Возможность шифрования данных - как данных в пути (с использованием IPSec), так и данных, хранящихся на диске (с использованием шифрованной файловой системы) без необходимости использования стороннего программного обеспечения, является одним из самых больших преимуществ Windows 2000 и XP / 2003 по сравнению с более ранними версиями Microsoft операционные системы. К сожалению, многие пользователи Windows не используют эти новые функции безопасности или, если они их используют, не в полной мере понимают, что они делают, как они работают, и о том, как лучше всего использовать их. В этой статье я расскажу об EFS: о ее использовании, его уязвимостях и о том, как он может вписаться в ваш общий план безопасности сети.
Возможность шифрования данных - как данных в пути (с использованием IPSec), так и данных, хранящихся на диске (с использованием шифрованной файловой системы) без необходимости использования стороннего программного обеспечения, является одним из самых больших преимуществ Windows 2000 и XP / 2003 по сравнению с более ранними версиями Microsoft операционные системы. К сожалению, многие пользователи Windows не используют эти новые функции безопасности или, если они их используют, не в полной мере понимают, что они делают, как они работают, и о том, как лучше всего использовать их.
Я обсуждал использование IPSec в предыдущей статье; в этой статье я хочу поговорить об EFS: о ее использовании, его уязвимостях и о том, как он может вписаться в ваш общий план безопасности сети.
Цель EFS
Microsoft разработала EFS для обеспечения технологии с открытым ключом, которая будет действовать как своего рода «последняя линия защиты» для защиты ваших сохраненных данных от злоумышленников. Если умный хакер преодолевает другие меры безопасности - делает это через ваш брандмауэр (или получает физический доступ к компьютеру), нарушает права доступа для получения административных привилегий - EFS все еще может помешать ему / ей быть в состоянии прочитать данные в зашифрованный документ. Это верно, если злоумышленник не может войти в систему как пользователь, который зашифровал документ (или, в Windows XP / 2000, другой пользователь, с которым у этого пользователя есть общий доступ).
Существуют и другие способы шифрования данных на диске. Многие производители программного обеспечения делают продукты шифрования данных, которые могут использоваться с различными версиями Windows. К ним относятся ScramDisk, SafeDisk и PGPDisk. Некоторые из них используют шифрование на уровне раздела или создают виртуальный зашифрованный диск, посредством чего все данные, хранящиеся в этом разделе или на этом виртуальном диске, будут зашифрованы. Другие используют шифрование на уровне файлов, позволяя вам зашифровать ваши данные по-каждому, независимо от того, где они находятся. Некоторые из этих методов используют пароль для защиты данных; этот пароль вводится при шифровании файла и должен быть введен снова для его расшифровки. EFS использует цифровые сертификаты, привязанные к определенной учетной записи пользователя, чтобы определить, когда файл может быть расшифрован.
Microsoft разработала EFS, чтобы она была удобной для пользователя, и она действительно практически прозрачна для пользователя. Шифрование файла - или всей папки - так же просто, как проверка флажка в настройках дополнительных свойств файла или папки.
Обратите внимание, что шифрование EFS доступно только для файлов и папок на дисках, отформатированных в NTFS. Если диск отформатирован в FAT или FAT32, не будет продвинутый на странице свойств. Также обратите внимание, что даже если параметры сжатия или шифрования файла / папки представлены в интерфейсе как флажки, они фактически работают, как кнопки выбора; то есть, если вы его проверите, другой будет автоматически снят. Файл или папка не могут быть зашифрованы и сжаты одновременно.
После того, как файл или папка зашифрованы, единственное видимое различие заключается в том, что зашифрованные файлы / папки будут отображаться в проводнике другого цвета, если флажок установлен Показывать зашифрованные или сжатые файлы NTFS в цвете выбирается в параметрах папки (с помощью Инструменты | Параметры папки | Вкладка просмотра в проводнике Windows).
Пользователь, который зашифровал документ, никогда не должен беспокоиться о его расшифровке для доступа к нему. Когда он / она открывает его, он автоматически и прозрачно расшифровывается - пока пользователь входит в систему с той же учетной записью пользователя, что и при шифровании. Однако, если кто-то еще пытается получить к нему доступ, документ не будет открыт, и сообщение сообщит пользователю, что доступ запрещен.
Что происходит под капюшоном?
Несмотря на то, что EFS кажется удивительно простым для пользователя, под капотом многое происходит, чтобы все это происходило. Оба симметричных (секретный ключ) и асимметричный (открытый ключ) шифрование используются в сочетании, чтобы использовать преимущества и недостатки каждого.
Когда пользователь изначально использует EFS для шифрования файла, учетной записи пользователя является назначенная пара ключей (открытый ключ и соответствующий закрытый ключ), генерируемые службами сертификатов - если в сети есть ЦС, установленный в сети, или самозаверяющий по EFS. Открытый ключ используется для шифрования, а закрытый ключ используется для дешифрования …
Чтобы прочитать полную статью и посмотреть полноразмерные изображения для рисунков, нажмите здесь: Где EFS входит в ваш план безопасности?
