Możliwość szyfrowania danych - zarówno dane w tranzycie (przy użyciu protokołu IPSec), jak i dane przechowywane na dysku (przy użyciu systemu szyfrowania plików) bez potrzeby korzystania z oprogramowania stron trzecich to jedna z największych zalet systemu Windows 2000 i XP / 2003 w stosunku do wcześniejszej wersji Microsoft system operacyjny. Niestety, wielu użytkowników systemu Windows nie korzysta z tych nowych funkcji zabezpieczeń lub, jeśli ich używają, nie rozumie w pełni, co robią, w jaki sposób działają i jakie są najlepsze praktyki, aby w pełni wykorzystać je. W tym artykule omówię EFS: jego wykorzystanie, jego luki w zabezpieczeniach i sposób, w jaki może on pasować do ogólnego planu bezpieczeństwa sieci.
Możliwość szyfrowania danych - zarówno dane w tranzycie (przy użyciu protokołu IPSec), jak i dane przechowywane na dysku (przy użyciu systemu szyfrowania plików) bez potrzeby korzystania z oprogramowania stron trzecich to jedna z największych zalet systemu Windows 2000 i XP / 2003 w stosunku do wcześniejszej wersji Microsoft system operacyjny. Niestety, wielu użytkowników systemu Windows nie korzysta z tych nowych funkcji zabezpieczeń lub, jeśli ich używają, nie rozumie w pełni, co robią, w jaki sposób działają i jakie są najlepsze praktyki, aby w pełni wykorzystać je.
Omówiłem użycie IPSec w poprzednim artykule; w tym artykule chcę porozmawiać o EFS: o jego wykorzystaniu, o jego słabych punktach i o tym, jak może on pasować do ogólnego planu bezpieczeństwa sieci.
Cel EFS
Firma Microsoft zaprojektowała system EFS w celu udostępnienia technologii opartej na kluczu publicznym, która byłaby swego rodzaju "ostatnią linią obrony" w celu ochrony przechowywanych danych przed intruzami. Jeśli sprytny haker przejdzie inne środki bezpieczeństwa - przejdzie przez zaporę ogniową (lub uzyska fizyczny dostęp do komputera), pokona uprawnienia dostępu w celu uzyskania uprawnień administratora - system EFS może nadal uniemożliwiać mu odczytanie danych zaszyfrowany dokument. Jest to prawdą, chyba że intruz jest w stanie zalogować się jako użytkownik, który zaszyfrował dokument (lub, w systemie Windows XP / 2000, inny użytkownik, któremu ten użytkownik udostępnił dostęp).
Istnieją inne sposoby szyfrowania danych na dysku. Wielu dostawców oprogramowania tworzy produkty szyfrowania danych, które mogą być używane z różnymi wersjami systemu Windows. Należą do nich ScramDisk, SafeDisk i PGPDisk. Niektóre z nich używają szyfrowania na poziomie partycji lub tworzą wirtualny zaszyfrowany dysk, dzięki czemu wszystkie dane przechowywane w tej partycji lub na tym dysku wirtualnym będą szyfrowane. Inni używają szyfrowania na poziomie plików, co umożliwia szyfrowanie danych na podstawie pliku niezależnie od miejsca pobytu. Niektóre z tych metod używają hasła do ochrony danych; to hasło zostanie wprowadzone podczas szyfrowania pliku i należy je wprowadzić ponownie, aby odszyfrować. System EFS używa cyfrowych certyfikatów, które są powiązane z konkretnym kontem użytkownika, aby określić, kiedy plik może zostać odszyfrowany.
Firma Microsoft zaprojektowała system EFS jako przyjazny dla użytkownika i praktycznie jest praktycznie niewidoczna dla użytkownika. Szyfrowanie pliku - lub całego folderu - jest tak proste, jak zaznaczenie pola wyboru w ustawieniach zaawansowanych właściwości pliku lub folderu.
Zauważ, że szyfrowanie EFS jest dostępne tylko dla plików i folderów znajdujących się na dyskach sformatowanych w NTFS. Jeśli dysk jest sformatowany w systemie plików FAT lub FAT32, nie będzie to możliwe zaawansowane przycisk na arkuszu Właściwości. Zauważ też, że chociaż opcje kompresowania lub szyfrowania pliku / folderu są prezentowane w interfejsie jako pola wyboru, faktycznie działają jak przyciski opcji; to znaczy, jeśli zaznaczysz jedną, druga zostanie automatycznie odznaczona. Plik lub folder nie mogą być szyfrowane i kompresowane w tym samym czasie.
Po zaszyfrowaniu pliku lub folderu jedyną widoczną różnicą jest to, że zaszyfrowane pliki / foldery będą wyświetlane w Eksploratorze w innym kolorze, jeśli pole wyboru Pokaż zaszyfrowane lub skompresowane pliki NTFS w kolorze jest wybierany w Opcjach folderów (skonfigurowanych przez Narzędzia | Opcje folderów | Wyświetl kartę w Eksploratorze Windows).
Użytkownik, który zaszyfrował dokument, nigdy nie musi się martwić jego odszyfrowaniem, aby uzyskać do niego dostęp. Kiedy go otworzy, jest automatycznie odszyfrowywane w sposób przejrzysty - dopóki użytkownik jest zalogowany z tym samym kontem użytkownika, co przy szyfrowaniu. Jeśli jednak ktoś spróbuje uzyskać do niego dostęp, dokument się nie otworzy, a komunikat poinformuje użytkownika o odmowie dostępu.
Co się dzieje pod maską?
Chociaż EFS wydaje się niezwykle prosty dla użytkownika, wiele się dzieje pod maską, aby to wszystko się stało. Zarówno szyfrowanie symetryczne (tajny klucz), jak i asymetryczny (klucz publiczny) są używane łącznie, aby wykorzystać zalety i wady każdego z nich.
Kiedy użytkownik początkowo używa EFS do szyfrowania pliku, konto użytkownika jest przypisane do pary kluczy (klucz publiczny i odpowiedni klucz prywatny), wygenerowane przez usługi certyfikatów - jeśli w sieci jest zainstalowany urząd certyfikacji - lub samopodpisane przez EFS. Klucz publiczny jest używany do szyfrowania, a klucz prywatny służy do odszyfrowania …
Aby przeczytać pełny artykuł i zobaczyć pełnowymiarowe obrazy figur, kliknij tutaj: Gdzie EFS pasuje do twojego Planu bezpieczeństwa?
