Sa pamamagitan ng Deb Shinder na may pahintulot mula sa WindowSecurity.com
Ang kakayahang mag-encrypt ng data - ang parehong data sa transit (gamit ang IPSec ) at ang data na nakaimbak sa disk (gamit ang Encrypting File System ) na walang pangangailangan para sa software ng ikatlong partido ay isa sa mga pinakamalaking bentahe ng Windows 2000 at XP / 2003 sa mas maagang Microsoft operating system. Sa kasamaang palad, maraming mga gumagamit ng Windows ang hindi gumagamit ng mga bagong tampok ng seguridad o, kung ginagamit nila ang mga ito, hindi lubos na nauunawaan kung ano ang ginagawa nila, kung paano gumagana ang mga ito, at kung ano ang pinakamahuhusay na gawi upang masulit ang mga ito. Sa artikulong ito, tatalakayin ko ang EFS: paggamit nito, mga kahinaan nito, at kung paano ito magkasya sa iyong pangkalahatang plan sa seguridad ng network.
Ang kakayahang mag-encrypt ng data - ang parehong data sa transit (gamit ang IPSec) at ang data na nakaimbak sa disk (gamit ang Encrypting File System) na walang pangangailangan para sa software ng ikatlong partido ay isa sa mga pinakamalaking bentahe ng Windows 2000 at XP / 2003 sa mas maagang Microsoft operating system. Sa kasamaang palad, maraming mga gumagamit ng Windows ang hindi gumagamit ng mga bagong tampok ng seguridad o, kung ginagamit nila ang mga ito, hindi lubos na nauunawaan kung ano ang ginagawa nila, kung paano gumagana ang mga ito, at kung ano ang pinakamahuhusay na gawi upang masulit ang mga ito.
Tinalakay ko ang paggamit ng IPSec sa nakaraang artikulo; sa artikulong ito, nais kong pag-usapan ang tungkol sa EFS: ang paggamit nito, ang mga kahinaan nito, at kung paano ito magkasya sa iyong pangkalahatang plan sa seguridad ng network.
Ang Layunin ng EFS
Dinisenyo ng Microsoft ang EFS upang magbigay ng isang pampublikong susi batay sa teknolohiya na kumikilos bilang isang uri ng "huling linya ng depensa" upang protektahan ang iyong nakaimbak na data mula sa mga intruder. Kung ang isang matalino na hacker ay nakakakuha ng nakaraang iba pang mga hakbang sa seguridad - ginagawa ito sa pamamagitan ng iyong firewall (o makakakuha ng pisikal na access sa computer), talunin ang mga pahintulot sa pag-access upang makakuha ng mga pribilehiyo sa pangangasiwa - maaari pa ring maiwasan ng EFS sa kanya na mabasa ang data sa naka-encrypt na dokumento. Ito ay totoo maliban kung ang entremetido ay makakapag-log on bilang user na naka-encrypt ng dokumento (o, sa Windows XP / 2000, isa pang gumagamit na kung saan ang user ay nagbahagi ng access).
May iba pang paraan ng pag-encrypt ng data sa disk. Maraming mga software vendor ang gumagawa ng mga produkto ng encryption ng data na maaaring magamit sa iba't ibang mga bersyon ng Windows. Kabilang dito ang ScramDisk, SafeDisk at PGPDisk. Ang ilan sa mga ito ay gumagamit ng encryption sa antas ng partisyon o lumikha ng isang virtual na naka-encrypt na drive, kung saan ang lahat ng data na nakaimbak sa pagkahati o sa virtual na drive ay mai-encrypt. Ginagamit ng iba ang pag-encrypt ng antas ng file, na nagbibigay-daan sa iyo upang i-encrypt ang iyong data sa isang file-by-file na batayan kahit saan sila naninirahan. Ang ilan sa mga pamamaraan na ito ay gumagamit ng isang password upang protektahan ang data; Na ipinasok ang password kapag na-encrypt mo ang file at dapat na ipasok muli upang i-decrypt ito. Gumagamit ang EFS ng mga digital na sertipiko na nakatali sa isang tukoy na account ng gumagamit upang matukoy kung kailan maaaring decrypted ang isang file.
Ang dinisenyo ng Microsoft ay EFS na maging user-friendly, at sa katunayan ito ay halos transparent sa user. Ang pag-encrypt ng isang file - o isang buong folder - ay kasing-dali ng pagsuri ng checkbox sa mga setting ng Advanced na Katangian ng file o folder.
Tandaan na ang EFS encryption ay magagamit lamang para sa mga file at folder na nasa NTFS-format na mga drive . Kung ang drive ay naka-format sa taba o FAT32, walang magiging Advanced na pindutan sa Properties sheet. Tandaan din na kahit na ang mga pagpipilian upang i-compress o i-encrypt ang isang file / folder ay ipinapakita sa interface bilang mga checkbox, aktwal na gagana ang mga ito tulad ng mga pindutan ng pagpipilian; ibig sabihin, kung susuriin mo ang isa, ang iba pang ay awtomatikong mai-check. Ang isang file o folder ay hindi maaaring ma-encrypt at naka-compress sa parehong oras.
Sa sandaling ang file o folder ay naka-encrypt, ang tanging nakikitang pagkakaiba ay ang mga naka-encrypt na file / mga folder ay lalabas sa Explorer sa ibang kulay, kung ang checkbox sa Ipakita ang naka-encrypt o naka-compress na mga file ng NTFS sa kulay ay pinili sa Mga Pagpipilian sa Folder (na-configure sa pamamagitan ng Mga Tool | Mga Pagpipilian sa Folder | Tingnan ang tab sa Windows Explorer).
Ang user na naka-encrypt ng dokumento ay hindi kailanman kailangang mag-alala tungkol sa pag-decrypting ito upang i-access ito. Kapag binuksan niya ito, awtomatiko at halatang ito ay decrypted - hangga't ang user ay naka-log on gamit ang parehong account ng user bilang kapag naka-encrypt ito. Kung may ibang taong sumusubok na ma-access ito, gayunpaman, ang dokumento ay hindi magbubukas at ang isang mensahe ay ipapaalam sa gumagamit na ang pag-access ay tinanggihan.
Ano ang Pupunta sa ilalim ng Hood?
Kahit na ang EFS tila amazingly simple sa user, mayroong maraming pagpunta sa ilalim ng hood upang gawin ang lahat ng ito mangyari. Ang parehong simetriko (sikretong key) at walang simetrya (pampublikong susi) na pag-encrypt ay ginagamit sa kumbinasyon upang samantalahin ang mga benepisyo at disadvantages ng bawat isa.
Kapag ang isang user ay unang gumagamit ng EFS upang i-encrypt ang isang file, ang account ng gumagamit ay isang itinalaga ng isang pares key (pampublikong key at kaukulang pribadong key), alinman sa binuo ng mga serbisyo ng sertipiko - kung may CA na naka-install sa network - o naka-sign sa sarili sa pamamagitan ng EFS. Ang pampublikong susi ay ginagamit para sa pag-encrypt at ang pribadong susi ay ginagamit para sa decryption ...
Upang basahin ang kumpletong artikulo at tingnan ang mga full-sized na imahe para sa Mga I-click ang Mga numero dito: Saan ba ang EFS Pagkasyahin sa iyong Plano sa Seguridad?