Шифрование файловой системы

Шифрованная файловая система ( EFS ) в Microsoft Windows — это функция, представленная в версии 3.0 NTFS. ^[1] который обеспечивает шифрование на уровне файловой системы . Эта технология позволяет прозрачно шифровать файлы для защиты конфиденциальных данных от злоумышленников, имеющих физический доступ к компьютеру.

EFS доступна во всех версиях Windows, кроме домашних версий (см. раздел «Поддерживаемые операционные системы» ниже), начиная с Windows 2000 . ^[2] По умолчанию файлы не шифруются, но пользователи могут включить шифрование для каждого файла, каталога или диска. Некоторые параметры EFS также можно настроить с помощью групповой политики в средах домена Windows . ^[3]

Доступны реализации криптографической файловой системы для других операционных систем, но Microsoft EFS несовместима ни с одной из них. ^[4] См. также список криптографических файловых систем .

Основные идеи

Когда операционная система работает в системе без шифрования файлов, доступ к файлам обычно осуществляется через контролируемую ОС аутентификацию пользователей и списки контроля доступа . Однако если злоумышленник получит физический доступ к компьютеру, этот барьер можно легко обойти. Например, одним из способов было бы извлечь диск и вставить его в другой компьютер с установленной ОС, которая может читать файловую систему; другой вариант — просто перезагрузить компьютер с загрузочного компакт-диска, содержащего операционную систему, подходящую для доступа к локальной файловой системе.

Наиболее широко распространенное решение этой проблемы — хранить файлы в зашифрованном виде на физических носителях (дисках, USB-накопителях, лентах, компакт-дисках и т. д.).

В семействе операционных систем Microsoft Windows EFS позволяет эту меру, хотя и только на дисках NTFS, и делает это, используя комбинацию шифрования с открытым ключом и шифрования с симметричным ключом, что чрезвычайно затрудняет расшифровку файлов без правильного ключа.

Однако ключи шифрования для EFS на практике защищены паролем учетной записи пользователя и поэтому подвержены большинству атак с использованием пароля. Другими словами, надежность шифрования файла зависит от надежности пароля для разблокировки ключа дешифрования.

Операция

EFS работает путем шифрования файла с помощью массового симметричного ключа , также известного как ключ шифрования файла или FEK. Он использует симметричный алгоритм шифрования, поскольку для шифрования и дешифрования больших объемов данных требуется меньше времени, чем при с асимметричным ключом использовании шифра . Используемый алгоритм симметричного шифрования будет зависеть от версии и конфигурации операционной системы; см. Алгоритмы, используемые версией Windows ниже. FEK (симметричный ключ, используемый для шифрования файла) затем шифруется с помощью открытого ключа , связанного с пользователем, зашифровавшим файл, и этот зашифрованный FEK сохраняется в альтернативном потоке данных $EFS зашифрованного файла. ^[5] Чтобы расшифровать файл, драйвер компонента EFS использует закрытый ключ, соответствующий цифровому сертификату EFS (используемому для шифрования файла), для расшифровки симметричного ключа, хранящегося в потоке $EFS. Затем драйвер компонента EFS использует симметричный ключ для расшифровки файла. Поскольку операции шифрования и дешифрования выполняются на уровне ниже NTFS, они прозрачны для пользователя и всех его приложений.

Папки, содержимое которых должно быть зашифровано файловой системой, помечаются атрибутом шифрования. Драйвер компонента EFS обрабатывает этот атрибут шифрования аналогично наследованию прав доступа к файлам в NTFS: если папка помечена для шифрования, то по умолчанию все файлы и подпапки, созданные в этой папке, также шифруются. Когда зашифрованные файлы перемещаются внутри тома NTFS, они остаются зашифрованными. Однако в ряде случаев файл может быть расшифрован без явного запроса пользователя на это.

Файлы и папки расшифровываются перед копированием на том, отформатированный в другой файловой системе, например FAT32 . Наконец, когда зашифрованные файлы копируются по сети с использованием протокола SMB/CIFS, файлы расшифровываются перед отправкой по сети.

Наиболее существенным способом предотвращения расшифровки при копировании является использование приложений резервного копирования, поддерживающих «Raw» API. Приложения резервного копирования, в которых реализованы эти Raw API, просто копируют зашифрованный поток файлов и альтернативный поток данных $EFS как один файл. Другими словами, файлы «копируются» (например, в файл резервной копии) в зашифрованном виде и не расшифровываются во время резервного копирования.

Начиная с Windows Vista , закрытый ключ пользователя может храниться на смарт-карте ; Ключи агента восстановления данных (DRA) также можно хранить на смарт-карте. ^[6]

Безопасность

Уязвимости

В Windows 2000 EFS существовали две серьезные уязвимости безопасности, которые с тех пор подвергались различным атакам.

В Windows 2000 локальный администратор является агентом восстановления данных по умолчанию, способным расшифровать все файлы, зашифрованные с помощью EFS, любым локальным пользователем.EFS в Windows 2000 не может функционировать без агента восстановления, поэтому всегда есть кто-то, кто может расшифровать зашифрованные файлы пользователей. Любой компьютер с Windows 2000, не присоединенный к домену, будет подвержен несанкционированному дешифрованию EFS любым, кто сможет получить контроль над учетной записью локального администратора, что тривиально, учитывая множество инструментов, доступных бесплатно в Интернете. ^[7]

В Windows XP и более поздних версиях локального агента восстановления данных по умолчанию нет, и его наличие не требуется. Установка режима SYSKEY в режим 2 или 3 (системный ключ, введенный во время загрузки или сохраненный на дискете) снизит риск несанкционированного дешифрования через учетную запись локального администратора. Это связано с тем, что хэши паролей локального пользователя, хранящиеся в файле SAM , зашифрованы с помощью Syskey, а значение Syskey недоступно для автономного злоумышленника, у которого нет кодовой фразы/дискеты Syskey.

Доступ к закрытому ключу через сброс пароля

В Windows 2000 закрытый ключ RSA пользователя не только хранится в действительно зашифрованной форме, но также существует резервная копия закрытого ключа RSA пользователя, которая более слабо защищена. Если злоумышленник получит физический доступ к компьютеру с Windows 2000 и сбросит пароль локальной учетной записи пользователя, ^[7] злоумышленник может войти в систему как этот пользователь (или агент восстановления) и получить доступ к закрытому ключу RSA, который может расшифровать все файлы. Это связано с тем, что резервная копия закрытого ключа RSA пользователя зашифрована секретом LSA, который доступен любому злоумышленнику, который может повысить уровень своего входа в систему до LocalSystem (опять же, это тривиально, учитывая множество инструментов в Интернете).

В Windows XP и более поздних версиях закрытый ключ RSA пользователя резервируется с использованием автономного открытого ключа, соответствующий закрытый ключ которого хранится в одном из двух мест: на диске для сброса пароля (если Windows XP не является членом домена) или в Active Directory (если Windows XP является членом домена). Это означает, что злоумышленник, который может пройти аутентификацию в Windows XP как LocalSystem, по-прежнему не имеет доступа к ключу дешифрования, хранящемуся на жестком диске ПК.

В Windows 2000, XP или более поздних версиях закрытый ключ RSA пользователя шифруется с использованием хеша хэша пароля NTLM пользователя плюс имени пользователя. Использование соленого хеша чрезвычайно затрудняет обратный процесс и восстановление закрытого ключа, не зная парольная фраза пользователя. Кроме того, установка Syskey в режим 2 или 3 (Syskey, введенный во время загрузки или сохраненный на дискете) смягчит эту атаку, поскольку хэш пароля локального пользователя будет храниться в зашифрованном виде в файле SAM.

Другие вопросы

После успешного входа пользователя в систему доступ к его собственным зашифрованным данным EFS не требует дополнительной аутентификации, расшифровка происходит прозрачно. Таким образом, любая компрометация пароля пользователя автоматически приводит к доступу к этим данным. Windows может хранить версии паролей учетных записей пользователей с обратимым шифрованием, хотя это больше не является поведением по умолчанию; его также можно настроить для хранения (и это будет по умолчанию в исходной версии Windows XP и более ранних версий) хешей Lan Manager паролей локальных учетных записей пользователей, которые можно легко атаковать и взломать. Он также хранит пароли локальных учетных записей пользователей в виде хэшей NTLM , которые можно довольно легко атаковать с помощью « радужных таблиц », если пароли слабые (Windows Vista и более поздние версии по умолчанию не допускают слабых паролей). Чтобы снизить угрозу тривиальных атак методом перебора локальных парольных фраз, необходимо настроить более старые версии Windows (с помощью раздела «Настройки безопасности» групповой политики) так, чтобы они никогда не сохраняли хеши LM и, конечно же, не включали автоматический вход в систему (который хранит открытый текст). парольные фразы в реестр ). Кроме того, использование парольных фраз локальной учетной записи пользователя длиной более 14 символов не позволяет Windows сохранять хэш LM в SAM, а также дает дополнительное преимущество, заключающееся в усложнении атак методом перебора на хеш NTLM.

При шифровании файлов с помощью EFS – при преобразовании файлов с открытым текстом в зашифрованные файлы – файлы с открытым текстом не стираются, а просто удаляются (т. е. блоки данных, помеченные в файловой системе как «не используемые»). Это означает, что, если они, например, не хранятся на SSD с поддержкой TRIM , их можно легко восстановить, если они не будут перезаписаны. Чтобы полностью смягчить известные, несложные технические атаки на EFS, шифрование должно быть настроено на уровне папки (чтобы все временные файлы, такие как резервные копии документов Word, созданные в этих каталогах, также были зашифрованы). При шифровании отдельных файлов их следует скопировать в зашифрованную папку или зашифровать «на месте» с последующей безопасной очисткой тома диска. Утилиту Windows Cipher можно использовать (с параметром /W) для очистки свободного пространства, включая то, которое все еще содержит удаленные текстовые файлы; также могут работать различные сторонние утилиты. ^[8]

Любой, кто имеет доступ администратора, может перезаписать, переопределить или изменить конфигурацию агента восстановления данных. Это очень серьезная проблема, поскольку злоумышленник может, например, взломать учетную запись администратора (с помощью сторонних инструментов), установить любой сертификат DRA в качестве агента восстановления данных и подождать. Иногда это называют двухэтапной атакой, которая существенно отличается от сценария риска, связанного с потерей или кражей ПК, но подчеркивает риск, связанный со злонамеренными действиями инсайдеров.

Когда пользователь шифрует файлы после первого этапа такой атаки, FEK автоматически шифруются с помощью открытого ключа назначенного DRA. Злоумышленнику достаточно еще раз получить доступ к компьютеру от имени администратора, чтобы получить полный доступ ко всем файлам, которые впоследствии будут зашифрованы с помощью EFS. Даже использование режима Syskey 2 или 3 не защищает от этой атаки, поскольку злоумышленник может создать резервную копию зашифрованных файлов в автономном режиме, восстановить их в другом месте и использовать закрытый ключ DRA для расшифровки файлов. Если такой злонамеренный инсайдер может получить физический доступ к компьютеру, все функции безопасности следует считать несущественными, поскольку они также могут установить на компьютер руткиты , программное обеспечение или даже аппаратные кейлоггеры и т. д., что потенциально гораздо интереснее и эффективнее, чем перезапись. Политика ДРА.

Восстановление

Файлы, зашифрованные с помощью EFS, можно расшифровать только с помощью закрытых ключей RSA, соответствующих ранее использованным открытым ключам. Сохраненная копия закрытого ключа пользователя в конечном итоге защищена паролем для входа пользователя. Доступ к зашифрованным файлам из-за пределов Windows с помощью других операционных систем ( например, Linux ) невозможен, не в последнюю очередь потому, что в настоящее время не существует стороннего драйвера компонента EFS. Кроме того, использование специальных инструментов для сброса пароля пользователя для входа сделает невозможным расшифровку закрытого ключа пользователя и, следовательно, бесполезным для получения доступа к зашифрованным файлам пользователя. Значение этого иногда теряется для пользователей, что приводит к потере данных, если пользователь забывает свой пароль или не может создать резервную копию ключа шифрования. Это привело к появлению термина «отложенная корзина», чтобы описать кажущуюся неизбежность потери данных, если неопытный пользователь зашифрует свои файлы.

Если EFS настроена на использование ключей, выданных инфраструктурой открытых ключей, а PKI настроена на включение архивации и восстановления ключей, зашифрованные файлы можно восстановить, сначала восстановив закрытый ключ.

Ключи

пароль пользователя (или закрытый ключ смарт-карты): используется для создания ключа дешифрования для расшифровки главного ключа DPAPI пользователя.
Главный ключ DPAPI: используется для расшифровки секретных ключей RSA пользователя.
Закрытый ключ RSA: используется для расшифровки FEK каждого файла.
Ключ шифрования файла (FEK): используется для расшифровки/шифрования данных каждого файла (в основном потоке NTFS).
SYSKEY: используется для шифрования кэшированного средства проверки домена и хэшей паролей, хранящихся в SAM.

Поддерживаемые операционные системы

Окна

Редакции Windows 2000 Professional, Server, Advanced Server и Datacenter.
Windows XP Professional, также в версиях Tablet PC Edition, Media Center Edition и x64 Edition.
Windows Server 2003 и Windows Server 2003 R2 в редакциях x86 и x64.
Редакции Windows Vista Business, Enterprise и Ultimate ^[9]
Редакции Windows 7 Professional, Enterprise и Ultimate
Windows Server 2008 и Windows Server 2008 R2
Редакции Windows 8 и 8.1 Pro и Enterprise
Windows Server 2012 и Windows Server 2012 R2
Редакции Windows 10 Pro, Enterprise и Education.
Редакции Windows 11 Pro, Enterprise и Education.
Windows Сервер 2016
Windows Сервер 2019

Другие операционные системы

Никакие другие операционные системы или файловые системы не имеют встроенной поддержки EFS.

Новые функции, доступные в разных версиях Windows

Windows ХР

Шифрование клиентского кэша ( база данных автономных файлов )
Защита резервной копии главного ключа DPAPI с использованием общедоменного открытого ключа.
Автоматическая регистрация сертификатов пользователей (включая сертификаты EFS)
Многопользовательский (общий) доступ к зашифрованным файлам (пофайлово) и проверка отзыва сертификатов, используемых при совместном использовании зашифрованных файлов.
Зашифрованные файлы могут отображаться другим цветом (по умолчанию зеленым).
Нет необходимости в обязательном агенте восстановления.
Предупреждение о том, что файлы могут автоматически расшифровываться при перемещении в неподдерживаемую файловую систему.
Диск для сброса пароля
EFS через WebDAV и удаленное шифрование для серверов, делегированных в Active Directory.

Windows XP с пакетом обновления 1

Поддержка и использование по умолчанию алгоритма симметричного шифрования AES-256 для всех файлов, зашифрованных с помощью EFS.

Windows XP SP2 + КБ 912761

Запретить регистрацию самозаверяющих сертификатов EFS

Windows Сервер 2003

Служба управления цифровой идентификацией
Применение параметра RSAKeyLength для обеспечения минимальной длины ключа при регистрации самозаверяющих сертификатов EFS.

Windows Виста ^[10] и Windows Сервер 2008 ^[11]^[12]

Индивидуальное шифрование клиентского кэша (автономные файлы)
Поддержка хранения закрытых ключей RSA (пользовательских или DRA) на смарт-карте ПК/SC.
Мастер смены ключей EFS
Запросы на резервное копирование ключа EFS
Поддержка получения главного ключа DPAPI со смарт-карты ПК/SC.
Поддержка шифрования файла pagefile.sys.
Защита секретов, связанных с EFS, с помощью BitLocker (выпуск Enterprise или Ultimate Windows Vista) ^[13]^[14]
Элементы управления групповой политикой, которые необходимо обеспечить
- Шифрование папки «Документы»
- Шифрование автономных файлов
- Индексирование зашифрованных файлов
- Требование смарт-карты для EFS
- Создание пользовательского ключа с возможностью кэширования из смарт-карты
- Отображение уведомления о резервном копировании ключа при создании или изменении ключа пользователя
- Указание шаблона сертификата, используемого для автоматической регистрации сертификатов EFS

Windows Сервер 2008 ^[12]

Самозаверяющие сертификаты EFS, зарегистрированные на сервере Windows Server 2008, по умолчанию имеют длину ключа RSA 2048 бит.
Все шаблоны EFS (сертификаты пользователей и агентов восстановления данных) по умолчанию имеют длину ключа RSA 2048 бит.

Windows 7 и Windows Server 2008 R2 ^[15]

Криптографические алгоритмы с эллиптической кривой (ECC). Windows 7 поддерживает смешанный режим работы алгоритмов ECC и RSA для обеспечения обратной совместимости.
Самозаверяющие сертификаты EFS при использовании ECC по умолчанию будут использовать 256-битный ключ.
EFS можно настроить на использование ключей длиной 1 КБ, 2 КБ, 4 КБ, 8 КБ или 16 КБ при использовании самозаверяющих сертификатов RSA или 256/384/521-битных ключей при использовании сертификатов ECC.

Windows 10 версии 1607 и Windows Server 2016.

Добавьте поддержку EFS для FAT и exFAT. ^[16]

Алгоритмы, используемые версией Windows

Windows EFS поддерживает ряд алгоритмов симметричного шифрования, в зависимости от версии Windows, используемой при шифровании файлов:

Операционная система	Алгоритм по умолчанию	Другие алгоритмы
Windows 2000	DESX	(никто)
Windows XP первоначальная версия	DESX	Тройной DES
Windows XP с пакетом обновления 1	АЕС	Тройной DES, DESX
Windows Сервер 2003	АЕС	Тройной DES, DESX ^[17]
Windows Виста	АЕС	Тройной DES, DESX
Windows Сервер 2008	АЕС	Тройной DES, DESX (?)
Windows 7 Windows Сервер 2008 Р2	Смешанный (AES, SHA и ECC)	Тройной DES, DESX

См. также

Ссылки

^ «Шифрование файлов (Windows)» . Майкрософт . Проверено 11 января 2010 г.
^ EFS доступна в Windows 2000 Server и Workstation, в Windows XP Professional, в Windows Server 2003 и 2008, а также в Windows Vista и Windows 7 Business, Enterprise и Ultimate.
EFS недоступна в Windows XP Home Edition, а также в выпусках Starter, Basic и Home Premium Windows Vista и Windows 7 . Его нельзя было реализовать в операционных системах серии Windows 9x, поскольку они изначально не поддерживали NTFS, которая является основой EFS.
^ «Шифрование файловой системы» . Майкрософт. 1 мая 2008 года . Проверено 24 августа 2011 г.
^ «Криптографические файловые системы, часть первая: проектирование и реализация» . Фокус безопасности . Проверено 11 января 2010 г.
^ «Шифрование файловой системы» .
^ Крис Корио (май 2006 г.). «Первый взгляд: новые функции безопасности в Windows Vista» . Журнал ТехНет . Майкрософт. Архивировано из оригинала 10 ноября 2006 г. Проверено 6 ноября 2006 г.
^ Jump up to: ^а ^б ntpasswd, доступен с 1997 г. Архивировано 12 февраля 2016 г. на Wayback Machine.
^ «Шифрование файловой системы» . technet.microsoft.com .
^ «Windows — Официальный сайт ОС Microsoft Windows 10 Home и Pro, ноутбуков, ПК, планшетов и многого другого» . www.microsoft.com . Архивировано из оригинала 3 февраля 2007 г. Проверено 20 января 2008 г.
^ Ким Миккельсен (5 сентября 2006 г.). «Сессия Windows Vista 31: Службы управления правами и шифрованная файловая система» (PDF) . презентация . Майкрософт . Проверено 2 октября 2007 г. ^{[ мертвая ссылка ]}
^ «Шифрование файловой системы» . документация . Майкрософт. 30 апреля 2007 г. Архивировано из оригинала 20 января 2014 г. Проверено 6 ноября 2007 г.
^ Jump up to: ^а ^б «Изменения в функциональности Windows Server 2003 с пакетом обновления 1 (SP1) до Windows Server 2008: шифрование файловой системы» . документация . Майкрософт. 01 сентября 2007 г. Архивировано из оригинала 25 марта 2008 г. Проверено 6 ноября 2007 г.
^ Скотт Филд (июнь 2006 г.). «Усовершенствования безопасности Microsoft Windows Vista» (DOC) . технический документ . Майкрософт . Проверено 14 июня 2007 г.
^ Корпорация Microsoft (30 ноября 2006 г.). «Протокол передачи данных» . патент . Майкрософт . Проверено 14 июня 2007 г.
^ «Изменения в EFS» . Microsoft TechNet . Проверено 2 мая 2009 г.
^ «[MS-FSCC]: Приложение B: Поведение продукта» . Майкрософт. 15 сентября 2017 г. Проверено 2 октября 2017 г. Поддержка FAT и EXFAT была добавлена в операционную систему Windows 10 v1607 и Windows Server 2016 и последующих версий.
^ Мюллер, Рэнди (май 2006 г.). «Как это работает: шифрование файловой системы» . Журнал ТехНет . Майкрософт . Проверено 22 мая 2009 г.

Дальнейшее чтение

«Реализация шифрованной файловой системы в Windows 2000» . Руководство администратора оценочной конфигурации Windows 2000 . Майкрософт . Проверено 20 декабря 2014 г.
Брэгг, Роберта. «Шифрование файловой системы» . ТехНет . Майкрософт .
«Шифрование файловой системы (Windows Server 2008, Windows Vista)» . ТехНет . Майкрософт . 25 февраля 2009 г.
«Шифрование файловой системы в Windows XP и Windows Server 2003» . ТехНет . Майкрософт . 11 апреля 2003 г.
Сетевые лаборатории Associates . «Как использовать шифрованную файловую систему (Windows Server 2003, Windows XP Professional)» . MSDN . Майкрософт .
«Использование шифрованной файловой системы» . Ресурсный комплект Windows XP . Майкрософт . 3 ноября 2005 г.
«Шифрование файловой системы» . Ресурсный комплект Windows 2000 . Майкрософт .
«Как работает EFS» . Ресурсный комплект Windows 2000 . Майкрософт .

[1] «Шифрование файлов (Windows)» . Майкрософт . Проверено 11 января 2010 г.

[2] EFS доступна в Windows 2000 Server и Workstation, в Windows XP Professional, в Windows Server 2003 и 2008, а также в Windows Vista и Windows 7 Business, Enterprise и Ultimate.
EFS недоступна в Windows XP Home Edition, а также в выпусках Starter, Basic и Home Premium Windows Vista и Windows 7 . Его нельзя было реализовать в операционных системах серии Windows 9x, поскольку они изначально не поддерживали NTFS, которая является основой EFS.

[3] «Шифрование файловой системы» . Майкрософт. 1 мая 2008 года . Проверено 24 августа 2011 г.

[4] «Криптографические файловые системы, часть первая: проектирование и реализация» . Фокус безопасности . Проверено 11 января 2010 г.

[5] «Шифрование файловой системы» .

[6] Крис Корио (май 2006 г.). «Первый взгляд: новые функции безопасности в Windows Vista» . Журнал ТехНет . Майкрософт. Архивировано из оригинала 10 ноября 2006 г. Проверено 6 ноября 2006 г.

[ntpasswd-7] Jump up to: ^а ^б ntpasswd, доступен с 1997 г. Архивировано 12 февраля 2016 г. на Wayback Machine.

[8] «Шифрование файловой системы» . technet.microsoft.com .

[9] «Windows — Официальный сайт ОС Microsoft Windows 10 Home и Pro, ноутбуков, ПК, планшетов и многого другого» . www.microsoft.com . Архивировано из оригинала 3 февраля 2007 г. Проверено 20 января 2008 г.

[10] Ким Миккельсен (5 сентября 2006 г.). «Сессия Windows Vista 31: Службы управления правами и шифрованная файловая система» (PDF) . презентация . Майкрософт . Проверено 2 октября 2007 г. ^{[ мертвая ссылка ]}

[11] «Шифрование файловой системы» . документация . Майкрософт. 30 апреля 2007 г. Архивировано из оригинала 20 января 2014 г. Проверено 6 ноября 2007 г.

[Microsoft-12] Jump up to: ^а ^б «Изменения в функциональности Windows Server 2003 с пакетом обновления 1 (SP1) до Windows Server 2008: шифрование файловой системы» . документация . Майкрософт. 01 сентября 2007 г. Архивировано из оригинала 25 марта 2008 г. Проверено 6 ноября 2007 г.

[13] Скотт Филд (июнь 2006 г.). «Усовершенствования безопасности Microsoft Windows Vista» (DOC) . технический документ . Майкрософт . Проверено 14 июня 2007 г.

[14] Корпорация Microsoft (30 ноября 2006 г.). «Протокол передачи данных» . патент . Майкрософт . Проверено 14 июня 2007 г.

[15] «Изменения в EFS» . Microsoft TechNet . Проверено 2 мая 2009 г.

[16] «[MS-FSCC]: Приложение B: Поведение продукта» . Майкрософт. 15 сентября 2017 г. Проверено 2 октября 2017 г. Поддержка FAT и EXFAT была добавлена в операционную систему Windows 10 v1607 и Windows Server 2016 и последующих версий.

[technetmagazine-17] Мюллер, Рэнди (май 2006 г.). «Как это работает: шифрование файловой системы» . Журнал ТехНет . Майкрософт . Проверено 22 мая 2009 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]