WindowSecurity.comの許可を得てDeb Shinderによって
サードパーティのソフトウェアを必要とせずに、データを暗号化する機能( IPSecを使用)とディスクに保存されたデータ( 暗号化ファイルシステムを使用する)の両方が、Windows 2000およびXP / 2003の以前のMicrosoftオペレーティングシステム。 残念なことに、多くのWindowsユーザーは、これらの新しいセキュリティ機能を利用していませんし、使用している場合は、自分が何をしているのか、どのように働いているのか、ベストプラクティスを最大限に活用することを完全に理解していません。 この記事では、EFSの使用方法、脆弱性、および全体的なネットワークセキュリティ計画にどのように適合できるかについて説明します。
サードパーティのソフトウェアを必要とせずに、データを暗号化する機能(IPSecを使用)とディスクに保存されたデータ(暗号化ファイルシステムを使用する)の両方が、Windows 2000およびXP / 2003の以前のMicrosoftオペレーティングシステム。 残念なことに、多くのWindowsユーザーは、これらの新しいセキュリティ機能を利用していませんし、使用している場合は、自分が何をしているのか、どのように働いているのか、ベストプラクティスを最大限に活用することを完全に理解していません。
前回の記事でIPSecの使用について説明しました。 この記事では、EFSの使用方法、脆弱性、および全体的なネットワークセキュリティ計画にどのように適合することができるかについて説明します。
EFSの目的
マイクロソフトはEFSを、公開されたデータを侵入者から守るための一種の「防衛の最終行」として機能する公開鍵ベースの技術を提供するように設計しました。 巧妙なハッカーが他のセキュリティ対策を克服した場合、 ファイアウォールを通過させるか(またはコンピュータへの物理的なアクセスを得る)、アクセス権限を破棄して管理者権限を取得します。暗号化された文書。 これは、侵入者が文書を暗号化したユーザー(またはWindows XP / 2000では、そのユーザーがアクセスを共有している別のユーザー)としてログオンできない限り不可能です。
ディスク上のデータを暗号化する他の手段があります。 多くのソフトウェアベンダーは、さまざまなバージョンのWindowsで使用できるデータ暗号化製品を製造しています。 ScramDisk、SafeDisk、PGPDiskなどがあります。 これらのうちのいくつかは、パーティションレベルの暗号化を使用したり、仮想暗号化ドライブを作成したりすることで、そのパーティションまたはその仮想ドライブに格納されているすべてのデータが暗号化されます。 他のユーザーはファイルレベルの暗号化を使用しているため、ファイルの格納場所に関係なくファイルごとにデータを暗号化できます。 これらの方法の中には、パスワードを使用してデータを保護するものがあります。 そのパスワードはファイルを暗号化するときに入力され、復号化するためには再度入力する必要があります。 EFSは、特定のユーザーアカウントにバインドされたデジタル証明書を使用して、ファイルをいつ復号化できるかを判断します。
マイクロソフトはEFSをユーザーフレンドリーに設計しましたが、実際にはユーザーにとって透過的です。 ファイルまたはフォルダ全体を暗号化するのは、ファイルまたはフォルダの[拡張プロパティ]設定のチェックボックスをチェックするのと同じくらい簡単です。
EFS暗号化は、 NTFS形式のドライブ上にあるファイルとフォルダでのみ使用できることに注意してください。 ドライブがFATまたはFAT32でフォーマットされている場合は、[プロパティ]シートに[ 詳細 ]ボタンは表示されません。 また、ファイル/フォルダを圧縮または暗号化するオプションがチェックボックスとしてインターフェイスに表示されていても、代わりにオプションボタンのように機能することに注意してください。 つまり、1つをチェックすると、もう1つは自動的にチェックされなくなります。 ファイルまたはフォルダを同時に暗号化および圧縮することはできません。
ファイルやフォルダが暗号化されると、表示される違いは、フォルダオプションで暗号化または圧縮NTFSファイルをカラーで表示するチェックボックスが選択されていると、エクスプローラに別の色で表示され ます|フォルダオプション| Windowsエクスプローラの[表示]タブ )。
文書を暗号化したユーザーは、文書を復号化してアクセスすることを心配する必要はありません。 ユーザーが開くと、ユーザーが暗号化されたときと同じユーザーアカウントでログオンしている限り、自動的かつ透過的に復号化されます。 ただし、他のユーザーがアクセスしようとすると、そのドキュメントは開かれず、ユーザーにアクセスが拒否されたというメッセージが表示されます。
フードの下で何が起こっているのですか?
EFSはユーザにとっては驚くほどシンプルなようですが、これをすべて実現するためには、多くのことがあります。 対称(秘密鍵)と非対称(公開鍵)の両方の暗号化を組み合わせて使用し、それぞれの利点と欠点を利用します。
ユーザーが最初にEFSを使用してファイルを暗号化すると、ユーザーアカウントは証明書サービスによって生成された(CAにネットワークにインストールされているCAがある場合)か、または自己署名された鍵ペア(公開鍵と対応する秘密鍵) EFSによって 公開鍵は暗号化に使用され、秘密鍵は復号化に使用されます...
完全な記事を読んで、図のフルサイズのイメージを見るにはここをクリックしてください:EFSはあなたのセキュリティ計画にどこに収まるのですか?