От Deb Shinder с разрешение от WindowSecurity.com
Възможността да се шифроват данни - както данните в транзит (използвайки IPSec ), така и данните, съхранявани на диска (използвайки Encrypting File System ), без да е необходимо софтуер за трети страни, е едно от най-големите предимства на Windows 2000 и XP / операционна система. За съжаление, много потребители на Windows не се възползват от тези нови функции за сигурност или, ако ги използват, не разбират напълно какво правят, как работят и какви са най-добрите практики, за да се възползват максимално от тях. В тази статия ще обсъдя EFS: неговата употреба, уязвимостите и как тя може да се впише в общия ви план за сигурност на мрежата.
Възможността да се шифроват данни - както данните в транзит (използвайки IPSec), така и данните, съхранявани на диска (използвайки Encrypting File System), без да е необходимо софтуер за трети страни, е едно от най-големите предимства на Windows 2000 и XP / операционна система. За съжаление, много потребители на Windows не се възползват от тези нови функции за сигурност или, ако ги използват, не разбират напълно какво правят, как работят и какви са най-добрите практики, за да се възползват максимално от тях.
Обсъдих използването на IPSec в предишна статия; в тази статия искам да говоря за EFS: нейното използване, уязвимости и как може да се впише в общия ви план за сигурност на мрежата.
Целта на EFS
Microsoft създаде EFS, за да осигури технология, базирана на публични ключове, която да действа като нещо като "последна линия на защита", за да защити съхранените данни от нарушители. Ако умният хакер премине през други мерки за сигурност - преминава през вашата защитна стена (или получава физически достъп до компютъра), поражда разрешения за достъп, за да получи административни привилегии - EFS все още може да му попречи да прочете данните в криптиран документ. Това е вярно, освен ако нарушителят не може да се регистрира като потребител, който шифрова документа (или в Windows XP / 2000 друг потребител, с когото потребителят е имал споделен достъп).
Има и други средства за криптиране на данни на диска. Много доставчици на софтуер правят продукти за криптиране на данни, които могат да се използват с различни версии на Windows. Те включват ScramDisk, SafeDisk и PGPDisk. Някои от тях използват криптиране на ниво дял или създават виртуално криптирано устройство, при което всички данни, съхранявани в този дял или на това виртуално устройство, ще бъдат шифровани. Други използват криптиране на ниво файл, което ви позволява да шифровате данните си поотделно, независимо къде се намират. Някои от тези методи използват парола за защита на данните; тази парола се въвежда, когато шифровате файла и трябва да го въведете отново, за да го декриптирате. EFS използва цифрови сертификати, които са свързани с конкретен потребителски акаунт, за да се определи кога файлът може да бъде декриптиран.
Microsoft е проектирал EFS, за да бъде лесен за ползване и наистина е практически прозрачен за потребителя. Шифроването на файл - или на цяла папка - е толкова лесно, колкото проверката на квадратче за отметка в настройките за разширени настройки на файла или папката.
Обърнете внимание, че криптирането на EFS е налице само за файлове и папки, които са на NTFS-форматирани устройства . Ако устройството е форматирано в FAT или FAT32, няма да има бутон " Разширени " в листа "Свойства". Също така имайте предвид, че въпреки че опциите за компресиране или криптиране на файл / папка са представени в интерфейса като квадратчета за отметка, те всъщност работят като опционни бутони; т.е. ако проверите някоя, другата е автоматично неконтролирана. Файлът или папката не могат да бъдат шифровани и компресирани едновременно.
След като файлът или папката са шифровани, единствената видима разлика е, че шифрованите файлове / папки ще се покажат в Explorer в различен цвят, ако в опциите за папки (конфигурирани чрез инструменти са избрани квадратчетата за показване на цветен или компресиран NTFS файл в цвят ) | Опции за папки | Преглед в Windows Explorer).
Потребителят, който шифрова документа, никога не се тревожи за декриптирането му, за да получи достъп до него. Когато го отваря, той се декриптира автоматично и прозрачно - докато потребителят е влязъл със същия потребителски акаунт, както когато е бил шифрован. Ако някой друг се опита да го осъществи обаче, документът няма да се отвори и съобщението ще информира потребителя, че достъпът е отказан.
Какво се случва под Худ?
Въпреки че EFS изглежда учудващо проста за потребителя, има много неща, които се случват под капака, за да стане всичко това. Симетричният (таен ключ) и асиметричният (публичен ключ) криптиране се използват в комбинация, за да се възползват от предимствата и недостатъците на всеки от тях.
Когато потребителят първоначално използва EFS за криптиране на файл, потребителският акаунт е присвоен на двойка ключове (публичен ключ и съответния частен ключ), генерирани от услугите за сертификати - ако има инсталирана CA в мрежата - или сами подписани от EFS. Публичният ключ се използва за криптиране и частният ключ се използва за дешифриране ...
За да прочетете пълната статия и да видите изображенията в пълен размер за фигурите, щракнете тук: Къде EFS се вписва в Вашия план за сигурност?