Деб Шиндер са дозволом од ВиндовСецурити.цом
Способност шифровања података - оба података у транзиту (користећи ИПСец ) и подаци сачувани на диску (користећи шифрирање датотечног система ) без потребе за софтвером треће стране је једна од највећих предности Виндовс 2000 и КСП / 2003 у односу на раније Мицрософт оперативни системи. Нажалост, многи Виндовс корисници не искоришћавају ове нове сигурносне функције или, ако их користе, не разумију у потпуности шта раде, како раде, и које су најбоље праксе да их максимално искористе. У овом чланку ћу размотрити ЕФС: његову употребу, његове рањивости и како се може уклапати у ваш укупни план сигурности мреже.
Способност шифровања података - оба података у транзиту (користећи ИПСец) и подаци сачувани на диску (користећи шифрирање датотечног система) без потребе за софтвером треће стране је једна од највећих предности Виндовс 2000 и КСП / 2003 у односу на раније Мицрософт оперативни системи. Нажалост, многи Виндовс корисници не искоришћавају ове нове сигурносне функције или, ако их користе, не разумију у потпуности шта раде, како раде, и које су најбоље праксе да их максимално искористе.
Разговарала сам о употреби ИПСец-а у претходном чланку; у овом чланку, желим да разговарамо о ЕФС-у: његовој употреби, његовој рањивости и начину на који се може уклапати у ваш укупни план сигурности мреже.
Сврха ЕФС-а
Мицрософт је дизајнирао ЕФС да обезбеди технологију засновану на јавном кључу која би деловала као нека врста "задње линије одбране" како би заштитила ваше ускладиштене податке од уљеза. Ако паметни хакер прође поред других сигурносних мера - успостави га преко заштитног зида (или добије физички приступ рачунару), побеђује дозволе приступа за добијање административних повластица - ЕФС га и даље спречава да може прочитати податке у шифровани документ. Ово је истина осим ако се упадљивач може пријавити као корисник који је шифрирао документ (или, у Виндовс КСП / 2000, други корисник са којим тај корисник има заједнички приступ).
Постоје и други начини шифрирања података на диску. Многи произвођачи софтвера производе производе за шифровање података који се могу користити са различитим верзијама Виндовса. Ово укључује СцрамДиск, СафеДиск и ПГПДиск. Неке од њих користе шифрирање на нивоу партиције или креирају виртуелни шифрирани диск, при чему ће сви подаци сачувани на тој партицији или на том виртуалном драјву бити шифрирани. Други користе шифрирање на нивоу датотеке, омогућавајући вам да шифрујете своје податке по датотеци по датотеци, без обзира на то где живе. Неки од ових метода користе лозинку за заштиту података; та лозинка се уноси када шифрујете датотеку и мора се поново унети да би је дешифрирала. ЕФС користи дигиталне сертификате који су везани за одређени кориснички налог како би одредили када се датотека може дешифрирати.
Мицрософт је дизајнирао ЕФС да буде једноставан за коришћење, и заиста је практично транспарентан за корисника. Шифрирање датотеке - или читавог фасцикла - је једноставно као и потврда поља у напредним поставкама датотеке или фасцикле.
Имајте на уму да је ЕФС шифрирање доступно само за датотеке и фасцикле који су у НТФС форматираним дисковима . Ако је погон форматиран у ФАТ или ФАТ32, на листу Пропертиес неће бити дугмета Адванцед . Такође, имајте на уму да иако су опције за компримирање или шифрирање датотеке / фасцикле представљене у интерфејсу као оквир за потврду, оне заправо раде као опције; то јест, ако проверите један, други се аутоматски не види. Датотека или фасцикла се не могу истовремено шифровати и компримирати.
Када се датотека или директориј шифрира, једина видљива разлика је у томе што ће се шифроване датотеке / фасцикле појавити у Екплореру у другој боји, ако је у опцијама Фолдер Оптионс (конфигурисано преко Алатки изабрано поље за потврду Схов енцриптед ор цомпрессед НТФС филес ин цолор | Фолдер Оптионс | Прикажи картицу у програму Виндовс Екплорер).
Корисник који је шифрирао документ никад не мора бринути о дешифрирању да би приступио њему. Када га отвори, он се аутоматски и транспарентно дешифрује - све док је корисник пријављен са истим корисничким налогом као и када је шифрован. Међутим, ако неко други покуша приступити документу, документ неће бити отворен, а порука ће обавијестити корисника да је приступ одбијен.
Шта се дешава под Хоодом?
Иако је ЕФС изгледао једноставно за корисника, пуно се дешава испод хаубе како би се све ово десило. Оба симетрична (тајни кључ) и асиметрична (јавна кључна) енкрипција се користе у комбинацији како би се искористиле предности и мане сваког од њих.
Када корисник иницијално користи ЕФС за шифрирање датотеке, корисничком рачуну додељен је пар кључа (јавни кључ и одговарајући приватни кључ), који генеришу услуге сертификата - ако постоји ЦА инсталиран на мрежи - или сам потписан би ЕФС. Јавни кључ се користи за шифровање, а приватни кључ се користи за дешифровање ...
Да бисте прочитали читав чланак и погледали слике у пуној величини за слике, кликните овдје: Где се ЕФС уклапа у ваш план сигурности?