Și din nou despre efs, windows it pro

ARUBA INSTANT WI-FI: SIMPLĂ, PUTERNICĂ, DISPONIBILĂ

Sistemul de fișiere cu criptare este mai sigur și sigur decât mulți cred

În diverse liste de distribuție a securității pe Internet, administratorii au adesea întrebări despre produse de criptare a fișierelor securizate și ușor de utilizat pentru Windows. La fel de des, managerii sunt interesați de modalități prin care puteți împiedica administratorii de sistem să caute fișiere confidențiale ale companiei. Când propun să folosesc sistemul propriu de Windows Encrypting File System (EFS), majoritatea interlocutorilor răspund că au nevoie de ceva mai sigur și mai sigur.

Dar, contrar opiniei populare, EFS este într-adevăr o soluție de criptare fiabilă, ușor de utilizat și sigură, și cu ajutorul ei puteți împresura chiar și cel mai curios administrator de rețea. EFS este un instrument excelent pentru protecția fișierelor confidențiale din rețea și pe computerele laptop, care devin adesea obiect de furt. Din păcate, reputația EFS suferă fără plată datorită refuzului utilizatorilor de a evalua obiectiv orice măsură de securitate de la Microsoft. De fapt, EFS este unul dintre cele mai bune produse de securitate lansate vreodată de Microsoft, dar necesită cunoștințe pentru ao aplica. Acest articol descrie elementele de bază ale EFS, scopul și funcționalitatea acesteia, operațiile administrative de bază și eventualele erori.

Principiile EFS

În plus, nu trebuie să fii proprietarul sau să ai permisiuni de control complet pentru un fișier sau un dosar care să le cripteze. Pentru aceasta, sunt suficiente permisiunile de citire și scriere - cele care sunt necesare pentru a accesa resursa. Numai utilizatorul care le criptează (și alte persoane cu care primul utilizator este de acord să partajeze resursa) are acces la fișier sau dosar. Singura excepție comună este agentul de recuperare a datelor (DRA). În mod implicit (în majoritatea cazurilor), Windows atribuie administratorului DRA administratorului, astfel încât să poată accesa orice fișier sau folder care este criptat cu EFS. În mediul de domeniu, DRA este administratorul domeniului; într-un mediu inactiv, DRA este administratorul local.

Funcția de criptare a fișierelor și a dosarelor este activă în mod prestabilit, dar utilizatorul trebuie să selecteze fiecare fișier sau folder separat (sau indirect prin intermediul regulilor obișnuite de moștenire). Pentru EFS, trebuie să aveți un fișier sau un folder pe partiția de disc NTFS. Apoi, pentru a proteja fișierul sau folderul, faceți clic dreapta pe resursă din Windows Explorer, selectați Proprietăți, apoi faceți clic pe butonul Advanced din fila General. (Notă: nu trebuie să faceți clic pe butonul Avansat din fila Securitate.) În final, trebuie să bifați caseta de selectare Criptare conținuturi pentru securizarea datelor.

Dacă selectați unul sau mai multe fișiere (spre deosebire de un dosar), EFS întreabă dacă fișierul (fișierele) sau dosarul părinte și fișierul curent trebuie să fie criptate. Dacă este selectat al doilea, EFS marchează dosarul ca fiind criptat. Toate fișierele care vor fi adăugate în dosar vor fi criptate în mod prestabilit, deși toate fișierele care au fost în dosar, dar care nu au fost selectate în timpul operației de criptare EFS, vor rămâne necriptate. În multe cazuri, este preferabil să criptați întregul dosar în locul fișierelor individuale, mai ales pentru că un număr de programe (de exemplu, Microsoft Word) creează fișiere temporare în același folder ca fișierul deschis. După terminarea programului (de exemplu, în cazul unei repornări de urgență), fișierele temporare sunt de multe ori lăsate dezinstalate și prezentate într-un format strict de text care poate fi recuperat de către o persoană neautorizată.

În mod implicit, XP Professional și versiunile ulterioare ale EFS evidențiază fișiere criptate în verde, dar selecția poate fi anulată selectând Opțiuni folder din meniul Instrumente din Windows Explorer, și apoi golind caseta de selectare Arată criptate sau fișiere NTFS comprimate de culoare pe fila Vizualizare. Supunerea Detalii Windows Explorer din fișierele comprimate din coloana Atribute E. atribut este conținut, împreună cu atributul obișnuit al Arhivei (A) Ca urmare, un set de atribute va arata AE. Trebuie remarcat faptul că built-in mecanismele de Windows nu pot fi utilizate pentru criptarea simultan și comprimarea fișierelor, dar puteți comprima fișierul utilizând un utilitar terță parte, cum ar fi WinZip sau PKZIP, și apoi cripta fișierul comprimat.

Cifră fiabilă

EFS oferă criptare fiabilă - atât de fiabilă încât, dacă pierdeți o cheie EFS privată (utilizată pentru a restabili fișierele protejate prin EFS), este foarte probabil că nu veți putea citi datele. Dacă setările EFS sunt configurate corect, chiar administratorul nu poate accesa fișierul sau dosarul criptat decât dacă este atribuit de agentul DRA.

Cum funcționează EFS?

EFS folosește o combinație de criptare simetrică și asimetrică. Dacă utilizați o metodă simetrică, fișierul este criptat și restaurat utilizând o singură tastă. Metoda asimetrică constă în folosirea cheii publice pentru criptare și cheia privată a doua, dar legată privitoare la recuperarea datelor. Dacă utilizatorul căruia îi este acordat dreptul de a restabili datele, nu dezvăluie nimănui cheia privată, resursa protejată nu este amenințată.

Ecran 1. Generarea unui certificat EFS cu auto-semnare

Cheia privată a utilizatorului EFS (care deschide fișiere protejate prin EFS) este criptată cu cheia principală a utilizatorului și stocată în profilul utilizatorului în secțiunea Documente și setări. Datele aplicației, Microsoft, Crypto, RSA. Dacă utilizați un profil de roaming, cheia privată este localizată în dosarul RSA de pe controlerul de domeniu (DC) și este descărcată pe computerul utilizatorului în timpul procesului de înregistrare. Pentru a genera cheia master, se utilizează parola de utilizator curentă și algoritmul RC4 de 56, 128 sau 512 biți. Poate că cel mai important lucru pe care trebuie să-l cunoașteți despre EFS este că cheia privată EFS este în profilul său și este protejată de o cheie principală derivată din parola actuală a utilizatorului. Trebuie remarcat faptul că fiabilitatea criptării EFS depinde de fiabilitatea parolei utilizatorului. Dacă un atacator dezvăluie o parolă de utilizator EFS sau se înregistrează în numele unui utilizator legitim, va apărea o fisură în protecția EFS.

Dacă parola utilizatorului este pierdută sau resetată (dar nu este modificată de utilizator), atunci puteți pierde accesul la toate fișierele protejate de EFS. Din acest motiv, copii ale cheii private EFS trebuie să fie stocate în două sau mai multe locații securizate sau una sau mai multe DRA (și cheile lor private exportate și susținute în două sau mai multe locații separate sau securizate). Nerespectarea acestor reguli poate duce la pierderea datelor.

Partajarea fișierelor EFS

Ecranul 2. Fila Detalii

Spre deosebire de cheile private ale utilizatorilor obișnuiți EFS, cheile private EFS ale agenților DRA ar trebui să fie exportate și șterse de pe computere. Dacă cheile private ale agenților DRA sunt furate, atunci toate fișierele cu FEK protejate de cheia publică DRA pot deveni vulnerabile. Prin urmare, cheile ar trebui să fie exportate și stocate în condiții de siguranță în două locații îndepărtate. Dacă aveți nevoie de chei pentru a recupera fișierele criptate, puteți importa și utiliza cu ușurință cheile private.

Deși, în mod prestabilit, administratorul este deseori alocat de agentul DRA, trebuie să pregătiți în mod special unul sau două conturi de utilizator, probabilitatea de eliminare fiind, în orice caz, mică. Cheia publică DRA copiază și protejează fiecare FEK, deci dacă ștergeți accidental contul de utilizator DRA sau resetați parola, este dificil să restaurați FEK protejat de DRA. Dacă se modifică conturi de utilizator care au starea DRA, fișierele protejate prin EFS pot avea chei FEK protejate de vechile chei DRA. Când Windows accesează fișiere, FEK-urile protejate de DRA sunt actualizate cu cele mai recente chei DRA; cu toate acestea, puteți utiliza comanda Cipher pentru a impune o actualizare în masă a tuturor cheilor FEK utilizând tastele DRA actuale. Indiferent dacă cheia privată DRA este exportată și scoasă din sistem, este foarte important să păstrați copii ale certificatului de recuperare DRA în două sau mai multe locații securizate securizate.

Observații suplimentare

EFS nu protejează fișierele copiate pe rețea. Windows copiază toate fișierele deschise într-o resursă de rețea într-un format de text pur. Dacă doriți să criptați în fișiere în timp real, care sunt stocate pe disc și copiate în rețea, ar trebui să utilizați o altă metodă de protecție, IP Security (IPSec), Secure Sockets Layer (SSL) sau WWW distribuite Authoring și versiuni (WebDAV). În plus, în versiunile XP și ulterioare, puteți activa protecția EFS pentru fișiere offline.

EFS - mecanismul de protecție locală. A fost proiectat pentru a cripta fișierele pe discuri locale. Pentru a utiliza EFS pentru a proteja fișierele stocate pe discuri de pe computere la distanță, trebuie să existe încredere între aceste mașini pentru a delega autoritatea. Utilizatorii de notebook folosesc adesea EFS pentru resursele serverului de fișiere. Pentru a aplica EFS pe server, trebuie să selectați caseta de selectare Încredere acest computer pentru delegarea la orice serviciu (numai Kerberos) sau Încredere acest computer pentru delegarea la anumite servicii numai în caseta de validare din contul computerului de server (ecranul 3).

Ecranul 3. Implementarea EFS pe server

Puteți împiedica utilizatorii să utilizeze EFS blocând-o cu Politica de grup. Selectați containerul Configurare computer, faceți clic dreapta pe Setări Windows și selectați Setări de securitate, Politici cheie publică, Sistem de criptare a fișierelor. Apoi, puteți șterge opțiunea Permiteți utilizatorilor să cripteze fișiere utilizând caseta de validare EFS. Activați sau blocați EFS în unități organizaționale separate (OU).

Tehnici optime

Următoarele sunt cele mai bune practici pentru a lucra cu EFS.

1. Determinați numărul și identificați conturile DRA.
2. Generați certificate DRA pentru conturile DRA.
3. Importați certificate DRA în Active Directory (AD).
4. Exportați și ștergeți cheile private DRA, salvându-le în două depozite separate, securizate.
5. Familiarizați utilizatorii finali cu metode de aplicare și funcții EFS.
6. Verificați periodic restaurarea fișierelor DRA.
7. Dacă este necesar, executați periodic comanda Cipher cu parametrul / u pentru a actualiza tastele FEK pentru DRA-uri adăugate sau șterse.

Distribuiți materialul împreună cu colegii și prietenii

Articole similare

• Windows Vista sfaturi și trucuri

• Nu s-a putut configura actualizările Windows

• Cum se rezolvă problemele de fonturi în Windows 8

Trimiteți-le prietenilor: