Deur Deb Shinder met toestemming van WindowSecurity.com
Die vermoë om data te versleutelen - beide data in transito (met behulp van IPSec ) en data wat op die skyf is gestoor (met behulp van die Encrypting File System ) sonder die noodsaaklikheid vir sagteware van derde partye, is een van die grootste voordele van Windows 2000 en XP / 2003 oor vorige Microsoft bedryfstelsels. Ongelukkig gebruik baie Windows-gebruikers nie hierdie nuwe beveiligingsfunksies nie, of as hulle dit nie gebruik nie, verstaan hulle nie ten volle wat hulle doen nie, hoe hulle werk en wat die beste praktyke is om die meeste daarvan te gebruik. In hierdie artikel bespreek ek EFS: die gebruik daarvan, sy kwesbaarhede en hoe dit in jou algehele netwerkbeveiligingsplan pas.
Die vermoë om data te versleutelen - beide data in transito (met behulp van IPSec) en data wat op die skyf is gestoor (met behulp van die Encrypting File System) sonder die noodsaaklikheid vir sagteware van derde partye, is een van die grootste voordele van Windows 2000 en XP / 2003 oor vorige Microsoft bedryfstelsels. Ongelukkig gebruik baie Windows-gebruikers nie hierdie nuwe beveiligingsfunksies nie, of as hulle dit nie gebruik nie, verstaan hulle nie ten volle wat hulle doen nie, hoe hulle werk en wat die beste praktyke is om die meeste daarvan te gebruik.
Ek het die gebruik van IPSec in 'n vorige artikel bespreek; In hierdie artikel wil ek oor EFS praat: die gebruik daarvan, sy kwesbaarhede en hoe dit in jou algehele netwerkbeveiligingsplan pas.
Die doel van EFS
Microsoft het EFS ontwerp om 'n publieke sleutel gebaseerde tegnologie te verskaf wat as 'n soort "laaste lyn van verdediging" sal dien om u gestoorde data van indringers te beskerm. As 'n slim hacker die ander sekuriteitsmaatreëls verbysteek - maak dit deur jou firewall (of kry fisiese toegang tot die rekenaar), slaan toegangsregte af om administratiewe voorregte te verkry - EFS kan nog steeds verhoed dat hy / sy die data kan lees in die geïnkripteer dokument. Dit geld tensy die indringer in staat is om aan te meld as die gebruiker wat die dokument geënkripteer het (of, in Windows XP / 2000, 'n ander gebruiker met wie daardie gebruiker gedeelde toegang het).
Daar is ander maniere om data op die skyf te enkripteer. Baie sagtewareverkopers maak data enkripsie produkte wat gebruik kan word met verskillende weergawes van Windows. Dit sluit in ScramDisk, SafeDisk en PGPDisk. Sommige van hierdie gebruik partisie-vlak enkripsie of skep 'n virtuele geënkripteerde ry, waardeur alle data wat in daardie partisie gestoor of op daardie virtuele ry geënkripteer word. Ander gebruik lêervlak enkripsie, waardeur jy jou data kan enkripteer op 'n lêer-vir-lêer basis, ongeag waar hulle woon. Sommige van hierdie metodes gebruik 'n wagwoord om die data te beskerm; daardie wagwoord word ingevoer wanneer u die lêer enkripteer en moet weer ingevoer word om dit te ontsyfer. EFS gebruik digitale sertifikate wat aan 'n spesifieke gebruikersrekening gebind is om te bepaal wanneer 'n lêer ontsyfer kan word.
Microsoft het EFS ontwerp om gebruikersvriendelik te wees, en dit is inderdaad prakties deursigtig vir die gebruiker. Om 'n lêer te enkripteer - of 'n hele gids - is so maklik as om 'n boks in die lêer of gids se Gevorderde Eienskappe-instellings te merk.
Let daarop dat EFS-enkripsie slegs beskikbaar is vir lêers en vouers wat op NTFS-geformateerde dryf is . As die skyf geformateer is in FAT of FAT32, sal daar geen Gevorderde knoppie op die Eienskappe bladsy wees nie. Let ook daarop dat alhoewel die opsies om 'n lêer / vouer te komprimer of enkripteer in die koppelvlak vertoon word as blokkies, werk hulle eintlik soos opsieknoppies in plaas daarvan; dit is, as jy een kyk, word die ander outomaties afgeskakel. 'N Lêer of vouer kan nie gelyktydig geïnkripteer en saamgepers word nie.
Sodra die lêer of vouer geënkripteer is, is die enigste sigbare verskil dat geïnkripteer lêers / vouers in 'n ander kleur in Explorer verskyn. As die boks Geënkodeerde of saamgeperste NTFS-lêers in kleur vertoon, is dit gekies in die gids opsies (gekonfigureer via Tools | Folder Options | View tab in Windows Explorer).
Die gebruiker wat die dokument geïnkripteer het, hoef nooit bekommerd te wees oor om dit te ontsyfer om dit oop te maak nie. Wanneer hy / sy dit oopmaak, word dit outomaties en deursigtig gedekripteer - solank die gebruiker aangemeld is met dieselfde gebruikersrekening as wanneer dit geïnkripteer was. As iemand anders probeer om toegang te verkry, sal die dokument egter nie oopmaak nie en sal 'n boodskap die gebruiker inlig dat toegang geweier word.
Wat gaan onder die Hood?
Alhoewel EFS ongelooflik maklik vir die gebruiker lyk, is daar baie onder die kap om dit alles te laat gebeur. Beide simmetriese (geheime sleutel) en asimmetriese (publieke sleutel) enkripsie word in kombinasie gebruik om voordeel te trek uit die voordele en nadele van elk.
Wanneer 'n gebruiker aanvanklik EFS gebruik om 'n lêer te enkripteer, is die gebruikersrekening 'n sleutelpaar toegeken (publieke sleutel en ooreenstemmende privaat sleutel), óf gegenereer deur die sertifikaatdienste - as daar 'n CA op die netwerk geïnstalleer is - of self onderteken deur EFS. Die publieke sleutel word gebruik vir enkripsie en die privaat sleutel word gebruik vir dekripsie ...
Om die volledige artikel te lees en die volle grootte beelde vir die figure te sien, klik hier: Waar pas EFS by jou sekuriteitsplan?