Möjligheten att kryptera data - både data i transit (med hjälp av IPSec) och data lagrad på skivan (med krypteringsfilsystemet) utan att behöva programvara från tredje part är en av de största fördelarna med Windows 2000 och XP / 2003 jämfört med tidigare Microsoft operativsystem. Tyvärr använder många Windows-användare inte dessa nya säkerhetsfunktioner, eller om de använder dem, förstår de inte helt vad de gör, hur de fungerar och vad de bästa metoderna är för att få ut det mesta av dem. I den här artikeln diskuterar jag EFS: dess användning, dess sårbarheter och hur den kan passa in i din övergripande nätverkssäkerhetsplan.
Möjligheten att kryptera data - både data i transit (med hjälp av IPSec) och data lagrad på skivan (med krypteringsfilsystemet) utan att behöva programvara från tredje part är en av de största fördelarna med Windows 2000 och XP / 2003 jämfört med tidigare Microsoft operativsystem. Tyvärr använder många Windows-användare inte dessa nya säkerhetsfunktioner, eller om de använder dem, förstår de inte helt vad de gör, hur de fungerar och vad de bästa metoderna är för att få ut det mesta av dem.
Jag diskuterade användningen av IPSec i en tidigare artikel; I den här artikeln vill jag prata om EFS: dess användning, dess sårbarheter och hur det kan passa in i din övergripande nätverkssäkerhetsplan.
Syftet med EFS
Microsoft utformade EFS för att tillhandahålla en offentlig nyckelbaserad teknik som skulle fungera som en slags "sista försvarskrets" för att skydda dina lagrade data från inkräktare. Om en smart hackare går över andra säkerhetsåtgärder - gör det via din brandvägg (eller får fysisk åtkomst till datorn), besegrar behörigheter för åtkomst för att få administrativa behörigheter - EFS kan fortfarande hindra honom / henne från att kunna läsa data i krypterat dokument. Detta gäller om inte inkräktaren kan logga in som den användare som krypterade dokumentet (eller, i Windows XP / 2000, en annan användare med vilken den användaren har delad åtkomst).
Det finns andra sätt att kryptera data på skivan. Många programvaruförsäljare gör datakrypteringsprodukter som kan användas med olika versioner av Windows. Dessa inkluderar ScramDisk, SafeDisk och PGPDisk. Vissa av dessa använder kryptering på partitionsnivå eller skapar en virtuell krypterad enhet, där alla data som lagras i den partitionen eller den virtuella enheten kommer att krypteras. Andra använder filnivåkryptering, så att du kan kryptera dina data på en fil-för-fil-basis oavsett var de bor. Några av dessa metoder använder ett lösenord för att skydda data. det lösenordet anges när du krypterar filen och måste skrivas in igen för att dekryptera den. EFS använder digitala certifikat som är bundna till ett specifikt användarkonto för att bestämma när en fil kan dekrypteras.
Microsoft utformade EFS för att vara användarvänligt, och det är faktiskt praktiskt transparent för användaren. Kryptera en fil - eller en hel mapp - är lika enkelt som att kryssa i kryssrutan i inställningarna för fil eller mapp Avancerade egenskaper.
Observera att EFS-kryptering endast är tillgänglig för filer och mappar som finns på NTFS-formaterade enheter. Om enheten är formaterad i FAT eller FAT32 kommer det att finnas nr Avancerad knappen på egenskapsbladet. Observera även att även om alternativen för att komprimera eller kryptera en fil / mapp visas i gränssnittet som kryssrutor, fungerar de faktiskt som alternativknappar istället; det vill säga om du kontrollerar en, är den andra automatiskt avmarkerad. En fil eller mapp kan inte krypteras och komprimeras samtidigt.
När filen eller mappen är krypterad är den enda synliga skillnaden att krypterade filer / mappar dyker upp i Utforskaren i en annan färg om kryssrutan ska Visa krypterade eller komprimerade NTFS-filer i färg är markerat i mappalternativen (konfigurerad via Verktyg | Mappalternativ | Visa fliken i Utforskaren i Windows).
Användaren som krypterade dokumentet behöver aldrig oroa sig för att dekryptera det för att komma åt det. När han / hon öppnar den, dekrypteras den automatiskt och genomskinligt - så länge som användaren är inloggad med samma användarkonto som när det krypterades. Om någon annan försöker komma åt det, kommer dokumentet inte att öppnas och ett meddelande informerar användaren om att åtkomst nekas.
Vad händer under huven?
Även om EFS verkar otroligt enkelt för användaren, är det mycket på gång under huven för att få allt detta att hända. Både symmetrisk (hemlig nyckel) och asymmetrisk (offentlig nyckel) kryptering används i kombination för att dra fördel av fördelarna och nackdelarna för varje.
När en användare ursprungligen använder EFS för att kryptera en fil är användarkontot tilldelat ett nyckelpar (offentlig nyckel och motsvarande privat nyckel), antingen genererade av certifikattjänsterna - om det finns en CA installerad på nätverket - eller självtecknad av EFS. Den allmänna nyckeln används för kryptering och den privata nyckeln används för dekryptering …
För att läsa hela artikeln och se de fullstora bilderna för siffrorna, klicka här: Var går EFS i din säkerhetsplan?
