Dateisystem verschlüsseln

Das Dateisystem verschlüsseln (EFS) an Microsoft Windows ist eine Funktion, die in Version 3.0 von eingeführt wird NTFS[1] das liefert Verschlüsselung auf Dateisystemebene. Die Technologie ermöglicht Dateien transparent verschlüsselt Schutz vertraulicher Daten vor Angreifern mit physischem Zugriff auf den Computer.

EFS ist in allen Versionen von Windows mit Ausnahme der Heimversionen verfügbar (siehe Unterstützte Betriebssysteme unten) von Windows 2000 voran.[2] Standardmäßig werden keine Dateien verschlüsselt, aber die Verschlüsselung kann von Benutzern auf einer Basis pro Datei, pro Verzeichnis oder pro Fahrt aktiviert werden. Einige EFS Gruppenrichtlinie in Windows -Domain Umgebungen.[3]

Kryptografische Dateisystem -Implementierungen für andere Betriebssysteme sind verfügbar, die Microsoft -EFS ist jedoch mit keinem von ihnen kompatibel.[4] Siehe auch die Liste der kryptografischen Dateisysteme.

Grundlegende Ideen

Wenn ein Betriebssystem Wird auf einem System ohne Dateiverschlüsselung ausgeführt, geht der Zugriff auf Dateien normalerweise durch os-kontrollierte Benutzer durch Authentifizierung und Zugriffskontrolllisten. Wenn ein Angreifer jedoch physischen Zugang zum Computer erhält, kann diese Barriere leicht umgangen werden. Eine Möglichkeit wäre zum Beispiel, die Festplatte zu entfernen und in einen anderen Computer mit einem Betriebssystem zu stecken, das das Dateisystem lesen kann. Eine andere wäre, den Computer einfach von einer Boot -CD mit einem Betriebssystem neu zu starten, das für den Zugriff auf das lokale Dateisystem geeignet ist.

Die am weitesten verbreitete Lösung hierfür besteht darin, die Dateien zu speichern verschlüsselt auf den physischen Medien (Scheiben, USB -Penstuhlungen, Bänder, CDs usw.).

In der Microsoft Windows -Familie von Betriebssystem öffentliche Schlüsselkryptographie und Symmetrische Schlüsselkryptographie Um die Dateien ohne den richtigen Schlüssel zu entschlüsseln.

Die Kryptographieschlüssel für EFs sind jedoch in der Praxis durch das Benutzerkennwort geschützt und sind daher anfällig für die meisten Kennwortangriffe. Mit anderen Worten, die Verschlüsselung einer Datei ist nur so stark wie das Passwort, um den Entschlüsselungsschlüssel freizuschalten.

Betrieb

Betrieb des Verschlüsselungsdateisystems

EFS funktioniert, indem sie eine Datei mit einer Masse verschlüsseln Symmetrischer Schlüsselauch als Dateiverschlüsselungsschlüssel oder FEK bezeichnet. Es verwendet einen symmetrischen Verschlüsselungsalgorithmus, da es weniger Zeit dauert, große Datenmengen zu verschlüsseln und zu entschlüsseln, als wenn eine asymmetrischer Schlüssel Chiffre wird verwendet. Der verwendete symmetrische Verschlüsselungsalgorithmus variiert je nach Version und Konfiguration des Betriebssystems. sehen Algorithmen, die von Windows -Version verwendet werden unter. Der FEK (der symmetrische Schlüssel, mit dem die Datei verschlüsselt wird) wird dann mit a verschlüsselt Öffentlicher Schlüssel Dies ist dem Benutzer verbunden, der die Datei verschlüsselt hat, und dieses verschlüsselte FEK wird im alternativen Datenstrom $ EFS der verschlüsselten Datei gespeichert.[5] Um die Datei zu entschlüsseln, verwendet der EFS -Komponenten -Treiber den privaten Schlüssel, der mit dem digitalen EFS -Zertifikat (zum Verschlüsseln der Datei verwendet) übereinstimmt, um den symmetrischen Schlüssel zu entschlüsseln, der im $ EFS -Stream gespeichert ist. Der EFS -Komponenten -Treiber verwendet dann den symmetrischen Schlüssel, um die Datei zu entschlüsseln. Da die Verschlüsselungs- und Entschlüsselungsvorgänge in einer Ebene unter NTFS durchgeführt werden, ist sie für den Benutzer und alle ihre Anwendungen transparent.

Ordner, deren Inhalt vom Dateisystem verschlüsselt werden soll, werden mit einem Verschlüsselungsattribut gekennzeichnet. Der EFS -Komponenten -Treiber behandelt dieses Verschlüsselungsattribut so analog zur Vererbung von Dateiberechtigungen in NTFs: Wenn ein Ordner für die Verschlüsselung markiert ist, werden standardmäßig alle Dateien und Unterordner, die unter dem Ordner erstellt werden, verschlüsselt. Wenn verschlüsselte Dateien innerhalb eines NTFS -Volumes verschoben werden, bleiben die Dateien verschlüsselt. Es gibt jedoch eine Reihe von Anlässen, bei denen die Datei entschlüsselt werden könnte, ohne dass der Benutzer Windows explizit darum bittet.

Dateien und Ordner werden entschlüsselt, bevor sie in ein mit einem anderer Dateisystem formatiertes Volumenkopie kopiert werden, wie es FAT32. Wenn verschlüsseltes Dateien mithilfe des SMB/CIFS -Protokolls über das Netzwerk kopiert werden, werden die Dateien vor dem Versenden über das Netzwerk entschlüsselt.

Die wichtigste Möglichkeit, die Entschlüsselung auf der Kopie zu verhindern, ist die Verwendung von Sicherungsanwendungen, die sich der "rohen" APIs bewusst sind. Sicherungsanwendungen, die diese implementiert haben Rohe apis Kopiert einfach den verschlüsselten Dateistrom und den $ EFS -alternativen Datenstrom als einzelne Datei. Mit anderen Worten, die Dateien werden in verschlüsselter Form "kopiert" (z. B. in die Sicherungsdatei) "kopiert" (z. B. in die Sicherungsdatei) und während der Sicherung nicht entschlüsselt.

Beginnen mit Windows VistaDer private Schlüssel eines Benutzers kann auf einem gespeichert werden Chipkarte; DRA -Tasten (Data Recovery Agent (DRA) können auch auf einer Smart Card gespeichert werden.[6]

Sicherheit

Schwachstellen

In Windows 2000 EFS gab es zwei bedeutende Sicherheitslücken und wurden seitdem unterschiedlich angesprochen.

In Windows 2000 ist der lokale Administrator der Standarddatenwiederherstellungsagent, der alle Dateien entschlüsseln kann, die von einem lokalen Benutzer mit EFS verschlüsselt werden. EFS in Windows 2000 kann ohne einen Wiederherstellungsagenten nicht funktionieren, daher gibt es immer jemanden, der verschlüsselte Dateien der Benutzer entschlüsseln kann. Jeder nicht-domänengejahende Windows 2000-Computer ist anfällig für nicht autorisierte EFS-Entschlüsselung durch alle, die das lokale Administratorkonto übernehmen können. Dies ist trivial, da viele Tools, die im Internet frei verfügbar sind, trivial ist.[7]

In Windows XP und später gibt es keinen standardmäßigen lokalen Datenwiederherstellungsagenten und keine Anforderung, einen zu haben. Einstellung SYSKEY In den Modus 2 oder 3 (Syskey, das während des Bootups eingetreten ist oder auf einer Diskette gespeichert ist) wird das Risiko einer nicht autorisierten Entschlüsselung über das lokale Administratorkonto abschwächen. Dies liegt daran SAM Datei, werden mit dem Systemverkäufer verschlüsselt, und der Syskey -Wert steht einem Offline -Angreifer nicht zur Verfügung, der nicht die Syskey -Passphrase/Floppy besitzt.

Zugriff auf den privaten Schlüssel über Passwort zurückgesetzt

In Windows 2000 wird der RSA -Private des Benutzers nicht nur in a gespeichert wirklich verschlüsselte Form, aber es gibt auch eine Sicherung des privaten Schlüsselschlüssels des Benutzers, der schwacher geschützt ist. Wenn ein Angreifer den physischen Zugriff auf den Windows 2000 -Computer erhält und das Passwort eines lokalen Benutzerkontos zurücksetzt.[7] Der Angreifer kann sich als Benutzer (oder Wiederherstellungsagent) anmelden und Zugriff auf den privaten RSA -Schlüssel erhalten, der alle Dateien entschlüsseln kann. Dies liegt daran, dass die Sicherung des RSA -Privatschlüssels des Benutzers mit einem LSA -Geheimnis verschlüsselt ist, das für jeden Angreifer zugänglich ist, der ihre Anmeldung in das Lokalsystem erhöhen kann (erneut trivial, da zahlreiche Werkzeuge im Internet trivial sind).

In Windows XP und darüber hinaus wird der RSA -private Schlüssel des Benutzers mit einem öffentlichen Taste Offline gesichert, dessen passender privater Schlüssel an einem von zwei Stellen gespeichert ist: die Kennwortreset -Festplatte (wenn Windows XP kein Mitglied einer Domain ist) oder in der Active Directory (wenn Windows XP ein Mitglied einer Domäne ist). Dies bedeutet, dass ein Angreifer, der sich mit Windows XP authentifizieren kann, da das LocalSystem immer noch keinen Zugriff auf einen Entschlüsselungsschlüssel hat, der auf der Festplatte des PCs gespeichert ist.

In Windows 2000, XP oder später wird der RSA -Private des Benutzers mit einem Hash des NTLM -Kennworts des Benutzers sowie dem Benutzernamen - Verwendung von a gesalzen Hash ist es äußerst schwierig, den Prozess umzukehren und den privaten Schlüssel wiederherzustellen, ohne die Passphrase des Benutzers zu kennen. Außerdem wird das Einstellen von Syskey in Modus 2 oder 3 (Syskey eingegeben, die während des Bootups eingetreten oder auf einer Floppy -Festplatte gespeichert werden) diesen Angriff mildern, da der Passworthash des lokalen Benutzers in der SAM -Datei verschlüsselt wird.

Andere Probleme

Sobald ein Benutzer erfolgreich angemeldet ist, ist der Zugriff auf seine eigenen EFS -verschlüsselten Daten keine zusätzliche Authentifizierung erforderlich. Die Entschlüsselung erfolgt transparent. Daher führt jeder Kompromiss des Benutzerkennworts automatisch zum Zugriff auf diese Daten. Windows kann Versionen von Benutzerkonto -Passphrasen mit reversibler Verschlüsselung speichern. Dies ist jedoch kein Standardverhalten mehr. Es kann auch so konfiguriert werden, dass die ursprüngliche Version von Windows XP und Lower standardmäßig gespeichert wird). Es werden auch lokale Benutzerkonto -Passphrasen als gespeichert Ntlm Hashes, das ziemlich leicht mit dem mithilfe von "angegriffen werden kann"Regenbogentische"Wenn die Passwörter schwach sind (Windows Vista und spätere Versionen zulassen standardmäßig schwache Passwörter). Um die Gefahr von trivialen Brute-Force-Angriffen auf lokale Passphrasen zu mildern, müssen ältere Windows-Versionen konfiguriert werden (unter Verwendung des Teils der Sicherheitseinstellungen der Gruppenpolitik), um niemals LM -Hashes zu speichern und natürlich nicht Autologon zu aktivieren (das Klartext -Passphrasen in der speichert Registrierung). Darüber hinaus verhindert die Verwendung lokaler Benutzerkonto-Passphrasen über 14 Zeichen, dass Windows einen LM-Hash im SAM speichert-und hat den zusätzlichen Vorteil, dass sie Brute-Force-Angriffe gegen den NTLM-Hash härter durchführen.

Beim Verschlingen von Dateien mit EFS - beim Konvertieren von Klartextdateien in verschlüsselte Dateien werden die Klartextdateien nicht abgelöscht, sondern einfach gelöscht (d. H. Datenblöcke, die im Dateisystem als "nicht verwendet" gekennzeichnet sind). Dies bedeutet, dass, es sei denn, sie zum Beispiel zufällig auf einem gespeichert werden SSD mit TRIMMEN Unterstützung können sie leicht erholt werden, es sei denn, sie werden überschrieben. Um bekannte, nicht genehmigte technische Angriffe gegen EFS vollständig zu mildern, sollte die Verschlüsselung auf Ordnerebene konfiguriert werden (so dass alle in diesen Verzeichnissen erstellten temporären Dateien wie Word-Dokumentsicherungen verschlüsselt werden). Wenn Sie einzelne Dateien verschlüsseln, sollten sie in einen verschlüsselten Ordner oder "an Ort und Stelle" kopiert werden, gefolgt von der sicheren Wischung des Festplattenvolumens. Das Windows -Cipher -Dienstprogramm kann (mit der Option /W) verwendet werden, um den freien Speicherplatz einschließlich dessen zu löschen, das weiterhin gelöschte Klartextdateien enthält. Verschiedene Dienstprogramme von Drittanbietern können ebenfalls funktionieren.[8]

Jeder, der Administratoren zugreifen kann, kann die Konfiguration des Datenwiederherstellungsagenten überschreiben, überschreiben oder ändern. Dies ist ein sehr ernstes Problem, da ein Angreifer beispielsweise das Administratorkonto (mit Tools von Drittanbietern) hacken, das gewünschte DRA-Zertifikat als Data Recovery Agent festlegen und warten. Dies wird manchmal als zweistufiger Angriff bezeichnet, was aufgrund eines verlorenen oder gestohlenen PC ein deutlich unterschiedliches Szenario als das Risiko ist, das das Risiko aufgrund böswilliger Insider jedoch hervorhebt.

Wenn der Benutzer Dateien nach der ersten Stufe eines solchen Angriffs verschlüsselt, werden die FEKs automatisch mit dem öffentlichen Schlüssel des benannten DRA verschlüsselt. Der Angreifer muss nur noch einmal als Administrator auf den Computer zugreifen, um den vollen Zugriff auf alle anschließend EFS-verkürzten Dateien zu erhalten. Selbst die Verwendung von Syskey Modus 2 oder 3 schützt nicht vor diesem Angriff, da der Angreifer die verschlüsselten Dateien offline sichern, an anderer Stelle wiederherstellen und den privaten Schlüssel des DRA verwenden kann, um die Dateien zu entschlüsseln. Wenn ein solcher böswilliger Insider physischen Zugriff auf den Computer erhalten kann, sind alle Sicherheitsfunktionen als irrelevant zu sein, da sie auch installieren können Rootkits, Software oder sogar Hardware Keylogger usw. auf dem Computer - was potenziell viel interessanter und effektiver ist als die DRA -Richtlinie zu überschreiben.

Wiederherstellung

Dateien, die mit EFS verschlüsselt sind, können nur durch die Verwendung der RSA -privaten Schlüssel (en) entschlüsselt werden, die den zuvor verwendeten öffentlichen Schlüssel (n) entsprechen. Die gespeicherte Kopie des privaten Schlüssels des Benutzers wird letztendlich durch das Anmeldekennwort des Benutzers geschützt. Zugriff auf verschlüsselte Dateien von externen Windows mit anderen Betriebssystemen (Linuxzum Beispiel) ist nicht möglich - nicht zuletzt, da es derzeit keinen EFS -Komponenten -Treiber von Dritten gibt. Darüber hinaus ist es unmöglich, den privaten Schlüssel des Benutzers zu entschlüsseln und somit nutzlos für den Zugriff auf die verschlüsselten Dateien des Benutzers zu entschlüsseln. Die Bedeutung davon wird gelegentlich für Benutzer verloren, was zu Datenverlust führt, wenn ein Benutzer sein Passwort vergisst oder den Verschlüsselungsschlüssel nicht sichert. Dies führte zu einer Prägung des Begriffs "verzögerter Recycle -Bin", um die scheinbare Unvermeidlichkeit des Datenverlusts zu beschreiben, wenn ein unerfahrener Benutzer seine Dateien verschlüsselt.

Wenn EFS so konfiguriert ist, dass Tasten von einer öffentlichen Schlüsselinfrastruktur ausgegeben werden, und das PKI so konfiguriert ist, dass die wichtigsten Archiv- und Wiederherstellungen für die wichtigste Archivierung und Wiederherstellung aktiviert werden können, können verschlüsselte Dateien wiederhergestellt werden, indem zuerst der private Schlüssel wiederhergestellt wird.

Schlüssel

  • Benutzerkennwort (oder privater Kartenschlüssel für Smart Card): Wird verwendet, um einen Entschlüsselungsschlüssel zu generieren, um den DPAPI -Startschlüssel des Benutzers zu entschlüsseln
  • DPAPI -Master -Schlüssel: Wird verwendet, um die RSA -privaten Taste des Benutzers zu entschlüsseln (en)
  • RSA Private Key: Wird verwendet, um die FEK jeder Datei zu entschlüsseln
  • Dateiverschlüsselungsschlüssel (FEK): Wird zum Entschlüsseln/Verschlüsseln der Daten jeder Datei (im primären NTFS -Stream) verwendet)
  • SYSKEY: Wird verwendet, um den zwischengespeicherten Domain -Verifizierer und die im SAM gespeicherten Passwort -Hashes zu verschlüsseln

Unterstützte Betriebssysteme

Fenster

Other operating systems

Keine anderen Betriebssysteme oder Dateisysteme unterstützen die native Unterstützung für EFS.

Neue Funktionen von Windows Version verfügbar

Windows XP
  • Verschlüsselung des clientseitigen Cache (Offline -Dateien Datenbank)
  • Schutz von DPAPI Master Key Backup mit dem domänenweiten öffentlichen Schlüssel
  • AutoEnrollment von Benutzerzertifikaten (einschließlich EFS -Zertifikaten)
  • Multiple-User (freigegeben) Zugriff auf verschlüsselte Dateien (auf Datei-Datei-Basis) und Widerrufsüberprüfung auf Zertifikate, die bei der Freigabe verschlüsselter Dateien verwendet werden
  • Verschlüsselte Dateien können in einer alternativen Farbe angezeigt werden (grün standardmäßig)
  • Keine Voraussetzung für obligatorische Wiederherstellungsagent
  • Warnung, wenn Dateien möglicherweise stillschweigend entschlüsselt werden, wenn sie zu einem nicht unterstützten Dateisystem wechseln
  • Passwort Reset Disk
  • EFS über WebDAV- und Remote -Verschlüsselung für Server delegiert in Active Directory
Windows XP SP1
  • Unterstützung und Standardeinstellung des AES-256-symmetrischen Verschlüsselungsalgorithmus für alle von EFS verkürzten Dateien
Windows XP SP2 + KB 912761
  • Verhindern Sie die Einschreibung von selbstsignierten EFS-Zertifikaten
Windows Server 2003
  • Digital Identity Management Service
  • Durchsetzung der Rsakeylength-Einstellung zur Durchsetzung einer Mindestlänge bei der Einschreibung selbstsignierter EFS-Zertifikate
Windows Vista[10] und Windows Server 2008[11][12]
  • Die Verschlüsselung von clientseitigem Cache pro Benutzer (Offline-Dateien)
  • Unterstützung für das Speichern (Benutzer oder DRA) RSA -Privatschlüssel auf einer PC/SC -Smartkarte
  • EFS RECY-Zauberer
  • EFS wichtige Sicherungsaufforderungen
  • Unterstützung für die Ableitung DPAPI Hauptschlüssel von PC/SC Smart Card
  • Unterstützung für die Verschlüsselung von pagefile.sys
  • Schutz von EFS-bezogenen Geheimnissen unter Verwendung Bitlocker (Enterprise oder ultimative Ausgabe von Windows Vista)[13][14]
  • Gruppenrichtlinienkontrollen zur Durchsetzung
    • Verschlüsselung des Dokumenteordners
    • Offline -Dateien Verschlüsselung
    • Indizierung verschlüsselter Dateien
    • Smart Card für EFS benötigen
    • Erstellen eines Caching-fähigen Benutzerschlüssels von Smart Card
    • Anzeige einer wichtigen Sicherungsbenachrichtigung beim Erstellen oder Ändern eines Benutzerschlüssels
    • Angabe der Zertifikatvorlage, die zum automatischen Einschreiben von EFS -Zertifikaten verwendet wird
Windows Server 2008[12]
  • Die auf dem Windows Server 2008-Server auf dem Windows Server 2008-Server aufgenommenen EFS
  • Alle EFS-Vorlagen (Benutzer- und Datenwiederherstellungs-Agent-Zertifikate) standardmäßig bis 2048-Bit-RSA-Schlüssellänge
Windows 7 und Windows Server 2008 R2[15]
  • Kryptografische Elliptikkurve-Algorithmen (ECC). Windows 7 unterstützt einen gemischten Modusbetrieb von ECC- und RSA -Algorithmen zur Rückwärtskompatibilität
  • EFS-selbstsignierte Zertifikate verwenden bei der Verwendung von ECC standardmäßig 256-Bit-Schlüssel.
  • EFs können für die Verwendung von 1K/2K/4K/8K/16K-Bit-Tasten bei der Verwendung selbstsignierter RSA-Zertifikate oder 256/384/521-Bit-Tasten konfiguriert werden, wenn sie ECC-Zertifikate verwenden.
Windows 10 Version 1607 und Windows Server 2016
  • Fügen Sie EFS -Unterstützung für Fett und Peelfett hinzu.[16]

Algorithmen, die von Windows -Version verwendet werden

Windows EFS unterstützt eine Reihe symmetrischer Verschlüsselungsalgorithmen, abhängig von der Version des Windows, die verwendet werden, wenn die Dateien verschlüsselt sind:

Betriebssystem Standardalgorithmus Andere Algorithmen
Windows 2000 Desx (keiner)
Windows XP RTM Desx Triple Des
Windows XP SP1 AES Triple Des, Desx
Windows Server 2003 AES Triple Des, Desx[17]
Windows Vista AES Triple Des, Desx
Windows Server 2008 AES Triple Des, Desx (?)
Windows 7
Windows Server 2008 R2
Gemischt (AES, SHA und ECC) Triple Des, Desx

Siehe auch

Verweise

  1. ^ "Dateiverschlüsselung (Windows)". Microsoft. Abgerufen 2010-01-11.
  2. ^ EFS ist unter Windows 2000 Server und Workstation, unter Windows XP Professional, unter Windows Server 2003 und 2008 sowie unter Windows Vista und Windows 7 Business, Enterprise und Ultimate verfügbar.
    EFS ist nicht verfügbar auf Windows XP Home Edition, noch über die Ausgaben von Starter, Basic und Home Premium von Windows Vista und Windows 7. Es konnte nicht in der Windows 9x -Serie von Betriebssystemen implementiert werden, da sie NTFS nicht unterstützten, was die Grundlage für EFS ist.
  3. ^ "Dateisystem verschlüsseln". Microsoft. 1. Mai 2008. Abgerufen 24. August 2011.
  4. ^ "Kryptografische Dateisysteme, Teil 1: Design und Implementierung". Sicherheitsfokus. Abgerufen 2010-01-11.
  5. ^ "Dateisystem verschlüsseln".
  6. ^ Chris Corio (Mai 2006). "Erster Blick: Neue Sicherheitsfunktionen in Windows Vista". Technet Magazine. Microsoft. Archiviert von das Original Am 2006-11-10. Abgerufen 2006-11-06.
  7. ^ a b Ntpasswd, seit 1997 erhältlich Archiviert 12. Februar 2016 bei der Wayback -Maschine
  8. ^ "Das Verschlüsselungsdateisystem". technet.microsoft.com.
  9. ^ "Windows - Offizielle Site für Microsoft Windows 10 Home & Pro OS, Laptops, PCs, Tablets und mehr". www.microsoft.com. Archiviert von das Original Am 2007-02-03. Abgerufen 2008-01-20.
  10. ^ Kim Mikkelsen (2006-09-05). "Windows Vista Sitzung 31: Rechte -Management -Dienste und Verschlüsseln von Dateisystemen" (PDF). Präsentation. Microsoft. Abgerufen 2007-10-02.[Dead Link]
  11. ^ "Dateisystem verschlüsseln". Dokumentation. Microsoft. 2007-04-30. Archiviert von das Original Am 2014-01-20. Abgerufen 2007-11-06.
  12. ^ a b "Änderungen in der Funktionalität von Windows Server 2003 mit SP1 zu Windows Server 2008: Dateisystem verschlüsseln". Dokumentation. Microsoft. 2007-09-01. Archiviert von das Original am 2008-03-25. Abgerufen 2007-11-06.
  13. ^ Scott Field (Juni 2006). "Microsoft Windows Vista Security Enhancements" (Doc). weißes Papier. Microsoft. Abgerufen 2007-06-14.
  14. ^ Microsoft Corporation (2006-11-30). "Datenkommunikationsprotokoll". Patent. Microsoft. Abgerufen 2007-06-14.
  15. ^ "Änderungen in EFs". Microsoft Technet. Abgerufen 2009-05-02.
  16. ^ "[MS-FSCC]: Anhang B: Produktverhalten". Microsoft. 2017-09-15. Abgerufen 2017-10-02. Die Unterstützung für FAT und Exfat wurde in Betriebssystem von Windows 10 V1607 und Windows Server 2016 und nachfolgend hinzugefügt.
  17. ^ Müller, Randy (Mai 2006). "Wie es funktioniert: Dateisystem verschlüsseln". Technet Magazine. Microsoft. Abgerufen 2009-05-22.

Weitere Lektüre