Деб Шиндер з дазволу WindowSecurity.com
Магчымасць шыфравання дадзеных - абодва дадзеных у шляху ( з выкарыстаннем IPSec ) і дадзеныя , якія захоўваюцца на дыску ( з дапамогай шыфраваных файлавай сістэмы ) без неабходнасці іншага праграмнага забеспячэння з'яўляецца адным з самых вялікіх пераваг Windows 2000 і XP / 2003 больш ранняй Microsoft аперацыйныя сістэмы. На жаль, многія карыстальнікі Windows, не скарыстацца гэтымі новымі функцыямі бяспекі, або, калі яны выкарыстоўваюць іх, не да канца разумеюць, што яны робяць, як яны працуюць, і тое, што лепшыя практыкі, каб зрабіць большасць з іх. У гэтым артыкуле я буду абмяркоўваць EFS: яго выкарыстанне, яго ўразлівасць, і як ён можа ўпісацца ў агульны план бяспекі сеткі.
Магчымасць шыфравання дадзеных - абодва дадзеных у шляху (з выкарыстаннем IPSec) і дадзеныя, якія захоўваюцца на дыску (з дапамогай шыфраваных файлавай сістэмы) без неабходнасці іншага праграмнага забеспячэння з'яўляецца адным з самых вялікіх пераваг Windows 2000 і XP / 2003 больш ранняй Microsoft аперацыйныя сістэмы. На жаль, многія карыстальнікі Windows, не скарыстацца гэтымі новымі функцыямі бяспекі, або, калі яны выкарыстоўваюць іх, не да канца разумеюць, што яны робяць, як яны працуюць, і тое, што лепшыя практыкі, каб зрабіць большасць з іх.
Я абмяркоўваў выкарыстанне IPSec ў папярэднім артыкуле; У гэтым артыкуле я хачу пагаварыць пра EFS: яе выкарыстанне, яго ўразлівасці, і як ён можа ўпісацца ў агульны план бяспекі сеткі.
мэта EFS
Microsoft распрацавана EFS, каб забяспечыць тэхналогію адкрытага ключа на аснове, якая будзе дзейнічаць у якасці свайго роду «апошняй лініі абароны» для абароны захоўваемых дадзеных ад несанкцыянаванага доступу. Калі разумны хакер атрымлівае міма іншых мер бяспекі - робіць яго праз брандмаўэр (ці атрымлівае фізічны доступ да кампутара), перамагае правы доступу , каб атрымаць адміністрацыйныя прывілеі - EFS яшчэ можа перашкодзіць яму / ёй быць у стане прачытаць дадзеныя ў зашыфраваная дакумент. Гэта дакладна, калі зламыснік не зможа ўвайсці ў сістэму пад імем карыстальніка, зашыфраванай дакумент (ці, у Windows XP / 2000, іншы карыстальнік, з якім гэты карыстальнік мае агульны доступ).
Ёсць іншыя сродкі шыфравання дадзеных на дыску. Многія вытворцы праграмнага забеспячэння робяць шыфраванне дадзеных прадуктаў, якія могуць быць выкарыстаны з рознымі версіямі Windows. Да іх ставяцца ScramDisk, SafeDisk і PGPdisk. Некаторыя з іх выкарыстоўваюць шыфраванне на ўзроўні раздзелаў або стварыць віртуальны зашыфраваны дыск, у выніку чаго ўсе дадзеныя, якія захоўваюцца ў гэтым раздзеле або на гэтым віртуальным дыску будуць зашыфраваныя. Іншыя выкарыстоўваюць шыфраванне на ўзроўні файлаў, што дазваляе шыфраваць дадзеныя на аснове файлаў з дапамогай файлаў, незалежна ад таго, дзе яны пражываюць. Некаторыя з гэтых метадаў выкарыстоўваецца пароль для абароны дадзеных; што пароль ўводзіцца пры шыфраванні файла і павінна быць уведзена зноў, каб расшыфраваць яго. EFS выкарыстоўвае лічбавыя сертыфікаты, якія прывязаныя да канкрэтнай ўліковага запісу карыстальніка, каб вызначыць, калі файл можа быць расшыфраваны.
Microsoft распрацавана EFS быць зручным, і гэта сапраўды практычна празрысты для карыстальніка. Шыфраванне файла - або ўсю тэчку - гэта так жа проста, як праверка сцяжок у файле або ў наладах Advanced Properties тэчкі.
Звярніце ўвагу , што шыфраванне EFS даступны толькі для файлаў і тэчак , якія знаходзяцца на NTFS-адфарматаваных дыскаў . Калі дыск адфарматаваны ў FAT ці FAT32, то не будзе кнопка Дадаткова на старонцы уласцівасцяў. Таксама зьвярніце ўвагу, што нават калі параметры сціснуць або зашыфраваць файл / тэчку прадстаўленыя ў інтэрфейсе, як сцяжкі, яны фактычна працуюць як опцыя кнопка замест; гэта значыць, калі вы ўсталюеце адзін, іншы аўтаматычна зняты. Файл або тэчка не можа быць зашыфраваныя і сціснутыя адначасова.
Пасля таго як файл або тэчка зашыфравана, адзінае бачнае адрозненне складаецца ў тым , што зашыфраваныя файлы / тэчкі будуць адлюстроўвацца ў правадыру ў іншым колеры, калі сцяжок Паказваць сціснутыя або зашыфраваныя файлы NTFS у колерах , выбраныя ва ўласцівасцях тэчкі (канфігуруюцца з дапамогай інструментаў | Уласцівасці тэчкі | ўкладка Від ў правадыру Windows).
Карыстальнік, які зашыфраваны дакумент ніколі не павінен турбавацца аб дэшыфраванні яго для доступу да яго. Калі ён / яна адкрывае яго, ён аўтаматычна і празрыста расшыфраваныя - да таго часу, пакуль карыстач увайшоў у сістэму з той жа уліковым запісам карыстальніка, як, калі ён быў зашыфраваны. Калі хто-то спрабуе атрымаць да яго доступ, аднак, дакумент не адкрыецца, і паведамленне будзе інфармаваць карыстальніка аб тым, што доступ забаронены.
Што адбываецца пад капотам?
Хоць EFS здаецца дзіўна просты для карыстальніка, ёсць шмат адбываецца пад капотам, каб усё гэта адбылося. Абодва сіметрычныя (сакрэтны ключ) і асіметрычным (адкрыты ключ) шыфравання выкарыстоўваюцца ў камбінацыі, каб скарыстацца перавагамі і недахопамі кожнага з іх.
Калі карыстальнік спачатку выкарыстоўвае EFS для шыфравання файла, уліковы запіс карыстальніка прызначанай пару ключоў (адкрыты ключ і адпаведны закрыты ключ), альбо генеравацца службамі сертыфікатаў - калі ёсць CA усталяваны ў сеткі - ці самозаверяющий па EFS. Адкрыты ключ выкарыстоўваецца для шыфравання і закрыты ключ выкарыстоўваецца для расшыфроўкі ...
Каб прачытаць артыкул цалкам і ўбачыць поўнапамерныя выявы для фігуры націсніце тут: Дзе Ці EFS ўпісваюцца ў ваш план бяспекі?