Од Deb Shinder со дозвола од WindowSecurity.com
Способноста за криптирање на податоци - како податоци во транзит (со користење на IPSec ), така и податоци зачувани на дискот (со користење на системот за шифрирање на датотеки ) без потреба за софтвер од трети страни е една од најголемите предности на Windows 2000 и XP / 2003 во текот на претходната Microsoft оперативни системи. За жал, многу корисници на Windows не ги искористуваат овие нови безбедносни карактеристики или, ако ги користат, не разбираат целосно што прават, како функционираат, и кои се најдобрите практики за да ги искористат повеќето од нив. Во оваа статија, ќе разговарам за ЕФС: неговата употреба, нејзините слабости и како таа може да се вклопи во вашиот целосен мрежен безбедносен план.
Способноста за криптирање на податоци - како податоци во транзит (со користење на IPSec), така и податоци зачувани на дискот (со користење на системот за шифрирање на датотеки) без потреба за софтвер од трети страни е една од најголемите предности на Windows 2000 и XP / 2003 во текот на претходната Microsoft оперативни системи. За жал, многу корисници на Windows не ги искористуваат овие нови безбедносни карактеристики или, ако ги користат, не разбираат целосно што прават, како функционираат, и кои се најдобрите практики за да ги искористат повеќето од нив.
Јас дискутирав за употребата на IPSec во претходниот напис; во оваа статија, сакам да зборувам за EFS: неговата употреба, нејзините слабости и како таа може да се вклопи во вашиот целосен мрежен безбедносен план.
Целта на ЕФС
Мајкрософт го дизајнираше ЕФС за да обезбеди технологија базирана на јавен клуч што ќе дејствува како "последна линија на одбрана" за да ги заштити вашите зачувани податоци од натрапниците. Ако умен хакер добива други безбедносни мерки - го прави преку вашиот заштитен ѕид (или добива физички пристап до компјутерот), ги порази дозволите за пристап за да добие административни привилегии - EFS сепак може да спречи него / неа да може да ги чита податоците во шифриран документ. Ова е точно, освен ако натрапникот е во можност да се логира како корисник кој го шифрирал документот (или, во Windows XP / 2000, друг корисник со кого тој корисник го споделувал пристапот).
Постојат и други начини за шифрирање на податоците на дискот. Многу производители на софтвер прават производи за енкрипција на податоците кои можат да се користат со различни верзии на Windows. Тие вклучуваат ScramDisk, SafeDisk и PGPDisk. Некои од нив користат енкрипција на ниво на партиција или создаваат виртуелен шифриран уред, при што сите податоци складирани во таа партиција или на тој виртуелен уред ќе бидат шифрирани. Други користат енкрипција на ниво на датотека, овозможувајќи ви да ги шифрирате вашите податоци врз основа на датотеки-по-датотеки, без разлика каде живеат. Некои од овие методи користат лозинка за да ги заштитат податоците; таа лозинка се внесува кога ја криптирате датотеката и мора да се внесе повторно за да ја дешифрирате. EFS користи дигитални сертификати кои се врзани за одредена корисничка сметка за да одредат кога датотеката може да биде декриптирана.
Мајкрософт дизајниран ЕФС да биде лесен за користење, и тоа е навистина практично транспарентно за корисникот. Шифрирањето на датотека - или цела папка - е лесно како проверка на полето за избор во поставките за Напредни особини на датотеката или папката.
Имајте предвид дека EFS енкрипцијата е достапна само за датотеки и папки кои се на NTFS-форматирани дискови . Ако уредот е форматиран во FAT или FAT32, на листот со својства нема да има копче Напредно . Исто така забележете дека иако опциите за компресија или шифрирање на датотека / папка се претставени во интерфејсот како полиња за избор, тие всушност функционираат како копчиња за опции; тоа е, ако го проверите еден, другиот автоматски не се контролира. Датотеката или папката не можат да бидат криптирани и компресирани во исто време.
Откако датотеката или папката е криптирана, единствената видлива разлика е во тоа што шифрираните датотеки / папки ќе се појават во Explorer во друга боја, ако полето за Покажи шифрирани или компресирани NTFS-датотеки во боја е избрано во Опции на папка (конфигурирано преку алатки | Опции на папка | Прикажи ја табот во Windows Explorer).
Корисникот кој го шифрирал документот, никогаш не мора да се грижи за декриптирање за да го пристапи. Кога тој / таа го отвара, тој автоматски и транспарентно се дешифрира - се додека корисникот е најавен со истата корисничка сметка како кога била шифрирана. Доколку некој друг се обиде да пристапи до него, сепак, документот нема да се отвори и порака ќе го извести корисникот дека пристапот е одбиен.
Што се случува под Худ?
Иако EFS изгледа неверојатно едноставно за корисникот, има многу работи под хаубата за да се случи сето тоа да се случи. Двете симетрични (тајни клучеви) и асиметрични (јавни клуч) енкрипција се користат во комбинација за да ги искористат предностите на придобивките и недостатоците на секоја од нив.
Кога корисникот првично користи EFS за шифрирање на датотека, на корисничката сметка е назначен пар клучеви (јавен клуч и соодветен приватен клуч), или генерирани од службите за сертификати - ако има CA инсталиран на мрежата - или самопотпишан од ЕФС. Јавниот клуч се користи за шифрирање и приватниот клуч се користи за декрипција ...
За да ја прочитате целосната статија и да ги видите сликите со целосна големина за фигурите кликнете овде: Каде EFS Fit во вашиот план за безбедност?