Deb Shinder s dopuštenjem WindowSecurity.com
Sposobnost za šifriranje podataka - oba prijenosa podataka (koristeći IPSec ) i podatke pohranjene na disku (koristeći Encrypting File System ) bez potrebe za softverom treće strane, jedna je od najvećih prednosti sustava Windows 2000 i XP / 2003 u odnosu na ranije Microsoft operativnih sustava. Nažalost, mnogi korisnici sustava Windows ne iskorištavaju ove nove sigurnosne značajke ili, ako ih upotrebljavaju, u potpunosti ne razumiju što rade, kako funkcioniraju i koje su najbolje prakse da bi ih najviše iskoristile. U ovom ću članku razgovarati o EFS-u: njezinoj upotrebi, njegovim ranjivostima i načinu na koji se može uklopiti u vaš cjelokupni mrežni sigurnosni plan.
Sposobnost za šifriranje podataka - oba prijenosa podataka (koristeći IPSec) i podatke pohranjene na disku (koristeći Encrypting File System) bez potrebe za softverom treće strane, jedna je od najvećih prednosti sustava Windows 2000 i XP / 2003 u odnosu na ranije Microsoft operativnih sustava. Nažalost, mnogi korisnici sustava Windows ne iskorištavaju ove nove sigurnosne značajke ili, ako ih upotrebljavaju, u potpunosti ne razumiju što rade, kako funkcioniraju i koje su najbolje prakse da bi ih najviše iskoristile.
Razgovarao sam o uporabi IPSec-a u prethodnom članku; u ovom članku želim govoriti o EFS-u: njezinoj uporabi, njegovim ranjivostima i kako se može uklopiti u vaš cjelokupni plan sigurnosti mreže.
Svrha EFS-a
Microsoft je osmislio EFS kako bi osigurao tehnologiju zasnovanu na javnom ključu koja bi djelovala kao neka vrsta "zadnje linije obrane" kako bi zaštitio vaše pohranjene podatke od uljeza. Ako pametan haker dobije prošlosti drugih sigurnosnih mjera - to čini kroz vaš vatrozid (ili dobiva fizički pristup računalu), poništava pristup dozvola za stjecanje administrativnih privilegija - EFS ga i dalje može spriječiti da bude u mogućnosti čitati podatke u šifrirani dokument. To je istina, osim ako se uljez ne može prijaviti kao korisnik koji je šifrirao dokument (ili, u sustavu Windows XP / 2000, drugi korisnik s kojim je taj korisnik podijelio pristup).
Postoje i drugi načini za šifriranje podataka na disku. Mnogi dobavljači softvera proizvode proizvode za enkripciju podataka koji se mogu koristiti s različitim verzijama sustava Windows. To uključuje ScramDisk, SafeDisk i PGPDisk. Neki od njih koriste šifriranje na razini particija ili stvaraju virtualni kriptirani pogon, čime će se svi podaci pohranjeni u toj particiji ili na tom virtualnom pogonu šifrirati. Drugi se koriste za šifriranje na razini datoteka, omogućujući vam da šifrirate svoje podatke u datoteci po datoteci bez obzira gdje se nalazili. Neke od tih metoda koriste lozinku za zaštitu podataka; da je lozinka unesena prilikom šifriranja datoteke i mora ga se ponovno unijeti da bi je dešifrala. EFS koristi digitalne certifikate koji su vezani za određeni korisnički račun kako bi odredio kada se datoteka može dešifrirati.
Microsoft je osmislio EFS da bude korisnik prijazan, a za njega je praktički transparentan. Šifriranje datoteke - ili cijela mapa - je lako kao što je označavanje potvrdnog okvira u postavkama Naprednih svojstava datoteke ili mape.
Napominjemo da je EFS enkripcija dostupna samo za datoteke i mape koje se nalaze na pogonima formatiranim u NTFS formatu . Ako je disk formatiran u FAT ili FAT32, na listu Properties (Svojstva) nećete imati ni jedan gumb Napredno . Također imajte na umu da iako su opcije komprimiranja ili kriptiranja datoteke / mape prikazane u sučelju kao potvrdne okvire, zapravo rade kao opcijske tipke; to jest, ako ga označite, druga se automatski ne uklanja. Datoteka ili mapa ne mogu se šifrirati i komprimirati istodobno.
Kada se datoteka ili mapa kriptirate, jedina vidljiva razlika je da će se šifrirane datoteke / mape pojaviti u Exploreru drugačije boje ako je potvrdni okvir Prikaži šifrirane ili komprimirane NTFS datoteke u boji odabran u opcijama mape (konfiguriran pomoću alata | Mogućnosti mapa | Prikaz kartica u programu Windows Explorer).
Korisnik koji je šifrirao dokument nikad se ne mora brinuti o dešifriranju za pristup. Kada ga otvori, automatski se i transparentno dešifrira - sve dok je korisnik prijavljen s istim korisničkim računom kao i kod šifriranja. Međutim, ako netko drugi pokušava pristupiti, dokument se neće otvoriti i poruka će obavijestiti korisnika da je pristup odbijen.
Što se događa pod Hood?
Iako se EFS čini nevjerojatno jednostavnim za korisnika, puno se toga događa ispod nape kako bi se to dogodilo. Simetrični (tajni ključ) i asimetrični (javni ključ) šifriranja koriste se u kombinaciji kako bi iskoristili prednosti i nedostatke svakog od njih.
Kada korisnik u početku upotrebljava EFS za šifriranje datoteke, korisničkom računu dodijeljen je ključni par (javni ključ i odgovarajući privatni ključ) generiran od strane usluga certifikata - ako je instaliran CA na mreži - ili samopotpisan od strane EFS-a. Javni ključ koristi se za šifriranje i privatni ključ koristi se za dešifriranje ...
Da biste pročitali cijeli članak i vidjeli slike pune veličine za slike, kliknite ovdje: Gdje se EFS uklapa u vaš sigurnosni plan?