De Deb Shinder cu permisiunea de la WindowSecurity.com
Abilitatea de a cripta datele - atât datele în tranzit (utilizând IPSec ), cât și datele stocate pe disc (utilizând sistemul de criptare a fișierelor ) fără a avea nevoie de software pentru terțe părți este unul dintre cele mai mari avantaje ale Windows 2000 și XP / sisteme de operare. Din păcate, mulți utilizatori de Windows nu profită de aceste noi caracteristici de securitate sau, dacă nu le folosesc, nu înțeleg pe deplin ce fac, cum funcționează și care sunt cele mai bune practici pentru a profita la maximum de ele. În acest articol, voi discuta despre EFS: utilizarea lui, vulnerabilitățile acestuia și modul în care acesta se poate încadra în planul general de securitate a rețelei.
Abilitatea de a cripta datele - atât datele în tranzit (utilizând IPSec), cât și datele stocate pe disc (utilizând sistemul de criptare a fișierelor) fără a avea nevoie de software pentru terțe părți este unul dintre cele mai mari avantaje ale Windows 2000 și XP / sisteme de operare. Din păcate, mulți utilizatori de Windows nu profită de aceste noi caracteristici de securitate sau, dacă nu le folosesc, nu înțeleg pe deplin ce fac, cum funcționează și care sunt cele mai bune practici pentru a profita la maximum de ele.
Am discutat despre utilizarea IPSec într-un articol anterior; în acest articol, vreau să vorbesc despre EFS: utilizarea acestuia, vulnerabilitățile sale și modul în care se poate încadra în planul general de securitate a rețelei.
Scopul EFS
Microsoft a proiectat EFS pentru a oferi o tehnologie bazată pe chei publice, care ar acționa ca un fel de "ultima linie de apărare" pentru a vă proteja datele stocate de intruși. Dacă un hacker inteligent trece prin alte măsuri de securitate - trece prin firewall - ul dvs. (sau câștigă acces fizic la computer), învinge permisiunile de acces pentru a obține privilegii administrative - EFS îi poate împiedica în continuare să citească datele în document criptat. Acest lucru este valabil numai dacă intrusul este capabil să se conecteze ca utilizator care a criptat documentul (sau, în Windows XP / 2000, un alt utilizator cu care acel utilizator are acces partajat).
Există și alte mijloace de criptare a datelor pe disc. Mulți furnizori de software fac produse de criptare a datelor care pot fi utilizate cu diferite versiuni de Windows. Acestea includ ScramDisk, SafeDisk și PGPDisk. Unele dintre acestea utilizează criptare la nivel de partiție sau creează o unitate criptată virtuală, prin care toate datele stocate în acea partiție sau pe acea unitate virtuală vor fi criptate. Alții folosesc criptarea la nivel de fișier, permițându-vă să vă criptați datele în mod fișier, indiferent de locul în care locuiesc. Unele dintre aceste metode utilizează o parolă pentru a proteja datele; această parolă este introdusă când criptați fișierul și trebuie să o introduceți din nou pentru al decripta. EFS utilizează certificate digitale care sunt legate de un anumit cont de utilizator pentru a determina când un fișier poate fi decriptat.
Microsoft a proiectat EFS pentru a fi ușor de utilizat și este într-adevăr practic transparent pentru utilizator. Criptarea unui fișier - sau a unui dosar întreg - este la fel de ușor ca verificarea unei casete din setările avansate ale fișierului sau ale dosarului.
Rețineți că criptarea EFS este disponibilă numai pentru fișierele și folderele care sunt pe unități NTFS . Dacă unitatea este formatată în FAT sau FAT32, în fila Proprietăți nu va fi niciun buton Avansat . De asemenea, rețineți că, deși opțiunile de a comprima sau cripta un fișier / dosar sunt prezentate în interfață ca casete de selectare, ele funcționează ca butoane de opțiuni; adică, dacă bifați unul, celălalt este automat debifat. Un fișier sau un dosar nu poate fi criptat și comprimat în același timp.
Odată ce fișierul sau folderul este criptat, singura diferență vizibilă este că fișierele / folderele criptate vor apărea în Explorer într-o altă culoare, dacă caseta de selectare pentru Afișare fișiere NTFS criptate sau comprimate este selectată în Opțiuni folder (configurate prin Instrumente | Opțiuni folder | Vizualizare fila în Windows Explorer).
Utilizatorul care a criptat documentul nu trebuie să-și facă griji cu privire la decriptarea acestuia pentru accesarea acestuia. Când îl deschide, este decodificat în mod automat și transparent - atâta timp cât utilizatorul este conectat cu același cont de utilizator ca atunci când a fost criptat. Dacă altcineva încearcă să o acceseze, documentul nu se va deschide și un mesaj va informa utilizatorul că accesul este refuzat.
Ce se întâmplă sub Hood?
Deși EFS pare uimitor de simplu pentru utilizator, se petrece mult sub capotă pentru a face acest lucru să se întâmple. Atât crima simetrică (cheia secretă) cât și crima asimetrică (cheia publică) sunt utilizate în combinație pentru a profita de avantajele și dezavantajele fiecăruia.
Atunci când un utilizator utilizează inițial EFS pentru a cripta un fișier, contul de utilizator este asociat unei perechi de chei (cheia publică și cheia privată corespunzătoare), fie generată de serviciile de certificare - dacă există un CA instalat în rețea -, fie auto-semnat prin EFS. Cheia publică este utilizată pentru criptare, iar cheia privată este utilizată pentru decriptare ...
Pentru a citi articolul complet și pentru a vedea imaginile de dimensiune completă pentru cifre, faceți clic aici: Unde EFS se încadrează în planul dvs. de securitate?