การเข้ารหัสไฟล์เอฟเอฟ ดูว่า "EFS" ในพจนานุกรมอื่นๆ คืออะไร การควบคุมการสนับสนุน EFS สำหรับคอมพิวเตอร์โดเมน Active Directory

เมื่อทำงานกับระบบปฏิบัติการ Windows XP/Vista/7 และการกู้คืนรหัสผ่านสำหรับเมลและไซต์อินเทอร์เน็ต งานถัดไปที่มักเกิดขึ้นเมื่อตรวจสอบเหตุการณ์คือการกู้คืนรหัสผ่านสำหรับไฟล์เก็บถาวร ไคลเอนต์อีเมล และ EFS (Encrypting File System) สิ่งนี้จะกล่าวถึงในบทความนี้


การกู้คืนคีย์ EFS

ที่จริงแล้ว สิ่งที่ดีที่สุดที่ควรทำในสถานการณ์นี้คือการกู้คืนรหัสผ่านของผู้ใช้ จากนั้นการถอดรหัส EFS จะง่ายกว่ามาก เราจะกลับมาที่สิ่งนี้ในภายหลัง อย่างไรก็ตาม คุณต้องเข้าใจว่าแม้ว่าคุณจะไม่มีรหัสผ่าน คุณยังคงสามารถลองถอดรหัสไฟล์และโฟลเดอร์ที่เกี่ยวข้องได้ นี่คือสิ่งที่ซอฟต์แวร์ Advanced EFS Data Recovery ได้รับการออกแบบมาเพื่อ

ในซอฟต์แวร์นี้ เพื่อความสะดวกของผู้ใช้ ตัวช่วยสร้างการกู้คืนข้อมูล EFS ขั้นสูงที่เกี่ยวข้องได้ถูกสร้างขึ้น ซึ่งคุณสามารถดำเนินการตามกระบวนการถอดรหัสทั้งหมดทีละขั้นตอน หรือคุณสามารถใช้ "โหมดผู้เชี่ยวชาญ" เพื่อดำเนินการด้วยตนเอง

ในความคิดของฉัน หากผู้ที่ใช้ Advanced EFS Data Recovery ไม่มั่นใจ การใช้ Advanced EFS Data Recovery Wizard จะสะดวกกว่ามาก มาดูรายละเอียดโหมดนี้กันดีกว่า

ในขั้นตอนแรกของวิซาร์ดการกู้คืนข้อมูล EFS ขั้นสูง ระบบจะขอใบรับรองส่วนบุคคลที่ใช้สำหรับ EFS

สมมติว่าคุณมีใบรับรองดังกล่าว (ซึ่งเป็นสถานการณ์ที่เกิดขึ้นได้ยากมาก เนื่องจากด้วยเหตุผลบางประการที่ผู้ใช้ละเลยที่จะส่งออกใบรับรองหรือเพียงลืมว่าพวกเขาส่งออกไปที่ใด) ในกรณีนี้ทุกอย่างค่อนข้างง่าย คุณจะต้องเลือกไฟล์ใบรับรองและป้อนรหัสผ่านใบรับรอง จากนั้นจะทำการค้นหาโฟลเดอร์และไฟล์ทั้งหมดที่เข้ารหัสโดยใช้บนพาร์ติชันภายในเครื่อง คุณได้รับรายการไฟล์ที่เข้ารหัสด้วยใบรับรองนี้ซึ่งคุณสามารถถอดรหัสได้ โดยปกติแล้ว หากคุณตรวจสอบคอมพิวเตอร์ของคุณ คุณจะต้องถอดรหัสลงในฮาร์ดไดรฟ์อื่นหรืออุปกรณ์จัดเก็บข้อมูลภายนอก เพื่อไม่ให้เกิดความเสียหายใดๆ

แต่ถ้าคุณไม่มีใบรับรองล่ะ? ในกรณีนี้ วิซาร์ดการกู้คืนข้อมูล EFS ขั้นสูงจะแจ้งให้คุณค้นหาข้อมูลดังกล่าวในฮาร์ดไดรฟ์ของคุณ โปรดทราบว่าคุณสามารถค้นหาใบรับรองได้ไม่เฉพาะในไฟล์ที่มีอยู่เท่านั้น แต่ยังรวมถึงไฟล์ที่ถูกลบด้วย แต่ในการทำเช่นนี้ คุณต้องเปิดใช้งานช่องทำเครื่องหมาย "สแกนเซกเตอร์ตามเซกเตอร์" ขอแนะนำให้เปิดใช้งานโหมดนี้เมื่อทำการสแกนใหม่ หากคุณไม่พบใบรับรองที่จำเป็นในรอบแรก

ต่อไปคุณจะใช้เวลาสักพักในการค้นหากุญแจ จากผลลัพธ์ของการค้นหา หน้าต่างตัวช่วยสร้างจะปรากฏขึ้น หากไม่พบคีย์ คุณต้องป้อนชื่อผู้ใช้ (เจ้าของ EFS) และรหัสผ่านของเขา หรือวิธีสุดท้ายคือรหัส HEX วิธีรับรหัสผ่านผู้ใช้ได้อธิบายไว้ในบทความก่อนหน้านี้

หากคุณทราบรหัสผ่านของผู้ใช้ ให้ป้อนชื่อบัญชีและรหัสผ่านที่เหมาะสม แล้วคลิกถัดไป จากนั้น โฟลเดอร์และไฟล์ที่พบที่เข้ารหัสโดยใช้ EFS จะถูกถอดรหัส อย่างที่คุณเห็น แม้ว่าคุณจะติดตั้งระบบปฏิบัติการใหม่ แต่ก็ไม่ได้หมายความว่าข้อมูลที่เข้ารหัสด้วย EFS สูญหายไป

อย่าลืมว่าหากคุณทราบชื่อและรหัสผ่านของบัญชีที่ใช้เข้ารหัส กระบวนการถอดรหัสจะใช้เวลาน้อยลงมาก มิฉะนั้น คุณสามารถลองถอดรหัสโดยใช้โหมดผู้เชี่ยวชาญได้ แม้ว่าจะต้องยอมรับว่าความน่าจะเป็นของผลลัพธ์ที่เป็นบวกในกรณีนี้นั้นต่ำกว่าอย่างเห็นได้ชัด คุณจะได้รับแจ้งให้เพิ่มรหัสผ่านจากพจนานุกรม โดยปกติแล้วจะถือว่าคุณมีไฟล์พจนานุกรม

ฉันต้องการทราบสิ่งต่อไปนี้ ดังที่เราเห็นในปัจจุบันมีเครื่องมือที่ทรงพลังสำหรับการกู้คืน (ถอดรหัส) รหัสผ่าน ดังนั้นเพื่อให้มั่นใจถึงความทนทาน เรามีสามทางเลือก:

  1. ความยาวและความซับซ้อนเพิ่มขึ้นอีก (ในความคิดของฉันเส้นทางคือทางตันเพราะไม่ช้าก็เร็วผู้ใช้เริ่มสับสน ลืมรหัสผ่าน ใช้รหัสเดียวกันในทุกโอกาส ฯลฯ )
  2. การใช้วิธีพิสูจน์ตัวตนแบบไบโอเมตริกซ์
  3. การใช้การรับรองความถูกต้องและใบรับรองแบบหลายปัจจัย ในความคิดของฉัน เส้นทางนี้มีแนวโน้มมากกว่ามาก แต่ก็คุ้มค่าที่จะพิจารณาว่าวิธีแก้ปัญหาที่เสนอนั้นแน่นอนว่าต้องเสียค่าใช้จ่ายและบางครั้งก็ค่อนข้างมาก

แน่นอนว่าทางเลือกเป็นของคุณ

วลาดิมีร์ เบซมาลี

กำลังเข้ารหัสไฟล์ระบบ

ระบบไฟล์การเข้ารหัสเป็นบริการที่รวมเข้ากับ NTFS อย่างแน่นหนาซึ่งอยู่ในเคอร์เนล Windows 2000 จุดประสงค์คือเพื่อปกป้องข้อมูลที่จัดเก็บไว้ในดิสก์จากการเข้าถึงโดยไม่ได้รับอนุญาตโดยการเข้ารหัส การปรากฏตัวของบริการนี้ไม่ใช่เรื่องบังเอิญและคาดหวังมานานแล้ว ความจริงก็คือระบบไฟล์ที่มีอยู่ในปัจจุบันไม่ได้ให้การป้องกันข้อมูลที่จำเป็นจากการเข้าถึงโดยไม่ได้รับอนุญาต

แม้ว่า NTFS จะให้การควบคุมการเข้าถึงและการป้องกันข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต เราควรทำอย่างไรหากมีการเข้าถึงพาร์ติชัน NTFS โดยไม่ได้ใช้ระบบปฏิบัติการ Windows NT แต่เข้าถึงโดยตรงที่ระดับฟิสิคัล ท้ายที่สุดแล้วมันค่อนข้างง่ายที่จะนำไปใช้ตัวอย่างเช่นโดยการบูทจากฟล็อปปี้ดิสก์และเปิดโปรแกรมพิเศษ: ตัวอย่างเช่นโปรแกรมทั่วไปคุณสามารถให้โอกาสดังกล่าวและตั้งรหัสผ่านเพื่อเริ่มต้นได้ แต่การปฏิบัติแสดงให้เห็นว่าการป้องกันดังกล่าวไม่ได้ผล โดยเฉพาะในกรณีที่ผู้ใช้หลายคนทำงานในคอมพิวเตอร์เครื่องเดียวพร้อมกัน และหากผู้โจมตีสามารถลบฮาร์ดไดรฟ์ออกจากคอมพิวเตอร์ได้ รหัสผ่านก็จะไม่ช่วยอะไร การเชื่อมต่อดิสก์เข้ากับคอมพิวเตอร์เครื่องอื่นทำให้สามารถอ่านเนื้อหาได้โดยไม่มีปัญหา ดังนั้นผู้โจมตีจึงสามารถครอบครองข้อมูลที่เป็นความลับที่จัดเก็บไว้ในฮาร์ดไดรฟ์ได้อย่างอิสระ วิธีเดียวที่จะป้องกันการอ่านข้อมูลทางกายภาพคือการเข้ารหัสไฟล์ กรณีที่ง่ายที่สุดของการเข้ารหัสดังกล่าวคือการเก็บถาวรไฟล์ด้วยรหัสผ่าน อย่างไรก็ตาม มีข้อเสียร้ายแรงหลายประการ ประการแรก ผู้ใช้จำเป็นต้องเข้ารหัสและถอดรหัสด้วยตนเอง (นั่นคือ ในกรณีของเรา ให้เก็บถาวรและยกเลิกการเก็บถาวร) ข้อมูลในแต่ละครั้งก่อนเริ่มและหลังงานเสร็จ ซึ่งในตัวมันเองจะลดความปลอดภัยของข้อมูล ผู้ใช้อาจลืมเข้ารหัส (เก็บถาวร) ไฟล์หลังจากทำงานเสร็จหรือ (ที่ธรรมดากว่านั้น) เพียงแค่ทิ้งสำเนาของไฟล์ไว้ในดิสก์ ประการที่สอง รหัสผ่านที่ผู้ใช้สร้างขึ้นมักจะเดาได้ง่าย ไม่ว่าในกรณีใด มียูทิลิตี้จำนวนเพียงพอที่ช่วยให้คุณสามารถแตกไฟล์เก็บถาวรที่มีการป้องกันด้วยรหัสผ่านได้ ตามกฎแล้วยูทิลิตี้ดังกล่าวทำการเดารหัสผ่านโดยค้นหาคำที่เขียนในพจนานุกรม ระบบ EFS ได้รับการพัฒนาเพื่อเอาชนะข้อบกพร่องเหล่านี้

2.1. เทคโนโลยีการเข้ารหัส

EP$ ใช้สถาปัตยกรรม Windows CryptoAPI ขึ้นอยู่กับเทคโนโลยีการเข้ารหัสคีย์สาธารณะ เพื่อเข้ารหัสแต่ละไฟล์ คีย์การเข้ารหัสไฟล์จะถูกสร้างขึ้นแบบสุ่ม ในกรณีนี้ สามารถใช้อัลกอริธึมการเข้ารหัสแบบสมมาตรเพื่อเข้ารหัสไฟล์ได้ ปัจจุบัน EFS ใช้อัลกอริธึมเดียว - DESX ซึ่งเป็นการดัดแปลงพิเศษของมาตรฐาน DES ที่ใช้กันอย่างแพร่หลาย คีย์การเข้ารหัส EFS จะถูกจัดเก็บไว้ในพูลหน่วยความจำภายใน (EFS เองอยู่ในเคอร์เนล Windows 2000) ซึ่งป้องกันการเข้าถึงคีย์เหล่านั้นผ่านไฟล์เพจโดยไม่ได้รับอนุญาต

ตามค่าเริ่มต้น EFS จะได้รับการกำหนดค่าเพื่อให้ผู้ใช้สามารถเริ่มใช้การเข้ารหัสไฟล์ได้ทันที รองรับการเข้ารหัสและการดำเนินการย้อนกลับสำหรับไฟล์และไดเร็กทอรี หากไดเร็กทอรีถูกเข้ารหัส ไฟล์และไดเร็กทอรีย่อยทั้งหมดของไดเร็กทอรีนี้จะถูกเข้ารหัสโดยอัตโนมัติ ควรสังเกตว่าหากไฟล์ที่เข้ารหัสถูกย้ายหรือเปลี่ยนชื่อจากไดเร็กทอรีที่เข้ารหัสไปเป็นไดเร็กทอรีที่ไม่ได้เข้ารหัส ไฟล์นั้นจะยังคงถูกเข้ารหัส การดำเนินการเข้ารหัส/ถอดรหัสสามารถทำได้สองวิธีที่แตกต่างกัน - โดยใช้ Windows Explorer หรือยูทิลิตี้คอนโซล Cipher ในการเข้ารหัสไดเร็กทอรีจาก Windows Explorer ผู้ใช้เพียงแค่ต้องเลือกไดเร็กทอรีอย่างน้อยหนึ่งไดเร็กทอรีและทำเครื่องหมายในช่องเข้ารหัสในหน้าต่างคุณสมบัติขั้นสูงของไดเร็กทอรี ไฟล์และไดเร็กทอรีย่อยทั้งหมดที่สร้างขึ้นภายหลังในไดเร็กทอรีนี้จะถูกเข้ารหัสด้วย ดังนั้นคุณจึงสามารถเข้ารหัสไฟล์ได้โดยเพียงแค่คัดลอก (หรือย้าย) ไปยังไดเร็กทอรีที่ "เข้ารหัส" ไฟล์ที่เข้ารหัสจะถูกจัดเก็บไว้ในดิสก์ในรูปแบบที่เข้ารหัส เมื่ออ่านไฟล์ ข้อมูลจะถูกถอดรหัสโดยอัตโนมัติ และเมื่อเขียนข้อมูล ข้อมูลจะถูกเข้ารหัสโดยอัตโนมัติ ผู้ใช้สามารถทำงานกับไฟล์ที่เข้ารหัสได้ในลักษณะเดียวกับไฟล์ทั่วไป กล่าวคือ เปิดและแก้ไขเอกสารในโปรแกรมแก้ไขข้อความ Microsoft Word แก้ไขภาพวาดใน Adobe Photoshop หรือโปรแกรมแก้ไขกราฟิก Paint เป็นต้น

ควรสังเกตว่าคุณไม่ควรเข้ารหัสไฟล์ที่ใช้เมื่อระบบเริ่มทำงานไม่ว่าในกรณีใด ในขณะนี้ คีย์ส่วนตัวของผู้ใช้ซึ่งใช้ในการถอดรหัสยังไม่พร้อมใช้งาน นี่อาจทำให้ไม่สามารถเริ่มระบบได้! EFS ให้การป้องกันง่ายๆ ต่อสถานการณ์ดังกล่าว: ไฟล์ที่มีแอตทริบิวต์ “system” จะไม่ถูกเข้ารหัส อย่างไรก็ตาม โปรดระวัง: นี่อาจสร้างช่องโหว่ด้านความปลอดภัยได้! ตรวจสอบว่าได้ตั้งค่าแอตทริบิวต์ของไฟล์แล้วหรือไม่<системный» для того, чтобы убедиться, что файл действительно будет зашифрован.

สิ่งสำคัญคือต้องจำไว้ว่าไฟล์ที่เข้ารหัสไม่สามารถบีบอัดโดยใช้ Windows 2000 และในทางกลับกัน กล่าวอีกนัยหนึ่ง หากไดเร็กทอรีถูกบีบอัด เนื้อหาของไดเร็กทอรีจะไม่สามารถเข้ารหัสได้ และหากเนื้อหาของไดเร็กทอรีถูกเข้ารหัส ก็จะไม่สามารถบีบอัดได้

ในกรณีที่จำเป็นต้องถอดรหัสข้อมูล คุณเพียงแค่ต้องยกเลิกการเลือกช่องเข้ารหัสสำหรับไดเร็กทอรีที่เลือกใน Windows Explorer จากนั้นไฟล์และไดเร็กทอรีย่อยจะถูกถอดรหัสโดยอัตโนมัติ ควรสังเกตว่าโดยปกติแล้วการดำเนินการนี้ไม่จำเป็น เนื่องจาก EFS มอบประสบการณ์ที่ "โปร่งใส" ด้วยข้อมูลที่เข้ารหัสแก่ผู้ใช้

ในรายชื่ออีเมลด้านความปลอดภัยทางอินเทอร์เน็ตต่างๆ ผู้ดูแลระบบมักจะถามคำถามเกี่ยวกับผลิตภัณฑ์เข้ารหัสไฟล์ที่ปลอดภัยและใช้งานง่ายสำหรับ Windows บ่อยครั้งที่ผู้จัดการมีความสนใจในวิธีป้องกันไม่ให้ผู้ดูแลระบบค้นหาไฟล์ที่เป็นความลับของบริษัท เมื่อฉันแนะนำให้ใช้ Encrypting File System (EFS) ของ Windows คนส่วนใหญ่บอกว่าพวกเขาต้องการบางสิ่งที่แข็งแกร่งและปลอดภัยยิ่งขึ้น

แต่ตรงกันข้ามกับความเชื่อที่แพร่หลาย EFS เป็นโซลูชันการเข้ารหัสที่เชื่อถือได้ ใช้งานง่าย และปลอดภัยอย่างแท้จริง ซึ่งอาจทำให้ผู้ดูแลระบบเครือข่ายที่อยากรู้อยากเห็นที่สุดต้องอับอาย EFS เป็นวิธีที่ดีเยี่ยมในการปกป้องไฟล์สำคัญบนเครือข่ายและแล็ปท็อป ซึ่งมักตกเป็นเป้าของการโจรกรรม น่าเสียดายที่ชื่อเสียงของ EFS ได้รับผลกระทบอย่างไม่สมควร เนื่องจากผู้ใช้ปฏิเสธที่จะประเมินผลิตภัณฑ์รักษาความปลอดภัยใดๆ จาก Microsoft อย่างเป็นกลาง ที่จริงแล้ว EFS เป็นหนึ่งในผลิตภัณฑ์รักษาความปลอดภัยที่ดีที่สุดที่ Microsoft เคยเปิดตัวมา แต่ต้องใช้ความรู้ที่เหมาะสมจึงจะใช้งานได้ บทความนี้ครอบคลุมถึงพื้นฐานของ EFS วัตถุประสงค์และฟังก์ชันการทำงาน การดำเนินการดูแลระบบขั้นพื้นฐาน และข้อผิดพลาดที่อาจเกิดขึ้น

หลักการของ EFS

Microsoft เปิดตัว EFS พร้อม Windows 2000 และมีการปรับปรุงเวอร์ชันของผลิตภัณฑ์อย่างต่อเนื่องสำหรับ Windows XP และ Windows Server 2003 ผู้ใช้ EFS สามารถเข้ารหัสไฟล์หรือโฟลเดอร์ใด ๆ ที่พวกเขามีสิทธิ์ในการอ่านและเขียน หลังจากการเข้ารหัส ทรัพยากรจะถูกถอดรหัส “ทันที” ทุกครั้งที่เจ้าของโดยชอบธรรมเข้าถึงทรัพยากรนั้น ผู้ใช้ที่พยายามเข้าถึงไฟล์หรือโฟลเดอร์ที่ได้รับการป้องกันโดยไม่มีสิทธิ์ EFS ที่เหมาะสม จะเห็นชื่อไฟล์หรือโฟลเดอร์ แต่จะไม่สามารถเปิด แก้ไข คัดลอก พิมพ์ ส่งอีเมล หรือย้ายไฟล์หรือโฟลเดอร์ได้ ที่น่าสนใจก็คือ ผู้ใช้ที่มีสิทธิ์ NTFS ในการลบไฟล์ที่มีการป้องกันโดย EFS จะสามารถลบมันได้ แม้ว่าพวกเขาจะไม่มีสิทธิ์ในการอ่านก็ตาม เช่นเดียวกับผลิตภัณฑ์เข้ารหัสส่วนใหญ่ EFS ได้รับการออกแบบมาเพื่อปกป้องความเป็นส่วนตัวแต่ไม่ได้ป้องกันข้อมูลสูญหาย งาน EFS จะถือว่าสำเร็จหากผู้ใช้ที่ไม่ได้รับอนุญาตไม่สามารถมองเห็นข้อมูลในรูปแบบใดๆ ได้ ผู้ใช้บางคนอ้างว่าแม้ความสามารถในการดูชื่อไฟล์หรือโฟลเดอร์ที่ได้รับการป้องกันก็เป็นข้อบกพร่องที่ไม่อาจให้อภัยได้ใน Windows

นอกจากนี้ คุณไม่จำเป็นต้องเป็นเจ้าของหรือมีสิทธิ์ควบคุมทั้งหมดในไฟล์หรือโฟลเดอร์เพื่อเข้ารหัส ในการดำเนินการนี้ สิทธิ์ในการอ่านและเขียนก็เพียงพอแล้ว ซึ่งเป็นสิทธิ์เดียวกับที่จำเป็นในการเข้าถึงทรัพยากร เฉพาะผู้ใช้ที่เข้ารหัส (และบุคคลอื่นที่ผู้ใช้รายแรกตกลงที่จะแชร์ทรัพยากรด้วย) เท่านั้นที่สามารถเข้าถึงไฟล์หรือโฟลเดอร์ได้ ข้อยกเว้นทั่วไปเพียงอย่างเดียวคือตัวแทนการกู้คืนข้อมูล (DRA) ตามค่าเริ่มต้น (ในกรณีส่วนใหญ่) Windows จะกำหนดผู้ดูแลระบบเป็นตัวแทน DRA เพื่อให้ผู้ดูแลระบบสามารถเข้าถึงไฟล์หรือโฟลเดอร์ใดๆ ที่เข้ารหัสโดย EFS ในสภาพแวดล้อมของโดเมน DRA คือผู้ดูแลระบบโดเมน ในสภาพแวดล้อมที่ไม่ใช่โดเมน DRA คือผู้ดูแลระบบภายใน

คุณลักษณะการเข้ารหัสไฟล์และโฟลเดอร์จะเปิดใช้งานตามค่าเริ่มต้น แต่ผู้ใช้จะต้องเลือกแต่ละไฟล์หรือโฟลเดอร์ทีละรายการ (หรือโดยอ้อมผ่านกฎการสืบทอดปกติ) EFS กำหนดให้ไฟล์หรือโฟลเดอร์นั้นอยู่ในพาร์ติชันดิสก์ NTFS จากนั้น เพื่อปกป้องไฟล์หรือโฟลเดอร์ เพียงคลิกขวาที่ทรัพยากรใน Windows Explorer เลือก Properties จากนั้นคลิกที่ปุ่มขั้นสูงในแท็บทั่วไป (หมายเหตุ: อย่าคลิกปุ่มขั้นสูงบนแท็บความปลอดภัย) สุดท้ายนี้ คุณต้องทำเครื่องหมายในช่องเข้ารหัสเนื้อหาเพื่อความปลอดภัยของข้อมูล

หากคุณเลือกไฟล์ตั้งแต่หนึ่งไฟล์ขึ้นไป (ตรงข้ามกับโฟลเดอร์) EFS จะถามว่าจะเข้ารหัสเฉพาะไฟล์หรือโฟลเดอร์หลักและไฟล์ปัจจุบันหรือไม่ หากเลือกอย่างหลัง EFS จะทำเครื่องหมายโฟลเดอร์ว่าเข้ารหัส ไฟล์ทั้งหมดที่เพิ่มลงในโฟลเดอร์จะถูกเข้ารหัสตามค่าเริ่มต้น แม้ว่าไฟล์ใดๆ ที่อยู่ในโฟลเดอร์แต่ไม่ได้เลือกระหว่างการดำเนินการเข้ารหัส EFS จะยังคงไม่ถูกเข้ารหัสก็ตาม ในหลายกรณี ควรเข้ารหัสทั้งโฟลเดอร์แทนที่จะเข้ารหัสแต่ละไฟล์ โดยเฉพาะอย่างยิ่งเนื่องจากบางโปรแกรม (เช่น Microsoft Word) สร้างไฟล์ชั่วคราวในโฟลเดอร์เดียวกันกับไฟล์ที่เปิดอยู่ หลังจากที่โปรแกรมถูกยกเลิก (เช่น ในกรณีที่รีบูตฉุกเฉิน) ไฟล์ชั่วคราวมักจะไม่ถูกลบและแสดงในรูปแบบข้อความล้วนๆ ที่สามารถกู้คืนได้โดยบุคคลที่ไม่ได้รับอนุญาต

ตามค่าเริ่มต้น ในเวอร์ชัน XP Professional และใหม่กว่า EFS จะไฮไลต์ไฟล์ที่เข้ารหัสเป็นสีเขียว แต่การไฮไลต์สามารถยกเลิกการเลือกได้โดยเลือกตัวเลือกโฟลเดอร์จากเมนูเครื่องมือใน Windows Explorer จากนั้นล้างกล่องกาเครื่องหมายแสดงไฟล์ NTFS ที่เข้ารหัสหรือบีบอัดเป็นสี แท็บมุมมอง ในมุมมองรายละเอียดของ Windows Explorer ไฟล์บีบอัดจะมีแอตทริบิวต์ E ในคอลัมน์แอตทริบิวต์พร้อมกับแอตทริบิวต์ Archive (A) ปกติ ดังนั้นชุดของคุณลักษณะจะมีลักษณะเหมือน AE ควรสังเกตว่ากลไกในตัวของ Windows ไม่สามารถใช้เข้ารหัสและบีบอัดไฟล์พร้อมกันได้ แม้ว่าคุณจะสามารถบีบอัดไฟล์โดยใช้ยูทิลิตี้ของบริษัทอื่น เช่น WinZip หรือ PKZIP แล้วจึงเข้ารหัสไฟล์ที่บีบอัดได้

รหัสที่แข็งแกร่ง

EFS มีการเข้ารหัสที่รัดกุม - แข็งแกร่งมากจนหากคุณทำคีย์ส่วนตัว EFS หาย (ใช้ในการกู้คืนไฟล์ที่ได้รับการป้องกันโดยการเข้ารหัส EFS) ก็มีแนวโน้มว่าข้อมูลจะไม่สามารถอ่านได้อีกต่อไป หากตั้งค่า EFS อย่างถูกต้อง แม้แต่ผู้ดูแลระบบก็ไม่สามารถเข้าถึงไฟล์หรือโฟลเดอร์ที่เข้ารหัสได้ เว้นแต่ถูกกำหนดให้เป็นตัวแทน DRA

ปัจจุบันมีผลิตภัณฑ์อย่างน้อยหนึ่งรายการที่มีจำหน่ายในท้องตลาด นั่นคือ Advanced EFS Data Recovery (AEFSDR) จาก ElcomSoft ซึ่งอ้างว่าสามารถกู้คืนไฟล์ที่มีการป้องกันโดย EFS ได้ สิ่งที่โปรแกรมทำคือกู้คืนรหัสผ่านของผู้ดูแลระบบภายใน (กระบวนการง่ายๆ หากการกำหนดค่า Windows ได้รับการกำหนดค่าไม่ดี) ซึ่งสามารถใช้เพื่อดึงข้อมูลคีย์ส่วนตัว EFS ของผู้ดูแลระบบได้ ผู้ใช้ที่มีเครื่องมือในการแก้รหัสผ่านผู้ดูแลระบบสามารถดำเนินการใด ๆ ในระบบได้ การเข้าถึงไฟล์ที่ได้รับการป้องกันโดย EFS ของผู้ใช้ดังกล่าวจะถือเป็นปัญหาที่คุกคามองค์กรน้อยที่สุด ความเสี่ยงของการกู้คืนคีย์ส่วนตัว EFS ที่ไม่ได้รับอนุญาตจะลดลงโดยการกำหนดบทบาท DRA ในโดเมนให้กับบัญชีผู้ดูแลระบบโดเมน แทนที่จะเป็นบัญชีผู้ดูแลระบบในเครื่อง ซึ่งสามารถเดารหัสผ่านได้โดยใช้เครื่องมือถอดรหัสเกือบทุกชนิด XP มีนโยบายใหม่ที่ทำให้การโจมตีประเภทนี้ยากขึ้น หากเครื่องมือการกู้คืนไม่สามารถเรียกรหัสผ่านผู้ดูแลระบบปัจจุบันและถูกต้องได้ (เครื่องมือจำนวนมากรีเซ็ตรหัสผ่านแทนที่จะกู้คืน) การป้องกัน EFS จะยังคงมีผลอยู่

EFS ทำงานอย่างไร?

EFS ใช้การผสมผสานระหว่างการเข้ารหัสแบบสมมาตรและไม่สมมาตร ด้วยวิธีสมมาตร ไฟล์จะถูกเข้ารหัสและกู้คืนโดยใช้คีย์เดียว วิธีที่ไม่สมมาตรใช้คีย์สาธารณะสำหรับการเข้ารหัสและคีย์ที่สอง แต่เกี่ยวข้องกับคีย์ส่วนตัวสำหรับการกู้คืนข้อมูล หากผู้ใช้ที่ได้รับสิทธิ์ในการกู้คืนข้อมูลไม่เปิดเผยคีย์ส่วนตัวให้กับใครก็ตาม ทรัพยากรที่ได้รับการป้องกันจะไม่ตกอยู่ในความเสี่ยง

EFS ถูกเปิดใช้งานตามค่าเริ่มต้นบนระบบ Windows 2000 และใหม่กว่าทั้งหมด เมื่อมีคนใช้ EFS เป็นครั้งแรกเพื่อปกป้องไฟล์หรือโฟลเดอร์ Windows จะตรวจสอบว่าเซิร์ฟเวอร์ PKI (โครงสร้างพื้นฐานคีย์สาธารณะ) พร้อมใช้งานที่สามารถสร้างใบรับรองดิจิทัล EFS ได้ บริการใบรับรองใน Windows 2003 และ Windows 2000 สามารถสร้างใบรับรอง EFS ได้ เช่นเดียวกับผลิตภัณฑ์ PKI ของบริษัทอื่นบางรายการ หาก Windows ตรวจไม่พบผู้ให้บริการ PKI ที่ยอมรับได้ ระบบปฏิบัติการจะสร้างและลงนามใบรับรอง EFS ด้วยตนเองสำหรับผู้ใช้ (รูปที่ 1) ใบรับรอง EFS ที่ลงนามด้วยตนเองมีอายุการเก็บรักษา 100 ปี ซึ่งนานกว่าอายุการใช้งานของผู้ใช้ใดๆ มาก

หาก Windows ตรวจพบเซิร์ฟเวอร์ Certificate Services ระบบจะสร้างและส่งใบรับรองสองปีให้กับผู้ใช้โดยอัตโนมัติ อาจเป็นเพราะหากองค์กรมีบริการ PKI ภายใน เซิร์ฟเวอร์ PKI จะสามารถออกและต่ออายุใบรับรอง EFS ได้อย่างง่ายดายหลังจากที่ใบรับรองเดิมหมดอายุ ไม่ว่าในกรณีใด คุณสามารถดูใบรับรอง EFS ได้โดยขยาย Microsoft Management Console (MMC) ด้วยสแน็ปอินใบรับรอง และดูในคอนเทนเนอร์ส่วนบุคคล

คีย์ส่วนตัวของผู้ใช้ EFS (ซึ่งเปิดไฟล์ที่มีการป้องกัน EFS) จะถูกเข้ารหัสด้วยคีย์หลักของผู้ใช้ และจัดเก็บไว้ในโปรไฟล์ของผู้ใช้ภายใต้เอกสารและการตั้งค่า ข้อมูลแอปพลิเคชัน Microsoft, Crypto, RSA หากคุณใช้โปรไฟล์ข้ามเขต คีย์ส่วนตัวจะอยู่ในโฟลเดอร์ RSA บนตัวควบคุมโดเมน (DC) และจะถูกดาวน์โหลดลงในคอมพิวเตอร์ของผู้ใช้ในระหว่างขั้นตอนการลงทะเบียน คีย์หลักถูกสร้างขึ้นโดยใช้รหัสผ่านผู้ใช้ปัจจุบันและอัลกอริทึม RC4 56-, 128- หรือ 512 บิต บางทีสิ่งที่สำคัญที่สุดที่ควรรู้เกี่ยวกับ EFS ก็คือคีย์ส่วนตัวของผู้ใช้ EFS จะอยู่ในโปรไฟล์และได้รับการป้องกันโดยคีย์หลักที่ได้มาจากรหัสผ่านปัจจุบันของผู้ใช้ โปรดทราบว่าความรัดกุมของการเข้ารหัส EFS นั้นพิจารณาจากความรัดกุมของรหัสผ่านของผู้ใช้ หากผู้โจมตีคาดเดารหัสผ่านของผู้ใช้ EFS หรือเข้าสู่ระบบในฐานะผู้ใช้ที่ถูกต้อง รอยแตกจะปรากฏขึ้นในการรักษาความปลอดภัยของ EFS

หากรหัสผ่านของผู้ใช้สูญหายหรือถูกรีเซ็ต (แต่ผู้ใช้ไม่ได้เปลี่ยน) การเข้าถึงไฟล์ที่มีการป้องกัน EFS ทั้งหมดอาจสูญหาย ด้วยเหตุนี้ จึงควรเก็บสำเนาคีย์ส่วนตัวของผู้ใช้ EFS ไว้ใน Remote Vault ที่ปลอดภัยตั้งแต่ 2 แห่งขึ้นไป หรือควรกำหนด DRA อย่างน้อย 1 ตัว (และคีย์ส่วนตัวของพวกเขาจะถูกส่งออกและสำรองข้อมูลไปยัง Vault ระยะไกลที่ปลอดภัยแยกกันตั้งแต่ 2 แห่งขึ้นไป) การไม่ปฏิบัติตามกฎเหล่านี้อาจส่งผลให้ข้อมูลสูญหาย

เมื่อไฟล์หรือโฟลเดอร์ถูกเข้ารหัสเป็นครั้งแรก Windows จะสร้างคีย์สมมาตรแบบสุ่มโดยใช้ Data Encryption Standard X 128 บิต (DESX - ค่าเริ่มต้นบน XP และ Windows 2000) หรือ Advanced Encryption Standard 256 บิต (AES - บน Windows 2003 XP) โปร Service Pack 1) โดยทั่วไปอัลกอริธึมทั้งสองจะได้รับการยอมรับโดยทั่วไปว่าเป็นมาตรฐานของรัฐบาล แม้ว่าอัลกอริธึมที่สองจะทันสมัยกว่าและแนะนำให้ใช้ก็ตาม คุณยังสามารถเปิดใช้งานมาตรฐานการเข้ารหัสแบบสมมาตรของรัฐบาลแบบเก่าอย่าง Triple DES (3DES) 168 บิตได้ หากนโยบายขององค์กรของคุณกำหนดให้มีการใช้ สำหรับข้อมูลเพิ่มเติม โปรดดูบทความ Microsoft “ไฟล์ Encrypting File System (EFS) ปรากฏเสียหายเมื่อคุณเปิดไฟล์” ( http://support.microsoft.com/default.aspx?scid=kb;en-us;329741&sd=tech- คีย์สมมาตรที่สร้างขึ้นแบบสุ่มเรียกว่าคีย์การเข้ารหัสไฟล์ (FEK) คีย์นี้เป็นคีย์เดียวที่ Windows ใช้ในการเข้ารหัสไฟล์และโฟลเดอร์ โดยไม่คำนึงถึงจำนวนคนที่เข้าถึงทรัพยากรที่ได้รับการป้องกันโดย EFS

เมื่อเสร็จแล้ว Windows จะเข้ารหัส FEK โดยใช้คีย์สาธารณะ RSA EFS 1024 บิต และจัดเก็บ FEK ไว้ในแอตทริบิวต์เพิ่มเติมของไฟล์ หากมีการกำหนด DRA ระบบปฏิบัติการจะจัดเก็บสำเนา FEK ที่เข้ารหัสอีกชุดหนึ่งไว้ด้วยคีย์ EFS สาธารณะของ DRA จากนั้น Windows จะบันทึกอินสแตนซ์ที่เข้ารหัสของ FEK ลงในไฟล์ ใน XP และเวอร์ชันใหม่กว่า ผู้ใช้หลายคนสามารถให้ EFS เข้าถึงไฟล์หรือโฟลเดอร์เฉพาะได้ ผู้ใช้ที่ได้รับอนุญาตแต่ละรายจะมี FEK ของตนเอง ซึ่งเข้ารหัสด้วยคีย์สาธารณะ EFS ที่ไม่ซ้ำใคร ใน Windows 2000 คุณสามารถกำหนด DRA ได้เพียงตัวเดียวเท่านั้น

หากผู้ใช้ที่ได้รับอนุญาตเข้าถึงไฟล์ที่ได้รับการป้องกัน Windows จะกู้คืนอินสแตนซ์ของ FEK ที่เข้ารหัสโดยใช้คีย์ EFS ส่วนตัวที่เกี่ยวข้องกับผู้ใช้ จากนั้นเมื่อใช้ FEK ไฟล์ที่เข้ารหัสจะถูกปลดล็อค ต่างจาก EFS เวอร์ชันแรกใน Windows 2000 ตรงที่ปัจจุบัน EFS จัดการไฟล์และโฟลเดอร์ที่เข้ารหัสทั้งหมดในหน่วยความจำได้อย่างปลอดภัย ดังนั้นจึงไม่มีส่วนของข้อความล้วนเหลืออยู่บนดิสก์ที่สามารถกู้คืนอย่างผิดกฎหมายได้

การแชร์ไฟล์ EFS

ใน Windows 2000 ผู้ใช้เพียงรายเดียวเท่านั้นที่สามารถป้องกันไฟล์ด้วย EFS ได้ในแต่ละครั้ง แต่ใน XP Pro และใหม่กว่า ผู้ใช้หลายคนสามารถแชร์ไฟล์ EFS ที่ได้รับการป้องกันได้ เมื่อทำงานร่วมกัน ผู้ใช้คนแรกที่ปกป้องไฟล์หรือโฟลเดอร์จะควบคุมการเข้าถึงของผู้อื่น หลังจากรักษาความปลอดภัยไฟล์หรือโฟลเดอร์ในขั้นต้นแล้ว ผู้ใช้สามารถระบุผู้ใช้เพิ่มเติมได้โดยคลิกปุ่มรายละเอียด (รูปที่ 2) ไม่จำกัดจำนวนผู้ใช้ที่เพิ่ม ผู้ใช้แต่ละคนมีสำเนา FEK ของตนเอง ซึ่งเข้ารหัสด้วยคีย์ EFS นวัตกรรม XP นี้สะดวกมากสำหรับการแชร์ไฟล์ที่มีการป้องกัน EFS ระหว่างกลุ่มผู้ใช้ ขออภัย การทำงานร่วมกันสามารถทำได้ในระดับไฟล์แต่ละไฟล์เท่านั้น ไม่ใช่โฟลเดอร์ ผู้ใช้ต้องเข้ารหัสไฟล์หรือโฟลเดอร์เดียวหรือได้รับใบรับรอง EFS ก่อนจึงจะสามารถกำหนดให้กับผู้ใช้เพิ่มเติมได้

ตัวแทนดีอาร์เอ

การลบโปรไฟล์ผู้ใช้ทำได้ง่ายมาก และผู้ดูแลระบบมักจะรีเซ็ตรหัสผ่านผู้ใช้ ดังนั้นผู้ดูแลระบบเครือข่ายควรสำรองคีย์ EFS หรือกำหนด DRA อย่างน้อยหนึ่งรายการ คุณสามารถรับสำเนาสำรองของคีย์ส่วนตัว EFS ของผู้ใช้ได้โดยเข้าไปที่ใบรับรองดิจิทัล EFS ในคอนโซลใบรับรอง และเลือกช่องทำเครื่องหมายคัดลอกไปยังไฟล์บนแท็บรายละเอียด ใน XP Pro และเวอร์ชันใหม่กว่า คุณยังสามารถใช้ปุ่มคีย์สำรอง ซึ่งอยู่ใต้ปุ่มรายละเอียดในส่วนการแชร์ไฟล์ EFS ผู้ชื่นชอบบรรทัดคำสั่งสามารถใช้คำสั่งได้

Cipher.exe /x

เพื่อรับสำเนาสำรองของคีย์ EFS ใน Windows 2003 รวมถึงใน XP Pro SP1 และเวอร์ชันที่ใหม่กว่า เมื่อตอบสนองต่อข้อความแจ้งที่ตามมา คุณสามารถทำสำเนาและ/หรือส่งออกคีย์ส่วนตัวที่เกี่ยวข้องได้ คุณไม่ควรลบคีย์ส่วนตัวของผู้ใช้ EFS ดังที่ Windows แนะนำให้คุณทำระหว่างการส่งออก เนื่องจากจะป้องกันไม่ให้ผู้ใช้ถอดรหัสไฟล์ที่ได้รับการป้องกัน หลังจากที่คุณส่งออกคีย์ส่วนตัวแล้ว คุณควรจัดเก็บคีย์ไว้ในที่เก็บข้อมูลออฟไลน์ที่แยกจากกันสองแห่ง การสำรองข้อมูลคีย์ส่วนตัว EFS ของผู้ใช้แต่ละรายต้องใช้แรงงานมาก เริ่มตั้งแต่ Windows 2000 Microsoft อนุญาตให้คุณเลือกตัวแทน DRA ทุกครั้งที่มีคนเข้ารหัสไฟล์หรือโฟลเดอร์ DRA จะได้รับอินสแตนซ์ของ FEK โดยอัตโนมัติ ใน Windows 2000 (โหมดเวิร์กกรุ๊ปหรือโดเมน), XP (โหมดโดเมนเท่านั้น) และ Windows 2003 (โหมดเวิร์กกรุ๊ปหรือโดเมน) DRA เริ่มต้นจะถูกตั้งค่าเป็นผู้ดูแลระบบ แม้ว่าผู้ดูแลระบบสามารถเปลี่ยนบัญชีผู้ใช้ที่กำหนดให้กับบทบาท DRA ได้ ขออภัย ในโหมดเวิร์กกรุ๊ป XP ไม่มีการกำหนดเอเจนต์ DRA การตัดสินใจครั้งนี้เกิดขึ้นเพื่อตอบสนองต่อการวิพากษ์วิจารณ์ว่าไฟล์ที่ได้รับการป้องกันโดย EFS มีความเสี่ยงหากรหัสผ่านของผู้ดูแลระบบถูกบุกรุก น่าเสียดายที่ระบบ XP Pro จำนวนมากทำงานในโหมดเวิร์กกรุ๊ป และสิ่งที่ต้องทำก็แค่รีเซ็ตรหัสผ่านหรือโปรไฟล์เสียหายเพื่อให้ผู้ใช้ EFS ทุกคนสูญเสียไฟล์ของตน เมื่อใช้ EFS (โปรดจำไว้ว่าจะเปิดใช้งานตามค่าเริ่มต้นและพร้อมใช้งานสำหรับผู้ใช้) คุณควรตรวจสอบให้แน่ใจว่าผู้ใช้ EFS ได้ทำสำเนาคีย์ส่วนตัวหรือมีการกำหนด DRA อย่างน้อยหนึ่งรายการ

หากคุณวางแผนที่จะกำหนดบทบาท DRA ให้กับบัญชีผู้ใช้อื่นที่ไม่ใช่บัญชีผู้ดูแลระบบเริ่มต้น ผู้สืบทอดจะต้องได้รับการรับรอง EFS Recovery Agent สามารถขอใบรับรอง EFS Recovery Agent ได้จาก Certificate Services หรือติดตั้งจากผลิตภัณฑ์ PKI ของบริษัทอื่น หากมีการปรับใช้บริการใบรับรอง Windows 2003 คุณสามารถใช้ Key Recovery Agents แทน DRA ได้ ในที่สุด Key Recovery Agents จะกู้คืนคีย์ที่สูญหายแทนการกู้คืนไฟล์โดยตรง

แตกต่างจากคีย์ส่วนตัวของผู้ใช้ EFS ทั่วไป คีย์ EFS ส่วนตัวของตัวแทน DRA ควรถูกส่งออกและลบออกจากคอมพิวเตอร์ หากคีย์ส่วนตัวของตัวแทน DRA ถูกขโมย ไฟล์ทั้งหมดที่มี FEK ที่ได้รับการป้องกันโดยคีย์สาธารณะ DRA อาจกลายเป็นช่องโหว่ ดังนั้นควรส่งออกและจัดเก็บคีย์อย่างปลอดภัยในสถานที่จัดเก็บข้อมูลระยะไกลสองแห่ง หากคุณต้องการคีย์เพื่อกู้คืนไฟล์ที่เข้ารหัส คุณสามารถนำเข้าและใช้คีย์ส่วนตัวได้อย่างง่ายดาย

แม้ว่าผู้ดูแลระบบมักจะถูกกำหนดให้เป็น DRA ตามค่าเริ่มต้น คุณควรเตรียมบัญชีผู้ใช้หนึ่งหรือสองบัญชีโดยเฉพาะซึ่งไม่น่าจะถูกลบไม่ว่าในสถานการณ์ใดๆ คีย์สาธารณะของ DRA ยังคัดลอกและปกป้อง FEK แต่ละรายการ ดังนั้น หากบัญชีผู้ใช้ DRA ถูกลบโดยไม่ตั้งใจหรือรีเซ็ตรหัสผ่าน การกู้คืน FEK ที่ป้องกันโดย DRA เป็นเรื่องยาก หากบัญชีผู้ใช้ที่มีสถานะ DRA มีการเปลี่ยนแปลง อาจเป็นไปได้ว่าไฟล์ที่ได้รับการป้องกันโดย EFS จะมี FEK ที่ได้รับการป้องกันด้วยคีย์ DRA เก่า เมื่อ Windows เข้าถึงไฟล์ FEK ที่มีการป้องกันด้วย DRA จะได้รับการอัปเดตด้วยคีย์ DRA ล่าสุด อย่างไรก็ตาม คุณสามารถใช้คำสั่ง Cipher เพื่อบังคับให้อัปเดต FEK ทั้งหมดจำนวนมากโดยใช้คีย์ DRA ปัจจุบัน ไม่ว่าคีย์ส่วนตัว DRA จะถูกส่งออกและลบออกจากระบบหรือไม่ก็ตาม สิ่งสำคัญมากคือต้องรักษาสำเนาของใบรับรองการกู้คืน DRA ไว้ในที่จัดเก็บข้อมูลนอกสถานที่ที่ปลอดภัยตั้งแต่สองแห่งขึ้นไป

หมายเหตุเพิ่มเติม

EFS ไม่ป้องกันไฟล์ที่คัดลอกผ่านเครือข่าย Windows คัดลอกไฟล์ทั้งหมดที่เปิดบนเครือข่ายที่ใช้ร่วมกันในรูปแบบข้อความล้วนๆ หากคุณต้องการเข้ารหัสไฟล์แบบเรียลไทม์ที่จัดเก็บไว้ในดิสก์และคัดลอกผ่านเครือข่าย คุณควรใช้วิธีการรักษาความปลอดภัยอื่น เช่น IP Security (IPsec), Secure Sockets Layer (SSL) หรือ WWW Distributed Authoring and Versioning (WebDAV) นอกจากนี้ ใน XP และเวอร์ชันที่ใหม่กว่า คุณสามารถเปิดใช้งานการป้องกัน EFS สำหรับไฟล์ออฟไลน์ได้

EFS เป็นกลไกการรักษาความปลอดภัยในพื้นที่ ได้รับการออกแบบมาเพื่อเข้ารหัสไฟล์ในไดรฟ์ในเครื่อง หากต้องการใช้ EFS เพื่อปกป้องไฟล์ที่จัดเก็บไว้ในดิสก์ของคอมพิวเตอร์ระยะไกล จะต้องมีความสัมพันธ์ที่เชื่อถือได้ระหว่างเครื่องเหล่านั้นเพื่อมอบหมายสิทธิ์ ผู้ใช้แล็ปท็อปมักใช้ EFS สำหรับทรัพยากรเซิร์ฟเวอร์ไฟล์ หากต้องการใช้ EFS บนเซิร์ฟเวอร์ คุณต้องเลือกกล่องกาเครื่องหมาย เชื่อถือคอมพิวเตอร์เครื่องนี้สำหรับการมอบหมายบริการใดๆ (Kerberos เท่านั้น) หรือ เชื่อถือคอมพิวเตอร์เครื่องนี้สำหรับการมอบหมายบริการที่ระบุเท่านั้น ในบัญชีคอมพิวเตอร์ของเซิร์ฟเวอร์ (รูปที่ 3)

คุณสามารถป้องกันไม่ให้ผู้ใช้ใช้ EFS ได้โดยการบล็อกโดยใช้นโยบายกลุ่ม คุณควรเลือกคอนเทนเนอร์การกำหนดค่าคอมพิวเตอร์ คลิกขวาที่การตั้งค่า Windows และเลือกการตั้งค่าความปลอดภัย นโยบายคีย์สาธารณะ การเข้ารหัสระบบไฟล์ จากนั้น คุณสามารถล้างช่องทำเครื่องหมายอนุญาตให้ผู้ใช้เข้ารหัสไฟล์โดยใช้ EFS ได้ คุณสามารถเปิดหรือปิดใช้งาน EFS ในแต่ละหน่วยองค์กร (OU)

ก่อนที่จะใช้ EFS คุณต้องตรวจสอบให้แน่ใจว่าแอปพลิเคชันของคุณเข้ากันได้กับ EFS และ EFS API หากแอปพลิเคชันเข้ากันไม่ได้ ไฟล์ที่ได้รับการป้องกันโดย EFS อาจเสียหายหรือแย่กว่านั้นคือไม่ได้รับการป้องกันโดยไม่ได้รับอนุญาตอย่างเหมาะสม ตัวอย่างเช่น หากคุณบันทึกและแก้ไขไฟล์ที่ได้รับการป้องกันโดย EFS โดยใช้ edit.com (ไฟล์ปฏิบัติการ 16 บิต) จาก Windows ผู้ใช้เพิ่มเติมทั้งหมดจะไม่สามารถเข้าถึงไฟล์นี้ได้ แอปพลิเคชัน Microsoft ส่วนใหญ่ (รวมถึง Microsoft Office, Notepad และ Wordpad) สามารถใช้งานร่วมกับ EFS ได้อย่างสมบูรณ์

หากผู้ใช้ที่ได้รับอนุญาตคัดลอกไฟล์ที่มีการป้องกัน EFS ไปยังพาร์ติชัน FAT การป้องกัน EFS จะถูกลบออก ผู้ใช้ที่ไม่ได้รับอนุญาตไม่ควรได้รับอนุญาตให้ย้ายหรือคัดลอกไฟล์ไปยังพาร์ติชัน Windows ใด ๆ ผู้ใช้ที่ไม่ได้รับอนุญาตสามารถบู๊ตได้ นอกเหนือจากระบบอนุญาต Windows NTFS โดยใช้ฟล็อปปี้ดิสก์สำหรับบู๊ตหรือโปรแกรมซีดีรอมที่อนุญาตให้คุณเมานต์การแบ่งปัน NTFS (เช่น Knoppix, NTFSDOS, ฟล็อปปี้ดิสก์สำหรับบูต Peter Nordahl-Hagen) เป็นผลให้เขาสามารถคัดลอกหรือย้ายไฟล์ได้ แต่หากเขาไม่มีคีย์ EFS ของผู้ใช้ที่ได้รับอนุญาต ไฟล์นั้นจะยังคงถูกเข้ารหัส

แนวทางปฏิบัติที่ดีที่สุด

ต่อไปนี้เป็นแนวปฏิบัติที่ดีที่สุดสำหรับการทำงานกับ EFS

  1. กำหนดหมายเลขและระบุบัญชี DRA
  2. สร้างใบรับรอง DRA สำหรับบัญชี DRA
  3. นำเข้าใบรับรอง DRA ไปยัง Active Directory (AD)
  4. ส่งออกและลบคีย์ส่วนตัว DRA โดยจัดเก็บไว้ในห้องนิรภัยออฟไลน์ที่ปลอดภัยแยกกันสองแห่ง
  5. แนะนำผู้ใช้ให้รู้จักวิธีการสมัครและคุณสมบัติของ EFS
  6. ทดสอบการกู้คืนไฟล์ DRA เป็นระยะ
  7. หากจำเป็น ให้รันคำสั่ง Cipher ด้วยพารามิเตอร์ /u เป็นระยะๆ เพื่ออัปเดต FEK สำหรับ DRA ที่เพิ่มหรือลบออก

EFS เป็นวิธีการเข้ารหัสไฟล์และโฟลเดอร์ที่เชื่อถือได้และปลอดภัยบนระบบ Windows 2000 และใหม่กว่า ผู้ดูแลระบบเครือข่ายควรสร้างและบังคับใช้นโยบาย DRA และให้ความรู้แก่ผู้ใช้เกี่ยวกับคุณประโยชน์และข้อจำกัดของ EFS

โรเจอร์ กริมส์- บรรณาธิการ Windows IT Pro และที่ปรึกษาด้านความปลอดภัย เขามีใบรับรอง CPA, CISSP, CEH, CHFI, TICSA, MCT, MCSE: Security and Security+

ฉันยอมรับตามตรงว่ามีข่าวลือมากมายเกี่ยวกับเลนส์ Canon บนอินเทอร์เน็ต จนกระทั่งเมื่อไม่นานมานี้ฉันเองก็เข้าใจผิดเกี่ยวกับความแตกต่างระหว่างเลนส์ EF และ EF-S ในบทความนี้ฉันพยายามรวบรวมข้อมูลบางอย่างเกี่ยวกับพวกเขาซึ่งจะช่วยในการตัดสินใจเลือกการแก้ไขอย่างใดอย่างหนึ่งยุติข้อพิพาทและขจัดความเชื่อผิด ๆ บางอย่าง

ก่อนอื่นเรามาถอดรหัสตัวย่อ EF กันก่อน - มาจากวลี Electro-Focus (“ Electrofocus”) ด้วยเมาท์ EF มาพร้อมกับระบบโฟกัสอัตโนมัติที่ติดตั้งอยู่ในออปติก เช่น ไม่มีส่วนที่เคลื่อนไหวระหว่างเลนส์และกล้อง มีเพียงส่วนสัมผัสเท่านั้น และมอเตอร์ไฟฟ้าในเลนส์มีหน้าที่ในการโฟกัสและรูรับแสง อย่างไรก็ตาม เลนส์ซีรีส์ EF ตัวแรกปรากฏขึ้นในปี 1987

EF-S เป็นการดัดแปลงเมาท์สำหรับกล้องที่มีเมทริกซ์รูปแบบ APS-C ซึ่งพัฒนาขึ้นในปี 2546 "S" ย่อมาจาก Short Back Focus ชิ้นเลนส์สุดท้ายในเลนส์ประเภทนี้จะอยู่ใกล้กับเมทริกซ์มากกว่าเลนส์ EF เพื่อการเปรียบเทียบ ฉันจะให้ภาพของเลนส์สองตัวที่มีการปรับเปลี่ยนเมาท์ที่แตกต่างกัน

เลนส์ซ้าย EF, ขวา EF-S

อย่างที่คุณเห็น เลนส์ตัวสุดท้ายจะอยู่หลังเกลียวเมาท์ที่เลนส์ด้านขวา เช่น เมื่อติดตั้งเข้ากับตัวกล้องจะอยู่ใกล้กับเมทริกซ์มากขึ้นอย่างเห็นได้ชัด อันที่จริงนี่เป็นเพียงข้อแตกต่างที่สำคัญมากเท่านั้น ความจริงก็คือเลนส์ EF-S ไม่สามารถใช้กับกล้องฟูลเฟรมได้ แม้ว่าเมาท์จะเข้ากันได้ แต่เลนส์ที่ยื่นออกมาก็อาจทำให้กระจกกล้องเสียหายได้ นอกจากนี้ เลนส์ EF ยังเข้ากันได้และสามารถใช้ได้กับกล้อง Canon EOS (DSLR) ทุกรุ่น

สำหรับกล้องรูปแบบ APS-C จะต้องปรับทางยาวโฟกัสของเลนส์ ในการคำนวณทางยาวโฟกัสเทียบเท่ากับที่ได้รับจากเซนเซอร์ฟูลฟอร์แมต คุณต้องคูณค่าที่ระบุบนเลนส์ด้วย 1.6 มีความเห็นอย่างกว้างขวางบนอินเทอร์เน็ตว่าไม่จำเป็นสำหรับซีรี่ส์ EF-S และค่าที่แท้จริงจะถูกระบุบนเลนส์โดยคำนึงถึงการคำนวณใหม่แล้ว นี่เป็นสิ่งที่ผิด ตามตัวอย่าง ฉันจะให้คำอธิบายของเลนส์ Canon EF-S 18-55 มม. f/3.5-5.6 IS II ใหม่จากเว็บไซต์อย่างเป็นทางการของบริษัท:

EF-S 18-55mm f/3.5-5.6 IS II เป็นเลนส์ซูมมาตรฐานคุณภาพสูงที่จะดึงดูดช่างภาพที่ชื่นชอบการเดินทางแบบเบาๆ ด้วยทางยาวโฟกัสเทียบเท่า 29-88 มม. ในรูปแบบ 35 มม....

อย่างที่คุณเห็น สำหรับเลนส์เหล่านี้ จะใช้การแปลงทางยาวโฟกัสมาตรฐาน และ 18-55 จะกลายเป็น 29-88 มม. มีคำถามเชิงตรรกะอย่างสมบูรณ์: ทำไมต้องกังวลกับสวนทั้งหมดนี้? ความจริงก็คือการออกแบบนี้ทำให้สามารถสร้างเลนส์ที่เบาและเล็กลงได้ นี่เป็นไปตามข้อมูลของ Canon แต่ในความเป็นจริง เป็นไปได้ค่อนข้างมากที่จะทำเช่นนี้เพื่อไม่ให้ใช้เลนส์ราคาถูกกับอุปกรณ์ฟูลเฟรมราคาแพง

สิ่งที่น่าสนใจอีกอย่างหนึ่ง: ทั้ง EF และ EF-S ไม่ได้รับใบอนุญาตจากผู้ผลิตเลนส์บุคคลที่สาม เช่น Sigma หรือ Tamron แม้ว่าผู้ผลิตเหล่านี้จะอ้างว่าสามารถใช้งานร่วมกันได้ 100% แต่ Canon ก็ไม่ได้ให้การรับประกันดังกล่าว ดังนั้นในการซื้อเลนส์ที่ไม่มียี่ห้อ จะต้องได้รับการทดสอบอย่างระมัดระวังเป็นพิเศษ

เรามาสรุปเกี่ยวกับเลนส์ Canon กันดีกว่า:

  • ทางยาวโฟกัสของกล้อง APS-C ได้รับการคำนวณใหม่สำหรับเลนส์ทุกประเภท
  • เลนส์มุมกว้างพิเศษในกล้องครอปใช้ได้เฉพาะกับเลนส์ EF-S 10-22 มม. เท่านั้น
  • น่าเสียดายที่ฟิชอายในกล้องที่ครอบตัดไม่สามารถใช้งานได้เลย
  • เลนส์ EF เหมาะสำหรับกล้อง Canon ทุกรุ่น
  • เมื่ออัพเกรดจากกล้อง APS-C เป็นฟูลเฟรม คุณจะไม่สามารถใช้เลนส์ EF-S ได้

หากคุณวางแผนที่จะอัพเกรดเป็นกล้องฟูลเฟรมในอนาคต ให้พิจารณาซื้อเลนส์ล่วงหน้า

เพื่อปกป้องข้อมูลที่อาจละเอียดอ่อนจากการเข้าถึงโดยไม่ได้รับอนุญาตเมื่อเข้าถึงคอมพิวเตอร์และดิสก์ทางกายภาพ

การตรวจสอบสิทธิ์ผู้ใช้และสิทธิ์การเข้าถึงทรัพยากรใน NT จะทำงานเมื่อระบบปฏิบัติการถูกบูท แต่เมื่อเข้าถึงระบบทางกายภาพ ก็สามารถบู๊ตระบบปฏิบัติการอื่นเพื่อหลีกเลี่ยงข้อจำกัดเหล่านี้ได้ EFS ใช้การเข้ารหัสแบบสมมาตรเพื่อปกป้องไฟล์ รวมถึงการเข้ารหัสคู่คีย์สาธารณะ/ส่วนตัวเพื่อปกป้องคีย์การเข้ารหัสที่สร้างแบบสุ่มสำหรับแต่ละไฟล์ ตามค่าเริ่มต้น คีย์ส่วนตัวของผู้ใช้จะได้รับการปกป้องโดยการเข้ารหัสรหัสผ่านผู้ใช้ และความปลอดภัยของข้อมูลจะขึ้นอยู่กับระดับความปลอดภัยของรหัสผ่านของผู้ใช้

รายละเอียดงาน

EFS ทำงานโดยการเข้ารหัสแต่ละไฟล์โดยใช้อัลกอริธึมการเข้ารหัสแบบสมมาตร ขึ้นอยู่กับเวอร์ชันของระบบปฏิบัติการและการตั้งค่า (เริ่มต้นด้วย Windows XP ในทางทฤษฎีแล้ว เป็นไปได้ในทางทฤษฎีที่จะใช้ไลบรารีของบุคคลที่สามเพื่อเข้ารหัสข้อมูล) สิ่งนี้ใช้คีย์ที่สร้างแบบสุ่มสำหรับแต่ละไฟล์ที่เรียกว่า คีย์การเข้ารหัสไฟล์(FEK) ทางเลือกของการเข้ารหัสแบบสมมาตรในขั้นตอนนี้อธิบายได้จากความเร็วและความน่าเชื่อถือที่มากขึ้นเมื่อเทียบกับการเข้ารหัสแบบอสมมาตร

FEK (คีย์เข้ารหัสแบบสมมาตรแบบสุ่มสำหรับแต่ละไฟล์) ได้รับการป้องกันโดยการเข้ารหัสแบบไม่สมมาตรโดยใช้คีย์สาธารณะของผู้ใช้ที่เข้ารหัสไฟล์และอัลกอริทึม RSA (ตามทฤษฎี คุณสามารถใช้อัลกอริธึมการเข้ารหัสแบบไม่สมมาตรอื่นๆ ได้) FEK ที่เข้ารหัสด้วยวิธีนี้จะถูกจัดเก็บไว้ในสตรีมสำรอง $EFS ของระบบไฟล์ NTFS ในการถอดรหัสข้อมูล ไดรเวอร์ระบบไฟล์ที่เข้ารหัสจะถอดรหัส FEK อย่างโปร่งใสโดยใช้คีย์ส่วนตัวของผู้ใช้ จากนั้นจึงดาวน์โหลดไฟล์ที่ต้องการโดยใช้คีย์ไฟล์ที่ถอดรหัส

เนื่องจากการเข้ารหัส/ถอดรหัสไฟล์เกิดขึ้นโดยใช้ไดรเวอร์ระบบไฟล์ (โดยพื้นฐานแล้วเป็นส่วนเสริมของ NTFS) จึงเกิดขึ้นอย่างโปร่งใสต่อผู้ใช้และแอปพลิเคชัน เป็นที่น่าสังเกตว่า EFS จะไม่เข้ารหัสไฟล์ที่ถ่ายโอนผ่านเครือข่าย ดังนั้นเพื่อปกป้องข้อมูลที่ถ่ายโอน คุณต้องใช้โปรโตคอลการปกป้องข้อมูลอื่น (IPSec หรือ WebDAV)

อินเทอร์เฟซสำหรับการโต้ตอบกับ EFS

หากต้องการทำงานกับ EFS ผู้ใช้มีตัวเลือกในการใช้อินเทอร์เฟซ Explorer แบบกราฟิกหรือยูทิลิตีบรรทัดคำสั่ง

การใช้ GUI

ในการเข้ารหัสไฟล์หรือโฟลเดอร์ที่มีไฟล์ ผู้ใช้สามารถใช้กล่องโต้ตอบคุณสมบัติไฟล์หรือโฟลเดอร์ที่เกี่ยวข้องได้โดยทำเครื่องหมายหรือยกเลิกการเลือกช่องทำเครื่องหมาย "เข้ารหัสเนื้อหาเพื่อปกป้องข้อมูล" สำหรับไฟล์ที่เริ่มต้นจาก Windows XP คุณสามารถเพิ่มคีย์สาธารณะได้ ของผู้ใช้รายอื่นซึ่งจะสามารถถอดรหัสไฟล์นี้และทำงานกับเนื้อหาในไฟล์ได้ (หากคุณมีสิทธิ์ที่เหมาะสม) เมื่อเข้ารหัสโฟลเดอร์ ไฟล์ทั้งหมดในโฟลเดอร์นั้นจะถูกเข้ารหัส รวมถึงไฟล์ที่จะวางไว้ในภายหลัง


มูลนิธิวิกิมีเดีย

2010.

    ดูว่า "EFS" ในพจนานุกรมอื่น ๆ คืออะไร:อีเอฟเอส

    - มีไว้สำหรับ: EFS Flug Service, ein deutsches Charterflugunternehmen EFS Hausgeräte, eine Haushaltsgerätefirma Encrypting File System, System für Dateiverschlüssung บน Microsoft Windows EFS Euro Finanz Service Vermittlungs AG (EFS AG), ein... … Deutsch Wikipediaเอฟเอส

    ดูว่า "EFS" ในพจนานุกรมอื่น ๆ คืออะไร:- รองรับระบบไฟล์, ระบบไฟล์เข้ารหัส (EFS) เป็นระบบไฟล์เก็บถาวร, ระบบไฟล์ NTFS และไฟล์ระบบอื่น ๆ มีจำหน่ายสำหรับ Microsoft Windows 2000 รุ่นหลัง La tecnología… … Wikipedia Español

    ดูว่า "EFS" ในพจนานุกรมอื่น ๆ คืออะไร:- อาจหมายถึงสิ่งใดสิ่งหนึ่งต่อไปนี้: *Electronic Filing System ซึ่งเป็นแพลตฟอร์มอิเล็กทรอนิกส์โดยฝ่ายตุลาการของสิงคโปร์ *Emergency Fire Service ปัจจุบันคือ Country Fire Service (ออสเตรเลีย) *Emperor of the Fading Suns ซึ่งเป็นวิดีโอเกมแนววางแผนที่ผลัดตาเดิน… … Wikipedia

    ดูว่า "EFS" ในพจนานุกรมอื่น ๆ คืออะไร:- , เช่น System zur Verschlüsselung von Dateien und Ordnern unter den Betriebssystemen Windows NT und Windows 2000, so das sie sie vor dem Zugriff unberechtigter Benutzer geschützt… … Universal-Lexikon

    ดูว่า "EFS" ในพจนานุกรมอื่น ๆ คืออะไร:- Cette หน้า d'homonymie répertorie les différents sujets และบทความ partageant un même nom Sigles d’une seule Lettre Sigles de deux Lettres > Sigles de trois Lettres Sigles de quatre Lettres … Wikipédia en Français

    ดูว่า "EFS" ในพจนานุกรมอื่น ๆ คืออะไร:- ● อังกฤษ ม. MS GESTFICH ระบบไฟล์เข้ารหัส ระบบเข้ารหัสลับ, รวม Microsoft และ Windows 2000, และไม่ใช้ตัวเลือกอื่น ๆ วัวร์ TCFS. Je ne sais pas il existing un lien avec efs... Dictionnaire d'informatique ฝรั่งเศส

    เลนส์เอฟเอฟ- คำนามชื่อของตัวอักษร F ... วิกิพจนานุกรม

    ดูว่า "EFS" ในพจนานุกรมอื่น ๆ คืออะไร:- เข้ารหัสระบบไฟล์ (คอมพิวเตอร์ » ความปลอดภัย) * Enhance Financial Services Group, Inc. (ธุรกิจ » สัญลักษณ์ NYSE) * การเลือกเส้นใยเชิงวิศวกรรม (เบ็ดเตล็ด » เสื้อผ้า) * งบการเงินที่มีประสิทธิภาพ (ธุรกิจ » การบัญชี) * ผังงาน (EasyFlow) … พจนานุกรมคำย่อ

    ดูว่า "EFS" ในพจนานุกรมอื่น ๆ คืออะไร:- กะจบเร็วสุด การกระตุ้นสนามไฟฟ้า การศึกษา Fraxiparin ของยุโรป; เหตุการณ์การอยู่รอดฟรี … พจนานุกรมทางการแพทย์

บทความที่เกี่ยวข้อง