Სად არის EFS შეესაბამება თქვენს უსაფრთხოებას?

მიერ Deb Shinder ნებართვა WindowSecurity.com

მონაცემების დაშიფვრის უნარი (ორივე IPSec- ის გამოყენებით) და დისკზე შენახული მონაცემები ( დაშიფვრის ფაილური სისტემის გამოყენებით ) მესამე მხარის პროგრამული უზრუნველყოფის გარეშე არის Windows 2000 და XP / 2003- ის ერთ-ერთი ყველაზე დიდი უპირატესობა Microsoft- ს ოპერატიული სისტემა. სამწუხაროდ, ბევრი Windows- ის მომხმარებლები არ სარგებლობენ ამ ახალი უსაფრთხოების მახასიათებლებით, ან თუ ისინი იყენებენ მათ, არ სრულად გაიგებენ, რას აკეთებენ ისინი, როგორ მუშაობენ და რა საუკეთესო პრაქტიკას აკეთებენ ყველაზე მეტად. ამ სტატიაში, მე განიხილავს EFS: მისი გამოყენება, მისი მოწყვლადი და როგორ შეიძლება შეესაბამება თქვენს საერთო ქსელის უსაფრთხოების გეგმა.

მონაცემების დაშიფვრის უნარი (ორივე IPSec- ის გამოყენებით) და დისკზე შენახული მონაცემები (დაშიფვრის ფაილური სისტემის გამოყენებით) მესამე მხარის პროგრამული უზრუნველყოფის გარეშე არის Windows 2000 და XP / 2003- ის ერთ-ერთი ყველაზე დიდი უპირატესობა Microsoft- ს ოპერატიული სისტემა. სამწუხაროდ, ბევრი Windows- ის მომხმარებლები არ სარგებლობენ ამ ახალი უსაფრთხოების მახასიათებლებით, ან თუ ისინი იყენებენ მათ, არ სრულად გაიგებენ, რას აკეთებენ ისინი, როგორ მუშაობენ და რა საუკეთესო პრაქტიკას აკეთებენ ყველაზე მეტად.

წინა განხილვაში IPSec- ის გამოყენება ვიმსჯელეთ; ამ სტატიაში მე მინდა ვისაუბრო EFS- ის შესახებ: მისი გამოყენება, მისი მოწყვლადი და როგორ შეესაბამება თქვენს საერთო ქსელის უსაფრთხოების გეგმას.

EFS- ის მიზანი

Microsoft შექმნილია EFS- ს საჯარო გასაღების ტექნოლოგიის უზრუნველსაყოფად, რომელიც იმოქმედებს, როგორც "უკანასკნელი ხაზის" ტიპის, რათა დაიცვას თქვენი შენახული მონაცემები intruders. თუ ჭკვიანი ჰაკერი იღებს სხვა უსაფრთხოების ზომებს, იძლევა თქვენს firewall- ს (ან კომპიუტერის ფიზიკური წვდომის საშუალებით), დაამარცხებს ადმინისტრაციულ პრივილეგიებზე დაშვების უფლებას - EFS- ს შეუძლია კვლავ შეუშალოს მას ინფორმაცია დაშიფრული დოკუმენტი. ეს მართალია, თუ ინტრუიდერს შეუძლია დარეგისტრირდეს როგორც მომხმარებელი, რომელიც დაამონტაჟებს დოკუმენტს (ან, Windows XP / 2000- ში, სხვა მომხმარებელი, ვისთანაც მომხმარებელი სარგებლობს წვდომით).

დისკზე მონაცემების გაშიფვრის სხვა საშუალება არსებობს. ბევრი პროგრამული უზრუნველყოფა მოვაჭრეებს ქმნის მონაცემთა დაშიფვრის პროდუქტებს, რომლებიც შეიძლება გამოყენებულ იქნას სხვადასხვა ვერსიის Windows. ესენია: ScramDisk, SafeDisk და PGPDisk. ზოგიერთი გამოყენება დანაყოფი დონის დაშიფვრის ან შექმნა ვირტუალური დაშიფრული დისკზე, რომლის დროსაც შენახული ყველა ამ მონაცემში ინახება და ამ ვირტუალურ დისკზე იქნება დაშიფრული. სხვები იყენებენ ფაილის დონის დაშიფრვას, რომელიც საშუალებას გაძლევთ დაშიფროთ თქვენი მონაცემები ფაილ-ფაილურ საფუძველზე, მიუხედავად იმისა, რომ ისინი ცხოვრობენ. ზოგიერთი მეთოდი გამოიყენებს მონაცემებს, დაიცვას მონაცემები; რომ პაროლი შეყვანილია, როდესაც თქვენ დაშიფვრა ფაილი და უნდა შევიდნენ ერთხელ, რათა გაშიფრა. EFS იყენებს ციფრულ სერთიფიკატებს, რომლებიც დაკავშირებულია კონკრეტულ მომხმარებლის ანგარიშზე, რათა დადგინდეს, როდესაც ფაილი შეიძლება გაშიფრული იყოს.

Microsoft შექმნილია EFS- სთვის მოსახერხებელი და მართლაც პრაქტიკულად გამჭვირვალე მომხმარებელია. დაშიფვრის ფაილი - ან მთელი ფოლდერი - მარტივი როგორც შემოწმების ჩანართის ფაილი ან ფოლდერის Advanced თვისებები პარამეტრები.

გაითვალისწინეთ, რომ EFS შიფრიცია ხელმისაწვდომია მხოლოდ ფაილების და დასტებისთვის, რომლებიც NTFS- ფორმატირებული დისკებია . თუ დისკის ფორმატირება FAT ან FAT32- ში, არ იქნება გაფართოებული ღილაკი Properties Properties- ში. ასევე უნდა აღინიშნოს, რომ მიუხედავად იმისა, რომ ფაილი / საქაღალდის შეკუმშვა ან დაშიფვრის პარამეტრები მოცემულია ინტერფეისიდან როგორც checkboxes, ისინი რეალურად მუშაობენ როგორც ვარიანტი ღილაკები ნაცვლად; ანუ, თუ შეამოწმებთ ერთს, მეორე ავტომატურად არ არის მონიშნული. ფაილი ან საქაღალდე არ შეიძლება დაშიფრული და შეკუმშული.

მას შემდეგ, რაც ფაილი ან ფოლდერი დაშიფრულია, მხოლოდ ხილული განსხვავება ის არის, რომ დაშიფრული ფაილები / საქაღალდეები გამოჩნდება Explorer- ში სხვადასხვა ფერში, თუ ჩამრთველი არის დაშიფრული ან შეკუმშული NTFS ფაილების ფერი შეირჩევა Folder Options- ში (კონფიგურირებული ინსტრუმენტებიდან | Folder Options | View tab in Windows Explorer).

მომხმარებელი, ვინც დაშიფრულია დოკუმენტის არასდროს არ უნდა ფიქრობს, რომ მასზე წვდომის გაშიფვრა. როდესაც იგი ხსნის მას, იგი ავტომატურად და გამჭვირვალედ გაშიფრულია - სანამ მომხმარებლის მომხმარებლის შესვლა იმავე მომხმარებლის ანგარიშზე, როგორც ეს იყო დაშიფრული. თუ ვინმე ცდილობს მის წვდომას, დოკუმენტი არ გაიხსნება და შეტყობინება აცნობებს მომხმარებელს, რომ წვდომა უარყოფილია.

რა გადის ქვეშ Hood?

მიუხედავად იმისა, რომ EFS ჩანს საოცრად მარტივი მომხმარებლის, არსებობს ბევრი მიმდინარეობს ქვეშ hood რათა ეს ყველაფერი მოხდეს. ორივე სიმეტრიული (საიდუმლო გასაღები) და ასიმეტრიული (საჯარო გასაღები) დაშიფვრა გამოიყენება კომბინაციაში იმისათვის, რომ ისარგებლოს თითოეული სარგებლისა და უარყოფითი მხარეებისგან.

როდესაც მომხმარებელი თავდაპირველად იყენებს EFS- ს ფაილში encrypt ფაილი, მომხმარებლის ანგარიში ენიჭება გასაღები წყვილს (საჯარო გასაღები და შესაბამისი კერძო გასაღები), ან სერტიფიკატის მომსახურებით გენერირებული - თუ არსებობს ქსელში დამონტაჟებული CA- ს ან თვით-ხელმოწერილი EFS- ის მიერ. საჯარო გასაღები გამოიყენება დაშიფვრისთვის და კერძო გასაღები გამოიყენება დეშიფრებისთვის ...

სრული სტატიის წაკითხვა და სურათების სრული ზომის სურათების სანახავად დააწკაპუნეთ აქ: სად არის EFS შეესაბამება თქვენს უსაფრთხოების გეგმაში?