איפה EFS להתאים לתוכנית האבטחה שלך?

על ידי Deb Shinder עם אישור מ WindowSecurity.com

היכולת להצפין נתונים - הן נתונים במעבר (באמצעות IPSec ) ונתונים המאוחסנים בדיסק (באמצעות מערכת הקבצים המוצפנים ) ללא צורך בתוכנה של צד שלישי הוא אחד היתרונות הגדולים ביותר של Windows 2000 ו- XP / 2003 בהשוואה למיקרוסופט מערכות הפעלה. למרבה הצער, משתמשי Windows רבים אינם מנצלים את תכונות האבטחה החדשות האלה, או אם הם משתמשים בהם, אינם מבינים בדיוק מה הם עושים, איך הם עובדים, ומה השיטות המומלצות לעשות את רובם. במאמר זה, אני אדון EFS: השימוש בו, הפגיעויות שלו, וכיצד הוא יכול להתאים לתוכנית האבטחה הכוללת שלך ברשת.

היכולת להצפין נתונים - הן נתונים במעבר (באמצעות IPSec) ונתונים המאוחסנים בדיסק (באמצעות מערכת הקבצים המוצפנים) ללא צורך בתוכנה של צד שלישי הוא אחד היתרונות הגדולים ביותר של Windows 2000 ו- XP / 2003 בהשוואה למיקרוסופט מערכות הפעלה. למרבה הצער, משתמשי Windows רבים אינם מנצלים את תכונות האבטחה החדשות האלה, או אם הם משתמשים בהם, אינם מבינים בדיוק מה הם עושים, איך הם עובדים, ומה השיטות המומלצות לעשות את רובם.

עמדתי על השימוש ב- IPSec במאמר קודם; במאמר זה, אני רוצה לדבר על EFS: השימוש בו, הפגיעויות שלו, וכיצד הוא יכול להתאים לתוכנית האבטחה הכוללת שלך ברשת.

מטרת EFS

מיקרוסופט עיצבה את EFS ​​כדי לספק טכנולוגיה מבוססת מפתח ציבורי שתפעל כ"קו הגנה אחרון "כדי להגן על הנתונים המאוחסנים שלך מפני פולשים. אם האקר חכם עובר על אמצעי אבטחה אחרים - עושה את זה דרך חומת האש שלך (או מקבל גישה פיזית למחשב), מנצח את הרשאות הגישה כדי לקבל הרשאות ניהול - EFS עדיין יכול למנוע ממנו את היכולת לקרוא את הנתונים מסמך מוצפן. הדבר נכון, אלא אם כן הפורץ יוכל להיכנס כמשתמש המציפן את המסמך (או, ב- Windows XP / 2000, משתמש אחר שאיתו יש למשתמש גישה משותפת).

יש אמצעים אחרים להצפנת נתונים בדיסק. יצרני תוכנה רבים עושים מוצרים להצפנת נתונים שניתן להשתמש בהם בגירסאות שונות של Windows. אלה כוללים ScramDisk, SafeDisk ו- PGPDisk. חלקן משתמשות בהצפנה ברמת המחיצות או ביצירת כונן מוצפן וירטואלי, לפיו כל הנתונים המאוחסנים במחיצה זו או באותו כונן וירטואלי יוצפנו. אחרים משתמשים בהצפנת ברמת הקובץ, ומאפשרים להצפין את הנתונים שלך על בסיס קובץ לפי קבצים, ללא קשר למקום מגוריהם. חלק משיטות אלה משתמשות בסיסמה כדי להגן על הנתונים; סיסמה זו מוזנת בעת הצפנת הקובץ ויש להזין אותו שוב כדי לפענח אותו. EFS משתמש באישורים דיגיטליים המחוברים לחשבון משתמש מסוים כדי לקבוע מתי ניתן לפענח קובץ.

מיקרוסופט עיצבה את EFS ​​כדי להיות ידידותית למשתמש, והיא אכן שקופה למעשה למשתמש. הצפנת קובץ - או תיקיה שלמה - קלה כמו בדיקת תיבת סימון בהגדרות המאפיינים המתקדמים של הקובץ או התיקיה.

שים לב כי הצפנת EFS ​​זמינה רק עבור קבצים ותיקיות הנמצאים בכוננים בפורמט NTFS . אם הכונן מעוצב ב- FAT או FAT32, לא יהיה לחצן מתקדם בגיליון מאפיינים. כמו כן, שים לב כי למרות האפשרויות לדחוס או להצפין קובץ / תיקיה מוצגים בממשק כמו תיבות הסימון, הם למעשה עובדים כמו לחצני אפשרויות במקום; כלומר, אם אתה בודק אחד, השני הוא מסומנת באופן אוטומטי. קובץ או תיקיה לא ניתן להצפין ולדחוס בו-זמנית.

לאחר שהקובץ או התיקיה מוצפנים, ההבדל הבולט היחיד הוא שקבצים / תיקיות מוצפנים יופיעו ב- Explorer בצבע שונה, אם תיבת הסימון להצגת קובצי NTFS מוצפנים או דחוסים בצבע נבחרת באפשרויות התיקיה (מוגדר באמצעות כלים הצג את הכרטיסייה ב - Windows Explorer).

המשתמש אשר מוצפן המסמך לא צריך לדאוג decrypting אותו כדי לגשת אליו. כאשר הוא פותח אותו, הוא מפוענח באופן אוטומטי ושקוף - כל עוד המשתמש מחובר עם אותו חשבון משתמש כמו כאשר הוא הוצפן. אם מישהו אחר ינסה לגשת אליו, עם זאת, המסמך לא ייפתח הודעה תודיע למשתמש כי הגישה נדחתה.

מה קורה מתחת למכסה המנוע?

למרות EFS ​​נראה פשוט להפליא למשתמש, יש הרבה קורה מתחת למכסה המנוע כדי להפוך את כל זה לקרות. גם הצפנה סימטרית (מפתח סודי) ואסימטרי (מפתח ציבורי) משמשים בשילוב כדי לנצל את היתרונות והחסרונות של כל אחד מהם.

כאשר משתמש משתמש תחילה ב- EFS להצפנת קובץ, חשבון המשתמש מוקצה לזוג מקשים (מפתח ציבורי ומפתח פרטי תואם), שנוצרו על-ידי שירותי האישור - אם יש CA המותקן ברשת - או חתום על-ידי המשתמש על ידי EFS. המפתח הציבורי משמש להצפנה והמפתח הפרטי משמש לפענוח ...

כדי לקרוא את המאמר המלא ולראות את התמונות בגודל מלא עבור דמויות לחץ כאן: איפה EFS להתאים לתוכנית האבטחה שלך?