Per Deb Shinder amb permís de WindowSecurity.com
La possibilitat de xifrar les dades, tant les dades en trànsit (utilitzant IPSec ) com les dades emmagatzemades al disc (utilitzant el sistema de xifrat de fitxers ) sense necessitat de programari de tercers, és una de les majors avantatges de Windows 2000 i XP / 2003 respecte a Microsoft anterior sistemes operatius. Malauradament, molts usuaris de Windows no s'aprofiten d'aquestes noves característiques de seguretat o, si ho fan, no comprenen completament el que fan, com funcionen i quines són les millors pràctiques per aprofitar-les. En aquest article, parlaré de l'EFS: el seu ús, les seves vulnerabilitats i la forma en què pot encaixar amb el vostre pla de seguretat de xarxa global.
La possibilitat de xifrar les dades, tant les dades en trànsit (utilitzant IPSec) com les dades emmagatzemades al disc (utilitzant el sistema de xifrat de fitxers) sense necessitat de programari de tercers, és una de les majors avantatges de Windows 2000 i XP / 2003 respecte a Microsoft anterior sistemes operatius. Malauradament, molts usuaris de Windows no s'aprofiten d'aquestes noves característiques de seguretat o, si ho fan, no comprenen completament el que fan, com funcionen i quines són les millors pràctiques per aprofitar-les.
Vaig parlar sobre l'ús d'IPSec en un article anterior; En aquest article, vull parlar sobre EFS: el seu ús, les seves vulnerabilitats i la forma en què pot encaixar amb el vostre pla de seguretat de xarxa global.
L'objectiu de l'EFS
Microsoft va dissenyar EFS per proporcionar una tecnologia basada en clau pública que actuaria com una "última línia de defensa" per protegir les dades emmagatzemades dels intrusos. Si un hacker intel·ligent obté altres mesures de seguretat, ho fa a través del vostre tallafocs (o obté accés físic a l'ordinador), derrota els permisos d'accés per obtenir privilegis administratius. L'EFS encara pot evitar que pugui llegir les dades a la document xifrat. Això és cert a menys que l'intrús pugui iniciar sessió com a usuari que va xifrar el document (o, en Windows XP / 2000, un altre usuari amb qui aquest usuari tingui accés compartit).
Hi ha altres mitjans per xifrar dades al disc. Molts proveïdors de programari fabriquen productes de xifrat de dades que es poden utilitzar amb diverses versions de Windows. Aquests inclouen ScramDisk, SafeDisk i PGPDisk. Alguns d'aquests usen el xifrat a nivell de partició o creen una unitat de xifrat virtual, de manera que totes les dades emmagatzemades en aquesta partició o en aquesta unitat virtual es xifraran. Uns altres usen el xifratge de nivell de fitxer, que us permeten xifrar les vostres dades amb un fitxer per fitxer, independentment d'on resideixin. Alguns d'aquests mètodes usen una contrasenya per protegir les dades; aquesta contrasenya s'introdueix quan es xifra el fitxer i s'ha d'introduir de nou per desxifrar-la. EFS utilitza certificats digitals vinculats a un compte d'usuari específica per determinar quan es pot desxifrar un fitxer.
Microsoft ha dissenyat EFS per ser fàcil d'usar, i de fet és pràcticament transparent per a l'usuari. Encriptar un fitxer o una carpeta sencera és tan fàcil com marcar una casella de verificació a la configuració de Propietats avançades del fitxer o la carpeta.
Tingueu en compte que el xifratge EFS només està disponible per als fitxers i carpetes que es troben en unitats amb format NTFS . Si la unitat té format en FAT o FAT32, no hi haurà cap botó Avançat al full de propietats. Tingueu en compte que tot i que les opcions per comprimir o xifrar un fitxer / carpeta es presenten a la interfície com a caselles de selecció, en realitat funcionen com a botons d'opció; és a dir, si comprova un, l'altre no està desmarcat automàticament. Un fitxer o carpeta no es pot xifrar ni comprimir alhora.
Una vegada que el fitxer o la carpeta estan xifrats, l'única diferència visible és que els fitxers / carpetes xifrats es mostraran a l'Explorer en un color diferent, si la casella de verificació Mostra els fitxers NTFS xifrats o comprimits en color està seleccionada a les Opcions de la carpeta (configurat mitjançant Eines Opcions de carpeta | Veure fitxa en l'Explorador de Windows).
L'usuari que va xifrar el document mai no ha de preocupar-se de desxifrar-lo per accedir-hi. Quan l'obre, es desxifra automàticament i de forma transparent, sempre que l'usuari estigui connectat amb el mateix compte d'usuari que quan es va xifrar. Si algú més intenta accedir-hi, no obstant això, el document no s'obrirà i un missatge informarà a l'usuari que es denega l'accés.
Què està passant sota la caputxa?
Tot i que l'EFS sembla increïblement senzill per a l'usuari, hi ha molt per sota de la caputxa perquè tot això passi. Tant la codificació simètrica (clau secreta) com la clau asimètrica (clau pública) s'utilitzen en combinació per aprofitar els avantatges i desavantatges de cadascun.
Quan un usuari inicialment utilitza EFS per xifrar un fitxer, el compte d'usuari és un parell de claus assignat (clau pública i clau privada corresponent), generat pels serveis de certificació, si hi ha una CA instal·lada a la xarxa o autofirmada per EFS. La clau pública s'utilitza per al xifratge i la clau privada s'utilitza per desxifrar ...
Per llegir l'article complet i veure les imatges de mida completa per a les figures feu clic aquí: On fa que EFS s'adapti al vostre pla de seguretat?