вашим паролем.
- позволяет защищать личную и важную информацию от кражи программами;
- присутствует несколько уровней защиты;
- очень удобно пользоваться: простое перетаскивание папки — и она защищена!
- полностью на русском языке;
- совместима с Windows 7/8/8.1/10/11 (32/64 bits).
Anvide Seal Folder
Сайт разработчика: http://anvidelabs.org/
Очень простая и в тоже время надежная программа для защиты шифрования и защиты паролем любых папок: будь то они на жестком диске, флешке или любых других съемных носителей.
Каждая папка, кстати, может быть защищена своим отдельным паролем. Программа полностью переведена на русский язык, поддерживается всеми популярными версиями Windows.
- ненужно держать ее постоянно запущенной;
- не устанавливает никаких спец. драйверов в систему;
- простой, понятный интерфейс — разберется даже совсем начинающий пользователь ПК;
- имеются горячие клавиши;
- программа компактна и не займет много места на диске;
- бесплатная для домашнего использования.
Покажу на примере, как можно легко зашифровать и закрыть свою папку от посторонних глаз. Устанавливаете и запускаете программу. Затем добавляете папку (можно использовать клавишу Ins).
Далее нажмите по значку с замком (или клавишу F5) — программа предложит ввести пароль и заблокирует папку.
Закрываем доступ к папке
Теперь, даже если вы закроете или удалите программу — ваша папка останется недоступна (попытка зайти в нее (если вы помните ее название и адрес) — закончится ошибкой, как на скрине ниже).
Кстати, папка не видна, даже если загрузиться в безопасном режиме. В общем-то, скрыта надежно!
Чтобы расшифровать папку и файлы в ней — необходимо вновь запустить утилиту, нажать на значок с открытым замком и ввести пароль.
На флешку
Способ №1
Самый простой способ поставить пароль на всю флешку (или диск) — это использовать возможность, которая уже есть в Windows — BitLocker. Позволяет надежно и быстро защитить информацию на флешке
Примечание! Шифрование BitLocker есть не во всех версиях Windows. Если у вас Windows 7 Ultimate или Enterprise, Windows 8/8.1/10/11 — скорее всего у вас оно должно быть.
Чтобы защитить таким образом флешку — подключите ее к USB-порту, откройте «Мой компьютер» (или «Этот компьютер») и щелкните по ней правой кнопкой мышки, в появившемся меню выберите «Включить BitLocker» . Далее следуйте указаниям мастера для установки пароля.
Когда пароль будет установлен, попробуйте вынуть флешку из USB-порта, а затем вновь ее подключить — Вы увидите, что доступ к ней закрыт (и ее значок стал с закрытым замком). Пока не введите пароль для разблокировки, информация на носителе надежно защищена!
Способ №2
USB Safeguard
Очень простая и удобная утилита для защиты флешек (работает во всех версиях Windows). Все что вам нужно, чтобы поставить защиту на флешку — это скачать утилиту и скопировать ее на USB-носитель (см. скрин ниже).
Действие №1 — скопировали на флешку файл программы
Далее она предложит отформатировать носитель (Важно! Скопируйте предварительно всё, что есть на флешке, в отдельную папку на жестком диске) — соглашаемся.
После чего сможете установить пароль.
Действие №2 — запустили утилиту с флешки, отформатировали ее и ввели пароль
ВСЁ! Теперь при подключении флешки — она будет казаться пустой (в ней будет виден только файл программы USB Safeguard).
Чтобы увидеть файлы на ней, вам будет нужно запустить этот файл и ввести правильно пароль. Если вы это сделаете — то появиться диск Z, равный по объему вашей флешки — именно с ним и нужно работать (и именно на нем и будут находиться все ваши добавленные для шифрования файлы).
В общем-то, все просто, удобно и легко работает!
Аналог подобной утилиты: Rohos Mini Drive.
📌 ДОПОЛНЕНИЕ
Также можно создать виртуальный зашифрованный диск (что-то типа образа) для подключения и просмотра которого, нужно ввести правильно пароль. Подобная технология делает ваши файлы максимально защищенными от посторонних. К тому же на таком диске можно хранить абсолютно любые типы файлов.
Примеры программ: TrueCrypt, CyberSafe, Rohos Disk и пр.
👉 В помощь!
1) Как создать виртуальный жесткий диск, зашифровать его и настроить авто-подключение после перезагрузки Windows.
2) Как скрыть раздел диска (и данные на нем станут невидимыми! 👀).
PS: не забывайте пароли! Иначе так обезопасите файлы, что даже сами не сможете их посмотреть.
Как защитить свои файлы и папки от удаления и копирования
Иногда у владельцев ПК возникает желание защитить свои файлы от копирования и (или) удаления. Причинами по защите от копирования являются нежелание, чтобы кто-то воспользовался файлами. Во втором случае причины понятны – никто не хочет терять нужные документы, в них зачастую вкладывается немало труда. Кроме того файл по неосторожности могут удалить дети и даже взрослые домочадцы. Ни кому не хочется делиться с кем-то конфиденциальными данными или утерять их. Хорошо, что есть способы борьбы с проблемой с помощью средств Windows и хороших программ и утилит. О них и пойдет речь дальше.
Защита файлов от копирования средствами Windows
Для защиты компьютера от копирования на съемные носители необходимо внести некоторые изменения в реестр.
Итак нужно сделать следующее:
Нажать в левом нижнем углу «Пуск» либо две клавиши Win и R;
в окошке «Открыть:» написать regedit и нажать «Ok»;
отыскать строку HKEY_LOCAL_MACHINE и открыть дерево в следующей последовательности – /SYSTEM/CurrentControlSet/Control/;
в папке Control найти подпапку StorageDevicePolicies, если ее нет, придется создать;
открыть параметр WriteProtect двойным кликом; в окошко «Значение:» на место нуля вписать единицу, нажать «Ok».

В случае собственного создания папки StorageDevicePolicies, параметра WriteProtect в ней нет и его придется создать. В редакторе реестра нажать на правую кнопку мыши и в пункте «Создать» (впрочем, он единственный) выбрать подпункт «Параметр DWORD», дать имя новому параметру «WriteProtect» и изменить его значение на «1» по вышеуказанной схеме.
Проделав все операции, закрыть редактор и совершить перезагрузку ПК. Машина стала полностью защищенной от копирования на внешние носители.
Защита файлов от удаления средствами Windows
Для защиты документов от удаления придется создать в удобном месте папку, в которую в последующем можно скидывать файлы, потеря которых нежелательна. Выполняется такой алгоритм:
правой кнопкой мыши кликнуть на папку или файл, выбрать пункт «Свойства»;
во вкладке «Безопасность» нажать на «Дополнительно»;

в появившемся окошке во вкладке «Разрешения» нажать «Изменить разрешения…»;

во вновь появившемся окне нажать «Добавить»;

в следующем окошке написать «Все» и кликнуть на «Ok»;

наконец, откроется главное окно, в котором нужно поставить галочки на нужных пунктах. В общем случае хватит следующих пунктов: в столбце разрешить – «Чтение атрибутов», «Содержание папки/ чтение данных» и «Чтение дополнительных атрибутов»; в столбце запретить – «Удаление» и «Удаление подпапок и файлов».

Потом нажать на «Ok». Во всех ранее открытых окошках также кликнуть на эту кнопку. В конце процедуры появляется окно предупреждения, в нем нужно согласиться, нажав «Да». Теперь папка защищена от удаления помещенных в нее файлов.
Защита файлов и папок от удаления и копирования с помощью программ
Помимо средств Windows, разработано достаточное количество программ, они также помогают защитить файлы от копирования и удаления.
Kaspersky Kryptostorage
Программа Kaspersky Kryptostorage выполняет функцию не только по защите от удаления, но и по защите от бесконтрольного доступа. Она не влияет на скорость компьютера, т. к. не находится постоянно в работе.
FileProtection
Очень хорошей утилитой по защите от случайного удаления является FileProtection. Программка вписывается в контекстное меню. Чтобы воспользоваться ей, нужно щелкнуть правой кнопкой мышки на папку (чтобы защитить всю папку) или файл и выбрать пункт «Protect File». Чтобы снять ограничение – выбрать пункт «Unprotect File».
Port Locker
Хорошая программа по защите от копирования на USB носители – Port Locker. Сразу после установки предлагается установить пароль для быстрой блокировки/ разблокировки. Это дает возможность владельцу блокировать доступ к сети, принтеру и всем подключенным USB носителям на время его отсутствия. Программа проста в применении, пробный период – 30 дней.
Какое средство для борьбы по защите файлов лучше, зависит в итоге от подготовленности пользователя. Тот, кто разбирается в ПК, скорее выберет вариант использования Windows. Менее подготовленные или те, кто не хочет «заморачиваться» установят программы.
Главным итогом станет то, что поубавится головной боли.
ЭТО МОЖЕТ БЫТЬ ИНТЕРЕСНОЕЩЕ ОТ АВТОРА
Фронтальный погрузчик: особенности, преимущества и применение
Как улучшить работу операционной системы Windows 7?
Как сделать страховку на автомобиль через интернет?
4 КОММЕНТАРИИ
Обзор помог мне настроить блокировку от случайного удаления папки с важными данными. На компьютере несколько пользователей и не хочется в один день остаться без неких необходимых паролей и т.п.
Если можно удалить средствами операционной системы, то не вижу необходимости в установке дополнительных программ.
Часто задаюсь подобным вопросом на работе, когда на компе что-либо исчезает. Но не поняла: 1) Как мне копировать файлы в случае необходимости? Можно ли парой кликов на время отключить функцию запрета копирования? И распространяется ли такой запрет копирования на перетягивание файлов в чат (по сети внутри предприятия)? 2) Аналогично копированию, что делать, если мне понадобится удалить файл? Тут писали выше, что можно удалить средствами операционной системы, что это значит? Программу Port Locker, да и в принципе любую другую не предлагайте, т.к. у нас на предприятии запрещено устанавливать самовольно программы, а люди в твое отсутствие могут свободно сесть на комп и делать что угодно. При этом я в любой момент тоже должна иметь возможность быстро что-то сделать в компе и, если надо, скопировать на флешку. Или кто-то другой. Но важна именно скорость и простота включения-отключения данных функций. 3) Не будут ли действия, указанные выше, противоречить тому, что на нашем предприятии запрет на использование сторонних программ?
Чтобы не удалили Ваши данные (Word, excel) настройте периодическое их резервное копирование в известную только Вам папку, эта функция есть в полных версиях Офиса, думаю с помощью справки справитесь. Если нужно защитить от просмотра, та самый простой способ — архивирование нужных файлов или папки с паролем, что приводит к шифрованию и невозможности открытия содержимого без пароля. Только не делайте пароль 1,2,3,4… или QWERTY…
Защита файлов от копирования по локальной сети
Как защитить конфиденциальную информацию компании? Такую как различные технические документы, чертежи, в общем базу знаний, которая копилась на протяжении долгих лет.
Методы бывают разные, от использования каких-то собственных решений, до приобретения продвинутых платных продуктов.
Так вот в данном видео я хотел бы поделиться одним способом защиты от утечки подобного рода документов, встроенными средствами операционной системы Windows.
План урока следующий:
— недостатки работы файлового ресурса
— разберем и настроим схему с доступом через RDP
— определимся с недостатками данной схемы
— 100% вариант защиты от утечки информации
Собственно, задача следующая. У компании есть какие-то документы и нужно сделать так, чтобы пользователи могли просматривать эти данные, но не могли их скопировать себе на компьютер, а, следовательно, вынести или отправить через интернет.
Как обычно у нас работает подобный файловый ресурс?
Обычно файловый ресурс работает по следующей схеме. На рабочей станции или на сервере открывается доступ к определенной папке и назначаются права доступа для определенных сотрудников (ПКМ \ Создать \ Папку: Документация \ ПКМ \ Свойства \ Доступ \ Общий доступ \ Поиск пользователей \ Игорь Фирсов \ Добавить \ Чтение \ Поделиться \ Готово)

И вроде все отлично, пользователь может работать с документами, и они так же скрыты от других сотрудников. Он не может удалять и редактировать документы, но он может их скопировать. Откуда мы знаем, что этот сотрудник чист на руку и не захочет отправить их конкурентам?
Да, можно закрыть доступ к подключению флешек и отключить интернет, но, тогда пользователю будет довольно сложно выполнять свои обязанности, так как сейчас все очень плотно завязано на всемирной глобальной сети.
Как решить данный вопрос?
Так вот, недавно меня посетила одна интересная мысль, как можно решить данную задачу. И поможет нам в этом удаленный рабочий стол. Я покажу универсальный метод, который подходит как для сети с доменом, там и для одноранговой сети.
1) Убираем все доступы к нашему хранилищу документации (ПКМ \ Свойства \ Доступ \ Расширенная настройка \ Убираем галочку: Открыть общий доступ к этой папке \ ОК)

2) Создадим локального пользователя, под которым сотрудник будет получать доступ к файлам (Этот компьютер \ ПКМ \ Управление компьютером \ Локальные пользователи \ Пользователи \ ПКМ \ Новый пользователь \ Пользователь: doc \ Пароль \ Запретить смену пароля пользователем \ Срок действия пароля не ограничен \ Создать \ Закрыть)

3) Разрешаем подключение через удаленный рабочий стол по протоколу RDP (Этот компьютер \ Свойства \ Настройка удаленного доступа \ Разрешить удаленное подключение а этому компьютеру \ Электропитание \ Отключаем режим сна \ ОК \ Убираем галочку: Разрешить подключения только с проверкой подлинности \ Выбрать пользователей \ Добавить \ Размещение: Этот компьютер \ Пользователь: doc \ ОК \ ОК)

Запрет на изменение файлов
Запретим изменение файлов, чтобы с психа он не удалил документы или не внес какие-то изменения в техническую документацию. Да, бывают и такие сотрудники, когда их вроде как не справедливо увольняют. (Документация \ ПКМ \ Свойства \ Безопасность \ Дополнительно \ Изменить разрешения \ Удаляем лишние группы и пользователей \ Добавить \ Выберите субъект \ Размещение: Этот компьютер \ Пользователь: doc \ ОК \ ОК)

Подключаемся через RDP
Проверим подключение через удаленный рабочий стол (Клиентский компьютер \ Пуск \ Удаленный рабочий стол \ Windows-10 \ Имя пользователя: Windows-10\doc \ Подключиться \ Создавать и удалять документы мы не можем)
Но, тут появляется ряд брешей, которыми могут воспользоваться. Если мы зайдем в параметры подключения к удаленному рабочему столу, то увидим, что в терминальный сеанс можно пробрасывать Принтеры, Буфер обмена, локальные диски и даже устройства которые буду подключены во время удаленного сеанса.

В итоге, мы можем просто скопировать файл и вставить его на наш компьютер, либо скопировать его на подключенный диск.
Поэтому данную систему нужно доработать!
Отключаем проброс буфера обмена и подключение локальных дисков
Отключить проброс буфера обмена и подключение дисков можно через групповую политику (Windows-10 \ Логинимся под админом \ Win+R \ gpedit.msc \ Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Службы удалённых рабочих столов \ Узел сеансов удалённых рабочих столов \ Перенаправление устройств и ресурсов : Запрещаем все \ Перенаправление принтеров: Запрещаем все \ Win+R \ cmd \ gpupdate /force – применяем групповую политику)

Сохраняем файл rdp с нужными настройками (Подключение к удаленному рабочему столу \ Параметры \ Сохранить как… \ doc.rdp)
Подключаемся и видим, что теперь мы не можем через буфер обмена копировать файлы, а также отключились локальные диски от терминального сеанса.
Отключить доступ в интернет
Как вы видите, этот компьютер подключен к сети Интернет, а значит он может из самого терминального сеанса отправить файлы по почте или загрузить на какой-нибудь облачный сервис. Значит доступ в интернет нужно тоже обрубить.
Проще всего это сделать, убрав адрес шлюза из настроек сетевого подключения (Центр управления сетями и общим доступом \ Сетевое подключение \ Свойства \ IP версии 4 \ Свойства \ Шлюз \ Удаляем данные)

Проверяем доступ к интернет ресурсам (Win+R \ cmd \ ping 8.8.8.8 \ Сбой передачи)
Запрещаем доступ локальную сеть
Так же, пользователь может попытаться сохранить файлы на каком-нибудь общедоступном ресурсе, а потом забрать их на свой компьютер. Поэтому, мы должны запретить взаимодействие данной машины с локальной сетью, а сделать это можно отключив службу NetBIOS, которая отвечает за подобное взаимодействие (Входим в рабочую станцию под админом либо запустим оснастку упрвления службами через проводник C:\Windows\System32\services.msc \ ПКМ \ Запустить от имени администратора \ Модуль поддержки NetBIOS через TCP/IP \ Тип запуска: Отключена; Состояние: Остановить \ ОК).

Все, теперь пользователь не сможет ни скопировать файлы себе на компьютер, ни отправить их через Интернет или локальную сеть.
Как обслуживать данную систему?
Теперь необходимо назначить отдельного сотрудника, который будет отвечать за актуальность данных документов. Т.е. только один ответственный человек должен добавлять какие-либо документы на данный ресурс.
Какие недостатки данной системы?
— скриншот экрана – можно снимать скриншотом данные с экрана, но, данный функционал можно отключить либо при помощи специального софта, либо через редактирование реестра. А лучше, повесить отправку уведомлений системному администратору, когда человек начинает слишком часто пользоваться кнопкой PrtScn. Так, мы сможем заранее определить не благонадежного сотрудника, пока он не придумал какой-то другой способ кражи.
Но, подобные уведомления настраиваются сторонним софтом.
— запись с экрана – можно записывать с экрана, но на это тоже можно настроить определенные ограничения, в любом случае у пользователя должны быть ограничены права на компьютере, чтобы он не смог устанавливать подобный софт.
— запись с телефона – он может сфотографировать или снять на видео то, что отображается на мониторе. Да, у всех телефоны не отберешь. Но, как вариант в одной компании мы делали следующим образом, база с архивом хранится на определенном компьютере на который была направленна видеокамера, записывающая в непрерывном формате. В таком случае, любые действия сотрудника записываются на видеокамеру и это дает очень хороший психологический эффект
Конечно же это не единственно возможный вариант, их может быть множество, в зависимости от различных бизнес процессов, функций сотрудника, удобства работы, схемы организации сети и других факторов.
100% вариант защиты от утечки
Ну вот мы и перешли к самому интересному, это 100% вариант защиты информации от утечки.
А прикол в том, что такого варианта не существует, все ограничивается лишь желанием пользователя завладеть информацией. Лично на своем примере могу сказать, что, когда я учился и подрабатывал ночным охранником, у нас был комп с ограниченными правами. И чтобы не делал местный админ, мы всегда его взламывали, так как нам просто больше нечем было заняться, а сидеть 24 часа без компа тоже не совсем весело, учитывая то, что телефонов с интернетом и ютьюбчиком тогда не было.
Так что, все зависит от мотивации того, кто хочет взломать систему. Мы можем усложнить процесс утечки и ставить большее количество ловушек, чтобы на начальном этапе увидеть подозрительную активность и вычислить не благонадежного сотрудника, но на 100% вы все не закроете. Взять даже фильм про Сноудена, как он гениально вынес флешку с работы.
Как-то еще работал в одной конторе, не админом, а маркетологом. И руководство считало, что у них самая защищенная система в мире, поэтому даже позволяли местному сисадмину вести себя порой чересчур дерзко с пользователями и клиентами, мол у гениальных людей бывают недостатки. Однако, это никак не мешало мне приносить и уносить нужную информацию. Это никак не было связанно с их конфиденциальной информацией, просто в обеденное время я работал еще и над своими проектами.
Я даже знал, когда он подключается к моему монитору, чтобы отслеживать, что я делаю, так скажем катать компромат, для лишения премии и т.д.
20+ open source утилит для шифрования файлов на (почти) любой случай жизни
На самом-самом деле его секреты нафиг никому не нужны. И кстати, такой ключ за 5 баксов ещё надо поискать
Шифропанкам посвящается. Мы собрали тулкит из популярных программ (преимущественно с симметричным шифрованием), которые помогут защитить личные данные от несанкционированного доступа и попросили исследователя криптографии из компании «Криптонит» прокомментировать наш выбор.
Под катом безопасные решения для шифрования файлов при помощи браузера, для быстрой защиты, пересылки, загрузки в облако шифрованных данных, криптографические контейнеры с двойным дном, десяток консольных инструментов для криптографии и комбайн, объединяющий их под единым графическим интерфейсом. А еще ответы на животрепещущие вопросы, например: «Что лучше AES, Кузнечик, Serpent или Twofish»?
Штатное полнодисковое шифрование
Для начала коротко о стандартных решениях, интегрированных в операционные системы.
В современных смартфонах довольно надежная реализация полнодискового шифрования, по крайней мере, если судить по стоимости эксплоитов на черном рынке. Если вы используете пароль, а не пин-код, отключили биометрию, не трогали загрузчик, то рядовой злоумышленник вряд ли доберется до данных. С настольными операционными системами ситуация сложнее.
Apple использует в macOS технологию FileVault на базе алгоритма XTS-AES-128 с длиной ключа 256 бит и криптографический чип T2 для работы с ключами. Это решение близко по надежности к шифрованию IPhone. В то же время Windows предлагает BitLocker, который шифрует систему при помощи 128- или 256-битного алгоритма AES и Encrypting File System для шифрования отдельных файлов, однако эти функции недоступны в Windows 10/11 Home. Они работают в профессиональных редакциях операционной системы.
Для Linux существует общий «стандартный» метод шифрования LUKS, но его реализации отличаются от дистрибутива к дистрибутиву. Обычно используется шифрование AES с 256-битными ключами, но LUKS работает с разными шифрами (Serpent, Twofish, CAST-128, CAST-256) и хеш-функциями (SHA-1, SHA-256, SHA-512, RIPEMD160, WHIRLPOOL). В итоге получается зоопарк, которому нельзя дать единую однозначную оценку.
Так что наличие штатного шифрования не мешает существовать ряду альтернативных решений с открытым исходным кодом. Они предназначены для куда более разнообразных сценариев использования. Пойдем от простого к сложному.
Простое файловое шифрование
Hat.sh и Cloaker
Веб-приложения, которые обеспечивают локальное шифрование отдельных файлов в браузере с использованием известной библиотеки libsodium и криптографических алгоритмов:
- XChaCha20-Poly1305 — для симметричного шифрования.
- Argon2id — для получения ключа на основе пароля.
- X25519 — для обмена ключами.
XChaCha20-Poly1305 — ARX-шифр, который выполняет аутентифицированное шифрование, то есть помимо собственно шифрования обеспечивает целостность данных. Алгоритм достаточно быстр, надежен и проверен практикой.
Здесь и далее комментирует Степан Давыдов, старший специалист-исследователь лаборатории криптографии компании «Криптонит».
Hat.sh и Cloaker — простые решения, не требующие предварительной настройки. Hat.sh лучше подходит для шифрования больших файлов, а Cloaker оптимизирован для работы на мобильных устройствах и имеет десктопную версию. Из-за выбранного алгоритма шифрования и браузерного исполнения лучшее их применение — скорее защита файлов перед передачей по незащищенным каналам, чем долговременное хранение информации.
Picocrypt
Windows, macOS и Linux
Крошечная, весом 2MB, но функциональная утилита, которая не требует установки и прав администратора. Обычно использует XChaCha20 и функцию формирования ключа Argon2 для создания криптоконтейнеров. В «режиме паранойи» использует каскадное шифрование — последовательно шифрует данные при помощи XChaCha20 и Serpent, и использует HMAC-SHA3 вместо BLAKE2b для аутентификации. Все используемые в Picocrypt криптографические примитивы взяты из модуля golang.org/x/crypto.
Кроме того, Picocrypt может:
- защищать от повреждений шифрованные контейнеры ценой небольшого увеличения размера при помощи кодов Рида-Соломона, способных исправлять ошибки;
- разбивать контейнеры на части;
- сжимать файлы при упаковке;
- использовать ключевые файлы как дополнительный (или единственный) метод защиты криптоконтейнеров.
Шифрование файлов перед загрузкой в облако
Cryptomator
Windows, macOS, Linux, iOS, Android
Cryptomator не заменяет клиенты для облачных хранилищ, однако он предназначен специально для шифрования каталогов, которые будут синхронизированы с их помощью. Эта программа скрывает структуру каталогов, шифрует файлы и их имена с помощью AES и 256-битного ключа, генерируемого на основе пароля при помощи scrypt.
Впрочем, алгоритм шифрования, это еще не все. Важно заметить, что Cryptomator не скрывает метаданные: метки времени доступа, модификации и создания файлов, а также количество, размер файлов и папок.
Документация Cryptomator подробно описывает архитектуру безопасности. Некоторые криптографические библиотеки Cryptomator (cryptolib, cryptofs, siv-mode и cryptomator-objc-cryptor) прошли аудит Cure53. Исключение составляет cryptolib-swift — библиотека, используемая в Cryptomator для iOS. К тому же, исходный код мобильных приложений не опубликован.
Duplicati
Специализированное решение для безопасного резервного копирования файлов в облачные хранилища. Оно использует AES-256 для защиты данных средствами SharpAESCrypt или GnuPG.
Duplicati поддерживает инкрементное резервное копирование, то есть сначала загружает полную резервную копию, а затем сохраняет небольшие добавочные обновления. Кроме того, эта утилита позволяет создавать резервные копии открытых или заблокированных файлов с помощью службы моментальных снимков тома (VSS) Windows или диспетчера логических томов (LVM) в Linux.
RClone
Windows, macOS, Linux, .deb, .rpm, FreeBSD, Plan9, Solaris
Это универсальный инструмент для управления данными в облаке, который может: перемещать, копировать, синхронизировать, монтировать, проверять, удалять, дедуплицировать и, конечно, шифровать.
Для криптографической защиты файлов в RClone используется 256-битный ключ и соль, создаваемые на основе пары разных пользовательских паролей.
В RClone шифрование выполняется с помощью NaCl SecretBox, при помощи алгоритмов XSalsa20 и Poly1305, которые также обеспечивают целостность файлов. Имена файлов и каталогов также по умолчанию шифруются. Структура и размер файлов и другие метаданные не шифруются.
В отличие от Cryptomator, RClone подключается к облакам напрямую. Он поддерживает двустороннюю синхронизацию (пока что в качестве экспериментальной функции), поэтому он подходит для автоматической синхронизации файлов между устройствами в сценарии, когда на файлы шифруются перед загрузкой в облако, а на компьютере хранятся в расшифрованном виде. Правда, для настройки такой конфигурации придется повозиться с консолью. RClone имеет лишь базовый веб-интерфейс, настройка шифрования производится при помощи текстовых команд.
Создание шифрованных архивов, контейнеров и томов
VeraCrypt
Windows, macOS, Linux, FreeBSD, Raspberry Pi
Известное решение для создания защищенных файловых контейнеров с длинной историей, репутацией, регулярными обновлениями и обширными функциями. VeraCrypt позволяет создавать скрытые тома и каскадное шифрование, обеспечивает правдоподобное отрицание. Поддерживает полнодисковое шифрование, составляя конкуренцию BitLocker.
По умолчанию эта утилита использует 256-битное шифрование AES, но поддерживает и другие шифры: Camellia, Кузнечик, Serpent и Twofish с 256-битным ключем и различные их сочетания.
Все эти алгоритмы являются блочными (подаваемые на вход данные обрабатываются блоками) и симметричными (для зашифрования и расшифрования сообщений используется один и тот же ключ). В них применяются идентичные линейные и нелинейные операции, различающиеся лишь длинами и значениями параметров. Криптостойкость блочных шифров принимается аксиоматически и подтверждается отсутствием найденных атак. Можно даже сказать, что количеством неудачных попыток их найти.
Наиболее надежными являются российский стандарт Кузнечик, а также международные стандарты ISO/IEC AES и Camellia при использовании с 256-битными ключами. Алгоритмы Serpent и Twofish не имеют известных уязвимостей, однако их анализу уделялось существенно меньше внимания.
zuluCrypt
Эта программа фактически является графическим интерфейсом для работы с cryptsetup. Она задействует возможности криптографического API ядра Linux для создания и монтирования томов PLAIN dm-crypt, LUKS, контейнеров TrueCrypt, VeraCrypt и BitLocker. Не позволяет создавать разделы BitLocker, только просматривать их содержимое, но в остальном универсальна.
Kryptor
Консольный инструмент для шифрования и подписи файлов, который разрабатывается, как замена age и Minisign, а также современная альтернатива GPG. Использует алгоритм XChaCha20-Poly1305 для защиты файлов, argon2id для получения ключа на основе пароля, BLAKE2b для хеширования, X25519 для обмена ключами и Ed25519 для цифровых подписей. Все они реализованы при помощи библиотеки libsodium. Хорошо документирован.
Kryptor скрывает метаданные и имена файлов и поддерживает асимметричные ключи, так что позволяет наладить обмен файлами с проверкой подлинности отправителя по заведомо небезопасным каналам.
Dexios
Linux, Windows, MacOS, FreeBSD (запускается на Android через Termux)
Еще один консольный инструмент шифрования. Написан на языке Rust и способен шифровать как отдельные файлы, так и каталоги. Как и Kryptor, снабжен подробной документацией.
Dexios поддерживает AES-256-GCM и ChaCha20-Poly1305 для шифрования файлов, а также BLAKE3-Balloon и argon2id для формирования ключа. Все криптографические примитивы взяты из набора RustCrypto. А еще, в 2022 году Dexios прошел проверку NCC без существенных замечаний (отчет по AES и отчет по ChaCha20-Poly1305).
Командная оболочка для криптографического API ядра Linux. Tomb служит для управления cryptsetup и LUKS. По умолчанию применяет для защиты файлов и каталогов алгоритм AES-256 (XTS plain), однако может использовать все доступные в Linux криптографические примитивы.
По концепции эта утилита напоминает zuluCrypt, но Tomb позволяет хранить криптографические ключи отдельно, например, на флеш-накопителе, и поддерживает стеганографию (сокрытие ключей в текстах и JPEG-файлах).
Несмотря на все городские легенды о закладках в популярных алгоритмах шифрования, отечественных и зарубежных, ни одного такого свидетельства нет. Все перечисленные в статье алгоритмы известны криптографическому сообществу долгое время, по каждому из них проведен неоднократный анализ и ни одной атаки, сколько-нибудь близкой к практической, не найдено. Наилучший результат, полученный российскими криптоаналитиками для стандартизованных современных криптомеханизмов, относится к алгоритму генерации ключа MQ-DRBG. Авторам исследования удалось снизить криптостойкость с 256 до 153 бит, тем не менее практические атаки не найдены, а наличие закладки не доказано.
Однако, одно дело алгоритм сам по себе, другое — реализация шифрования в конкретной программе. На этом уровне многое может пойти не так. Периодические независимые проверки криптографических инструментов очень важны. Дальше будет описан хороший пример.
SiriKali
Решение в стиле «все в одном» — комбайн с графическим интерфейсом на Qt/C++, который управляет зашифрованными папками при помощи ряда инструментов.
В Linux в качестве бэкенда SiriKali выступают:
В Windows SiriKali работает с:
В macOS к утилите подключаются:
Все это консольные инструменты, которые можно использовать и отдельно от SiriKali. Достаточно широкий выбор, однако, не все они одинаково полезны. Так, во время аудита в 2014 году в EncFS были найдены уязвимости, которые до сих пор не исправлены. Проект не обновлялся с 2018 года и прямо скажем, устарел.
В противовес выделим Gocryptfs (прошла аудит и была доработана по итогам), cppcryptfs, и Securefs, которые служат для создания и управления каталогами-контейнерами, основанными на файловой системе FUSE (Filesystem in Userspace) на базе AES256-GCM.
Эти решения концептуально занимают промежуточное место между криптографичекими контейнерами и пофайловым шифрованием. Утилиты для работы с FUSE на логическом уровне манипулируют контейнерами, но каждый файл в контейнере хранится отдельно. Такой подход лучше подходит для работы с облачными хранилищами — изменение одного файла не означает повторную загрузку всего контейнера, однако Filesystem in Userspace не скрывает структуру каталогов и размеры файлов.
Что касается CryFS, то эта консольная утилита создана для использования вместе с Dropbox или другими облачными сервисами. В ней для криптографии используется библиотека Crypto++. Ее архитектура описана в магистерской диссертации и научной статье, опубликованной на DBSec 2017. В основе шифр AES-256.
CryFS предоставляет зашифрованную файловую систему иного типа. Она дробит файлы на шифрованные блоки, которые хранятся в базовом каталоге с использованием случайного идентификатора в качестве имени файла. Таким образом, помимо сокрытия содержимого файла, CryFS скрывает метаданные и структуру каталогов.
У подхода есть минус — множество отдельных файлов, которые генерирует программа. В некоторых облачных сервисах можно быстро столкнуться с ограничением на максимальное число файлов. К тому же, при шифровании файлов, размером менее нескольких МБ, CryFS увеличивает занимаемое ими место, из-за фиксированного размера шифрованного блока. Но главный недостаток утилиты заключается в том, что она все еще находится в стадии бета-тестирования.
Как видите, Open Source-сообщество создало и поддерживает много интересных и полезных программ для шифрования, но, если говорить о решениях, которые используют в повседневной жизни эксперты-криптографы, то обычно это все-таки VeraCrypt.
Степан Давыдов, старший специалист-исследователь лаборатории криптографии компании «Криптонит».
