Troch Deb Shinder mei tastimming fan WindowSecurity.com
De mooglikheid om gegevens te fersiferjen - sawol gegevens yn transit (gebrûk fan IPSec ) en data op 'e skiif opslein (mei it Encrypting File System ) sûnder need foar software fan tredde partijen is ien fan' e grutste foardielen fan Windows 2000 en XP / 2003 oer earder Microsoft bestjoeringssystemen. Spitigernôch hawwe in soad Windows-brûkers net foardielen fan dizze nije feiligensfunksjes of, as se har brûke, net folslein fersteane wat se dogge, hoe't se wurkje en wat de bêste praktiken binne om it measte te meitsjen. Yn dit artikel sil ik EFS besykje: har gebrûk, syn kwetsberens en hoe't it yn jo algemien netwurk feiligensplan passe kin.
De mooglikheid om gegevens te fersiferjen - sawol gegevens yn transit (gebrûk fan IPSec) en data op 'e skiif opslein (mei it Encrypting File System) sûnder need foar software fan tredde partijen is ien fan' e grutste foardielen fan Windows 2000 en XP / 2003 oer earder Microsoft bestjoeringssystemen. Spitigernôch hawwe in soad Windows-brûkers net foardielen fan dizze nije feiligensfunksjes of, as se har brûke, net folslein fersteane wat se dogge, hoe't se wurkje en wat de bêste praktiken binne om it measte te meitsjen.
Ik haw it gebrûk fan IPSec yn in foarige artikel besprutsen; Yn dit artikel wol ik oer EFS prate: har gebrûk, syn kwetsberens en hoe't it yn jo algemien netwurkfeiligensplan passe kin.
It doel fan EFS
Microsoft ûntwurp EFS om in iepenbiere kearnbasiste technology te meitsjen dy't soargje soe as in soarte fan "lêste line fan definsje" om jo bewarre data fan yndrukkers te beskermjen. As in cleverhakker oare oare feiligensmaatregels fermindert - makket it troch jo firewall (of fysike tagong ta de kompjûter), ferwachtet tagongsrjochten foar administrative foarkommen - EFS kin him noch hinderje dat se de gegevens yn 'e lêze kinne litte fersifere dokumint. Dit is wier, útsein as de yndrukteur ynlogd kin as de brûker dy't it dokumint fersifere (of, yn Windows XP / 2000, in oare brûker mei wa't dizze brûker dielde tagong hat).
Der binne oare middels foar fersifering fan gegevens op 'e skiif. In soad softwareferhierders meitsje data-fersiferingprodukten dy't brûkt wurde mei ferskate ferzjes fan Windows. Dit binne ScramDisk, SafeDisk en PGPDisk. Guon fan dizze brûke dielsnivo-fersifering brûke of in firtuele kodearre drive oanmeitsje, wêrby't alle gegevens opslein binne yn dat partition of op dat virtuele rinnert wurde fersifere. Oaren brûke de fersifering fan triemnivo, sadat jo jo gegevens op in file-by-file basis fersiferje sûnder wêr't se wenje. Guon fan dizze metoades brûke in wachtwurd om de gegevens te beskermjen; Dit wachtwurd is ynfierd as jo de triem fersifisearje en moat wer oanmeld wêze om it te ûntsiferjen. EFS brûkt digitale sertifikaten dy't ferbûn binne oan in spesifyk brûkerskount om te bepalen wannear't in bestân ûntliend wurde kin.
Microsoft ûntwurp EFS om brûkerfreonlik te wêzen, en it is yndie praktysk transparant foar de brûker. It fersiferjen fan in bestân - of in folslein map - is sa ienfâldich as kontrôle in checkbox yn 'e Advanced Properties-ynstellings te triem of map.
Tink derom dat de EFS-fersifering allinich beskikber is foar triemmen en mappen dy't op NTFS-formattearre fylders binne . As it drive yn FAT of FAT32 formaat is, sil der gjin Avansearre knop wêze op it Eigenskippen. Tink derom dat ek as de opsjes foar konvertearje of fersifere in triem / map wurde yn 'e ynterface as punktops presintearre, wurkje se eins as opsje knoppen yn plak; dat is, as jo ien kontrolearje, wurdt de oare automatysk ûntslein. In triem of map kin net tagelyk fersifere wurde en komprimearje.
Ien kear de triem of map is fersifere, it allinich sichtbere ferskil is dat fersifere triemen / mappen ferskine yn Explorer yn in oare kleur, as it kredytkaartsje sjen lit te fersifere of komprimearde NTFS-bestannen yn kleur selektearje yn de maptafelopsjes (ynstelde fia Tools Opsjes fan map | Opmerking yn Windows Explorer sjen litte).
De brûker dy't it dokumint fersifere hat, moat nau besykje oer it ûntsiferjen om it tagong te krijen. Wannear't hy / sy it iepenet, wurdt it automatysk en transparant ûntslein - sa lang as de brûker oanmeld is mei deselde brûker-account as as it fersifere is. As immen besiket it tagong te meitsjen, sil it dokumint net iepenje en in berjocht sil de brûker ynformearje dat tagong wegere wurdt.
Wat is ûnder de hoed?
Hoewol EFS liket maklik foar de brûker te sjen, is der in protte ûnder de hood te meitsjen om dit alles te dwaan. Beide symmetryske (geheime kaai) en asymmetric (publike kaai) fersifering wurde brûkt yn kombinaasje om foardielen fan 'e foardielen en neidielen fan elk te foarkommen.
As in brûker yn earste ynstânsje brûkte EFS om in triem te fersiferjen, is it brûkers account in taakpaad (publike kaai en oerienkommende persoanlike kaai oanwêzich), wurde oanmakke troch de sertifikaattsjinsten - as der in CA ynstallearre is op it netwurk of sels tekenlearre troch EFS. De publike kaai wurdt brûkt foar fersifering en de private kaai wurdt brûkt foar dekodearring.
Om it folsleine artikel te lêzen en de folsleine ôfbyldings te sjen foar de figueren klikje hjir: wêr komt EFS yn jo feiligensplan?