Die Möglichkeit, Daten zu verschlüsseln - sowohl Daten, die während der Übertragung (mithilfe von IPSec) als auch auf der Festplatte (unter Verwendung des Encrypting File System) gespeichert sind, ohne dass Software von Drittanbietern erforderlich ist, ist einer der größten Vorteile von Windows 2000 und XP / 2003 gegenüber dem früheren Microsoft Betriebssysteme. Leider nutzen viele Windows-Benutzer diese neuen Sicherheitsfunktionen nicht, oder sie verstehen nicht vollständig, was sie tun, wie sie funktionieren und was die besten Methoden sind, um sie optimal zu nutzen. In diesem Artikel werde ich EFS erörtern: seine Verwendung, seine Sicherheitsanfälligkeiten und wie es in Ihren gesamten Netzwerksicherheitsplan passen kann.
Die Möglichkeit, Daten zu verschlüsseln - sowohl Daten, die während der Übertragung (mithilfe von IPSec) als auch auf der Festplatte (unter Verwendung des Encrypting File System) gespeichert sind, ohne dass Software von Drittanbietern erforderlich ist, ist einer der größten Vorteile von Windows 2000 und XP / 2003 gegenüber dem früheren Microsoft Betriebssysteme. Leider nutzen viele Windows-Benutzer diese neuen Sicherheitsfunktionen nicht, oder sie verstehen nicht vollständig, was sie tun, wie sie funktionieren und was die besten Methoden sind, um sie optimal zu nutzen.
Ich habe die Verwendung von IPSec in einem früheren Artikel erörtert. In diesem Artikel möchte ich über EFS sprechen: seine Verwendung, seine Sicherheitsanfälligkeiten und wie es in Ihren gesamten Netzwerksicherheitsplan passen kann.
Der Zweck von EFS
Microsoft hat EFS so konzipiert, dass es eine auf öffentlichen Schlüsseln basierende Technologie bietet, die als eine Art "letzte Verteidigungslinie" zum Schutz Ihrer gespeicherten Daten vor Eindringlingen dient. Wenn ein cleverer Hacker an anderen Sicherheitsmaßnahmen vorbeikommt - durch Ihre Firewall (oder physischen Zugriff auf den Computer erhält), die Zugriffsberechtigungen für den Erwerb von Administratorrechten missachtet - kann EFS immer noch verhindern, dass er die Daten im Computer lesen kann verschlüsseltes Dokument. Dies trifft zu, es sei denn, der Eindringling kann sich als der Benutzer anmelden, der das Dokument verschlüsselt hat (oder in Windows XP / 2000 ein anderer Benutzer, mit dem dieser Benutzer Zugriff hat).
Es gibt andere Möglichkeiten, Daten auf der Festplatte zu verschlüsseln. Viele Softwareanbieter stellen Datenverschlüsselungsprodukte her, die mit verschiedenen Windows-Versionen verwendet werden können. Dazu gehören ScramDisk, SafeDisk und PGPDisk. Einige verwenden die Verschlüsselung auf Partitionsebene oder erstellen ein virtuelles verschlüsseltes Laufwerk, wobei alle auf dieser Partition oder auf diesem virtuellen Laufwerk gespeicherten Daten verschlüsselt werden. Andere verwenden die Verschlüsselung auf Dateiebene, sodass Sie Ihre Daten Datei für Datei verschlüsseln können, unabhängig davon, wo sie sich befinden. Einige dieser Methoden verwenden ein Kennwort, um die Daten zu schützen. Dieses Passwort wird bei der Verschlüsselung der Datei eingegeben und muss erneut eingegeben werden, um die Datei zu entschlüsseln. EFS verwendet digitale Zertifikate, die an ein bestimmtes Benutzerkonto gebunden sind, um zu bestimmen, wann eine Datei entschlüsselt werden kann.
Microsoft hat EFS so konzipiert, dass es benutzerfreundlich ist und für den Benutzer praktisch transparent ist. Das Verschlüsseln einer Datei - oder eines gesamten Ordners - ist so einfach wie das Aktivieren eines Kontrollkästchens in den erweiterten Eigenschaften der Datei oder des Ordners.
Beachten Sie, dass die EFS-Verschlüsselung nur für Dateien und Ordner verfügbar ist, die sich auf NTFS-formatierten Laufwerken befinden. Wenn das Laufwerk in FAT oder FAT32 formatiert ist, gibt es keine Erweitert Schaltfläche im Eigenschaftenblatt. Beachten Sie auch, dass die Optionen zum Komprimieren oder Verschlüsseln einer Datei / eines Ordners zwar als Kontrollkästchen in der Benutzeroberfläche angezeigt werden, sie jedoch stattdessen wie Optionsfelder funktionieren. Wenn Sie also eine Option aktivieren, wird die andere automatisch deaktiviert. Eine Datei oder ein Ordner kann nicht gleichzeitig verschlüsselt und komprimiert werden.
Wenn die Datei oder der Ordner verschlüsselt ist, ist der einzige sichtbare Unterschied, dass verschlüsselte Dateien / Ordner in Explorer in einer anderen Farbe angezeigt werden, wenn das Kontrollkästchen aktiviert ist Zeigt verschlüsselte oder komprimierte NTFS-Dateien in Farbe an wird in den Ordneroptionen ausgewählt (konfiguriert über Werkzeuge | Ordneroptionen | Registerkarte "Ansicht" im Windows Explorer).
Der Benutzer, der das Dokument verschlüsselt hat, muss sich keine Sorgen darüber machen, dass es entschlüsselt werden muss, um darauf zuzugreifen. Wenn er / sie es öffnet, wird es automatisch und transparent entschlüsselt - solange der Benutzer mit demselben Benutzerkonto angemeldet ist, als er verschlüsselt wurde. Wenn eine andere Person jedoch versucht, darauf zuzugreifen, wird das Dokument nicht geöffnet, und eine Meldung informiert den Benutzer, dass der Zugriff verweigert wird.
Was ist unter der Haube los?
Obwohl EFS für den Benutzer erstaunlich einfach erscheint, ist unter der Haube sehr viel los, um dies zu ermöglichen. Sowohl die symmetrische (geheimer Schlüssel) als auch die asymmetrische (öffentliche Schlüssel) Verschlüsselung werden in Kombination verwendet, um die Vor- und Nachteile beider zu nutzen.
Wenn ein Benutzer anfänglich EFS zum Verschlüsseln einer Datei verwendet, wird dem Benutzerkonto ein Schlüsselpaar (öffentlicher Schlüssel und entsprechender privater Schlüssel) zugewiesen, das entweder von den Zertifikatdiensten generiert wird (sofern eine Zertifizierungsstelle im Netzwerk installiert ist) oder selbstsigniert ist von EFS. Der öffentliche Schlüssel wird zur Verschlüsselung und der private Schlüssel zur Entschlüsselung verwendet.
Klicken Sie hier, um den vollständigen Artikel zu lesen und die Bilder in voller Größe zu sehen: Wo passt EFS in Ihren Sicherheitsplan?
