Deb Debljina s dozvolom WindowSecurity.com
Sposobnost šifrovanja podataka - oba podataka u tranzitu (koristeći IPSec ) i podaci sačuvani na disku (koristeći šifriranje datoteka sistema ) bez potrebe za softverom treće strane je jedna od najvećih prednosti Windows 2000 i XP / 2003 u odnosu na ranije Microsoft operativni sistemi. Nažalost, mnogi Windows korisnici ne iskorišćavaju ove nove sigurnosne funkcije ili, ako ih koriste, ne razumiju u potpunosti šta rade, kako funkcionišu i koji su najbolji načini da ih maksimalno iskoriste. U ovom članku ću razmotriti EFS: njegovu upotrebu, njegove ranjivosti i kako se ona može uklapati u vaš ukupni plan sigurnosti mreže.
Sposobnost šifrovanja podataka - oba podataka u tranzitu (koristeći IPSec) i podaci sačuvani na disku (koristeći šifriranje datoteka sistema) bez potrebe za softverom treće strane je jedna od najvećih prednosti Windows 2000 i XP / 2003 u odnosu na ranije Microsoft operativni sistemi. Nažalost, mnogi Windows korisnici ne iskorišćavaju ove nove sigurnosne funkcije ili, ako ih koriste, ne razumiju u potpunosti šta rade, kako funkcionišu i koji su najbolji načini da ih maksimalno iskoriste.
Razgovarala sam o upotrebi IPSec-a u prethodnom članku; U ovom članku, želim da razgovaramo o EFS-u: njegovoj upotrebi, njegovim ranjivanjima i kako se ona uklapa u vaš ukupni plan sigurnosti mreže.
Svrha EFS-a
Microsoft je dizajnirao EFS da obezbedi tehnologiju zasnovanu na javnom ključu koja bi delovala kao neka vrsta "zadnje linije odbrane" kako bi zaštitila vaše uskladištene podatke od uljeza. Ako pametni haker prođe pored drugih sigurnosnih mera - uspostavi ga preko vatrozida (ili dobije fizički pristup računaru), pobeđuje dozvole pristupa za dobivanje administrativnih povlastica - EFS ga i dalje sprečava da može pročitati podatke u šifrovani dokument. Ovo je istina osim ako se upadljivač može prijaviti kao korisnik koji je šifrirao dokument (ili u Windows XP / 2000, drugi korisnik sa kojim taj korisnik ima zajedničkog pristupa).
Postoje i drugi načini za šifrovanje podataka na disku. Mnogi proizvođači softvera proizvode proizvode za šifrovanje podataka koji se mogu koristiti sa različitim verzijama Windowsa. Ovo uključuje ScramDisk, SafeDisk i PGPDisk. Neke od njih koriste šifriranje na nivou particije ili kreiraju virtuelni šifrirani disk, pri čemu će svi podaci sačuvani na toj particiji ili na tom virtualnom drajvu biti šifrirani. Drugi koriste enkripciju na nivou datoteke, omogućavajući vam da šifrujete svoje podatke pojedinačno, bez obzira na to gde žive. Neki od ovih metoda koriste lozinku za zaštitu podataka; ta lozinka se unosi kada šifrujete datoteku i mora se ponovo uneti da bi je dešifrirala. EFS koristi digitalne sertifikate koji su vezani za određeni korisnički račun kako bi odredili kada se datoteka može dešifrirati.
Microsoft je dizajnirao EFS da bude jednostavan za korisnika, i zaista je praktično transparentan za korisnika. Šifriranje datoteke - ili čitavog fascikla - je jednostavno kao i potvrda polja u naprednim postavkama datoteke ili fascikle.
Imajte na umu da je EFS šifrovanje dostupno samo za datoteke i fascikle koji se nalaze na NTFS formatiranim diskovima . Ako je pogon formatiran u FAT ili FAT32, na listi svojstava neće biti dugmeta Advanced . Napominjemo da, iako su opcije za kompresiju ili šifriranje datoteke / fascikle predstavljene u interfejsu kao potvrdu, one zapravo rade kao dugmići opcija; to jest, ako proverite jedan, drugi se automatski ne vidi. Datoteka ili fascikla se ne mogu istovremeno šifrovati i komprimirati.
Kada se datoteka ili direktorij šifrira, jedina vidljiva razlika je u tome što će se šifrovane datoteke / fascikle pojaviti u Exploreru u drugoj boji, ako je u folderu Options (konfigurirano preko Alatki) izabrano polje za potvrdu Show encrypted ili compressed NTFS datoteke u boji | Folder Options | Prikaži karticu u programu Windows Explorer).
Korisnik koji je šifrirao dokument nikad ne mora brinuti o dešifriranju da pristupi njemu. Kada ga otvori, on se automatski i transparentno dešifrira - sve dok korisnik bude prijavljen sa istim korisničkim nalogom kao i kada je bio šifrovan. Međutim, ako neko drugi pokuša pristupiti njemu, dokument neće biti otvoren, a poruka će informirati korisnika da je pristup odbijen.
Šta se dešava pod Hoodom?
Iako se EFS čini neverovatno jednostavnom za korisnika, puno se dešava ispod haube kako bi se sve ovo desilo. Oba simetrična (tajni ključ) i asimetrični (javni ključ) enkripcija se koriste u kombinaciji kako bi se iskoristile prednosti i mane svakog od njih.
Kada korisnik inicijalno koristi EFS za šifriranje datoteke, korisničkom računu dodeljen je par ključa (javni ključ i odgovarajući privatni ključ), ili koji generišu usluge sertifikata - ako postoji CA instaliran na mreži - ili sam potpisan by EFS. Javni ključ se koristi za šifrovanje, a privatni ključ se koristi za dešifrovanje ...
Da biste pročitali kompletan članak i pogledali slike u punoj veličini za figure, kliknite ovdje: Gde se EFS uklapa u vaš plan sigurnosti?