De mogelijkheid om gegevens te versleutelen - zowel gegevens in transit (met behulp van IPSec) als gegevens die op de schijf zijn opgeslagen (met behulp van het Encrypting File System) zonder dat er software van derden nodig is, is een van de grootste voordelen van Windows 2000 en XP / 2003 ten opzichte van eerder Microsoft besturingssystemen. Helaas maken veel Windows-gebruikers geen gebruik van deze nieuwe beveiligingsfuncties of, als ze ze gebruiken, begrijpen ze niet volledig wat ze doen, hoe ze werken en wat de beste werkwijzen zijn om er het beste van te maken. In dit artikel zal ik het hebben over EFS: het gebruik, de kwetsbaarheden en hoe dit in uw algehele netwerkbeveiligingsplan past.
De mogelijkheid om gegevens te versleutelen - zowel gegevens in transit (met behulp van IPSec) als gegevens die op de schijf zijn opgeslagen (met behulp van het Encrypting File System) zonder dat er software van derden nodig is, is een van de grootste voordelen van Windows 2000 en XP / 2003 ten opzichte van eerder Microsoft besturingssystemen. Helaas maken veel Windows-gebruikers geen gebruik van deze nieuwe beveiligingsfuncties of, als ze ze gebruiken, begrijpen ze niet volledig wat ze doen, hoe ze werken en wat de beste werkwijzen zijn om er het beste van te maken.
Ik besprak het gebruik van IPSec in een vorig artikel; in dit artikel wil ik het hebben over EFS: het gebruik, de kwetsbaarheden en hoe het in uw algehele netwerkbeveiligingsplan past.
Het doel van EFS
Microsoft heeft EFS ontworpen om een op public key gebaseerde technologie te bieden die als een soort van "laatste verdedigingslinie" fungeert om uw opgeslagen gegevens tegen indringers te beschermen. Als een slimme hacker andere veiligheidsmaatregelen overtreedt - via je firewall (of fysieke toegang krijgt tot de computer), verslaat hij toegangsrechten om beheerdersrechten te krijgen - EFS kan nog steeds voorkomen dat hij de gegevens in de computer kan lezen gecodeerd document. Dit is waar, tenzij de indringer zich kan aanmelden als de gebruiker die het document heeft gecodeerd (of, in Windows XP / 2000, een andere gebruiker met wie die gebruiker gedeelde toegang heeft).
Er zijn andere manieren om gegevens op de schijf te versleutelen. Veel softwareleveranciers maken gegevenscoderingproducten die met verschillende Windows-versies kunnen worden gebruikt. Deze omvatten ScramDisk, SafeDisk en PGPDisk. Sommige hiervan maken gebruik van verdelingen op partitieniveau of maken een virtueel gecodeerd station, waarbij alle gegevens die op die partitie of op dat virtuele station zijn opgeslagen, worden gecodeerd. Anderen gebruiken codering op bestandsniveau, zodat u uw gegevens kunt coderen op bestandsniveau, ongeacht waar ze zich bevinden. Sommige van deze methoden gebruiken een wachtwoord om de gegevens te beschermen; dat wachtwoord wordt ingevoerd wanneer u het bestand codeert en moet opnieuw worden ingevoerd om het te decoderen. EFS gebruikt digitale certificaten die aan een specifiek gebruikersaccount zijn gekoppeld om te bepalen wanneer een bestand kan worden gedecodeerd.
Microsoft heeft EFS gebruiksvriendelijk gemaakt en het is inderdaad praktisch transparant voor de gebruiker. Het versleutelen van een bestand - of een hele map - is net zo eenvoudig als het aanvinken van een selectievakje in de instellingen voor geavanceerde eigenschappen van het bestand of de map.
Merk op dat EFS-codering alleen beschikbaar is voor bestanden en mappen die zich op drives in NTFS-indeling bevinden. Als de drive is geformatteerd in FAT of FAT32, is er geen nummer gevorderd knop op het eigenschappenblad. Merk ook op dat, hoewel de opties voor het comprimeren of coderen van een bestand / map in de interface worden weergegeven als selectievakjes, ze in plaats daarvan werken als optieknoppen; dat wil zeggen, als u er een aanvinkt, wordt de andere automatisch uitgeschakeld. Een bestand of map kan niet tegelijkertijd worden gecodeerd en gecomprimeerd.
Nadat het bestand of de map is gecodeerd, is het enige zichtbare verschil dat gecodeerde bestanden / mappen in Verkenner in een andere kleur worden weergegeven, als het selectievakje voor Versleutelde of gecomprimeerde NTFS-bestanden in kleur weergeven is geselecteerd in Mapopties (geconfigureerd via Hulpmiddelen | Mapopties | Bekijk tabblad in Windows Verkenner).
De gebruiker die het document heeft versleuteld, hoeft zich nooit zorgen te maken over het decoderen om toegang te krijgen tot het document. Wanneer hij / zij het opent, wordt het automatisch en transparant gedecodeerd - zolang de gebruiker is aangemeld met hetzelfde gebruikersaccount als toen het was gecodeerd. Als iemand anders probeert het te openen, wordt het document echter niet geopend en zal een bericht de gebruiker laten weten dat toegang wordt geweigerd.
Wat gebeurt er onder de motorkap?
Hoewel EFS voor de gebruiker verbazingwekkend eenvoudig lijkt, is er veel onder de motorkap om dit allemaal mogelijk te maken. Zowel symmetrische (geheime sleutel) als asymmetrische (openbare sleutel) codering worden in combinatie gebruikt om te profiteren van de voor- en nadelen van elk.
Wanneer een gebruiker EFS aanvankelijk gebruikt om een bestand te coderen, wordt aan het gebruikersaccount een sleutelpaar (openbare sleutel en bijbehorende privésleutel) toegewezen, hetzij gegenereerd door de certificaatdiensten - als er een CA in het netwerk is geïnstalleerd - of zelfondertekend door EFS. De openbare sleutel wordt gebruikt voor codering en de privésleutel wordt gebruikt voor decodering …
Klik hier om het volledige artikel te lezen en de afbeeldingen op ware grootte voor de figuren te bekijken: Waar past EFS in uw beveiligingsplan?
