Oleh Deb Shinder dengan kebenaran dari WindowSecurity.com
Keupayaan untuk menyulitkan data - kedua-dua data dalam transit (menggunakan IPSec ) dan data yang disimpan pada cakera (menggunakan Sistem Penyulitan Fail ) tanpa memerlukan perisian pihak ketiga adalah salah satu kelebihan terbesar Windows 2000 dan XP / 2003 berbanding Microsoft sebelumnya sistem operasi. Malangnya, ramai pengguna Windows tidak memanfaatkan ciri keselamatan baharu ini atau, jika mereka menggunakannya, tidak faham sepenuhnya apa yang mereka lakukan, bagaimana mereka berfungsi, dan amalan terbaik untuk memanfaatkannya. Dalam artikel ini, saya akan membincangkan EFS: kegunaannya, kerentanannya, dan bagaimana ia boleh dimuatkan ke dalam pelan keselamatan rangkaian keseluruhan anda.
Keupayaan untuk menyulitkan data - kedua-dua data dalam transit (menggunakan IPSec) dan data yang disimpan pada cakera (menggunakan Sistem Penyulitan Fail) tanpa memerlukan perisian pihak ketiga adalah salah satu kelebihan terbesar Windows 2000 dan XP / 2003 berbanding Microsoft sebelumnya sistem operasi. Malangnya, ramai pengguna Windows tidak memanfaatkan ciri keselamatan baharu ini atau, jika mereka menggunakannya, tidak faham sepenuhnya apa yang mereka lakukan, bagaimana mereka berfungsi, dan amalan terbaik untuk memanfaatkannya.
Saya membincangkan penggunaan IPSec dalam artikel sebelumnya; dalam artikel ini, saya ingin bercakap mengenai EFS: kegunaannya, kerentanannya, dan bagaimana ia boleh dimuatkan ke dalam pelan keselamatan rangkaian keseluruhan anda.
Tujuan EFS
Microsoft direka EFS untuk menyediakan teknologi berasaskan kunci awam yang akan bertindak sebagai "barisan pertahanan terakhir" untuk melindungi data anda yang disimpan dari penceroboh. Sekiranya penggodam pandai melangkah langkah keselamatan yang lain - menjadikannya melalui firewall anda (atau mendapatkan akses fizikal ke komputer), mengalahkan kebenaran akses untuk mendapatkan keistimewaan pentadbiran - EFS masih boleh menghalangnya daripada membaca data dalam dokumen yang disulitkan. Ini adalah benar kecuali penceroboh boleh log masuk sebagai pengguna yang menyulitkan dokumen tersebut (atau, dalam Windows XP / 2000, pengguna lain yang pengguna mengaksesnya).
Terdapat cara lain untuk menyulitkan data pada cakera. Banyak vendor perisian membuat produk penyulitan data yang boleh digunakan dengan pelbagai versi Windows. Ini termasuk ScramDisk, SafeDisk dan PGPDisk. Sebahagian daripada ini menggunakan penyulitan tahap partition atau membuat pemacu enkripsi maya, di mana semua data yang disimpan dalam partition atau pada pemacu maya itu akan dienkripsi. Orang lain menggunakan penyulitan peringkat fail, yang membolehkan anda menyulitkan data anda pada dasar fail-oleh-fail tanpa mengira tempat mereka tinggal. Beberapa kaedah ini menggunakan kata laluan untuk melindungi data; kata laluan tersebut dimasukkan apabila anda menyulitkan fail dan mesti dimasukkan semula untuk menyahsulitnya. EFS menggunakan sijil digital yang terikat kepada akaun pengguna tertentu untuk menentukan apabila fail boleh didekripsi.
Microsoft direka EFS menjadi mesra pengguna, dan ia sememangnya sangat telus kepada pengguna. Menyulitkan fail - atau keseluruhan folder - adalah semudah menyemak kotak semak dalam tetapan Properties Advanced folder atau folder.
Ambil perhatian bahawa penyulitan EFS hanya tersedia untuk fail dan folder yang berada di pemacu NTFS yang diformat . Jika pemacu diformatkan di FAT atau FAT32, tiada butang Advanced pada helaian Properties. Juga ambil perhatian bahawa walaupun pilihan untuk memampatkan atau menyulitkan fail / folder dibentangkan di antara muka sebagai kotak pilihan, mereka sebenarnya berfungsi seperti butang pilihan; iaitu, jika anda memeriksa satu, yang lain secara automatik tidak ditandai. Fail atau folder tidak dapat disulitkan dan dimampatkan pada masa yang sama.
Setelah fail atau folder disulitkan, satu-satunya perbezaan yang dapat dilihat ialah fail / folder yang disulitkan akan muncul dalam Explorer dalam warna yang berbeza, jika kotak semak untuk Paparkan fail NTFS yang disulitkan atau dimeteraikan dipilih dalam Pilihan Folder (dikonfigurasi melalui Alat | Folder Options | Lihat tab dalam Windows Explorer).
Pengguna yang menyulitkan dokumen itu tidak perlu risau tentang mendekrifkannya untuk mengaksesnya. Apabila dia membukanya, ia secara automatik dan telus dienkripsikan - selagi pengguna telah log masuk dengan akaun pengguna yang sama seperti ketika ia telah disulitkan. Sekiranya orang lain cuba mengaksesnya, dokumen itu tidak akan dibuka dan mesej akan memberitahu pengguna bahawa akses ditolak.
Apa yang berlaku di bawah Hood?
Walaupun EFS kelihatannya sangat mudah kepada pengguna, terdapat banyak perkara yang berlaku di bawah tudung untuk membuat semua ini berlaku. Kedua-dua simetrik (kunci rahsia) dan asimetris (kunci awam) penyulitan digunakan dalam gabungan untuk memanfaatkan faedah dan keburukan masing-masing.
Apabila pengguna pada mulanya menggunakan EFS untuk menyulitkan fail, akaun pengguna diberikan pasangan kunci (kunci awam dan kunci persendirian yang sepadan), sama ada yang dihasilkan oleh perkhidmatan sijil - jika terdapat CA yang dipasang pada rangkaian - atau ditandatangani sendiri oleh EFS. Kunci awam digunakan untuk penyulitan dan kunci persendirian digunakan untuk penyahsulitan ...
Untuk membaca artikel lengkap dan melihat imej bersaiz penuh untuk Angka klik di sini: Di manakah EFS Fit ke dalam Rancangan Keselamatan anda?