Deb Debinder s povolením od WindowSecurity.com
Schopnosť šifrovať údaje - ako údaje v tranzite (pomocou protokolu IPSec ), tak aj údaje uložené na disku (pomocou systému šifrovania súborov ) bez potreby softvéru tretích strán je jednou z najväčších výhod systémov Windows 2000 a XP / 2003 oproti predchádzajúcim systémom Microsoft operačné systémy. Bohužiaľ, veľa používateľov systému Windows nevyužíva výhody týchto nových funkcií zabezpečenia, alebo ak ich používajú, úplne nerozumie tomu, čo robia, ako fungujú a aké sú najlepšie postupy na ich maximálne využitie. V tomto článku sa budem zaoberať systémom EFS: jeho využívaním, jeho zraniteľnosťami a spôsobmi, ako sa môže zapájať do vášho celkového plánu zabezpečenia siete.
Schopnosť šifrovať údaje - ako údaje v tranzite (pomocou protokolu IPSec), tak aj údaje uložené na disku (pomocou systému šifrovania súborov) bez potreby softvéru tretích strán je jednou z najväčších výhod systémov Windows 2000 a XP / 2003 oproti predchádzajúcim systémom Microsoft operačné systémy. Bohužiaľ, veľa používateľov systému Windows nevyužíva výhody týchto nových funkcií zabezpečenia, alebo ak ich používajú, úplne nerozumie tomu, čo robia, ako fungujú a aké sú najlepšie postupy na ich maximálne využitie.
Diskutoval som o použití protokolu IPSec v predchádzajúcom článku; v tomto článku chcem hovoriť o EFS: jeho použitie, jeho zraniteľnosti a ako sa môže hodiť do vášho plánu bezpečnosti siete.
Účel EFS
Spoločnosť Microsoft navrhla EFS, aby poskytla technológiu založenú na verejných kľúčoch, ktorá by slúžila ako druh "poslednej obrannej línie" na ochranu vašich uložených údajov pred votrelcami. Ak šikovný hacker prejde inými bezpečnostnými opatreniami - prechádza cez firewall (alebo získa fyzický prístup k počítaču), porazí prístupové práva na získanie oprávnení správcu - EFS mu môže stále zabrániť v čítaní údajov v šifrovaný dokument. To je pravda, pokiaľ sa vták nemôže prihlásiť ako používateľ, ktorý zašifroval dokument (alebo v systéme Windows XP / 2000 iný používateľ, s ktorým má tento používateľ zdieľaný prístup).
Existujú aj iné spôsoby šifrovania údajov na disku. Mnoho dodávateľov softvéru vytvára produkty šifrovania údajov, ktoré je možné použiť s rôznymi verziami systému Windows. Patria medzi ne programy ScramDisk, SafeDisk a PGPDisk. Niektoré z nich používajú šifrovanie na úrovni oddielov alebo vytvoria virtuálnu šifrovanú jednotku, pričom všetky dáta uložené v tomto oddieli alebo na virtuálnej jednotke budú šifrované. Iní používajú šifrovanie na úrovni súborov, čo vám umožňuje šifrovať vaše dáta na základe súboru bez ohľadu na to, kde sa nachádzajú. Niektoré z týchto metód používajú heslo na ochranu údajov; toto heslo sa zadá pri šifrovaní súboru a musí byť znova zadané na jeho dešifrovanie. Systém EFS používa digitálne certifikáty, ktoré sú viazané na konkrétny používateľský účet a určujú, kedy môže byť súbor dešifrovaný.
Spoločnosť Microsoft navrhla EFS, aby bola užívateľsky prívetivá a je pre používateľov skutočne prakticky transparentná. Šifrovanie súboru - alebo celého priečinka - je rovnako jednoduché ako začiarknutie políčka v nastaveniach pokročilých nastavení súboru alebo priečinka.
Upozorňujeme, že šifrovanie EFS je k dispozícii iba pre súbory a priečinky, ktoré sú na diskoch so systémom NTFS . Ak je jednotka naformátovaná v systéme FAT alebo FAT32, na karte Vlastnosti nebude žiadne tlačidlo Rozšírené . Tiež si všimnite, že napriek tomu, že možnosti na kompresiu alebo šifrovanie súboru / priečinka sú zobrazené v rozhraní ako zaškrtávacie políčka, v skutočnosti fungujú ako voliteľné tlačidlá; to znamená, že začiarknete jednu, druhá je automaticky zrušená. Súbor alebo priečinok nemožno súčasne šifrovať a komprimovať.
Po zašifrovaní súboru alebo priečinka je viditeľný iba rozdiel, že šifrované súbory / priečinky sa zobrazia v programe Explorer v inej farbe, ak je zaškrtnuté políčko Zobraziť šifrované alebo komprimované súbory NTFS vo farbe Možnosti priečinka (nakonfigurované pomocou nástrojov Možnosť Možnosti priečinka | Zobrazenie v programe Prieskumník systému Windows).
Používateľ, ktorý šifroval dokument, sa nikdy nemusí obávať dešifrovania prístupu k nemu. Keď sa otvorí, automaticky a transparentne sa dešifruje - pokiaľ je používateľ prihlásený s rovnakým používateľským účtom ako keď bol šifrovaný. Ak sa k nemu niekto pokúsi pristupovať, dokument sa neotvorí a správa informuje používateľa, že prístup je zamietnutý.
Čo sa deje pod Hoodom?
Hoci EFS je pre užívateľa úžasne jednoduché, pod kapotou sa veľa deje, aby sa to stalo všetko. Obe symetrické (tajné kľúčové) a asymetrické (verejné kľúčové) šifrovanie sa používajú v kombinácii, aby sa využili výhody a nevýhody každého z nich.
Keď užívateľ pôvodne používa EFS na zašifrovanie súboru, používateľskému kontu je pridelený pár kľúčov (verejný kľúč a zodpovedajúci súkromný kľúč), buď vygenerovaný certifikačnými službami - ak je v sieti inštalovaná CA -, alebo vlastnoručne podpísaný EFS. Verejný kľúč sa používa na šifrovanie a súkromný kľúč sa používa na dešifrovanie ...
Ak chcete čítať celý článok a zobraziť obrázky v plnej veľkosti obrázkov, kliknite sem: Kde sa EFS hodí do vášho bezpečnostného plánu?