Gan Deb Shinder gyda chaniatâd WindowSecurity.com
Y gallu i amgryptio data - mae'r data sy'n cael ei gludo (gan ddefnyddio IPSec ) a'r data a storir ar y ddisg (gan ddefnyddio'r System Ffeil Encryptio ) heb angen meddalwedd trydydd parti yn un o fanteision mwyaf Windows 2000 a XP / 2003 dros Microsoft cynharach systemau gweithredu. Yn anffodus, nid yw llawer o ddefnyddwyr Windows yn manteisio ar y nodweddion diogelwch newydd hyn, neu os ydynt yn eu defnyddio, peidiwch â deall yn llawn yr hyn maen nhw'n ei wneud, sut maen nhw'n gweithio, a beth yw'r arferion gorau i wneud y gorau ohonynt. Yn yr erthygl hon, byddaf yn trafod EFS: ei ddefnydd, ei wendidau, a sut y gall gyd-fynd â'ch cynllun diogelwch rhwydwaith cyffredinol.
Y gallu i amgryptio data - mae'r data sy'n cael ei gludo (gan ddefnyddio IPSec) a'r data a storir ar y ddisg (gan ddefnyddio'r System Ffeil Encryptio) heb angen meddalwedd trydydd parti yn un o fanteision mwyaf Windows 2000 a XP / 2003 dros Microsoft cynharach systemau gweithredu. Yn anffodus, nid yw llawer o ddefnyddwyr Windows yn manteisio ar y nodweddion diogelwch newydd hyn, neu os ydynt yn eu defnyddio, peidiwch â deall yn llawn yr hyn maen nhw'n ei wneud, sut maen nhw'n gweithio, a beth yw'r arferion gorau i wneud y gorau ohonynt.
Trafodais y defnydd o IPSec mewn erthygl flaenorol; Yn yr erthygl hon, rwyf am siarad am EFS: ei ddefnydd, ei wendidau, a sut y gall gyd-fynd â'ch cynllun diogelwch rhwydwaith cyffredinol.
Pwrpas EFS
Dyluniodd Microsoft EFS i ddarparu technoleg sy'n seiliedig ar y cyhoedd a fyddai'n gweithredu fel rhyw fath o "amddiffyniad olaf" i amddiffyn eich data a gadwyd gan ymosodwyr. Os yw haciwr clyfar yn cael mesurau diogelwch eraill yn y gorffennol - yn ei wneud trwy'ch wal dân (neu'n cael mynediad corfforol i'r cyfrifiadur), yn trechu caniatadau mynediad i gael breintiau gweinyddol - gall EFS ei atal rhag gallu darllen y data yn y dogfen wedi'i hamgryptio. Mae hyn yn wir oni bai bod yr ymosodwr yn gallu logio arno fel y defnyddiwr sy'n amgryptio'r ddogfen (neu, yn Windows XP / 2000, defnyddiwr arall y mae gan y defnyddiwr hwnnw fynediad iddo).
Mae yna ddulliau eraill o amgryptio data ar y ddisg. Mae llawer o werthwyr meddalwedd yn gwneud cynhyrchion amgryptio data y gellir eu defnyddio gyda gwahanol fersiynau o Windows. Mae'r rhain yn cynnwys ScramDisk, SafeDisk a PGPDisk. Mae rhai o'r rhain yn defnyddio amgryptio lefel rhaniad neu yn creu gyriant rhithwir wedi'i hamgryptio, lle bydd yr holl ddata a storir yn y rhaniad hwnnw neu ar yr eithr rhithwir honno yn cael ei amgryptio. Mae eraill yn defnyddio amgryptio lefel ffeiliau, gan ganiatáu i chi amgryptio eich data ar sail ffeil-wrth-ffeil, waeth ble maent yn byw. Mae rhai o'r dulliau hyn yn defnyddio cyfrinair i ddiogelu'r data; cofnodir y cyfrinair pan fyddwch yn amgryptio'r ffeil a rhaid eu cofnodi eto i'w ddadgryptio. Mae EFS yn defnyddio tystysgrifau digidol sy'n rhwym i gyfrif defnyddiwr penodol i benderfynu pryd y gellir dadgryptio ffeil.
Dyluniodd Microsoft EFS i fod yn hawdd ei ddefnyddio, ac mae'n wir yn ymarferol yn dryloyw i'r defnyddiwr. Mae amgryptio ffeil - neu ffolder cyfan - mor hawdd â gwirio blwch siec yn y ffeiliau neu osodiadau Eiddo Uwch y ffolder.
Sylwch fod amgryptio EFS ar gael yn unig ar gyfer ffeiliau a ffolderi sydd ar gyriannau fformat NTFS . Os caiff yr ymgyrch ei fformatio yn FAT neu FAT32, ni fydd unrhyw botwm Uwch ar y daflen Eiddo. Nodwch hefyd, er bod yr opsiynau i gywasgu neu amgryptio ffeil / ffolder yn cael eu cyflwyno yn y rhyngwyneb fel blychau gwirio, maent mewn gwirionedd yn gweithio fel botymau dewis yn lle hynny; hynny yw, os ydych chi'n gwirio un, caiff y llall ei dadgofnodi'n awtomatig. Ni ellir amgryptio ffeil neu ffolder ar yr un pryd.
Unwaith y caiff y ffeil neu'r ffolder ei hamgryptio, yr unig wahaniaeth weladwy yw y bydd ffeiliau / ffolderi wedi'u hamgryptio yn ymddangos mewn Explorer mewn lliw gwahanol, os dewisir y blwch gwirio i ddangos ffeiliau NTFS sydd wedi'u hamgryptio neu eu cywasgu mewn lliw yn yr Opsiynau Ffolder (wedi'u ffurfweddu trwy Offer | Opsiynau Ffolder | Edrychwch ar y tab yn Explorer Explorer).
Ni ddylai'r defnyddiwr sydd wedi amgryptio'r ddogfen erioed ofid am ddatgryptio i gael mynediad ato. Pan fydd ef / hi yn ei agor, caiff ei ddadgryptio yn awtomatig ac yn dryloyw - cyn belled â bod y defnyddiwr wedi mewngofnodi gyda'r un cyfrif defnyddiwr â pha bryd y cafodd ei amgryptio. Os yw rhywun arall yn ceisio ei gyrchu, fodd bynnag, ni fydd y ddogfen yn agor a bydd neges yn hysbysu'r defnyddiwr bod y fynedfa yn cael ei wrthod.
Beth sy'n Digwydd o dan y Hood?
Er bod EFS yn ymddangos yn anhygoel syml i'r defnyddiwr, mae llawer yn digwydd o dan y cwfl i wneud hyn i gyd ddigwydd. Defnyddir amgryptiad cymesur (allwedd gyfrinachol) ac anghymesur (allwedd gyhoeddus) ar y cyd i fanteisio ar fanteision ac anfanteision pob un.
Pan fydd defnyddiwr yn defnyddio EFS i amgryptio ffeil i ddechrau, mae'r cyfrif defnyddiwr yn bâr allweddol wedi'i neilltuo (allwedd gyhoeddus ac allwedd preifat cyfatebol), naill ai'n cael ei gynhyrchu gan y gwasanaethau tystysgrif - os oes CA wedi'i osod ar y rhwydwaith - neu ei hun gan EFS. Defnyddir yr allwedd gyhoeddus ar gyfer amgryptio a defnyddir yr allwedd breifat ar gyfer dadgryptio ...
I ddarllen yr erthygl gyflawn a gweld y delweddau llawn-maint ar gyfer y Ffigurau, cliciwch yma: Ble mae EFS yn ffitio i mewn i'ch Cynllun Diogelwch?