Nga Deb Shinder me lejen nga WindowSecurity.com
Aftësia për të enkriptuar të dhënat - të dyja të dhënat në tranzit (duke përdorur IPSec ) dhe të dhënat e ruajtura në disk (duke përdorur Encrypting File System ) pa nevojën për softuer të palëve të treta është një nga avantazhet më të mëdha të Windows 2000 dhe XP / 2003 në Microsoft sisteme operative. Për fat të keq, shumë përdorues të Windows nuk përfitojnë nga këto funksione të reja sigurie ose, nëse i përdorin ato, nuk e kuptojnë plotësisht atë që bëjnë, se si punojnë dhe cilat janë praktikat më të mira për të bërë maksimumin prej tyre. Në këtë artikull, unë do të diskutoj EFS: përdorimin e tij, dobësitë e tij, dhe si mund të përshtatet në planin tuaj të përgjithshëm të sigurisë së rrjetit.
Aftësia për të enkriptuar të dhënat - të dyja të dhënat në tranzit (duke përdorur IPSec) dhe të dhënat e ruajtura në disk (duke përdorur Encrypting File System) pa nevojën për softuer të palëve të treta është një nga avantazhet më të mëdha të Windows 2000 dhe XP / 2003 në Microsoft sisteme operative. Për fat të keq, shumë përdorues të Windows nuk përfitojnë nga këto funksione të reja sigurie ose, nëse i përdorin ato, nuk e kuptojnë plotësisht atë që bëjnë, se si punojnë dhe cilat janë praktikat më të mira për të bërë maksimumin prej tyre.
Kam diskutuar përdorimin e IPSec në një artikull të mëparshëm; në këtë artikull, unë dua të flas për EFS: përdorimin e saj, dobësitë e tij, dhe si mund të përshtatet në planin tuaj të përgjithshëm të sigurisë së rrjetit.
Qëllimi i EFS
Microsoft-i krijoi EFS-në për të siguruar një teknologji me bazë në publik, e cila do të vepronte si një lloj "linje e fundit e mbrojtjes" për të mbrojtur të dhënat tuaja të ruajtura nga ndërhyrës. Nëse një haker i mençur i kalon masat e tjera të sigurisë - e bën atë përmes firewall (ose fiton akses fizik në kompjuter), humbet lejet e qasjes për të fituar privilegje administrative - EFS ende mund ta parandalojë atë që të jetë në gjendje të lexojë të dhënat në dokument i koduar. Kjo është e vërtetë nëse ndërhyrës nuk është në gjendje të hyjë si përdorues që ka koduar dokumentin (ose, në Windows XP / 2000, një përdorues tjetër me të cilin ky përdorues ka qasje të përbashkët).
Ka mjete të tjera të kodimit të të dhënave në disk. Shumë shitës të softuerëve bëjnë produktet e enkriptimit të të dhënave që mund të përdoren me versione të ndryshme të Windows. Këto përfshijnë ScramDisk, SafeDisk dhe PGPDisk. Disa nga këto përdorin kriptimin e ndarjes në nivel ndarje ose krijojnë një makinë virtuale të koduar, ku të gjitha të dhënat e ruajtura në atë ndarje ose në atë disk virtual do të encrypted. Të tjerë përdorin encryption të nivelit të skedarit, duke ju lejuar të kodoni të dhënat tuaja në baza file-by-file pavarësisht se ku ata banojnë. Disa nga këto metoda përdorin një fjalëkalim për të mbrojtur të dhënat; që fjalëkalimi të futet kur kodoni skedarin dhe duhet të futeni përsëri për ta dekriptuar atë. EFS përdor certifikatat digjitale të lidhura me një llogari të veçantë të përdoruesit për të përcaktuar kur një skedar mund të decrypted.
Microsoft-i krijoi EFS-në për të qenë përdorues-miqësor dhe është praktikisht transparent për përdoruesit. Kriptimi i një skedari - ose një dosjeje e tërë - është aq e lehtë sa kontrollimi i një kutie kontrolli në cilësimet e avancuara të skedarit ose dosjes.
Vini re se kodimi EFS është i disponueshëm vetëm për skedarët dhe dosjet që janë në disqet e formatuara në NTFS . Nëse disku është i formatuar në FAT ose FAT32, nuk do të ketë asnjë buton të avancuar në fletën e pronave. Gjithashtu vini re se edhe pse opsionet për të ngjeshur ose encrypt një skedar / dosje janë paraqitur në interface si checkboxes, ata në fakt punojnë si butona opsion në vend; që do të thotë, nëse kontrolloni një, tjetri automatikisht nuk është i kontrolluar. Një skedar ose dosje nuk mund të kodohet dhe të ngjitet në të njëjtën kohë.
Pasi skedari ose dosja të krijohet, dallimi i vetëm i dukshëm është që skedarët / dosjet e koduara do të shfaqen në Explorer në një ngjyrë të ndryshme, nëse kutia e zgjedhjes për të Shfaq skedarë NTFS të koduar ose të ngjeshur në ngjyrë përzgjidhet në opsionet e dosjes (konfiguruar me anë të mjeteve | Mundësitë e dosjes | Shikoni skedën në Windows Explorer).
Shfrytëzuesi i cili e ka koduar dokumentin nuk duhet të brengoset për dekriptimin e saj për të hyrë në të. Kur e hap atë, automatikisht dhe në mënyrë transparente do të fshihet - për sa kohë që përdoruesi është i kyçur me të njëjtin llogari përdoruesi si kur është koduar. Nëse dikush tjetër përpiqet të ketë qasje në të, megjithatë, dokumenti nuk do të hapet dhe një mesazh do të informojë përdoruesin se qasja është mohuar.
Çfarë po ndodh nën Hood?
Edhe pse EFS duket mahnitëse e thjeshtë për përdoruesit, ka shumë gjëra që ndodhin nën kapuç për ta bërë këtë të ndodhë. Skeduli simetrik (kyç i fshehtë) dhe asimetri (çelësi publik) përdoren në kombinim për të përfituar nga përfitimet dhe disavantazhet e secilit.
Kur përdoruesi fillimisht përdor EFS për të koduar një skedar, llogaria e përdoruesit është caktuar një palë kyçe (çelës publik dhe çelës privat korrespondues), ose të gjeneruara nga shërbimet e certifikimit - nëse ka një CA të instaluar në rrjet - ose vetë nënshkruar nga EFS. Kyçi publik përdoret për encryption dhe çelësi privat përdoret për decryption ...
Për të lexuar artikullin e plotë dhe për të parë imazhet me madhësi të plotë për figurat klikoni këtu: Ku EFS përshtatet në planin tuaj të sigurisë?