由Deb授权Shinder获得WindowSecurity.com的许可
无需第三方软件即可加密数据(传输中的数据(使用IPSec )和存储在磁盘上的数据(使用加密文件系统 ),这是Windows 2000和XP / 2003比早期Microsoft最大的优势之一操作系统。 不幸的是,许多Windows用户没有利用这些新的安全功能,或者如果他们确实使用了这些功能,就不能完全理解他们的工作方式,工作方式以及最佳做法。 在这篇文章中,我将讨论EFS:它的使用,它的漏洞,以及它如何适应你的整个网络安全计划。
无需第三方软件即可加密数据(传输中的数据(使用IPSec)和存储在磁盘上的数据(使用加密文件系统),这是Windows 2000和XP / 2003比早期Microsoft最大的优势之一操作系统。 不幸的是,许多Windows用户没有利用这些新的安全功能,或者如果他们确实使用了这些功能,就不能完全理解他们的工作方式,工作方式以及最佳做法。
我在前一篇文章中讨论过使用IPSec; 在这篇文章中,我想谈谈EFS:它的使用,它的漏洞,以及它如何适应你的整体网络安全计划。
EFS的目的
微软设计了EFS来提供一种基于公共密钥的技术,它将作为一种“最后的防线”来保护你存储的数据免受入侵者的侵害。 如果聪明的黑客通过其他安全措施 - 通过防火墙 (或获得对计算机的物理访问),则会失去访问权限以获得管理权限 - EFS仍然可以防止他/她能够读取加密文件。 这是真实的,除非入侵者能够以加密文档的用户身份登录(或者,在Windows XP / 2000中,该用户拥有共享访问权的另一个用户)。
还有其他方法来加密磁盘上的数据。 许多软件供应商制作可用于各种Windows版本的数据加密产品。 这些包括ScramDisk,SafeDisk和PGPDisk。 其中一些使用分区级加密或创建虚拟加密驱动器,从而存储在该分区或该虚拟驱动器上的所有数据都将被加密。 其他人使用文件级加密,允许您逐个文件地加密数据,而不管它们驻留在何处。 其中一些方法使用密码来保护数据; 在加密文件时输入该密码,并且必须再次输入以解密该密码。 EFS使用绑定到特定用户帐户的数字证书来确定文件何时可以解密。
微软设计的EFS用户界面友好,对用户而言实际上是透明的。 加密文件 - 或整个文件夹 - 就像检查文件或文件夹的高级属性设置中的复选框一样简单。
请注意,EFS加密仅适用于NTFS格式驱动器上的文件和文件夹。 如果驱动器格式化为FAT或FAT32,则属性页上将不会显示高级按钮。 还要注意的是,即使压缩或加密文件/文件夹的选项作为复选框显示在界面中,它们实际上也可以像选项按钮一样工作; 也就是说,如果您选中一个,另一个会自动取消选中。 文件或文件夹不能同时加密和压缩。
一旦文件或文件夹被加密,唯一可见的区别是加密的文件/文件夹将以不同的颜色显示在资源管理器中,如果在文件夹选项中选择了用颜色显示加密或压缩的NTFS文件的复选框(通过工具配置| Windows资源管理器中的文件夹选项|查看选项卡 )。
对文档进行加密的用户永远不用担心解密它来访问它。 当他/她打开它时,它会被自动且透明地解密 - 只要用户使用与加密时相同的用户帐户登录即可。 但是,如果其他人试图访问它,则文档将不会打开,并且一条消息会通知用户访问被拒绝。
发动机罩下面会发生什么?
虽然EFS对于用户来说似乎非常简单,但是为了完成这一切,还有很多事情要做。 结合使用对称(秘密密钥)和非对称(公钥)加密以利用每种加密的优点和缺点。
当用户最初使用EFS加密文件时,将为用户帐户分配一个密钥对(公钥和相应的私钥),或者由证书服务生成 - 如果网络上安装了CA,或者自签名由EFS。 公钥用于加密,私钥用于解密...
要阅读完整的文章并查看图的全尺寸图像,请单击此处:EFS适合您的安全计划?