Deb Shinder tomonidan WindowSecurity.com ruxsati bilan
Ma'lumotni shifrlash - uchinchi tomon dasturlariga hojat qoldirmasdan tranzit ( IPSec yordamida) hamda diskda saqlangan ma'lumotlar ( shifrlash fayllari tizimidan foydalangan holda) ma'lumotlarini shifrlash qobiliyati avvalgi Windows 2000 va XP / 2003 ning eng katta afzalliklaridan biridir. operatsion tizimlar. Afsuski, ko'pgina Windows foydalanuvchilari ushbu yangi xavfsizlik xususiyatlaridan foydalana olmaydi, yoki agar ulardan foydalansalar, nima qilishlarini, qanday ishlayotganlarini va eng yaxshi amaliyotlardan nimani eng yaxshi qilishlarini tushunmaysiz. Ushbu maqolada men EFSni muhokama qilaman: ulardan foydalanish, zaifliklar va umumiy tarmoq xavfsizligingiz rejasiga qanday mos kelishi mumkin.
Ma'lumotni shifrlash - uchinchi tomon dasturlariga hojat qoldirmasdan tranzit (IPSec yordamida) hamda diskda saqlangan ma'lumotlar (shifrlash fayllari tizimidan foydalangan holda) ma'lumotlarini shifrlash qobiliyati avvalgi Windows 2000 va XP / 2003 ning eng katta afzalliklaridan biridir. operatsion tizimlar. Afsuski, ko'pgina Windows foydalanuvchilari ushbu yangi xavfsizlik xususiyatlaridan foydalana olmaydi, yoki agar ulardan foydalansalar, nima qilishlarini, qanday ishlayotganlarini va eng yaxshi amaliyotlardan nimani eng yaxshi qilishlarini tushunmaysiz.
Men avvalgi maqolada IPSec-dan foydalanishni muhokama qildim; Ushbu maqolada men EFS haqida gapirishni istayman: ulardan foydalanish, zaifliklar va sizning umumiy tarmoq xavfsizligingiz rejasiga qanday moslashishi mumkin.
EFSning maqsadi
Microsoft korporatsiyasi EFS ni sizning saqlanadigan ma'lumotlaringizni bezovtalanuvchilardan himoya qilish uchun "oxirgi mudofaa chizig'i" sifatida ishlaydigan jamoat kalitiga asoslangan texnologiyalarni taqdim etdi. Agar aqlli xaker boshqa xavfsizlik choralarini ko'rsatsa - bu sizning xavfsizlik devoringiz orqali (yoki kompyuterga jismoniy kirish imkonini beradi) ma'muriy imtiyozlarni qo'lga kiritish uchun ruxsat olish huquqini yengib chiqadi - EFS hali ham uning ma'lumotlarini o'qiy olishiga xalaqit berishi mumkin. shifrlangan hujjat. Hujjatni shifrlaydigan foydalanuvchi sifatida (yoki Windows XP / 2000 da, foydalanuvchining birgalikda foydalanish huquqiga ega bo'lgan boshqa foydalanuvchisida) tizimga kiruvchi shaxs kirish imkoniga ega bo'lmasa, bu to'g'ri.
Diskdagi ma'lumotlarni shifrlashning boshqa vositalari mavjud. Ko'p dastur ishlab chiqaruvchisi Windowsning turli xil versiyalari bilan ishlatilishi mumkin bo'lgan ma'lumotlar shifrlash mahsulotlarini yaratadi. Bunga ScramDisk, SafeDisk va PGPDisk kiradi. Ulardan ba'zilari bo'lim darajasida shifrlashni qo'llaydi yoki virtual shifrlangan haydovchi yaratadi, bu bo'lim yoki virtual diskda saqlangan barcha ma'lumotlar shifrlangan bo'ladi. Ba'zilari fayllar darajasida shifrlashdan foydalanadilar va siz o'zingiz yashayotgan joydan qat'i nazar, ma'lumotlarni fayl-by-file asosida shifrlash imkonini beradi. Ushbu usullardan ba'zilari ma'lumotlarni himoya qilish uchun paroldan foydalanadi; faylni shifrlaganda parol kiritiladi va parolni qayta ochish uchun yana kiritilishi kerak. EFS ma'lum bir foydalanuvchi hisobiga bog'langan raqamli sertifikatlardan foydalanib, faylni parolini qachon berishi mumkinligini aniqlaydi.
Microsoft EFS ni foydalanuvchilarga qulay qilib yaratdi va u foydalanuvchilar uchun amalda shaffofdir. Faylni yoki butun bir jildni shifrlash - fayl yoki jildning Kengaytirilgan Xususiyatlar sozlamalaridagi tasdiqlash oynasini tekshirish oson.
EFS shifrlash faqat NTFS formatidagi drayvlardagi fayllar va papkalar uchun mavjud ekanligini unutmang. Drayv FAT yoki FAT32 formatida bo'lsa, Xususiyatlar sahifasida Kengaytirilgan tugmasi bo'lmaydi. Shuni ham unutmangki, faylni / jildni siqish yoki shifrlash variantlari interfeysda tasdiqlash qutilari sifatida taqdim etilgan bo'lsa-da, aslida buning o'rniga tanlov tugmalari kabi ishlaydi; Boshqacha qilib aytganda, agar siz boshqasini tekshirib qo'ysangiz, boshqasi avtomatik ravishda belgilanmaydi. Fayl yoki papkalarni bir vaqtning o'zida shifrlash va siqish mumkin emas.
Fayl yoki papkada shifrlanganidan so'ng, shifrlangan fayllar / papkalarni turli xil ranglarda Explorerda ko'rsatiladigan katakchalar parametrlarida shifrlangan yoki siqilgan NTFS fayllarini ko'rsatish uchun belgilash katakchasi tanlansa, faqatgina ko'rinadigan farq shundaki, | Papka imkoniyatiga ega | Windows Explorer-ga qarang.).
Hujjatni shifrlaydigan foydalanuvchi hech qachon unga kirish uchun parolni hal qilishdan tashvishlanmaydi. Uni ochganda, foydalanuvchi avtomatik ravishda va oshkora shifrlanib, foydalanuvchi shifrlanganidek, foydalanuvchi hisobiga kirgan ekan. Agar kimdir unga kirishga harakat qilsa, hujjat ochilmaydi va foydalanuvchi kirishga ruxsat berilmaganligini xabar qiladi.
Hood ostida nima bor?
EFS foydalanuvchilarga ajoyib darajada sodda ko'rinishiga qaramasdan, bularning hammasini amalga oshirish uchun kaput tagida juda ko'p narsa bor. Ham nosimmetrik (maxfiy kalit) va assimetrik (ochiq kalit) shifrlash har birining afzalliklari va kamchiliklaridan foydalanish uchun birgalikda ishlatiladi.
Agar foydalanuvchi faylni shifrlash uchun dastlab EFS dan foydalansa, foydalanuvchi hisobi sertifikat xizmatlari tomonidan ishlab chiqarilgan kalit juftligini (ochiq kalit va tegishli xususiy kalit) tayinlaydi - agar tarmoqda o'rnatilgan CA bo'lsa yoki o'z-o'zidan imzolangan bo'lsa EFS tomonidan. Umumiy kalit shifrlash uchun ishlatiladi va shaxsiy kaliti parol hal qilish uchun ishlatiladi ...
Barcha maqolani o'qish va raqamlar uchun to'liq o'lchamdagi rasmlarni ko'rish uchun bu yerni bosing: Xavfsizlik rejasiga EFS qaerda mos keladi?