De Deb Shinder kun permeso de WindowSecurity.com
La kapablo por kodi datumojn - ambaŭ datumoj en trafiko (uzante IPSec ) kaj datumoj stokitaj en la disko (uzante la Encrypting File System ) sen neceso por tria programaro estas unu el la plej grandaj avantaĝoj de Windows 2000 kaj XP / 2003 antaŭ pli frua Microsoft mastrumaj sistemoj. Bedaŭrinde multaj uzantoj de Windows ne utiligas ĉi tiujn novajn sekurecojn aŭ, se ili uzas ilin, tute ne komprenas kion ili faras, kiel ili funkcias, kaj kiom la plej bonaj praktikoj estas plej bone. En ĉi tiu artikolo, mi diskutos EFS: ĝian uzon, ĝiajn vulnerabilojn, kaj kiel ĝi povas persvadi en via ĝenerala reto-sekureca plano.
La kapablo por kodi datumojn - ambaŭ datumoj en trafiko (uzante IPSec) kaj datumoj stokitaj en la disko (uzante la Encrypting File System) sen neceso por tria programaro estas unu el la plej grandaj avantaĝoj de Windows 2000 kaj XP / 2003 antaŭ pli frua Microsoft mastrumaj sistemoj. Bedaŭrinde multaj uzantoj de Windows ne utiligas ĉi tiujn novajn sekurecojn aŭ, se ili uzas ilin, tute ne komprenas kion ili faras, kiel ili funkcias, kaj kiom la plej bonaj praktikoj estas plej bone.
Mi diskutis la uzon de IPSec en antaŭa artikolo; En ĉi tiu artikolo mi volas paroli pri EFS: ĝian uzon, ĝiajn vulnerabilojn kaj kiel ĝi povas persvadi en via ĝenerala reto-sekureca plano.
La celo de EFS
Microsoft desegnis EFS por provizi publikan ŝlosilon bazitan teknologion, kiu funkcius kiel "lasta defenda linio" por protekti viajn stokitajn datumojn de entruduloj. Se inteligenta hakisto pasas aliajn sekurecajn mezurojn - faras ĝin tra via fajroŝirmilo (aŭ ricevas fizikan aliron al la komputilo), malvenkas aliron permesojn por akiri administrajn privilegiojn - EFS ankoraŭ povas malhelpi lin / ŝi de povi legi la datumojn en la ĉifrita dokumento. Ĉi tio estas vera krom se la entrudulo kapablas ensaluti kiel la uzanto, kiu kodis la dokumenton (aŭ en Windows XP / 2000, alia uzanto kun kiu tiu uzanto dividis aliron).
Estas aliaj rimedoj por enkifri datumojn sur la disko. Multaj programistoj vendas datumajn ĉifrajn produktojn, kiuj povas esti uzataj per diversaj versioj de Windows. Ĉi tiuj inkluzivas ScramDisk, SafeDisk kaj PGPDisk. Iuj el tiuj uzas kodigon de particulaj niveloj aŭ kreas virtualan koditan stiradon, per kiu ĉiuj datumoj stokitaj en tiu partición aŭ en tiu virtuala disko estos ĉifrita. Aliaj uzas dosieran kodadon, permesante al vi kodi viajn datumojn en dosierujo sendepende de kie ili loĝas. Iuj de ĉi tiuj metodoj uzas pasvorton por protekti la datumojn; tiu pasvorto estas enirita kiam vi enkifras la dosieron kaj devas esti denove enigita por malkrifri ĝin. EFS uzas ciferecajn atestilojn, kiuj estas ligita al specifa uzanto-konto por determini kiam dosiero povas esti senĉifrita.
Microsoft desegnis EFS por esti uzanto, kaj ja ja estas preskaŭ travidebla por la uzanto. Ĉifri dosieron - aŭ tutan dosierujon - estas tiel facila kiel kontrolanta markobutonon en la dosieroj aŭ Altnivelaj Propraĵoj de la dosierujo.
Notu, ke la ĉifrado de EFS nur estas disponebla por dosieroj kaj dosierujoj, kiuj estas en formatoj de NTFS-formatoj . Se la disko estas formatita en FAT aŭ FAT32, ne estos antaŭita butono en la Propraĵa folio. Rimarku, ke kvankam la ebloj por kunpremi aŭ ĉifri dosieron / dosierujon estas prezentitaj en la interfaco kiel markobutonoj, ili efektive funkcias kiel opcio butonoj anstataŭe; tio estas, se vi kontrolos unu, la alia aŭtomate estas senkalkulita. Dosierujo aŭ dosierujo ne povas esti ĉifrita kaj kunpremita samtempe.
Fojo kiun la dosiero aŭ dosierujo estas ĉifrita, la nura videbla diferenco estas, ke dosieroj / dosierujoj ĉifrititaj en Explorer en malsama koloro, se la markobutono por Montri ĉifritajn aŭ kunpremitajn dosierojn de NTFS-koloron estas elektita en la Elektrujaj Elektoj (agordita per Iloj | Dosierujo-opcioj | Montru langeton en Windows Explorer).
La uzanto, kiu kodis la dokumenton, neniam devas zorgi pri malkifri ĝin por aliri ĝin. Kiam li / ŝi malfermas ĝin, ĝi estas aŭtomate kaj travideble senĉifrita - kondiĉe ke la uzanto ensalutis kun la sama uzanto-konto kiel kiam ĝi estis ĉifrita. Se iu alia provas aliri ĝin, tamen, la dokumento ne malfermos kaj mesaĝo informos al la uzanto, ke la aliro estas neita.
Kion ĝi iras sub la Hood?
Kvankam EFS ŝajnas mirinde simpla al la uzanto, tre multe daŭras sub la kapuĉo por ke ĉi tio okazas. Ambaŭ simetria (sekreta ŝlosilo) kaj nesimetria (publika ŝlosilo) ĉifrado estas uzataj en kombinaĵo por utiligi la profitojn kaj malavantaĝojn de ĉiu.
Kiam uzanto komence uzas EFS por ĉifri dosieron, la uzanto-konto estas ŝlosila paro (publika ŝlosilo kaj responda privata ŝlosilo), ĉu generita de la atestaj servoj - se ekzistas CA instalita en la reto - aŭ mem-subskribita de EFS. La publika ŝlosilo estas uzata por ĉifrado kaj la privata ŝlosilo estas uzata por senĉifri ...
Por legi la kompletan artikolon kaj vidi la plene grandajn bildojn por la Fikcioj, klaku ĉi tie: Kie EFS Fit en vian Sekurecan Planon?