Deb Shinder su "WindowSecurity.com" leidimu
Galimybė užšifruoti duomenis - tiek tranziuojami duomenys (naudojant IPSec ), tiek diske saugomi duomenys (naudojant failų šifravimo sistemą ) be trečiųjų šalių programinės įrangos nereikia, yra vienas iš didžiausių "Windows 2000" ir " XP / 2003" pranašumų, palyginti su ankstesniu "Microsoft" Operacinės sistemos. Deja, daugelis "Windows" naudotojų nesinaudoja šiomis naujomis saugumo funkcijomis arba, jei jie juos naudoja, nevisiškai supranta, ką jie daro, kaip jie veikia ir kokia geriausia praktika yra išnaudoti visas iš jų. Šiame straipsnyje aptarsiu EFS: jo naudojimą, jo pažeidžiamumą ir tai, kaip jis gali tilpti į jūsų bendrą tinklo saugumo planą.
Galimybė užšifruoti duomenis - tiek tranziuojami duomenys (naudojant IPSec), tiek diske saugomi duomenys (naudojant failų šifravimo sistemą) be trečiųjų šalių programinės įrangos nereikia, yra vienas iš didžiausių "Windows 2000" ir "XP / 2003" pranašumų, palyginti su ankstesniu "Microsoft" Operacinės sistemos. Deja, daugelis "Windows" naudotojų nesinaudoja šiomis naujomis saugumo funkcijomis arba, jei jie juos naudoja, nevisiškai supranta, ką jie daro, kaip jie veikia ir kokia geriausia praktika yra išnaudoti visas iš jų.
Aš aptariau IPSec naudojimą ankstesniame straipsnyje; šiame straipsnyje norėčiau kalbėti apie EFS: jo naudojimą, jo pažeidžiamumą ir tai, kaip jis gali tilpti į jūsų bendrą tinklo saugumo planą.
EFS tikslas
"Microsoft" sukūrė EFS, kuri teiktų viešai raketų technologiją, kuri veiktų kaip "paskutinė gynybos linija", apsauganti jūsų saugomus duomenis nuo įsibrovėlių. Jei protingas įsilaužėlis atsilieka nuo kitų saugumo priemonių - jis perduoda per savo ugniasienę (arba gauna fizinę prieigą prie kompiuterio), pralaimi prieigos teises, norėdamas gauti administracines privilegijas. EFS vis tiek gali užkirsti kelią jam negali skaityti užšifruotas dokumentas. Tai yra tiesa, jei įsibrovėlis negali prisijungti kaip vartotojas, kuris šifruoja dokumentą (arba "Windows XP / 2000" kitam vartotojui, su kuriuo šis vartotojas turi bendrąją prieigą).
Yra ir kitos duomenų šifravimo priemonės diske priemonės. Daugelis programinės įrangos gamintojų sukuria duomenų šifravimo produktus, kuriuos galima naudoti su įvairiomis "Windows" versijomis. Tai apima "ScramDisk", "SafeDisk" ir "PGPDisk". Kai kurie iš jų naudoja skaidinį lygmens šifravimą arba sukuria virtualų šifruotą diską, kuriame visi šitame pertvaru arba virtualiame diske saugomi duomenys bus užšifruoti. Kiti naudoja failų lygio šifravimą, todėl jūs galite šifruoti savo duomenis kiekvieno failo pagrindu, nepriklausomai nuo to, kur jie gyvena. Kai kurie iš šių metodų naudoja slaptažodį, apsaugantį duomenis; šis slaptažodis įvedamas, kai užšifruosite failą ir jį reikia dar kartą įrašyti, kad jį būtų galima iššifruoti. EFS naudoja skaitmeninius sertifikatus, susietus su konkrečia naudotojo paskyra, kad nustatytų, kada failą galima iššifruoti.
"Microsoft" sukūrė EFS, kad ji būtų patogi vartotojui, ir iš tiesų ji yra praktiškai skaidri vartotojui. Failo arba viso aplanko šifravimas taip pat lengva, kaip ir failo ar aplanko "Išplėstinės savybės" nustatymų žymės langelio žymėjimas.
Atkreipkite dėmesį, kad EFS šifravimas yra prieinamas tik failams ir aplankams, kurie yra NTFS formatuose . Jei diskas yra suformatuotas FAT arba FAT32, "Properties" lape nėra mygtuko " Advanced ". Taip pat atminkite, kad nors parinktys suspausti arba užšifruoti failą / aplanką sąsajoje pateikiamos kaip žymės langeliai, jie iš tikrųjų veikia kaip parinkties mygtukai; tai yra, jei patikrinsite vieną, kitas automatiškai nebus pažymėtas. Failas ar aplankas negali būti šifruojami ir suspaudžiami tuo pačiu metu.
Kai failas ar aplankas yra užšifruoti, vienintelis pastebimas skirtumas yra tai, kad užkoduoti failai / aplankai "Explorer" bus rodomi skirtingomis spalvomis, jei langelyje " Rodyti šifruotus arba suspaustus NTFS failus spalvotajame kompiuteryje " pasirinkta aplanko parinktys (sukonfigūruotas naudojant įrankius | Aplanko parinktys | Žiūrėti skirtuką "Windows Explorer").
Vartotojas, kuris šifruoja dokumentą, niekada neturėtų jaudintis, kad jis jį iššifruotų. Kai jis / ji ją atidaro, jis automatiškai ir skaidriai iššifruojamas - tol, kol vartotojas prisijungęs prie tos pačios vartotojo abonemento kaip ir tada, kai jis buvo užšifruotas. Tačiau jei kas nors bando jį pasiekti, dokumentas nebus atidarytas ir pranešimas informuos vartotoją, kad prieiga yra atmesta.
Kas vyksta po "Hood"?
Nors EFS atrodo neįtikėtinai paprasta vartotojui, daug kas vyksta po gaubtu, kad visa tai būtų. Tiek simetrinis (slaptasis raktas), tiek asimetrinis (atvirasis raktas) šifravimas naudojami kartu, kad būtų galima pasinaudoti kiekvienos iš jų nauda ir trūkumais.
Kai vartotojas iš pradžių naudoja EFS failui užšifruoti, vartotojo abonementui priskiriama raktų pora (viešasis ir atitinkamas privatusis raktas), kurią sukuria sertifikavimo tarnybos (jei yra tinklo įdiegta CA) arba savarankiškai pasirašyta EFS. Viešasis raktas naudojamas šifravimui, o privatus raktas naudojamas iššifravimui ...
Jei norite perskaityti visą straipsnį ir pamatyti paveikslėlių dydžius, spustelėkite čia: Kur EFS tinka jūsų saugumo plane?