Kde se systém EFS hodí do vašeho bezpečnostního plánu?

Deb Debinder s povolením od WindowSecurity.com

Schopnost šifrovat data - jak v tranzitu (pomocí protokolu IPSec ), tak i data uložená na disku (pomocí systému šifrovacích souborů ) bez potřeby softwaru třetí strany je jednou z největších výhod Windows 2000 a XP / 2003 oproti starším Microsoft operační systémy. Naneštěstí mnoho uživatelů systému Windows nevyužívá těchto nových funkcí zabezpečení, nebo pokud je nepoužívají, plně nerozumí tomu, co dělají, jak fungují, a co je nejlepší z nich, abyste co nejvíce využili. V tomto článku budu diskutovat o EFS: jeho použití, jeho zranitelnosti a jak se může vejít do vašeho plánu zabezpečení sítě.

Schopnost šifrovat data - jak v tranzitu (pomocí protokolu IPSec), tak i data uložená na disku (pomocí systému šifrovacích souborů) bez potřeby softwaru třetí strany je jednou z největších výhod Windows 2000 a XP / 2003 oproti starším Microsoft operační systémy. Naneštěstí mnoho uživatelů systému Windows nevyužívá těchto nových funkcí zabezpečení, nebo pokud je nepoužívají, plně nerozumí tomu, co dělají, jak fungují, a co je nejlepší z nich, abyste co nejvíce využili.

Diskutoval jsem o použití protokolu IPSec v předchozím článku; v tomto článku chci mluvit o EFS: jeho použití, jeho zranitelnosti a jak se může vejít do vašeho plánu zabezpečení sítě.

Účel EFS

Společnost Microsoft navrhla EFS, aby poskytla technologii založenou na veřejném klíči, která by fungovala jako druh "poslední linie obrany", která chrání uložená data před vetřelci. Pokud se chytrý hacker dostane kolem jiných bezpečnostních opatření - prochází přes firewall (nebo získá fyzický přístup k počítači), porazí přístupová oprávnění k získání administrativních oprávnění - EFS mu může stále zabránit v čtení dat v počítači šifrovaný dokument. Je to pravda, pokud se neoprávněná osoba nemůže přihlásit jako uživatel, který kód zašifroval (nebo v systému Windows XP / 2000 jiný uživatel, s nímž má uživatel sdílený přístup).

Existují i ​​další možnosti šifrování dat na disku. Mnoho dodavatelů softwaru vyrábí produkty šifrování dat, které lze použít s různými verzemi systému Windows. Patří sem programy ScramDisk, SafeDisk a PGPDisk. Některé z nich používají šifrování na úrovni oddílů nebo vytvářejí virtuální šifrovanou jednotku, čímž budou všechna data uložená v tomto oddílu nebo na virtuálním disku zašifrována. Ostatní používají šifrování na úrovni souborů, což vám umožňuje šifrovat data podle jednotlivých souborů bez ohledu na to, kde se nacházejí. Některé z těchto metod používají heslo k ochraně dat; toto heslo je zadáno při šifrování souboru a musí být zadáno znovu pro jeho dešifrování. EFS používá digitální certifikáty, které jsou vázány na konkrétní uživatelský účet, aby zjistili, kdy může být soubor dešifrován.

Systém Microsoft EFS byl navržen tak, aby byl uživatelsky přívětivý a uživatel je skutečně prakticky průhledný. Šifrování souboru - nebo celé složky - je stejně snadné jako zaškrtnutí políčka ve složce Nastavení pokročilých nastavení.

Všimněte si, že šifrování EFS je k dispozici pouze pro soubory a složky, které jsou na discích ve formátu NTFS . Pokud je jednotka naformátována v systémech FAT nebo FAT32, na kartě Vlastnosti nebude žádné tlačítko Pokročilé . Také si povšimněte, že i když jsou možnosti pro kompresi nebo šifrování souboru / složky zobrazeny v rozhraní jako zaškrtávací políčka, ve skutečnosti fungují jako volitelná tlačítka; to je, pokud zkontrolujete jednu, druhá je automaticky zrušena. Soubor nebo složku nelze současně zašifrovat a komprimovat.

Jakmile je soubor nebo složka zašifrována, viditelný rozdíl je pouze v tom, že šifrované soubory nebo složky se zobrazí v Průzkumníku v jiné barvě, pokud je zaškrtnuto políčko Zobrazit šifrované nebo komprimované soubory NTFS v barvě Možnosti složky (nakonfigurované pomocí nástrojů Záložka Možnosti složky | Zobrazit v Průzkumníku Windows).

Uživatel, který zašifroval dokument, se nikdy nemusí starat o jeho dešifrování pro přístup k tomuto dokumentu. Když se otevírá, je automaticky a transparentně dešifrován - pokud je uživatel přihlášen se stejným uživatelským účtem jako při šifrování. Pokud se k němu někdo pokusí o přístup, dokument se však neotevře a zpráva informuje uživatele, že přístup byl odepřen.

Co se děje pod Hoodem?

Přestože EFS je pro uživatele neuvěřitelně jednoduché, pod kapotou se hodně děje, aby se to všechno stalo. Symetrický (tajný klíč) a asymetrický (veřejný klíč) šifrování jsou používány v kombinaci pro využití výhod a nevýhod každého z nich.

Když uživatel nejprve použije EFS k zašifrování souboru, uživatelskému účtu je přiřazen pár klíčů (veřejný klíč a odpovídající soukromý klíč), buď vygenerovaný certifikačními službami - pokud je v síti nainstalována certifikační autorita - nebo sama podepsaná EFS. Veřejný klíč se používá pro šifrování a soukromý klíč se používá k dešifrování ...

Chcete-li přečíst celý článek a zobrazit obrázky v plné velikosti pro obrázky, klikněte zde: Kde se EFS hodí do vašeho bezpečnostního plánu?