Deb Shinder ar WindowSecurity.com atļauju
Spēja šifrēt datus - gan tranzīta dati (izmantojot IPSec ), gan diskā glabātie dati (izmantojot šifrēšanas failu sistēmu ) bez trešās puses programmatūras ir viena no lielākajām Windows 2000 un XP / 2003 priekšrocībām salīdzinājumā ar iepriekšējo Microsoft operētājsistēmas. Diemžēl daudzi Windows lietotāji neizmanto šīs jaunās drošības funkcijas vai, ja viņi to izmanto, pilnībā neizprot, ko viņi dara, kā viņi strādā, un kāda ir labākā prakse, lai vislabāk izmantotu šos drošības līdzekļus. Šajā rakstā es apspriedīs EFS: tā izmantošanu, tās neaizsargātību un to, kā tā var ietilpt jūsu kopējā tīkla drošības plānā.
Spēja šifrēt datus - gan tranzīta dati (izmantojot IPSec), gan diskā glabātie dati (izmantojot šifrēšanas failu sistēmu) bez trešās puses programmatūras ir viena no lielākajām Windows 2000 un XP / 2003 priekšrocībām salīdzinājumā ar iepriekšējo Microsoft operētājsistēmas. Diemžēl daudzi Windows lietotāji neizmanto šīs jaunās drošības funkcijas vai, ja viņi to izmanto, pilnībā neizprot, ko viņi dara, kā viņi strādā, un kāda ir labākā prakse, lai vislabāk izmantotu šos drošības līdzekļus.
Es apsprieda IPSec izmantošanu iepriekšējā rakstā; šajā rakstā es vēlos runāt par EFS: tā izmantošanu, tās neaizsargātību un to, kā tā var ietilpt jūsu kopējā tīkla drošības plānā.
EFS mērķis
Microsoft izstrādāja EFS, lai nodrošinātu publisku atslēgu balstītu tehnoloģiju, kas varētu darboties kā sava veida "pēdējā aizsardzības līnija", lai aizsargātu jūsu glabātos datus no iebrucējiem. Ja gudrs hakeris iziet cauri citiem drošības pasākumiem - tas nodrošina jūsu ugunsmūri (vai iegūst fizisku piekļuvi datoram), pārspēj piekļuves atļaujas, lai iegūtu administratora privilēģijas - EFS joprojām var liegt viņam / viņai iespēju nolasīt datus šifrēts dokuments. Tas ir taisnība, ja iebrucējs nevar pieteikties kā lietotājs, kurš šifrēja dokumentu (vai Windows XP / 2000 citam lietotājam, ar kuru šim lietotājam ir koplietota piekļuve).
Ir citi veidi, kā šifrēt datus diskā. Daudzi programmatūras pārdevēji veido datu šifrēšanas produktus, kurus var izmantot dažādās Windows versijās. Tie ietver ScramDisk, SafeDisk un PGPDisk. Daži no tiem izmanto partition līmeņa šifrēšanu vai izveido virtuālu šifrētu disku, kurā visi dati, kas tiek glabāti šajā nodalījumā vai virtuālajā diskā, tiks šifrēti. Citi izmanto failu līmeņa šifrēšanu, ļaujot šifrēt savus datus katram failam neatkarīgi no tā, kur viņi dzīvo. Dažas no šīm metodēm izmanto datu aizsardzībai paroli; šī parole tiek ievadīta, kad šifrējat failu, un to vēlreiz jāievada, lai to atšifrētu. EFS izmanto digitālos sertifikātus, kuriem ir saistīts kāds konkrēts lietotāja konts, lai noteiktu, kad failu var atšifrēt.
Microsoft izstrādāja EFS lietotājam draudzīgu versiju, un tas patiešām ir praktiski pārredzams lietotājam. Faila vai visa mapes šifrēšana ir tikpat vienkārša kā faila vai mapes Papildu rekvizītu iestatījumu izvēles rūtiņa atzīmēšana.
Ņemiet vērā, ka EFS šifrēšana ir pieejama tikai tiem failiem un mapēm, kas ir NTFS formatētā diskdziņā . Ja disks ir formatēts FAT vai FAT32, Properties lapā netiks izveidota papildu poga. Tāpat ņemiet vērā, ka, lai arī iespējas, kā saspiest vai šifrēt failu / mapi, saskarnē tiek parādītas izvēles rūtiņas, tās faktiski strādā tāpat kā opciju pogas; Tas ir, ja jūs to pārbaudāt, otru automātiski nekontrolē. Failu vai mapi nevar šifrēt un saspiest vienlaikus.
Kad fails vai mape ir šifrēta, vienīgā redzamā atšķirība ir tāda, ka šifrētie faili / mapes pārlūkā Explorer parādīsies citā krāsā, ja izvēles rūtiņa Rādīt šifrētos vai saspiestos NTFS failus krāsā ir atlasīta mapju opcijās (konfigurēta, izmantojot rīkus | Mapju opcijas | Pārlūkot cilni Windows Explorer).
Lietotājam, kurš šifrējis dokumentu, nekad nav jāuztraucas par tā atšifrēšanu, lai to piekļūtu. Kad viņš / viņa to atver, tas tiek automātiski un pārredzami atšifrēts - tik ilgi, kamēr lietotājs ir pieteicies tajā pašā lietotāja kontā, kad tas tika šifrēts. Tomēr, ja kāds cits mēģina to piekļūt, dokuments netiks atvērts un ziņojums informēs lietotāju, ka piekļuve ir liegta.
Kas notiek zem kapuces?
Lai gan EFS šķiet pārsteidzoši vienkāršs lietotājam, daudz kas notiek zem kapuces, lai tas viss notiktu. Abas simetriskās (slepenās atslēgas) un asimetriskās (publiskās atslēgas) šifrēšanas kombinācijas tiek izmantotas, lai izmantotu katra ieguvumus un trūkumus.
Ja lietotājs sākotnēji izmanto EFS, lai šifrētu failu, lietotāja kontam ir piešķirts atslēgu pāri (publiskā atslēga un atbilstošā privātā atslēga), ko ģenerē sertifikātu pakalpojumi - ja tīklā ir instalēta CA - vai pašparakstīts EFS. Šifrēšanai tiek izmantota publiskā atslēga, un atšifrēšanai izmanto privāto atslēgu ...
Lai lasītu pilnu rakstu un redzētu attēlus pilna izmēra attēliem, noklikšķiniet šeit: Kur EFS iekļaujas jūsu drošības plānā?