Понимание EFS

Опубликовано: 11 Апреля, 2023


Новая и улучшенная EFS


EFS существует уже довольно давно в среде Windows, но она немного выросла в Windows XP и Server 2003. EFS, шифрованная файловая система, — отличный способ защитить данные, хранящиеся на сервере или рабочем столе. EFS — это один из многих механизмов безопасности, которые корпорация Майкрософт предоставляет в комплексе мер безопасности, предназначенных для защиты данных, которые хранятся и передаются по сети. Если вы попытались использовать EFS в Windows 2000, но нашли его несколько неуклюжим или ограниченным, вас наверняка впечатлят новые функции, которые теперь доступны в Windows XP и Server 2003. По крайней мере, вы должны знать о изменения и держите перспективу использования EFS на переднем крае своего арсенала в качестве меры безопасности, когда вы сталкиваетесь с критически важными данными, которые необходимо защитить.


Что такое EFS и чем EFS не является


EFS помогает защитить данные, поскольку они хранятся на файловом сервере. Очевидно, что это идеально подходит для ноутбуков, которые хранят данные для путешествующих пользователей по мере перемещения из города в город, а затем обратно в офис. В случае кражи ноутбука требуется некоторая гимнастика, чтобы попасть в операционную систему, а также в зашифрованные файлы, которые защищены внутри файловой структуры. EFS не должна быть такой же надежной, как использование физических устройств, которые шифруют файлы, но она обеспечивает значительное повышение безопасности по сравнению с обычным хранением файлов на ноутбуке.


EFS не предназначена и не предоставляет решение для шифрования файлов, отправляемых по сети. Когда файл, сохраненный с помощью EFS, отправляется по сети, он сначала расшифровывается, а затем отправляется по сети. Это подвергает файл возможному перехвату и атакам, если вы не реализовали какую-либо другую форму защиты данных в сети. Microsoft предоставляет надежное решение IPSec в Windows 2000 и более поздних версиях, которое может шифровать файлы при их передаче по сети из точки в точку.


Если вы используете EFS или EFS в сочетании с IPSec, вы можете увидеть снижение производительности при доступе к защищенным файлам. Уровень снижения производительности зависит от многих факторов, включая оборудование сервера, структуру сети, производительность сети, уровень защиты, используемый в IPSec, и файлы, к которым осуществляется доступ. Конечно, если данные критичны, снижение производительности, приводящее к задержке, не будет большой проблемой.


Восстановление данных


Если вы знакомы с тем, как Windows 2000 справляется с восстановлением данных EFS, вы будете немного шокированы тем, как Windows XP и Server 2003 решают эту проблему. Во-первых, восстановление данных EFS является ключевой концепцией при использовании EFS на случай, если первоначальный пользователь, который шифрует файл, потеряет закрытый ключ для расшифровки или, что еще хуже, злонамеренно зашифрует файлы, прежде чем покинуть компанию.


Домены Windows 2000 по умолчанию настраивают учетную запись администратора в качестве агента восстановления данных (DRA). Это можно увидеть в политике домена по умолчанию, как показано на рисунке 1. Идея состоит в том, что когда пользователь шифрует файл, DRA также получает закрытый ключ, чтобы он мог расшифровать файлы в случае чрезвычайной ситуации или аварии. Для расшифровки этих файлов необходимо выполнить целый процесс, который можно понять, прочитав статью «Реализация шифрующей файловой системы в Windows 2000» на TechNet.



Изображение 25569
Рисунок 1: DRA, настроенный в политике домена по умолчанию


Если вы когда-нибудь захотите «калечить» EFS для всех компьютеров домена в предприятии Active Directory, вы можете просто удалить сертификат DRA из политики домена по умолчанию. Это, по сути, запрещает любое шифрование, потому что Windows 2000 требует, чтобы DRA был настроен для любого шифрования. Я предлагаю вам создать резервную копию этого сертификата перед его удалением, хотя вы можете восстановить его, если удалили его без предварительного резервного копирования.


Windows XP и Server 2003 подходят к DRA по-разному. Эти операционные системы не требуют DRA. Эти операционные системы могут обойтись без DRA, что может поставить зашифрованные файлы под угрозу, если первоначальная способность расшифровать файлы будет потеряна. Преимущество заключается в том, что не требуется настраивать DRA в Active Directory или в локальной системе, чтобы эти операционные системы выполняли шифрование файлов.


Если вы хотите отключить шифрование файлов на уровне предприятия, вы не сможете выполнить те же действия, что и в среде Windows 2000. Удаление сертификата DRA не принесет никакой пользы, так как EFS больше не требует его для Windows XP и Server 2003. Чтобы отключить EFS для Windows XP и Server 2003, вам нужно будет войти в политику домена по умолчанию и настроить « Разрешить пользователям шифровать файлы с помощью флажка «Шифрование файловой системы (EFS)», как показано на рис. 2.



Изображение 25570
Рисунок 2: Вариант отключения EFS для Windows XP и Server 2003


Многопользовательский доступ к зашифрованным файлам


Одним из основных камней преткновения при использовании EFS в корпоративной среде с Windows 2000 было ограничение доступа к зашифрованным файлам только у одного пользователя. По сути, пользователь, выполнивший шифрование, был единственным пользователем, который впоследствии мог получить доступ к файлам. Это ограничивало файлы, которые можно было зашифровать, исключая любые файлы, которые были доступны нескольким пользователям на предприятии.


Windows XP и Server 2003 изменили это поведение, разрешив многопользовательский доступ к зашифрованным файлам. Я чувствую, что эта новая функция EFS делает ее жизнеспособным решением для корпоративной среды, которая раньше ограничивала EFS только вариантом для ноутбука. Для настройки нескольких пользователей на использование одних и тех же зашифрованных файлов требуются некоторые настройки и циклы, но это не выходит за рамки возможностей даже самого неопытного сетевого администратора. Ключевым моментом является то, что пользователь, настроенный для доступа к зашифрованному файлу, должен иметь действительный сертификат EFS, хранящийся в Active Directory. Это требуется в зависимости от того, как средство выбора объектов ищет в Active Directory пользователей, у которых атрибут userCertificate заполнен сертификатом. Интерфейс, который используется для выбора дополнительных пользователей, которые могут получить доступ к зашифрованному файлу, показан на рисунке 3.



Изображение 25571
Рис. 3. Несколько пользователей могут получить доступ к одному и тому же зашифрованному файлу.


Шифрование автономных файлов


Еще одно преимущество использования Windows XP и Server 2003 заключается в том, что файлы, настроенные для доступа в автономном режиме, когда пользователь путешествует, могут быть зашифрованы. Это обеспечивает дополнительную безопасность и гибкость по сравнению с Windows 2000, которая вынуждала пользователей хранить копии файлов на ноутбуке отдельно от автономных файлов, если они хотели зашифровать файлы во время путешествия. Процесс шифрования автономных файлов довольно прост, если вы настроите автономные файлы и запустите их так, как вам нужно. Этот параметр существует в настройках конфигурации автономных файлов в проводнике Windows. Чтобы получить доступ к этой опции, вам просто нужно перейти в меню «Инструменты» — «Параметры папки». Оттуда выберите вкладку «Автономные файлы», как показано на рисунке 4.



Изображение 25572
Рисунок 4. Вкладка «Автономные папки» в Windows XP позволяет шифровать автономные файлы


Резюме


Как видите, EFS значительно выросла по сравнению с Windows 2000. Теперь она готова к работе в корпоративной среде и решает насущные проблемы, возникшие в EFS в Windows 2000. Модификация того, как EFS использует и полагается на DRA, представляет собой радикальные изменения, особенно для руководства ДРА. Вам нужно быть осторожным в своем выборе здесь, но, по крайней мере, у вас есть варианты. Многопользовательская EFS, безусловно, является самой большой новой функцией новой и улучшенной EFS. Наличие нескольких пользователей, имеющих доступ к одним и тем же зашифрованным файлам, позволяет использовать EFS для ваших кадровых, финансовых и других важных данных, хранящихся на сервере. Для ваших путешествующих пользователей возможность использовать автономные файлы и файловую систему EFS в сочетании друг с другом упрощает администрирование и упрощает решение. Обязательно протестируйте все свои решения с помощью EFS, прежде чем развертывать их в масштабах всей организации, но вы увидите, что теперь EFS готова к повсеместному использованию.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023