Por Deb Shinder con permiso de WindowSecurity.com
A capacidade de cifrar datos, tanto os datos en tránsito (usando IPSec ) como os datos almacenados no disco (usando o sistema de cifrado de ficheiros ) sen necesidade de terceiros, é unha das maiores vantaxes de Windows 2000 e XP / 2003 en relación a Microsoft anterior. sistemas operativos. Desafortunadamente, moitos usuarios de Windows non aproveitan estas novas funcións de seguridade ou, se as utilizan, non entenden completamente o que fan, como funcionan e cales son as mellores prácticas para sacarlles o máximo proveito. Neste artigo, vou discutir sobre EFS: o seu uso, as súas vulnerabilidades e como pode caber no seu plan de seguridade global de rede.
A capacidade de cifrar datos, tanto os datos en tránsito (usando IPSec) como os datos almacenados no disco (usando o sistema de cifrado de ficheiros) sen necesidade de terceiros, é unha das maiores vantaxes de Windows 2000 e XP / 2003 en relación a Microsoft anterior. sistemas operativos. Desafortunadamente, moitos usuarios de Windows non aproveitan estas novas funcións de seguridade ou, se as utilizan, non entenden completamente o que fan, como funcionan e cales son as mellores prácticas para sacarlles o máximo proveito.
Discutir o uso do IPSec nun artigo anterior; neste artigo, quero falar sobre EFS: o seu uso, as súas vulnerabilidades e como pode caber no seu plan de seguridade global de rede.
O propósito do EFS
Microsoft deseñou a EFS para proporcionar unha tecnoloxía baseada en clave pública que actuaría como unha "última liña de defensa" para protexer os datos almacenados dos intrusos. Se un intelixente hacker obtén outras medidas de seguridade, fai o seu firewall (ou gaña acceso físico á computadora), ven os permisos de acceso para obter privilexios administrativos. A EFS aínda pode impedir que lea os datos no documento cifrado. Isto é certo a non ser que o intruso poida iniciar sesión como o usuario que cifrou o documento (ou, en Windows XP / 2000, outro usuario co que o usuario teña acceso compartido).
Existen outros medios para cifrar datos no disco. Moitos provedores de software fabrican produtos de cifrado de datos que se poden usar con varias versións de Windows. Estes inclúen ScramDisk, SafeDisk e PGPDisk. Algúns destes utilizan o cifrado de nivel de partición ou crean unha unidade cifrada virtual, polo que todos os datos almacenados nesa partición ou na unidade virtual serán cifrados. Outros usan o cifrado de nivel de arquivo, o que permite cifrar os seus datos nunha base por ficheiro, independentemente de onde residan. Algúns destes métodos usan un contrasinal para protexer os datos; este contrasinal ingrese cando cifra o ficheiro e debe ser inserido de novo para descifrarlo. EFS usa certificados dixitais que están ligados a unha conta de usuario específica para determinar cando un arquivo pode ser descifrado.
Microsoft deseñou a EFS para ser fácil de usar, e de feito é prácticamente transparente para o usuario. Cifrar un ficheiro - ou un cartafol enteiro - é tan sinxelo coma marcar unha caixa de verificación na configuración de propiedades avanzadas do ficheiro ou cartafol.
Ten en conta que o cifrado EFS só está dispoñible para ficheiros e cartafoles que están en unidades con formato NTFS . Se a unidade está formateada en FAT ou FAT32, non haberá botón Avanzado na folla Propiedades. Teña en conta que aínda que as opcións para comprimir ou cifrar un arquivo / cartafol aparecen na interface como caixas de verificación, realmente funcionan como os botóns de opción; é dicir, se comproba un, o outro non está marcado automaticamente. Un ficheiro ou cartafol non pode ser cifrado e comprimido ao mesmo tempo.
Unha vez que o ficheiro ou cartafol está encriptado, a única diferenza visible é que os ficheiros / cartafoles encriptados mostraranse no Explorer nunha cor diferente, se a caixa de verificación Mostrar ficheiros NTFS encriptados ou comprimidos está seleccionada nas Opcións de Cartafol (configurada a través de Ferramentas Opcións de carpeta | Ver pestaña en Windows Explorer).
O usuario que cifrou o documento nunca debe preocuparse por descifrarlo para acceder a el. Cando o abra, descifrarase automáticamente e de forma transparente, sempre que o usuario inicie sesión coa mesma conta de usuario que cando foi cifrada. Se alguén intenta acceder a ela, non obstante, o documento non se abrirá e unha mensaxe informará ao usuario que se deniega o acceso.
Que está pasando baixo o capó?
Aínda que a EFS parece incriblemente sinxelo para o usuario, hai moito que facer baixo o capó para que todo isto ocorra. A combinación simétrica (clave secreta) e asimétrica (chave pública) úsanse en combinación para aproveitar os beneficios e desvantaxes de cada un.
Cando un usuario utiliza inicialmente a EFS para cifrar un ficheiro, a conta de usuario é un par de chaves (chave pública e clave privada correspondente) asignado, xerado polos servizos de certificado - se hai un CA instalado na rede ou autofirmado por EFS. A chave pública utilízase para cifrar e a chave privada utilízase para descifrar ...
Para ler o artigo completo e ver as imaxes de grande porte para as figuras prema aquí: Onde o EFS adapta ao seu plan de seguridade?