由Deb授權Shinder獲得WindowSecurity.com的許可
無需第三方軟件即可加密數據(傳輸中的數據(使用IPSec )和存儲在磁盤上的數據(使用加密文件系統 ),這是Windows 2000和XP / 2003比早期Microsoft最大的優勢之一操作系統。 不幸的是,許多Windows用戶沒有利用這些新的安全功能,或者如果他們確實使用了這些功能,就不能完全理解他們的工作方式,工作方式以及最佳做法。 在這篇文章中,我將討論EFS:它的使用,它的漏洞,以及它如何適應你的整個網絡安全計劃。
無需第三方軟件即可加密數據(傳輸中的數據(使用IPSec)和存儲在磁盤上的數據(使用加密文件系統),這是Windows 2000和XP / 2003比早期Microsoft最大的優勢之一操作系統。 不幸的是,許多Windows用戶沒有利用這些新的安全功能,或者如果他們確實使用了這些功能,就不能完全理解他們的工作方式,工作方式以及最佳做法。
我在前一篇文章中討論過使用IPSec; 在這篇文章中,我想談談EFS:它的使用,它的漏洞,以及它如何適應你的整體網絡安全計劃。
EFS的目的
微軟設計了EFS來提供一種基於公共密鑰的技術,它將作為一種“最後的防線”來保護你存儲的數據免受入侵者的侵害。 如果聰明的黑客通過其他安全措施 - 通過防火牆 (或獲得對計算機的物理訪問),則會失去訪問權限以獲得管理權限 - EFS仍然可以防止他/她能夠讀取加密文件。 這是真實的,除非入侵者能夠以加密文檔的用戶身份登錄(或者,在Windows XP / 2000中,該用戶擁有共享訪問權的另一個用戶)。
還有其他方法來加密磁盤上的數據。 許多軟件供應商製作可用於各種Windows版本的數據加密產品。 這些包括ScramDisk,SafeDisk和PGPDisk。 其中一些使用分區級加密或創建虛擬加密驅動器,從而存儲在該分區或該虛擬驅動器上的所有數據都將被加密。 其他人使用文件級加密,允許您逐個文件地加密數據,而不管它們駐留在何處。 其中一些方法使用密碼來保護數據; 在加密文件時輸入該密碼,並且必須再次輸入以解密該密碼。 EFS使用綁定到特定用戶帳戶的數字證書來確定文件何時可以解密。
微軟設計的EFS用戶界面友好,對用戶而言實際上是透明的。 加密文件 - 或整個文件夾 - 就像檢查文件或文件夾的高級屬性設置中的複選框一樣簡單。
請注意,EFS加密僅適用於NTFS格式驅動器上的文件和文件夾。 如果驅動器格式化為FAT或FAT32,則屬性頁上將不會顯示高級按鈕。 還要注意的是,即使壓縮或加密文件/文件夾的選項作為複選框顯示在界面中,它們實際上也可以像選項按鈕一樣工作; 也就是說,如果您選中一個,另一個會自動取消選中。 文件或文件夾不能同時加密和壓縮。
一旦文件或文件夾被加密,唯一可見的區別是加密的文件/文件夾將以不同的顏色顯示在資源管理器中,如果在文件夾選項中選擇了用顏色顯示加密或壓縮的NTFS文件的複選框(通過工具配置| Windows資源管理器中的文件夾選項|查看選項卡 )。
對文檔進行加密的用戶永遠不用擔心解密它來訪問它。 當他/她打開它時,它會被自動且透明地解密 - 只要用戶使用與加密時相同的用戶帳戶登錄即可。 但是,如果其他人試圖訪問它,則文檔將不會打開,並且一條消息會通知用戶訪問被拒絕。
發動機罩下面會發生什麼?
雖然EFS對於用戶來說似乎非常簡單,但是為了完成這一切,還有很多事情要做。 結合使用對稱(秘密密鑰)和非對稱(公鑰)加密以利用每種加密的優點和缺點。
當用戶最初使用EFS加密文件時,將為用戶帳戶分配一個密鑰對(公鑰和相應的私鑰),或者由證書服務生成 - 如果網絡上安裝了CA,或者自簽名由EFS。 公鑰用於加密,私鑰用於解密...
要閱讀完整的文章並查看圖的全尺寸圖像,請單擊此處:EFS適合您的安全計劃?