Deb Shinderilla on WindowSecurity.comin lupa
Tietokannan salauskyky - sekä siirrettävät tiedot ( IPSec ) että levylle tallennetut tiedot (käyttämällä Salaus-tiedostojärjestelmää ) ilman kolmannen osapuolen ohjelmistoa on yksi suurimmista eduista Windows 2000: n ja XP / 2003: n aikaisemmista Microsoft käyttöjärjestelmät. Valitettavasti monet Windows-käyttäjät eivät käytä näitä uusia suojaustoimintoja tai, jos he käyttävät niitä, eivät ymmärrä täysin, mitä he tekevät, miten he työskentelevät, ja mitä parhaita käytäntöjä on käyttää mahdollisimman paljon. Tässä artikkelissa keskustelen EFS: n käytöstä, sen haavoittuvuuksista ja siitä, miten se sopii yleiseen verkkoturvallisuussuunnitelmaan.
Tietokannan salauskyky - sekä siirrettävät tiedot (IPSec) että levylle tallennetut tiedot (käyttämällä Salaus-tiedostojärjestelmää) ilman kolmannen osapuolen ohjelmistoa on yksi suurimmista eduista Windows 2000: n ja XP / 2003: n aikaisemmista Microsoft käyttöjärjestelmät. Valitettavasti monet Windows-käyttäjät eivät käytä näitä uusia suojaustoimintoja tai, jos he käyttävät niitä, eivät ymmärrä täysin, mitä he tekevät, miten he työskentelevät, ja mitä parhaita käytäntöjä on käyttää mahdollisimman paljon.
Keskustelin IPSecin käytöstä edellisessä artikkelissa. Tässä artikkelissa haluan puhua EFS: stä: sen käytöstä, sen haavoittuvuuksista ja siitä, miten se sopii koko verkkoturvallisuussuunnitelmaan.
EFS: n tarkoitus
Microsoft on suunnitellut EFS: n tarjoamaan julkisen avaimen perustuvan teknologian, joka toimisi eräänlaisena "viimeisenä puolustuslinjona" suojaamaan tallennettuja tietoja tunkeilijoilta. Jos älykäs hakkeri menestyy muihin turvatoimiin - tekee sen palomuurisi kautta (tai saa fyysisen pääsyn tietokoneeseen), tappioi käyttöoikeudet saadakseen hallinnolliset oikeudet - EFS voi silti estää häntä lukemasta tietoja salattu asiakirja. Tämä on totta, jollei tunkeilija pysty kirjautumaan asiakirjaa salaavana käyttäjänä (tai Windows XP / 2000: ssa toiselle käyttäjälle, jolla käyttäjällä on yhteinen käyttöoikeus).
On olemassa muita keinoja salata tietoja levylle. Monet ohjelmistotoimittajat tekevät salauksen tuotteita, joita voidaan käyttää eri Windows-versioiden kanssa. Näitä ovat ScramDisk, SafeDisk ja PGPDisk. Jotkut näistä käyttävät ositustason salausta tai luo virtuaalisen salatun aseman, jolloin kaikki kyseiseen osioon tai virtuaaliseen asemaan tallennetut tiedot salataan. Toiset käyttävät tiedostotason salausta, jonka avulla voit salata tiedostosi tiedostoittain, riippumatta siitä, missä he asuvat. Jotkut näistä menetelmistä käyttävät salasanaa tietojen suojaamiseksi. että salasana syötetään, kun salataan tiedosto ja se on syötettävä uudelleen salauksen purkamiseksi. EFS käyttää digitaalisia sertifikaatteja, jotka on sidottu tiettyyn käyttäjätiliin määrittääkseen, milloin tiedosto voidaan purkaa.
Microsoftin suunniteltu EFS on helppokäyttöinen, ja se on käytännöllisesti katsoen avoin käyttäjälle. Tiedoston tai koko kansion salaaminen on yhtä helppoa kuin valintaruudun valinta tiedostossa tai kansion Lisäasetukset-asetuksissa.
Huomaa, että EFS-salaus on käytettävissä vain tiedostoille ja kansioille, jotka ovat NTFS-muotoilla asemilla . Jos asema on alustettu FAT: ssä tai FAT32: ssa, ei ole Lisäasetukset- painiketta ominaisuusarkissa. Huomaa myös, että vaikka tiedostot / kansiot pakataan tai salaavat tiedostot tai kansiot valintaruutuiksi, ne toimivat kuten optio-painikkeita. eli jos valitset yhden, toinen ei ole automaattisesti valittuna. Tiedostoa tai kansiota ei voi salata ja pakata samanaikaisesti.
Kun tiedosto tai kansio on salattu, ainoa näkyvä ero on se, että salatut tiedostot ja kansiot näkyvät Resurssienhallinnassa eri värillä, jos valintaruutu Näytä salattuja tai pakattuja NTFS-tiedostoja väreissä valitaan kansioasetuksissa (jotka on määritetty työkaluilla | Kansion asetukset | Näytä -välilehti Resurssienhallinnassa).
Käyttäjä, joka salasi asiakirjan, ei koskaan tarvitse huolehtia salauksen purkamisesta sen käyttämiseen. Kun hän avaa sen, se puretaan automaattisesti ja läpinäkyvästi - niin kauan kuin käyttäjä on kirjautuneena samaan käyttäjätiliin kuin salattuina. Jos joku muu yrittää käyttää sitä, asiakirja ei kuitenkaan avaudu ja viesti ilmoittaa käyttäjälle, että käyttöoikeus on evätty.
Mitä tapahtuu Hoodin alla?
Vaikka EFS tuntuu hämmästyttävän yksinkertaiselta käyttäjälle, huppuun alla on paljon tekemistä, jotta kaikki tapahtuisi. Sekä symmetristä (salaavaa avainta) että epäsymmetristä (julkisen avaimen) salausta käytetään yhdessä hyödyntämään kunkin edut ja haitat.
Kun käyttäjä alun perin käyttää EFS: ää salaamaan tiedoston, käyttäjätunnukselle annetaan varmenteen muodostamat avainparit (julkinen avain ja vastaava yksityinen avain) - jos verkkoon on asennettu CA - tai itse allekirjoitettu EFS: llä. Julkista avainta käytetään salaukseen ja yksityistä avainta käytetään salauksen purkamiseen ...
Lue koko artikkeli ja näet kuvioiden täysikokoiset kuvat napsauttamalla tätä: Mistä EFS sopii suojaussuunnitelmaan?