Muligheten til å kryptere data - både data i transitt (ved hjelp av IPSec) og data lagret på disken (ved hjelp av krypteringsfilsystemet) uten behov for tredjeparts programvare er en av de største fordelene med Windows 2000 og XP / 2003 over tidligere Microsoft operativsystemer. Dessverre bruker mange Windows-brukere ikke disse nye sikkerhetsfunksjonene, eller hvis de bruker dem, forstår de ikke helt hva de gjør, hvordan de fungerer, og hva de beste metodene er for å få mest mulig ut av dem. I denne artikkelen skal jeg diskutere EFS: dets bruk, dets sårbarheter og hvordan den kan passe inn i din overordnede nettverkssikkerhetsplan.
Muligheten til å kryptere data - både data i transitt (ved hjelp av IPSec) og data lagret på disken (ved hjelp av krypteringsfilsystemet) uten behov for tredjeparts programvare er en av de største fordelene med Windows 2000 og XP / 2003 over tidligere Microsoft operativsystemer. Dessverre bruker mange Windows-brukere ikke disse nye sikkerhetsfunksjonene, eller hvis de bruker dem, forstår de ikke helt hva de gjør, hvordan de fungerer, og hva de beste metodene er for å få mest mulig ut av dem.
Jeg diskuterte bruken av IPSec i en tidligere artikkel; I denne artikkelen vil jeg snakke om EFS: dets bruk, dets sårbarheter og hvordan den kan passe inn i din overordnede nettverkssikkerhetsplan.
Formålet med EFS
Microsoft utviklet EFS for å gi en offentlig nøkkelbasert teknologi som ville fungere som en slags "siste forsvarslinje" for å beskytte dine lagrede data fra inntrengere. Hvis en smart hacker kommer forbi andre sikkerhetsforanstaltninger - gjør det gjennom brannmuren din (eller får fysisk tilgang til datamaskinen), besvinner tilgangstillatelser for å få administrative privilegier - EFS kan fortsatt hindre ham fra å kunne lese dataene i kryptert dokument. Dette gjelder hvis ikke inntrenger kan logge på som brukeren som krypterte dokumentet (eller, i Windows XP / 2000, en annen bruker som den brukeren har delt tilgang til).
Det finnes andre metoder for å kryptere data på disken. Mange programvareleverandører lager data kryptering produkter som kan brukes med ulike versjoner av Windows. Disse inkluderer ScramDisk, SafeDisk og PGPDisk. Noen av disse bruker kryptering på partisjonnivå eller oppretter en virtuell kryptert stasjon, hvor alle data som er lagret i den partisjonen eller den virtuelle stasjonen, blir kryptert. Andre bruker filnivåkryptering, slik at du kan kryptere dataene dine på en fil-for-fil basis, uansett hvor de bor. Noen av disse metodene bruker et passord for å beskytte dataene; dette passordet er oppgitt når du krypterer filen og må skrives inn igjen for å dekryptere den. EFS bruker digitale sertifikater som er bundet til en bestemt brukerkonto for å bestemme når en fil kan dekrypteres.
Microsoft designet EFS til å være brukervennlig, og det er faktisk praktisk talt transparent for brukeren. Kryptering av en fil - eller en hel mappe - er like enkelt som å merke av i avkrysningsboksen i fil eller mappe Innstillinger for avanserte egenskaper.
Merk at EFS-kryptering kun er tilgjengelig for filer og mapper som er på NTFS-formaterte stasjoner. Hvis stasjonen er formatert i FAT eller FAT32, vil det være nei Avansert knappen på Egenskapsarket. Vær også oppmerksom på at selv om alternativene for å komprimere eller kryptere en fil / mappe er presentert i grensesnittet som avmerkingsboks, fungerer de egentlig som alternativknapper i stedet; det vil si hvis du sjekker en, blir den andre automatisk fjernet. En fil eller mappe kan ikke krypteres og komprimeres samtidig.
Når filen eller mappen er kryptert, er den eneste synlige forskjellen at krypterte filer / mapper vises i Explorer i en annen farge, hvis avkrysningsruten til Vis krypterte eller komprimerte NTFS-filer i farge er valgt i mappealternativer (konfigureres via Verktøy | Mappevalg | Se kategorien i Windows Utforsker).
Brukeren som krypterte dokumentet trenger aldri å bekymre seg for å dekryptere det for å få tilgang til det. Når han / hun åpner den, blir den automatisk og gjennomsiktig dekryptert - så lenge brukeren er logget på med samme brukerkonto som når den ble kryptert. Hvis noen andre prøver å få tilgang til det, vil dokumentet ikke åpne, og en melding vil informere brukeren om at tilgangen blir nektet.
Hva skjer under hetten?
Selv om EFS virker utrolig enkelt for brukeren, skjer det mye under hetten for å få alt dette til å skje. Både symmetrisk (hemmelig nøkkel) og asymmetrisk (offentlig nøkkel) kryptering brukes i kombinasjon for å utnytte fordelene og ulempene for hver.
Når en bruker i utgangspunktet bruker EFS til å kryptere en fil, er brukerkontoen tildelt et nøkkelpar (offentlig nøkkel og tilhørende privat nøkkel), enten generert av sertifikattjenestene - hvis det er en CA installert på nettverket - eller selvsignert av EFS. Den offentlige nøkkelen brukes til kryptering, og den private nøkkelen brukes til dekryptering …
For å lese hele artikkelen og se bildene i full størrelse for figurene, klikk her: Hvor passer EFS inn i sikkerhetsplanen din?
