Hvor passer EFS ind i din sikkerhedsplan?

Af Deb Shinder med tilladelse fra WindowSecurity.com

Evnen til at kryptere data - både data i transit (ved hjælp af IPSec ) og data gemt på disken (ved hjælp af Encrypting File System ) uden behov for tredjeparts software er en af ​​de største fordele ved Windows 2000 og XP / 2003 over tidligere Microsoft operativsystemer. Desværre bruger mange Windows-brugere ikke disse nye sikkerhedsfunktioner, eller hvis de ikke bruger dem, forstår de ikke fuldt ud, hvad de gør, hvordan de fungerer, og hvad de bedste metoder har for at få det bedste ud af dem. I denne artikel vil jeg diskutere EFS: dets brug, dets sårbarheder og hvordan den kan passe ind i din overordnede netværkssikkerhedsplan.

Evnen til at kryptere data - både data i transit (ved hjælp af IPSec) og data gemt på disken (ved hjælp af Encrypting File System) uden behov for tredjeparts software er en af ​​de største fordele ved Windows 2000 og XP / 2003 over tidligere Microsoft operativsystemer. Desværre bruger mange Windows-brugere ikke disse nye sikkerhedsfunktioner, eller hvis de ikke bruger dem, forstår de ikke fuldt ud, hvad de gør, hvordan de fungerer, og hvad de bedste metoder har for at få det bedste ud af dem.

Jeg diskuterede brugen af ​​IPSec i en tidligere artikel; I denne artikel vil jeg tale om EFS: dets brug, dets sårbarheder og hvordan det kan passe ind i din overordnede netværkssikkerhedsplan.

Formålet med EFS

Microsoft designet EFS til at levere en offentlig nøglebaseret teknologi, der ville fungere som en slags "sidste forsvarslinje" for at beskytte dine lagrede data mod ubudne brugere. Hvis en smart hacker kommer forbi andre sikkerhedsforanstaltninger - gør det gennem din firewall (eller får fysisk adgang til computeren), besejrer adgangstilladelser for at få administrative rettigheder - EFS kan stadig forhindre ham / hende i at kunne læse dataene i krypteret dokument. Dette gælder, medmindre den ubudne er i stand til at logge på som den bruger, der krypterede dokumentet (eller, i Windows XP / 2000, en anden bruger, som den bruger har delt adgang til).

Der er andre måder at kryptere data på disken. Mange softwareleverandører laver datakrypteringsprodukter, der kan bruges sammen med forskellige versioner af Windows. Disse omfatter ScramDisk, SafeDisk og PGPDisk. Nogle af disse bruger kryptering på partitionsniveau eller opretter et virtuelt krypteret drev, hvorved alle data, der er gemt i den partition eller på den virtuelle drev, bliver krypteret. Andre bruger filniveau kryptering, så du kan kryptere dine data på en fil-for-fil basis uanset hvor de bor. Nogle af disse metoder bruger en adgangskode til at beskytte dataene; denne adgangskode er indtastet, når du krypterer filen og skal indtastes igen for at dekryptere den. EFS bruger digitale certifikater, der er bundet til en bestemt brugerkonto for at bestemme, hvornår en fil kan dekrypteres.

Microsoft designet EFS til at være brugervenligt, og det er faktisk praktisk taget gennemsigtigt for brugeren. Kryptering af en fil - eller en hel mappe - er lige så nem som at markere en afkrydsningsfelt i indstillingerne for fil eller mappe Avancerede egenskaber.

Bemærk, at EFS-kryptering kun er tilgængelig for filer og mapper, der findes på NTFS-formaterede drev . Hvis drevet er formateret i FAT eller FAT32, er der ingen avanceret knap på egenskabsarket. Bemærk også, at selvom mulighederne for at komprimere eller kryptere en fil / mappe præsenteres i grænsefladen som afkrydsningsfelter, fungerer de faktisk som valgknapper i stedet; det vil sige, hvis du tjekker en, bliver den anden automatisk afkrydset. En fil eller mappe kan ikke krypteres og komprimeres på samme tid.

Når filen eller mappen er krypteret, er den eneste synlige forskel, at krypterede filer / mapper vises i Explorer i en anden farve, hvis afkrydsningsfeltet Til Vis krypterede eller komprimerede NTFS-filer i farve er valgt i mappeindstillingerne (konfigureret via Værktøjer | Mappevalg | Se fanen i Windows Stifinder).

Den bruger, der krypterede dokumentet, behøver aldrig at bekymre sig om at dekryptere det for at få adgang til det. Når han / hun åbner den, dekrypteres den automatisk og gennemsigtigt - så længe brugeren er logget på med samme brugerkonto, som da den blev krypteret. Hvis en anden forsøger at få adgang til det, åbner dokumentet imidlertid ikke, og en besked informerer brugeren om, at adgang nægtes.

Hvad foregår der under hooden?

Selvom EFS virker utroligt simpelt for brugeren, er der meget at foregå under emhætten for at få alt dette til at ske. Både symmetrisk (hemmelig nøgle) og asymmetrisk (offentlig nøgle) kryptering anvendes i kombination for at udnytte fordelene og ulemperne ved hver.

Når en bruger oprindeligt bruger EFS til at kryptere en fil, er brugerkontoen tildelt et nøglepar (offentlig nøgle og tilsvarende privat nøgle), enten genereret af certifikattjenestene - hvis der er en CA installeret på netværket - eller selv underskrevet af EFS. Den offentlige nøgle bruges til kryptering, og den private nøgle bruges til dekryptering ...

For at læse hele artiklen og se billeder i fuld størrelse til figurerne, klik her: Hvor passer EFS ind i din sikkerhedsplan?