Bởi Deb Shinder với sự cho phép từ WindowSecurity.com
Khả năng mã hóa dữ liệu - cả dữ liệu trong quá cảnh (sử dụng IPSec ) và dữ liệu được lưu trữ trên đĩa (sử dụng Hệ thống tệp mã hóa ) mà không cần phần mềm của bên thứ ba là một trong những lợi thế lớn nhất của Windows 2000 và XP / 2003 so với trước đó của Microsoft các hệ điều hành. Thật không may, nhiều người dùng Windows không tận dụng lợi thế của các tính năng bảo mật mới này, hoặc nếu họ sử dụng chúng, không hiểu đầy đủ những gì họ làm, cách họ làm việc và những phương pháp hay nhất là tận dụng tối đa chúng. Trong bài viết này, tôi sẽ thảo luận về EFS: việc sử dụng nó, các lỗ hổng của nó và cách nó có thể phù hợp với kế hoạch bảo mật mạng tổng thể của bạn.
Khả năng mã hóa dữ liệu - cả dữ liệu trong quá cảnh (sử dụng IPSec) và dữ liệu được lưu trữ trên đĩa (sử dụng Hệ thống tệp mã hóa) mà không cần phần mềm của bên thứ ba là một trong những lợi thế lớn nhất của Windows 2000 và XP / 2003 so với trước đó của Microsoft các hệ điều hành. Thật không may, nhiều người dùng Windows không tận dụng lợi thế của các tính năng bảo mật mới này, hoặc nếu họ sử dụng chúng, không hiểu đầy đủ những gì họ làm, cách họ làm việc và những phương pháp hay nhất là tận dụng tối đa chúng.
Tôi đã thảo luận về việc sử dụng IPSec trong một bài viết trước; trong bài viết này, tôi muốn nói về EFS: việc sử dụng nó, các lỗ hổng của nó và cách nó có thể phù hợp với kế hoạch bảo mật mạng tổng thể của bạn.
Mục đích của EFS
Microsoft đã thiết kế EFS để cung cấp công nghệ dựa trên khóa công khai sẽ hoạt động như một loại “hàng phòng thủ cuối cùng” để bảo vệ dữ liệu được lưu trữ của bạn khỏi những kẻ xâm nhập. Nếu một hacker thông minh vượt qua các biện pháp bảo mật khác - làm cho nó thông qua tường lửa của bạn (hoặc tăng quyền truy cập vật lý vào máy tính), đánh bại quyền truy cập để đạt được các đặc quyền quản trị - EFS vẫn có thể ngăn cản họ đọc dữ liệu trong tài liệu được mã hóa. Điều này đúng trừ khi kẻ xâm nhập có thể đăng nhập với tư cách người dùng đã mã hóa tài liệu (hoặc trong Windows XP / 2000, một người dùng khác mà người dùng đó đã chia sẻ quyền truy cập).
Có các phương tiện khác để mã hóa dữ liệu trên đĩa. Nhiều nhà cung cấp phần mềm tạo ra các sản phẩm mã hóa dữ liệu có thể được sử dụng với các phiên bản Windows khác nhau. Chúng bao gồm ScramDisk, SafeDisk và PGPDisk. Một số trong số này sử dụng mã hóa cấp phân vùng hoặc tạo một ổ đĩa được mã hóa ảo, theo đó tất cả dữ liệu được lưu trữ trong phân vùng đó hoặc trên ổ đĩa ảo đó sẽ được mã hóa. Những người khác sử dụng mã hóa cấp tệp, cho phép bạn mã hóa dữ liệu của mình trên cơ sở từng tệp bất kể họ cư trú ở đâu. Một số phương pháp này sử dụng mật khẩu để bảo vệ dữ liệu; mật khẩu đó được nhập khi bạn mã hóa tệp và phải được nhập lại để giải mã nó. EFS sử dụng chứng chỉ kỹ thuật số được liên kết với tài khoản người dùng cụ thể để xác định thời điểm tệp có thể được giải mã.
Microsoft đã thiết kế EFS thân thiện với người dùng và nó thực sự minh bạch đối với người dùng. Mã hóa một tập tin - hoặc toàn bộ thư mục - dễ dàng như kiểm tra hộp kiểm trong cài đặt Thuộc tính nâng cao của tệp hoặc thư mục.
Lưu ý rằng mã hóa EFS chỉ khả dụng cho các tệp và thư mục trên các ổ đĩa được định dạng NTFS . Nếu ổ đĩa được định dạng bằng FAT hoặc FAT32, sẽ không có nút Nâng cao trên trang Thuộc tính. Cũng lưu ý rằng mặc dù các tùy chọn để nén hoặc mã hóa một tệp / thư mục được trình bày trong giao diện dưới dạng hộp kiểm, chúng thực sự hoạt động như các nút tùy chọn thay thế; đó là, nếu bạn chọn một, cái còn lại sẽ tự động được bỏ chọn. Một tập tin hoặc thư mục không thể được mã hóa và nén cùng một lúc.
Một khi tập tin hoặc thư mục được mã hóa, sự khác biệt duy nhất là các tập tin / thư mục được mã hóa sẽ hiển thị trong Explorer với màu khác, nếu hộp kiểm Hiển thị các tập tin NTFS được mã hóa hoặc nén bằng màu được chọn trong Tùy chọn Thư mục (được định cấu hình qua Công cụ | Folder Options | Xem tab trong Windows Explorer).
Người dùng đã mã hóa tài liệu không bao giờ phải lo lắng về việc giải mã nó để truy cập nó. Khi anh ta / cô ấy mở nó, nó được tự động và minh bạch giải mã - miễn là người dùng được đăng nhập với cùng một tài khoản người dùng như khi nó được mã hóa. Tuy nhiên, nếu người khác cố gắng truy cập vào nó, tài liệu sẽ không mở và một thông báo sẽ thông báo cho người dùng rằng quyền truy cập bị từ chối.
Điều gì đang xảy ra dưới mui xe?
Mặc dù EFS có vẻ đơn giản đáng ngạc nhiên đối với người dùng, có rất nhiều thứ đang diễn ra dưới mui xe để làm cho tất cả điều này xảy ra. Cả hai đối xứng (khóa bí mật) và mã hóa không đối xứng (khóa công khai) được sử dụng kết hợp để tận dụng lợi thế của những lợi ích và bất lợi của mỗi.
Khi người dùng ban đầu sử dụng EFS để mã hóa một tệp, tài khoản người dùng được gán một cặp khóa (khóa công khai và khóa cá nhân tương ứng), hoặc được tạo bởi dịch vụ chứng chỉ - nếu có một CA được cài đặt trên mạng - hoặc tự ký bởi EFS. Khóa công khai được sử dụng để mã hóa và khóa riêng được sử dụng để giải mã ...
Để đọc toàn bộ bài viết và xem các hình ảnh có kích thước đầy đủ cho các hình, hãy nhấp vào đây: EFS nào phù hợp với kế hoạch bảo mật của bạn?