Z Deb Shinder z dovoljenjem WindowSecurity.com
Sposobnost šifriranja podatkov - oba podatkov v tranzitu (z uporabo IPSec ) in podatki, shranjeni na disku (z uporabo šifrirnega datotečnega sistema ) brez potrebe po programski opremi tretjih oseb, so ena največjih prednosti operacijskega sistema Windows 2000 in XP / 2003 v primerjavi s prejšnjim Microsoftom operacijski sistemi. Žal mnogi uporabniki operacijskega sistema Windows ne izkoristijo teh novih varnostnih funkcij ali, če jih uporabljajo, ne razumejo popolnoma, kaj počnejo, kako delujejo in kakšne so najboljše prakse, da bi jih čim bolje izkoristili. V tem članku bom razpravljal o EFS: njeni uporabi, njenih ranljivostih in kako se lahko prilega vašemu splošnemu načrtu varnosti omrežja.
Sposobnost šifriranja podatkov - oba podatkov v tranzitu (z uporabo IPSec) in podatki, shranjeni na disku (z uporabo šifrirnega datotečnega sistema) brez potrebe po programski opremi tretjih oseb, so ena največjih prednosti operacijskega sistema Windows 2000 in XP / 2003 v primerjavi s prejšnjim Microsoftom operacijski sistemi. Žal mnogi uporabniki operacijskega sistema Windows ne izkoristijo teh novih varnostnih funkcij ali, če jih uporabljajo, ne razumejo popolnoma, kaj počnejo, kako delujejo in kakšne so najboljše prakse, da bi jih čim bolje izkoristili.
Razpravljalo sem o uporabi IPSec v prejšnjem članku; V tem članku želim govoriti o EFS: njeni uporabi, njenih ranljivostih in kako se lahko prilega vašemu splošnemu načrtu varnosti omrežja.
Namen EFS
Microsoft je zasnoval EFS za zagotavljanje tehnologije na podlagi javnega ključa, ki bi delovala kot neke vrste "zadnja obrambna linija", da bi zaščitili svoje shranjene podatke od vsiljivcev. Če pameten hacker preide mimo drugih varnostnih ukrepov - to naredi preko požarnega zidu (ali pridobi fizični dostop do računalnika), poraja dovoljenja za dostop, da pridobi upravne privilegije - EFS mu še vedno lahko prepreči branje podatkov v šifriran dokument. To velja, če se vsiljivec ne more prijaviti kot uporabnik, ki je šifriral dokument (ali v operacijskem sistemu Windows XP / 2000 drugi uporabnik, s katerim ima ta uporabnik dostop v skupni rabi).
Obstajajo še drugi načini za šifriranje podatkov na disku. Veliko ponudnikov programske opreme izdeluje šifriranje podatkov, ki se lahko uporabljajo z različnimi različicami operacijskega sistema Windows. Ti vključujejo ScramDisk, SafeDisk in PGPDisk. Nekatere od njih uporabljajo šifriranje na ravni particije ali ustvarijo navidezni šifrirani pogon, pri čemer bodo vsi podatki, shranjeni na tej particiji ali na tem virtualnem pogonu, šifrirani. Drugi uporabljajo šifriranje ravni datoteke, kar vam omogoča, da svoje podatke šifrirate za posamezno datoteko, ne glede na to, kje prebivajo. Nekateri od teh metod uporabljajo geslo za zaščito podatkov; da je geslo vneseno, ko šifrirate datoteko in ga morate znova vnesti, da ga lahko dešifrirate. EFS uporablja digitalna potrdila, ki so vezana na določen uporabniški račun in določajo, kdaj se lahko dešifrira datoteka.
Microsoft je EFS razvil za uporabniku prijazen in dejansko praktično pregleden za uporabnika. Šifriranje datoteke - ali celotne mape - je tako enostavno kot preverjanje potrditvenega polja v nastavitvah naprednih lastnosti datoteke ali mape.
Upoštevajte, da je šifriranje EFS na voljo samo za datoteke in mape, ki so na pogonih, formatiranih v NTFS . Če je pogon formatiran v FAT ali FAT32, na listu stanja ne bo več gumbov Advanced . Upoštevajte tudi, da čeprav so možnosti v stisnjenem ali šifriranju datoteke / mape predstavljene v vmesniku kot potrditvena polja, namesto tega dejansko delujejo kot gumbi z možnostmi; to pomeni, če ga preverite, druga pa se samodejno izključi. Datoteke ali mape ni mogoče hkrati šifrirati in stisniti.
Ko je datoteka ali mapa šifrirana, je edina vidna razlika, da se šifrirane datoteke / mape prikažejo v Raziskovalcu v drugačni barvi, če je v možnosti Folder Options (nastavljeno z orodji) označeno potrditveno polje Prikaži šifrirane ali stisnjene datoteke NTFS v barvah | Možnosti mape | Prikaži kartico v Raziskovalcu Windows).
Uporabnik, ki je šifriral dokument, ne sme nikoli skrbeti za dešifriranje dostopa do njega. Ko jo odpre, se samodejno in pregledno dešifrira - dokler je uporabnik prijavljen z istim uporabniškim računom, ko je bil šifriran. Če pa nekdo drug poskuša dostopati do njega, se dokument ne bo odprl, sporočilo pa bo uporabnika obvestilo, da je dostop zavrnjen.
Kaj se dogaja pod Hoodom?
Čeprav se EFS zdi neverjetno preprost uporabniku, se pod pokrovom veliko dogaja, da se to vse zgodi. Obe simetrični (skrivni ključ) in asimetrični (javni ključ) šifriranje se uporabljata v kombinaciji, da izkoristita prednosti in slabosti vsakega.
Ko uporabnik na začetku uporablja EFS za šifriranje datoteke, je uporabniški račun dodeljen ključni ključ (javni ključ in ustrezen zasebni ključ), ki ga ustvarijo storitve certifikata - če je v omrežju nameščen CA - ali samo-podpisan s strani EFS. Javni ključ se uporablja za šifriranje, zasebni ključ pa se uporablja za dešifriranje ...
Če želite prebrati celoten članek in si oglejte celotne slike za številke, kliknite tukaj: Kje je EFS Fit v vaš varnostni načrt?