Με το Deb Shinder με άδεια από το WindowSecurity.com
Η δυνατότητα κρυπτογράφησης δεδομένων - τόσο τα δεδομένα κατά τη μεταφορά (χρησιμοποιώντας το IPSec ) όσο και τα δεδομένα που είναι αποθηκευμένα στο δίσκο (χρησιμοποιώντας το σύστημα αρχείων κρυπτογράφησης ) χωρίς την ανάγκη λογισμικού τρίτου μέρους, είναι ένα από τα μεγαλύτερα πλεονεκτήματα των Windows 2000 και XP / λειτουργικά συστήματα. Δυστυχώς, πολλοί χρήστες των Windows δεν επωφελούνται από αυτά τα νέα χαρακτηριστικά ασφαλείας ή, αν τα χρησιμοποιούν, δεν κατανοούν πλήρως τι κάνουν, πώς λειτουργούν και ποιες είναι οι βέλτιστες πρακτικές για να αξιοποιήσουν στο έπακρο τις δυνατότητες αυτές. Σε αυτό το άρθρο, θα συζητήσω το EFS: τη χρήση του, τις ευπάθειές του και πώς μπορεί να χωρέσει στο γενικό σας σχέδιο ασφάλειας δικτύων.
Η δυνατότητα κρυπτογράφησης δεδομένων - τόσο τα δεδομένα κατά τη μεταφορά (χρησιμοποιώντας το IPSec) όσο και τα δεδομένα που είναι αποθηκευμένα στο δίσκο (χρησιμοποιώντας το σύστημα αρχείων κρυπτογράφησης) χωρίς την ανάγκη λογισμικού τρίτου μέρους, είναι ένα από τα μεγαλύτερα πλεονεκτήματα των Windows 2000 και XP / λειτουργικά συστήματα. Δυστυχώς, πολλοί χρήστες των Windows δεν επωφελούνται από αυτά τα νέα χαρακτηριστικά ασφαλείας ή, αν τα χρησιμοποιούν, δεν κατανοούν πλήρως τι κάνουν, πώς λειτουργούν και ποιες είναι οι βέλτιστες πρακτικές για να αξιοποιήσουν στο έπακρο τις δυνατότητες αυτές.
Συζήτησα τη χρήση του IPSec σε ένα προηγούμενο άρθρο. σε αυτό το άρθρο, θέλω να μιλήσω για το EFS: τη χρήση του, τις ευπάθειές του και πώς μπορεί να χωρέσει στο γενικό σας σχέδιο ασφάλειας δικτύων.
Ο σκοπός του EFS
Η Microsoft σχεδίασε το EFS για να παρέχει μια τεχνολογία βασισμένη στο δημόσιο κλειδί που θα λειτουργούσε ως ένα είδος "τελευταίας γραμμής άμυνας" για την προστασία των αποθηκευμένων δεδομένων σας από εισβολείς. Εάν ένας έξυπνος χάκερ περάσει από άλλα μέτρα ασφαλείας - το κάνει μέσω του τείχους προστασίας σας (ή αποκτά πρόσβαση στον υπολογιστή), χάνει δικαιώματα πρόσβασης για να αποκτήσει διοικητικά προνόμια - το EFS μπορεί ακόμα να τον εμποδίσει να διαβάσει τα δεδομένα στο κρυπτογραφημένο έγγραφο. Αυτό είναι αληθές, εκτός αν ο εισβολέας είναι σε θέση να συνδεθεί ως χρήστης που κρυπτογράφησε το έγγραφο (ή, στα Windows XP / 2000, άλλος χρήστης με τον οποίο ο χρήστης έχει κοινόχρηστη πρόσβαση).
Υπάρχουν και άλλοι τρόποι κρυπτογράφησης δεδομένων στο δίσκο. Πολλοί προμηθευτές λογισμικού κάνουν προϊόντα κρυπτογράφησης δεδομένων τα οποία μπορούν να χρησιμοποιηθούν με διάφορες εκδόσεις των Windows. Αυτές περιλαμβάνουν το ScramDisk, το SafeDisk και το PGPDisk. Ορισμένα από αυτά χρησιμοποιούν κρυπτογράφηση σε επίπεδο διαμερίσματος ή δημιουργούν μια εικονική κρυπτογραφημένη μονάδα, με την οποία όλα τα δεδομένα που είναι αποθηκευμένα σε αυτό το διαμέρισμα ή σε αυτήν την εικονική μονάδα θα κρυπτογραφηθούν. Άλλοι χρησιμοποιούν την κρυπτογράφηση σε επίπεδο αρχείου, επιτρέποντάς σας να κρυπτογραφήσετε τα δεδομένα σας με βάση αρχεία ανεξάρτητα από τον τόπο κατοικίας τους. Ορισμένες από αυτές τις μεθόδους χρησιμοποιούν έναν κωδικό πρόσβασης για την προστασία των δεδομένων. ο κωδικός πρόσβασης εισάγεται όταν κρυπτογραφείτε το αρχείο και πρέπει να τον καταχωρήσετε ξανά για να αποκρυπτογραφήσετε. Το EFS χρησιμοποιεί ψηφιακά πιστοποιητικά που δεσμεύονται σε συγκεκριμένο λογαριασμό χρήστη για να καθορίσουν πότε μπορεί να αποκρυπτογραφηθεί ένα αρχείο.
Η Microsoft σχεδίασε το EFS για να είναι φιλικό προς το χρήστη και είναι πράγματι πρακτικά διαφανές για τον χρήστη. Η κρυπτογράφηση ενός αρχείου - ή ενός ολόκληρου φακέλου - είναι τόσο εύκολη όσο ο έλεγχος ενός πλαισίου ελέγχου στις ρυθμίσεις σύνθετων ιδιοτήτων του αρχείου ή του φακέλου.
Σημειώστε ότι η κρυπτογράφηση EFS είναι διαθέσιμη μόνο για αρχεία και φακέλους που είναι σε μονάδες NTFS . Εάν η μονάδα έχει μορφοποιηθεί σε FAT ή FAT32, δεν θα υπάρχει κουμπί Advanced για το φύλλο ιδιοτήτων. Επίσης, σημειώστε ότι παρόλο που οι επιλογές συμπίεσης ή κρυπτογράφησης ενός αρχείου / φακέλου παρουσιάζονται στη διεπαφή ως πλαίσια ελέγχου, λειτουργούν στην πραγματικότητα σαν κουμπιά επιλογής. δηλαδή, αν ελέγξετε ένα, το άλλο είναι αυτόματα ανεξέλεγκτο. Ένα αρχείο ή φάκελος δεν μπορεί να κρυπτογραφηθεί και να συμπιεστεί ταυτόχρονα.
Μόλις το αρχείο ή ο φάκελος είναι κρυπτογραφημένο, η μόνη ορατή διαφορά είναι ότι τα κρυπτογραφημένα αρχεία / φάκελοι θα εμφανιστούν στον Explorer με διαφορετικό χρώμα, αν το πλαίσιο ελέγχου Εμφάνιση κρυπτογραφημένων ή συμπιεσμένων αρχείων NTFS σε χρώμα έχει επιλεγεί στις Επιλογές φακέλων Επιλογές φακέλου | Προβολή καρτέλας στην Εξερεύνηση των Windows).
Ο χρήστης που κρυπτογράφησε το έγγραφο δεν πρέπει ποτέ να ανησυχεί για την αποκρυπτογράφηση του για πρόσβαση σε αυτό. Όταν το ανοίγει, αποκρυπτογραφείται αυτόματα και με διαφάνεια - αρκεί ο χρήστης να συνδεθεί με τον ίδιο λογαριασμό χρήστη όπως όταν ήταν κρυπτογραφημένος. Ωστόσο, αν κάποιος άλλος προσπαθήσει να την αποκτήσει πρόσβαση, το έγγραφο δεν θα ανοίξει και ένα μήνυμα θα ενημερώσει τον χρήστη ότι η πρόσβαση απορρίφθηκε.
Τι συμβαίνει κάτω από το κουκούλα;
Παρόλο που το EFS φαίνεται εκπληκτικά απλό στον χρήστη, υπάρχουν πολλά πράγματα κάτω από την κουκούλα για να γίνει αυτό όλα συμβεί. Τόσο η συμμετρική (μυστικό κλειδί) όσο και η ασύμμετρη κρυπτογράφηση (δημόσιο κλειδί) χρησιμοποιούνται σε συνδυασμό για να επωφεληθούν από τα οφέλη και τα μειονεκτήματα του καθενός.
Όταν ένας χρήστης αρχικά χρησιμοποιεί το EFS για την κρυπτογράφηση ενός αρχείου, ο λογαριασμός χρήστη είναι ένα ζευγάρι κλειδιών (δημόσιο κλειδί και αντίστοιχο ιδιωτικό κλειδί), είτε δημιουργείται από τις υπηρεσίες πιστοποιητικών - εάν υπάρχει μια CA που είναι εγκατεστημένη στο δίκτυο - είτε έχει υπογράψει αυτόματα από το EFS. Το δημόσιο κλειδί χρησιμοποιείται για την κρυπτογράφηση και το ιδιωτικό κλειδί χρησιμοποιείται για την αποκρυπτογράφηση ...
Για να διαβάσετε ολόκληρο το άρθρο και να δείτε τις εικόνες πλήρους μεγέθους για τα Figures, κάντε κλικ εδώ: Πού το EFS ταιριάζει στο Σχέδιο Ασφαλείας σας;