โดย Deb Shinder ที่ได้รับอนุญาตจาก WindowSecurity.com
ความสามารถในการเข้ารหัสข้อมูล - ทั้งข้อมูลในระหว่างการขนส่ง (ใช้ IPSec ) และข้อมูลที่จัดเก็บอยู่ในดิสก์ (โดยใช้ Encrypting File System ) โดยไม่จำเป็นต้องใช้ซอฟต์แวร์ของบุคคลที่สามเป็นข้อดีอย่างหนึ่งของ Windows 2000 และ XP / 2003 มากกว่า Microsoft ก่อนหน้านี้ ระบบปฏิบัติการ. อย่างไรก็ตามผู้ใช้ Windows จำนวนมากไม่ได้ใช้ประโยชน์จากคุณลักษณะด้านความปลอดภัยใหม่ ๆ เหล่านี้หรือหากใช้งานคุณลักษณะเหล่านี้ไม่เข้าใจสิ่งที่พวกเขาทำวิธีทำงานและแนวทางปฏิบัติที่ดีที่สุดคือการใช้ประโยชน์สูงสุดจากคุณลักษณะเหล่านี้ ในบทความนี้เราจะพูดถึง EFS: การใช้งานช่องโหว่และวิธีการปรับแต่งให้เหมาะสมกับแผนการรักษาความปลอดภัยเครือข่ายโดยรวมของคุณ
ความสามารถในการเข้ารหัสข้อมูล - ทั้งข้อมูลในระหว่างการขนส่ง (ใช้ IPSec) และข้อมูลที่จัดเก็บอยู่ในดิสก์ (โดยใช้ Encrypting File System) โดยไม่จำเป็นต้องใช้ซอฟต์แวร์ของบุคคลที่สามเป็นข้อดีอย่างหนึ่งของ Windows 2000 และ XP / 2003 มากกว่า Microsoft ก่อนหน้านี้ ระบบปฏิบัติการ. อย่างไรก็ตามผู้ใช้ Windows จำนวนมากไม่ได้ใช้ประโยชน์จากคุณลักษณะด้านความปลอดภัยใหม่ ๆ เหล่านี้หรือหากใช้งานคุณลักษณะเหล่านี้ไม่เข้าใจสิ่งที่พวกเขาทำวิธีทำงานและแนวทางปฏิบัติที่ดีที่สุดคือการใช้ประโยชน์สูงสุดจากคุณลักษณะเหล่านี้
ผมได้กล่าวถึงการใช้ IPSec ในบทความก่อนหน้านี้ ในบทความนี้ฉันต้องการพูดคุยเกี่ยวกับ EFS: การใช้งานช่องโหว่และวิธีการที่จะสามารถใช้งานร่วมกับแผนการรักษาความปลอดภัยเครือข่ายโดยรวมได้
วัตถุประสงค์ของ EFS
Microsoft ได้ออกแบบ EFS เพื่อจัดหาเทคโนโลยีที่ใช้กุญแจสาธารณะซึ่งจะทำหน้าที่เป็น "บรรทัดสุดท้ายในการป้องกัน" เพื่อปกป้องข้อมูลที่เก็บไว้จากผู้บุกรุก หากแฮ็กเกอร์ฉลาดผ่านมาตรการรักษาความปลอดภัยอื่น ๆ - ทำให้ผ่านทาง ไฟร์วอลล์ ของคุณ (หรือเพิ่มการเข้าถึงคอมพิวเตอร์) เอาชนะสิทธิ์การเข้าถึงเพื่อให้ได้รับสิทธิ์ระดับผู้ดูแลระบบ - EFS ยังสามารถป้องกันไม่ให้เขา / เธอสามารถอ่านข้อมูลใน เอกสารที่เข้ารหัส นี่เป็นจริงยกเว้นกรณีที่ผู้บุกรุกเข้าสู่ระบบในฐานะผู้ใช้ที่เข้ารหัสเอกสาร (หรือใน Windows XP / 2000 ผู้ใช้รายอื่นที่แชร์ข้อมูลกับผู้ใช้รายนั้น)
มีวิธีอื่นในการเข้ารหัสข้อมูลบนดิสก์ ผู้ผลิตซอฟต์แวร์จำนวนมากสร้างผลิตภัณฑ์การเข้ารหัสข้อมูลที่สามารถใช้กับ Windows รุ่นต่างๆได้ ซึ่งรวมถึง ScramDisk, SafeDisk และ PGPDisk บางส่วนของการใช้การเข้ารหัสพาร์ทิชันระดับหรือสร้างไดรฟ์เข้ารหัสเสมือนโดยข้อมูลทั้งหมดที่เก็บไว้ในพาร์ติชันหรือไดรฟ์เสมือนจะถูกเข้ารหัสลับ ผู้อื่นใช้การเข้ารหัสระดับไฟล์ซึ่งช่วยให้คุณสามารถเข้ารหัสข้อมูลของคุณโดยใช้ไฟล์ทีละไฟล์โดยไม่คำนึงว่าจะอยู่ที่ใด บางส่วนของวิธีการเหล่านี้ใช้รหัสผ่านเพื่อปกป้องข้อมูล รหัสผ่านนี้จะถูกป้อนเมื่อคุณเข้ารหัสไฟล์และต้องป้อนอีกครั้งเพื่อถอดรหัสลับ EFS ใช้ใบรับรองดิจิทัลที่ถูกผูกไว้กับบัญชีผู้ใช้เฉพาะเพื่อกำหนดเวลาที่จะสามารถถอดรหัสลับไฟล์ได้
Microsoft ออกแบบ EFS เพื่อใช้งานง่ายและเป็นจริงโปร่งใสให้กับผู้ใช้ การเข้ารหัสไฟล์ - หรือทั้งโฟลเดอร์ - ทำได้ง่ายเพียงแค่เลือกช่องทำเครื่องหมายในการตั้งค่าคุณสมบัติขั้นสูงของไฟล์หรือโฟลเดอร์
โปรดทราบว่าการเข้ารหัส EFS มีให้สำหรับไฟล์และโฟลเดอร์ที่อยู่ใน ไดรฟ์ที่มีรูปแบบ NTFS เท่านั้น ถ้าไดรฟ์ได้รับการฟอร์แมตใน FAT หรือ FAT32 จะไม่มีปุ่ม Advanced ในแผ่นคุณสมบัติ นอกจากนี้โปรดทราบว่าแม้ว่าตัวเลือกในการบีบอัดหรือเข้ารหัสไฟล์ / โฟลเดอร์จะถูกนำเสนอในอินเทอร์เฟซเป็นช่องทำเครื่องหมายพวกเขาทำงานเหมือนปุ่มตัวเลือกแทน นั่นคือถ้าคุณทำเครื่องหมายที่ช่องใดช่องหนึ่งจะถูกยกเลิกการทำเครื่องหมายโดยอัตโนมัติ ไฟล์หรือโฟลเดอร์ไม่สามารถเข้ารหัสและบีบอัดได้ในเวลาเดียวกัน
เมื่อไฟล์หรือโฟลเดอร์ได้รับการเข้ารหัสความแตกต่างที่มองเห็นได้ก็คือไฟล์ / โฟลเดอร์ที่เข้ารหัสจะปรากฏใน Explorer ในสีอื่นถ้าช่องทำเครื่องหมาย แสดงไฟล์ NTFS ที่เข้ารหัสหรือบีบอัด จะถูกเลือกไว้ในโฟลเดอร์ Options (กำหนดค่าผ่านทาง Tools | ตัวเลือกโฟลเดอร์ | ดูแท็บ ใน Windows Explorer)
ผู้ใช้ที่เข้ารหัสเอกสารไม่ต้องกังวลเกี่ยวกับการถอดรหัสลับเพื่อเข้าถึง เมื่อผู้ใช้เปิดขึ้นระบบจะถอดรหัสโดยอัตโนมัติและโปร่งใสตราบเท่าที่ผู้ใช้ล็อกอินด้วยบัญชีผู้ใช้เดียวกันกับที่ได้รับการเข้ารหัส ถ้ามีคนอื่นพยายามเข้าถึงเอกสารดังกล่าวอย่างไรก็ตามเอกสารจะไม่เปิดขึ้นและข้อความจะแจ้งให้ผู้ใช้ทราบว่าการเข้าถึงถูกปฏิเสธ
เกิดอะไรขึ้นภายใต้ฝากระโปรง?
แม้ว่า EFS ดูเหมือนจะง่ายอย่างน่าอัศจรรย์กับผู้ใช้ แต่ก็มีอะไรเกิดขึ้นมากมายที่จะทำให้เกิดเหตุการณ์นี้ขึ้น ทั้งแบบสมมาตร (คีย์ลับ) และการเข้ารหัสแบบไม่สมมาตร (คีย์สาธารณะ) จะถูกใช้ร่วมกันเพื่อใช้ประโยชน์และข้อเสียของแต่ละส่วน
เมื่อผู้ใช้เริ่มใช้ EFS เพื่อเข้ารหัสไฟล์บัญชีผู้ใช้จะกำหนดคีย์คู่ (คีย์สาธารณะและคีย์ส่วนตัวที่เกี่ยวข้อง) ซึ่งสร้างขึ้นโดยบริการใบรับรอง - หากมี CA ติดตั้งอยู่ในเครือข่ายหรือลงชื่อด้วยตนเอง โดย EFS คีย์สาธารณะใช้สำหรับการเข้ารหัสลับและคีย์ส่วนตัวจะใช้สำหรับการถอดรหัส ...
หากต้องการอ่านบทความฉบับสมบูรณ์และดูรูปภาพขนาดเต็มสำหรับตัวเลขคลิกที่นี่: EFS พอดีกับแผนการรักษาความปลอดภัยของคุณที่ใด?