EFS χρησιμοποιεί βιομηχανικό πρότυπο και αλγόριθμοι κρυπτογραφίας δημόσιου κλειδιού για να εξασφαλιστεί η κρυπτογράφηση. Τα αρχεία που είναι κρυπτογραφημένα, επομένως, είναι πάντα εμπιστευτικά. Ακόμη και αν ταυτότητας σύνδεσης και αρχείων NTFS δικαιώματα είναι προσανατολισμένα στην προστασία των εμπιστευτικών δεδομένων, μπορείτε να χρησιμοποιήσετε το EFS για να προσθέσετε ένα πρόσθετο στρώμα της ασφάλειας. Αυτό θα διασφαλίσει ότι, όταν hackers αποκτήσουν πλήρη πρόσβαση στο χώρο αποθήκευσης δεδομένων του υπολογιστή, τα δεδομένα που βρίσκονται σε αρχεία που είναι εξασφαλισμένα λόγω της κρυπτογράφησης EFS. Μια παράνομη πρόσωπο δεν θα είναι σε θέση να ανοίξει ένα κρυπτογραφημένο αρχείο.

EFS στα Windows Server 2003 βελτιώνει ακόμα περισσότερο με τις δυνατότητες της EFS στα Windows 2000. Οι χρήστες που χρησιμοποιούν το σύστημα EFS κρυπτογραφημένα αρχεία μπορούν να μοιραστούν με άλλους χρήστες για το αρχείο και τα μερίδια ακόμα και φακέλους Web. Μπορείτε να διαμορφώσετε το σύστημα EFS χαρακτηριστικά μέσω της Πολιτικής ομάδας και της γραμμής εργαλείων. EFS είναι κατάλληλη για τη διασφάλιση ευαίσθητων δεδομένων για φορητούς υπολογιστές. Επίσης, λειτουργεί καλά για την ασφάλεια των δεδομένων, όταν οι υπολογιστές είναι κοινά σε πολλούς χρήστες.

Πώς λειτουργεί το σύστημα EFS

EFS είναι πράγματι σταθερά ενσωματωμένη με το NTFS, και το αρχείο κρυπτογράφησης και αποκρυπτογράφησης διαδικασίες είναι διαφανείς για τους χρήστες. Αυτό σημαίνει ότι όταν οι χρήστες να αποθηκεύσετε ένα αρχείο, το σύστημα EFS κρυπτογραφεί τα δεδομένα όπως τα δεδομένα που είναι γραμμένο στο δίσκο, και όταν οι χρήστες ανοίξει ένα αρχείο, είναι αποκρυπτογραφούνται από EFS διαβάζεται ως δεδομένα από δίσκο. Οι χρήστες είναι ουσιαστικά αγνοεί αυτή τη διαδικασία, και δεν χρειάζεται να προβεί σε οποιαδήποτε ενέργεια για την κίνηση EFS κρυπτογράφησης και αποκρυπτογράφησης. Μπορεί να υπάρχουν τεχνολογίες τρίτων που μπορούν να παρέχουν δυνατότητες κρυπτογράφησης φακέλου, αλλά αυτά τα προγράμματα δεν είναι πλήρως διαφανείς για τους χρήστες. Με τα προγράμματα αυτά, η ευθύνη θα πρέπει να διατίθενται στους χρήστες να θυμηθείτε να χρησιμοποιήσετε το πρόγραμμα κρυπτογράφησης. Αυτό με τη σειρά του οδηγεί σε ασθενέστερη διαδικασίες ασφάλειας, και θα μπορούσε να δημιουργήσει θέματα ευπάθειας ασφαλείας για τα ευαίσθητα, σε εμπιστευτικά δεδομένα.

EFS χρησιμοποιεί κλειδιά κρυπτογράφησης και αποκρυπτογράφησης των δεδομένων, και η κρυπτογράφηση διεπαφή προγραμματισμού εφαρμογών (CryptoAPI) αρχιτεκτονική για την παροχή κρυπτογραφικές λειτουργίες. Έστω και αν η επιχείρηση μπορεί να χρησιμοποιήσει πιστοποιητικό αρχή (CA) πιστοποιητικών, αυτό δεν αποτελεί προϋπόθεση. Όταν δεν υπάρχει CA, EFS υπογράφει πιστοποιητικό που μπορούν να χρησιμοποιηθούν με το αρχείο κρυπτογράφησης. Επειδή αυτή η επιλογή, το σύστημα EFS μπορεί να λειτουργήσει σε υπολογιστές που είναι μέλη της σε έναν τομέα και σε standalone υπολογιστές.

Τα κλειδιά που EFS χρησιμοποιεί για την κρυπτογράφηση και αποκρυπτογράφηση των δεδομένων, είναι ένα δημόσιο και ιδιωτικό κλειδί του ζεύγους, και ένα αρχείο ανά κλειδί κρυπτογράφησης. EFS δημιουργεί ένα αρχείο κλειδιού κρυπτογράφησης (ΦΕΚ), η οποία είναι μια συμμετρική κρυπτογράφηση το κλειδί για την κρυπτογράφηση των δεδομένων. Το κλειδί κρυπτογράφησης αρχείου (ΦΕΚ) είναι δίπλα κρυπτογραφημένα μέσω ασύμμετρης κρυπτογράφησης που χρησιμοποιούν το δημόσιο κλειδί του χρήστη. Ασύμμετρη κρυπτογράφηση χρησιμοποιεί ένα πραγματικά δημόσιο και ιδιωτικό κλειδί του ζεύγους για ισχυρότερη ασφάλεια. Η κρυπτογράφηση ΦΕΚ είναι αποθηκευμένα στη συνέχεια με το κρυπτογραφημένο αρχείο. Όταν το αρχείο πρέπει να αποκρυπτογραφούνται, το ΦΕΚ πρέπει να αποκρυπτογραφούνται. Ο χρήστης του ιδιωτικό κλειδί χρησιμοποιείται για την αποκρυπτογράφηση των ΦΕΚ. Το ΦΕΚ στη συνέχεια χρησιμοποιείται για την αποκρυπτογράφηση των δεδομένων του αρχείου.

EFS Βασικά Χαρακτηριστικά

• EFS είναι ενεργοποιημένη από προεπιλογή. Οι χρήστες πρέπει, ωστόσο, ένα δημόσιο και ιδιωτικό κλειδί του ζεύγους, και την άδεια να χρησιμοποιήσετε το σύστημα EFS.
• EFS χρειάζεται ένα πιστοποιητικό παράγοντα αποκατάστασης για να εργαστούν. Θα δημιουργήσει το πιστοποιητικό σε περίπτωση που δεν έχετε.
• EFS να κρυπτογραφήσετε αρχεία μόνο όταν το σύστημα αρχείων NTFS είναι να χρησιμοποιηθεί.
• Η κρυπτογράφηση δεν έχει επιπτώσεις για αρχεία και φακέλους
• Μπορείτε να επιτρέψει σε πολλούς χρήστες να μοιράζονται κρυπτογραφημένα αρχεία
• Όταν μετακινείτε αρχεία EFS σε ένα διαφορετικό σύστημα αρχείων, κρυπτογράφηση απομακρύνεται.
• Όταν μετακινείτε αρχεία σε ένα φάκελο που είναι κρυπτογραφημένη, το αρχείο παραμένει στην αρχική του μορφή. Είναι παραμονή είτε κρυπτογραφημένα ή χωρίς κρυπτογράφηση.
• Όταν αντιγράφετε ένα αρχείο σε έναν κρυπτογραφημένο φάκελο, το αρχείο θα είναι κρυπτογραφημένα.
• Όταν ένας φάκελος είναι κρυπτογραφημένη, όλα τα προσωρινά αρχεία που υπάρχουν σε αυτό το συγκεκριμένο φάκελο, αλλά είναι κρυπτογραφημένα.
• Η κρυπτογράφηση περιλαμβάνεται ως αρχείο χαρακτηριστικό και, συνεπώς, εμφανίζεται με το υπόλοιπο των χαρακτηριστικών του αρχείου.
• EFS μπορεί κρυπτογράφησης και αποκρυπτογράφησης των αρχείων σε έναν απομακρυσμένο υπολογιστή
• Offline αρχεία μπορούν επίσης να κρυπτογραφούνται από το σύστημα EFS
• Τα αρχεία που είναι κρυπτογραφημένα μπορούν να αποθηκεύονται σε φακέλους Web
• EFS προηγουμένως χρησιμοποιηθεί Extended Data Encryption Standard (DESX) για την κρυπτογράφηση. Με το Windows Server 2003, το τριπλό DES (3DES) αλγόριθμο κρυπτογράφησης μπορεί να χρησιμοποιηθεί για την ενίσχυση της ασφάλειας των EFS.
• Μπορείτε να δημιουργήσετε αντίγραφα ασφαλείας των κρυπτογραφημένων αρχείων.
• Κάθε συμπιεσμένα αρχεία και φακέλους πρέπει να decompressed πριν μπορέσουν να κρυπτογραφούνται
• Σύστημα αρχείων και των φακέλων δεν μπορεί να είναι κρυπτογραφημένα.
• Αρχείων ή φακέλων σε ένα προφίλ περιαγωγής χρήστη δεν μπορεί να είναι κρυπτογραφημένα

Τα Στοιχεία του EFS

Το EFS χρησιμοποιεί τα ακόλουθα στοιχεία για την εκτέλεση των καθηκόντων:

• EFS υπηρεσία: Η υπηρεσία EFS επικοινωνεί με το EFS οδηγού μέσω της διαδικασίας των τοπικών κλήσεων (LPC). Το EFS υπηρεσία της Microsoft και Cryptographic Application Programming Interface (CryptoAPI) ανακοινώνει, με την υπηρεσία που λαμβάνει EFS αρχείο κλειδιών κρυπτογράφησης από το CryptoAPI. Θα χρησιμοποιεί αυτά τα κλειδιά για την παραγωγή δεδομένων αποκρυπτογράφηση πεδία (DDFs) και ανάκτησης δεδομένων πεδία (DRFs). Το κλειδί κρυπτογράφησης αρχείου (ΦΕΚ) χρησιμοποιείται για τα δεδομένα των αρχείων. Η υπηρεσία EFS περνάει το ΦΕΚ, DRF, και DDF στην EFS οδηγό μέσω του συστήματος αρχείων EFS Run Time-Βιβλιοθήκη (FSRTL).
• EFS οδηγού: Ο οδηγός EFS αιτήματα αρχείο κλειδιών κρυπτογράφησης, DDFs και DRFs από το EFS υπηρεσίας. Στη συνέχεια, τα κέντρα αυτά να το EFS FSRTL.
• EFS File System Βιβλιοθήκη χρόνου εκτέλεσης (FSRTL): Το EFS FSRTL υπάρχει στην EFS οδηγού, και λειτουργεί με το σύστημα EFS οδηγό ως ένα στοιχείο. Αρχείων NTFS είναι callouts ελέγχου χρησιμοποιούνται ως μηχανισμός επικοινωνίας μεταξύ των δύο. Το EFS FSRTL πραγματοποιεί μια σειρά από λειτουργίες του συστήματος αρχείων που περιλαμβάνουν κρυπτογράφηση, την αποκωδικοποίηση και την ανάκτηση αρχείων δεδομένων όταν διαβάζονται από το δίσκο ή γραπτές στο δίσκο.
• Microsoft Cryptographic Application Programming Interface (CryptoAPI): CryptoAPI χρησιμοποιείται από το σύστημα EFS για κρυπτογραφικές λειτουργίες. CryptoAPI υποστηρίζει κρυπτογράφηση, αποκρυπτογράφηση, hashing, ψηφιακές υπογραφές και η επαλήθευση της εν λόγω απόφασης, διαχείρισης κλειδιών, την ασφαλή αποθήκευση, και τις βασικές λειτουργίες ανταλλαγής.

Πώς είναι κρυπτογραφημένα αρχεία και αποκρυπτογραφούνται

Όπως αναφέρθηκε προηγουμένως, το σύστημα EFS χρησιμοποιεί δημόσιο κλειδί και συμμετρική κλειδί κρυπτογράφησης για να εξασφαλίσει το περιεχόμενο των αρχείων και των φακέλων. Το δημόσιο κλειδί σε αλγόριθμους κρυπτογράφησης χρησιμοποιούν ασύμμετρες κλειδιά κρυπτογράφησης και αποκρυπτογράφησης. Αυτό σημαίνει ότι τα πλήκτρα χρησιμοποιούνται για την κρυπτογράφηση και αποκρυπτογράφηση των δεδομένων είναι διαφορετικά, διότι ένα ιδιωτικό κλειδί και ένα δημόσιο κλειδί χρησιμοποιείται. Το ιδιωτικό κλειδί κρατείται από τον ιδιοκτήτη του κλειδιού. Το δημόσιο κλειδί μπορεί να χρησιμοποιηθεί στο δίκτυο.

Όταν τα δεδομένα είναι κρυπτογραφημένα, EFS δημιουργεί μια μοναδική ΦΕΚ για την κρυπτογράφηση των αρχείων. Στη συνέχεια κρυπτογραφεί το ΦΕΚ χρησιμοποιώντας το δημόσιο κλειδί του πιστοποιητικού του χρήστη. Το EFS χρησιμοποιεί το ΦΕΚ για να εξασφαλιστεί ότι η κρυπτογράφηση εμφανίζεται γρήγορα. Το ιδιωτικό κλειδί του χρήστη που χρησιμοποιούνται για να αποκρυπτογραφήσει το ΦΕΚ.

Η διαδικασία που περιγράφεται κατωτέρω εμφανίζεται όταν ένας χρήστης κρυπτογραφεί ένα αρχείο:

• Το αρχείο έχει ανοιχτεί από την υπηρεσία EFS
• Οι ροές δεδομένων του αρχείου είναι δίπλα σε μια αντιγραφή plaintext προσωρινό αρχείο που βρίσκεται στον προσωρινό κατάλογο του συστήματος
• EFS δημιουργεί η μοναδική ΦΕΚ.
• Το ΦΕΚ έχει χρησιμοποιηθεί για την κρυπτογράφηση των αρχείων είτε μέσω DESX ή 3DES.
• Η αποκρυπτογράφηση των δεδομένων τομέα (DDF) δημιουργείται. Η DDF κατέχει το ΦΕΚ κρυπτογραφημένα μέσω του δημόσιου κλειδιού του συνδρομητή.
• Όταν ένα παράγοντα αποκατάστασης ορίζεται μέσω της Πολιτικής ομάδας, τα δεδομένα ανάκτησης πεδία (DRFs) δημιουργείται.
• Τα κρυπτογραφημένα δεδομένα, DDF, DRF και αποθηκεύονται στο αρχείο.
• Plaintext Το προσωρινό αρχείο που βρίσκεται στον προσωρινό κατάλογο του συστήματος διαγράφεται.

Η διαδικασία που περιγράφεται κατωτέρω παρουσιάζεται όταν ένα αρχείο είναι αποκρυπτογραφημένο:

• NTFS πραγματικά προσδιορίζει τα αρχεία που είναι κρυπτογραφημένα, και στη συνέχεια να υποβάλει αίτηση για την αποκρυπτογράφηση μέσω της EFS οδηγού.
• Το EFS οδηγό ημερήσια αποκτά τα δεδομένα αποκρυπτογράφηση τομέα (DDF) και την στέλνει στην υπηρεσία EFS.
• Το EFS υπηρεσία αποκτά το ιδιωτικό κλειδί του χρήστη. Θα χρησιμοποιεί αυτό το κλειδί για την αποκρυπτογράφηση του DDF.
• Αφού η υπηρεσία έχει EFS αποκρυπτογραφημένο την DDF και έλαβε το ΦΕΚ, στέλνει το ΦΕΚ για να το EFS οδηγού.
• Το EFS χρησιμοποιεί τα ΦΕΚ οδηγός που έχει λάβει από την υπηρεσία EFS για την αποκρυπτογράφηση των δεδομένων στο αρχείο.
• Το EFS οδηγού τότε περνάει το αποκρυπτογραφημένο δεδομένων σε NTFS.

EFS και πιστοποιητικά

Μόλις ο χρήστης δίνει τη δυνατότητα κρυπτογράφησης για ένα φάκελο ή αρχεία, EFS ελέγχει αν ο χρήστης έχει μια επιχείρηση πιστοποιητικό αποθηκεύονται στο προσωπικό πιστοποιητικό φυλάσσεται. EFS ζητά ένα πιστοποιητικό για το χρήστη όταν δεν μπορούν να βρουν ένα πιστοποιητικό στον προσωπικό χώρο αποθήκευσης πιστοποιητικών, από μια αρχή πιστοποίησης (CA). EFS έσοδα για να δημιουργήσετε ένα πιστοποιητικό αυτό υπογράφηκε για το χρήστη εάν δεν υπάρχει επιχείρηση ΑΠ. Το EFS πιστοποιητικό του χρήστη είναι προσβάσιμες όταν EFS ανάγκες για την κρυπτογράφηση και αποκρυπτογράφηση των ΦΕΚ. EFS EFS επίσης ανανεώνει τα πιστοποιητικά που έχουν λήξει.

Τα πιστοποιητικά που λαμβάνονται από τις επιχειρήσεις ΑΠ χρήση πιστοποιητικό πρότυπα που είναι αποθηκευμένα σε Active Directory. Πιστοποιητικό πρότυπα λεπτομέρεια τα χαρακτηριστικά του πιστοποιητικού τύπων που μπορούν να εκδίδονται για τους χρήστες και τους υπολογιστές. Το πιστοποιητικό πρότυπα που υποστηρίζουν είναι EFS χρήστη, υπάλληλος διοικήσεως, και βασικού EFS. Επιχειρήσεις. ΑΠ χρησιμοποιεί λίστες ελέγχου πρόσβασης (ACL) όταν πρέπει να διαπιστωθεί εάν οι αιτήσεις πιστοποιητικού θα πρέπει να εγκριθεί. Ο χρήστης έχει, επομένως, να έχει το Εγγραφείτε άδεια για ένα πρότυπο πιστοποιητικού πρέπει να εκδοθεί ένα πιστοποιητικό. Τα μέλη της ομάδας Domain Admins και Domain Users ομάδα έχει αυτό το δικαίωμα. Οι χρήστες μπορούν να χρησιμοποιούν τα πιστοποιητικά snap-in για να ζητήσουν πιστοποιητικά.

Χρησιμοποιήστε τα παρακάτω βήματα για να ζητήσει ένα πιστοποιητικό από την CA μέσω πιστοποιητικά snap-in

1. Ανοίξτε το συμπληρωματικό πρόγραμμα στα πιστοποιητικά
2. Συνεχίστε να επεκτείνει την Προσωπικά φάκελο.
3. Κάντε δεξί κλικ και να επιλέξετε Πιστοποιητικά All Tasks και, στη συνέχεια αίτηση νέου πιστοποιητικού από το μενού συντόμευσης
4. Η αίτηση νέου πιστοποιητικού οδηγός ξεκινά.
5. Επιλέξτε το EFS Βασική επιλογή για το Πιστοποιητικό Είδη οθόνη. Κάντε κλικ στο κουμπί Επόμενο
6. Παροχή πληροφοριών για το φιλικό όνομα και περιγραφή. Κάντε κλικ στο κουμπί Επόμενο
7. Κάντε κλικ στο κουμπί Τέλος για να βγείτε από τον οδηγό.
8. Το νέο πιστοποιητικό αποθηκεύονται στο φάκελο πιστοποιητικά.

Μπορείτε να χρησιμοποιήσετε τα πιστοποιητικά snap-in για να ελέγξετε αν έχετε ήδη ένα πιστοποιητικό

1. Προχωρήστε για να περιηγηθείτε και να ανοίξετε το συμπληρωματικό πρόγραμμα στα πιστοποιητικά που έχουν συσταθεί για το λογαριασμό χρήστη μου
2. Αναπτύξτε το φάκελο Προσωπικά
3. Κάντε δεξί κλικ Πιστοποιητικά για να δείτε αν υπάρχει ένα πιστοποιητικό

Κρυπτογράφησης / decrypting αρχεία χρησιμοποιώντας EFS

Συνιστάται να επιτραπεί κρυπτογράφησης EFS για φακέλους αντί να της επιτρέπει για μεμονωμένα αρχεία. Με αυτόν τον τρόπο, δεν θα χρειάζεται να κρυπτογραφούν κάθε αρχείο κατά την αποθήκευση του αρχείου.

Χρησιμοποιήστε τα παρακάτω βήματα για να κρυπτογραφήσετε ένα φάκελο

1. Ανοίξτε τον υπολογιστή μου
2. Κάντε δεξιό κλικ στο φάκελο που θέλετε να κρυπτογραφήσετε και επιλέξτε Properties από το μενού συντόμευσης.
3. Όταν το παράθυρο διαλόγου Ιδιότητες του ανοίγει το φάκελο, κάντε κλικ στο κουμπί Advanced στην καρτέλα General.
4. Η Advanced Attributes διαλόγου εμφανίζεται.
5. Στην Συμπίεση ή Κρυπτογράφηση χαρακτηριστικά τμήμα του Advanced Attributes διαλόγου, επιτρέπει την Κρυπτογράφηση περιεχομένων για την ασφαλή δεδομένα κουτάκι.
6. Πατήστε ΟΚ για να ενεργοποιήσετε την κρυπτογράφηση για το φάκελο και όλα τα αρχεία που περιλαμβάνονται στο φάκελο.
7. Ένα πρόσθετο μήνυμα που εμφανίζεται σε ένα παράθυρο διαλόγου, όταν ο φάκελος περιέχει υποφακέλους και τα αρχεία που είναι χωρίς κρυπτογράφηση. Το μήνυμα που σας ζητά να εξακριβωθεί κατά πόσον οι ρυθμίσεις σας θα πρέπει να εφαρμόζεται μόνο στο φάκελο ή στο φάκελο της υποφακέλους και τα αρχεία τους.
8. Αν επιλέξετε την Εφαρμογή αλλαγών σε αυτόν το φάκελο μόνη επιλογή, προκύπτει το εξής:
• Τα αρχεία που έχουν ήδη αποθηκευθεί στο φάκελο και τους υποφακέλους κάθε παραμένουν στην αρχική τους κατάσταση
• Τα αρχεία που δημιουργείτε στο φάκελο είναι κρυπτογραφημένα
• Τα αρχεία αντιγράφονται στο φάκελο από εσάς και τους άλλους χρήστες είναι κρυπτογραφημένα
• Τα αρχεία που δημιουργούνται σε, να αντιγραφούν ή να μετακινηθούν σε υποφακέλους παραμένουν στην αρχική τους κατάσταση.
9. Αν επιλέξετε την Εφαρμογή αλλαγών σε αυτόν το φάκελο, υποφακέλους και αρχεία επιλογή, προκύπτει το εξής:
• Τα αρχεία που έχουν ήδη αποθηκευθεί στο φάκελο και τους υποφακέλους είναι κρυπτογραφημένη αν έχετε Γράψτε την άδεια.
• Τα αρχεία που δημιουργούνται σε, να αντιγραφούν ή να μετακινηθούν σε υποφακέλους είναι κρυπτογραφημένα, είτε από εσάς ή άλλους χρήστες

Χρησιμοποιήστε τα παρακάτω βήματα για να αποκρυπτογραφήσει έναν φάκελο

1. Κάντε δεξί κλικ στο φάκελο που θέλετε να αποκρυπτογραφήσει, και επιλέξτε Properties από το μενού συντόμευσης.
2. Όταν το παράθυρο διαλόγου Ιδιότητες του ανοίγει το φάκελο, κάντε κλικ στο κουμπί Advanced στην καρτέλα Γενικά
3. Όταν το Advanced Attributes διαλόγου εμφανίζεται, καταργήστε την Κρυπτογράφηση περιεχομένων για την ασφαλή δεδομένα κουτάκι.

Πώς να κρυπτογραφήσετε τα αρχεία χωρίς σύνδεση

1. Ανοίξτε τον υπολογιστή μου
2. Χρησιμοποιήστε το μενού Tools για να επιλέξετε το στοιχείο Folder Options
3. Χρησιμοποιήστε την καρτέλα για να Offline Files:
• Enable Offline Files
• Κρυπτογράφηση αρχείων χωρίς σύνδεση
4. Κάντε κλικ στο OK

Πώς να προβάλετε την κατάσταση της κρυπτογράφησης EFS

1. Ανοίξτε τον υπολογιστή μου
2. Χρησιμοποιήστε το μενού Tools για να επιλέξετε το στοιχείο Folder Options
3. Κάντε κλικ στην καρτέλα Προβολή
4. Ενεργοποίηση Δείτε τα κρυπτογραφημένα ή συμπιεσμένα αρχεία NTFS στο χρώμα κουτάκι.
5. Κάντε κλικ στο OK
6. Κρυπτογραφημένων φάκελο και ονόματα αρχείων εμφανίζονται σε πράσινο χρώμα.

Πώς να επιτρέψει EFS επιλογές του μενού συντόμευσης

Αν EFS επιλογές είναι ενεργοποιημένη από το μενού συντόμευσης, σε ένα χρήστη να έχει απλώς κάντε δεξί κλικ στο φάκελο ή το αρχείο για την κρυπτογράφηση ή αποκρυπτογράφηση το φάκελο ή το αρχείο.

1. Κάντε κλικ στο κουμπί Start, Run, πληκτρολογήστε regedit.exe και, στην πορεία διαλόγου. Κάντε κλικ στο OK
2. Ο Registry Editor ανοίγει
3. Εντοπίστε το ακόλουθο δευτερεύον κλειδί:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced

4. Χρησιμοποιήστε το μενού Edit για να επιλέξετε New και, στη συνέχεια, DWORD Value
5. Προχωρήστε για να καθορίσετε EncryptionContextMenu για την αξία όνομα, και 1 για την τιμή των δεδομένων.
6. Γραμματεία αλλαγές αμέσως.

Πώς να χρησιμοποιήσετε cipher.exe για να προβάλετε, να δημιουργήσετε ή να τροποποιήσετε την κρυπτογράφηση σε φακέλους και αρχεία

Cipher.exe είναι ένα εργαλείο γραμμής εντολών που μπορούν να χρησιμοποιηθούν για την κρυπτογράφηση και αποκρυπτογράφηση αρχείων ή φακέλων. Χρησιμοποιώντας την εντολή cipher με διακόπτες δεν θα εμφανίσει την κατάσταση της κρυπτογράφησης για το φάκελο και τα αρχεία που βρίσκονται στο εσωτερικό του φακέλου.

Η σύνταξη για την εντολή και τη δυνατότητα κρυπτογράφησης διακόπτες αναφέρονται παρακάτω:

cipher [{/e|/d}][/s:Folder][/a][/i][/f][/q][/h][/k][/u [/n]]

• /e κρυπτογραφεί τα συγκεκριμένα φακέλους και αρχεία που προστέθηκαν είναι κρυπτογραφημένα και
• /d αποκρυπτογραφεί την ιδιαίτερη φακέλους. Το χαρακτηριστικό κρυπτογράφησης έχει αφαιρεθεί από τους φακέλους.
• /s:Folder που χρησιμεύει για να δείχνει το φάκελο και υποφακέλους που πρέπει να χρησιμοποιούνται
• /a a, το οποίο χρησιμοποιείται για την κρυπτογράφηση αρχείων στον τρέχοντα κατάλογο
• /i χρησιμοποιούνται για να δείχνουν ότι η σημερινή διαδικασία θα πρέπει να συνεχίσει ακόμη και αν υπάρχουν λάθη.
• /f που χρησιμοποιείται για την κρυπτογράφηση ή αποκρυπτογράφηση ισχύει για όλα τα αρχεία και τους φακέλους που ορίζονται
• /q απαριθμεί μόνο τις χρήσιμες πληροφορίες
• /h καταλόγους αρχείων που έχουν κρυμμένα χαρακτηριστικά γνωρίσματα και τα χαρακτηριστικά του συστήματος
• /k δημιουργεί μια νέα ΦΕΚ για τον συγκεκριμένο χρήστη εκτελεί την εντολή
• /u ενημερώνει το ΦΕΚ του χρήστη και το κλειδί του παράγοντα αποκατάστασης. Χρησιμοποιείται με / n διακόπτη
• /n πλήκτρα σταματά από το να ενημερωθούν. Χρησιμοποιείται με / και διακόπτη

Πώς να επιτρέψει την πρόσβαση των χρηστών στα πολλαπλά κρυπτογραφημένα αρχεία

Πριν από πολλούς χρήστες που επιτρέπει την πρόσβαση στα κρυπτογραφημένα αρχεία, εξετάζει τα εξής:

• Ένα αρχείο μετοχή, web φάκελο ή απομακρυσμένες συνόδου απαιτείται για εξουσιοδοτημένους χρήστες να μοιράζονται αρχεία EFS σε όλο το δίκτυο.
• Οι χρήστες του ότι πρόκειται να επιτρέψουν την πρόσβαση της EFS αρχεία πρέπει να έχουν πιστοποιητικά EFS
• Όταν σας επιτρέψει σε ένα χρήστη να αποκρυπτογραφήσει ένα αρχείο, ο χρήστης αυτόματα σε θέση να επιτρέψουν επιπλέον χρήστες που έχουν πρόσβαση στο αρχείο

Χρησιμοποιήστε τα παρακάτω βήματα για να μοιραστώ μια EFS αρχείων με επιπλέον χρήστες

1. Ανοίξτε τον υπολογιστή μου
2. Κάντε δεξιό κλικ στο κρυπτογραφημένο αρχείο και επιλέξτε Properties από το μενού συντόμευσης.
3. Όταν το Advanced Attributes ανοίγει παράθυρο διαλόγου, κάντε κλικ στο κουμπί Λεπτομέρειες
4. Η Κρυπτογράφηση Λεπτομέρειες διαλόγου ανοίγει.
5. Κάντε κλικ στο κουμπί Προσθήκη για να ανοίξετε το παράθυρο διαλόγου Επιλογή χρήστη.
6. Τώρα μπορείτε να προσθέσετε ένα χρήστη από τον τοπικό υπολογιστή, ή από την υπηρεσία καταλόγου Active Directory.
7. Κάντε κλικ στο πιστοποιητικό του χρήστη για να προσθέσετε ένα χρήστη από τον τοπικό υπολογιστή. Κάντε κλικ στο OK
8. Κάντε κλικ στο κουμπί Εύρεση χρήστη να βρει έναν χρήστη στην υπηρεσία καταλόγου Active Directory.
9. Στη συνέχεια, κάντε κλικ στο κουμπί Browse, όταν η Βρείτε χρήστες, τις επαφές και τις ομάδες διαλόγου ανοίγει για να βρει ο χρήστης (ες).
10. Κάντε κλικ στο φάκελο ή το όνομα που θα πρέπει να ερευνώνται οι Αναζητήστε Εμπορευματοκιβώτιο διαλόγου.
11. Επιλέξτε το χρήστη (ες) και, στη συνέχεια, κάντε κλικ στο κουμπί OK

Ανάκτησης αρχείων Πράκτορες

Το να είσαι σε θέση να ανακτήσει τα δεδομένα καθίσταται σημαντικό όταν οι εργαζόμενοι παραπετώ ιδιωτικά κλειδιά τους ή να εγκαταλείψουν την οργάνωση, χωρίς να αποκρυπτογραφούν το σύνολο των αρχείων. Αυτό είναι όταν η είσπραξη γίνεται σημαντικό παράγοντα. Για να χρησιμοποιήσετε το σύστημα EFS, μια Κρυπτογραφημένων Data Recovery Agent πολιτική πρέπει να υπάρχει. EFS χρησιμοποιεί αυτόματα ένα προεπιλεγμένο παράγοντα αποκατάστασης υπόψη όταν δεν Κρυπτογραφημένων Data Recovery Agent πολιτική υπάρχει. Τα μέλη της ομάδας Domain Admins να καθορίσετε ένα λογαριασμό που θα χρησιμοποιηθεί για την ανάκτηση πράκτορας λογαριασμό. Τοπική πολιτική μπορεί να χρησιμοποιηθεί σε υπολογιστές standalone για να καθορίσετε λογαριασμούς ως πράκτορες ανάκτησης δεδομένων. Οι λογαριασμοί αυτοί είναι συνήθως ένα λογαριασμό διαχειριστή. Dra πιστοποιητικά αποθηκεύονται στο χώρο αποθήκευσης πιστοποιητικών του υπολογιστή όταν ο χρήστης έχει πρόσβαση σε έναν τομέα υπολογιστή που περιλαμβάνεται στο φάσμα της EFS ανάκτηση πολιτικής. Αυτό δίνει τη δυνατότητα για κάθε τομέα του υπολογιστή για πρόσβαση στο δημόσιο κλειδί του Dra. Κρυπτογραφημένα αρχεία περιέχουν τομέα ανάκτησης δεδομένων που με τη σειρά του κατέχει το αρχείο ΦΕΚ κρυπτογραφημένα. Dra Α μπορεί να αποκρυπτογραφήσει ένα κρυπτογραφημένο αρχείο που βρίσκεται στην περιοχή από το EFS ανάκτηση της πολιτικής μέσω της αξιοποίησης του ιδιωτικού κλειδιού.
Μπορείτε να ορίσετε πολλαπλά DRAs μέσω EFS ανάκτηση πολιτική αν θέλετε πολλούς χρήστες να είναι σε θέση να αποκρυπτογραφήσει τα αρχεία. Τα αρχεία είναι γενικά πιο ασφαλή και αν μόνο ένα άτομο είναι σε θέση να αποκρυπτογραφήσει το αρχείο. Το μειονέκτημα όμως είναι ότι το αρχείο είναι μικρότερο αποδίδονται.

Χρησιμοποιήστε τα παρακάτω βήματα για να προσθέσετε έναν παράγοντα αποκατάστασης για τον τοπικό υπολογιστή

1. Κάντε κλικ στο κουμπί Start, Run και, στη συνέχεια, πληκτρολογήστε mmc στο πλαίσιο διαλόγου Run. Κάντε κλικ στο OK
2. Επιλέξτε Add / Remove Snap-in από το μενού File, και πατήστε Προσθήκη.
3. Όταν η Προσθήκη Standalone Snap-in κάντε κλικ στο κουμπί Group Policy Object Editor. Κάντε κλικ στο κουμπί Προσθήκη.
4. Βεβαιωθείτε ότι είναι επιλεγμένο τοπικό υπολογιστή. Κάντε κλικ στο OK
5. Στο αριστερό τμήμα του, να προβεί σε επέκταση τοπικού υπολογιστή Πολιτικής, Computer Configuration, Windows Ρυθμίσεις, ρυθμίσεις ασφαλείας, και δημόσιου κλειδιού Ρυθμίσεις.
6. Κάντε δεξί κλικ Σύστημα κρυπτογράφησης αρχείων, και στη συνέχεια επιλέξτε Properties από το μενού συντόμευσης.
7. EFS εκτελείται στον υπολογιστή και αν το επιτρέπουν στους χρήστες να κρυπτογραφήσετε αρχεία χρησιμοποιώντας το Σύστημα κρυπτογράφησης αρχείων (EFS) έχει ενεργοποιηθεί η επιλογή του. Κάντε κλικ στο OK
8. Κάντε δεξί κλικ Σύστημα κρυπτογράφησης αρχείων και επιλέξτε Προσθήκη Data Recovery Agent από το μενού συντόμευσης.
9. Η Προσθήκη Recovery Agent Wizard ξεκινά.
10. Δώστε ένα όνομα χρήστη για το χρήστη που έχει ένα πιστοποιητικό ανάκτησης. Κάντε κλικ στο κουμπί Επόμενο
11. Από την οθόνη Επιλέξτε Ανάκτηση Πράκτορες, περιηγηθείτε μέσω των φακέλων / καταλόγων για να καθορίσετε τους χρήστες.
12. Κάντε κλικ στο κουμπί Next. Κάντε κλικ στο κουμπί Finish.

Χρησιμοποιήστε τα παρακάτω βήματα για να αφαιρέσετε ένα DRS

1. Η χρήση της Πολιτικής ομάδας, στο αριστερό τμήμα του, να προβεί σε επέκταση τοπικού υπολογιστή Πολιτικής, Computer Configuration, Windows Ρυθμίσεις, ρυθμίσεις ασφαλείας, Δημόσιας βασικές πολιτικές, καθώς και το Σύστημα κρυπτογράφησης αρχείων
2. Επιλέξτε το Dra ότι θέλετε να διαγράψετε, και να διαγράψετε το πιστοποιητικό.

Τρόπος εξαγωγής και εισαγωγής και EFS Dra πιστοποιητικών και ιδιωτικών κλειδιών

Οι χρήστες μπορούν να εξασφαλίσουν πρόσβαση σε κρυπτογραφημένα αρχεία από τους εξαγωγείς EFS πιστοποιητικά και τα ιδιωτικά κλειδιά σε αφαιρούμενα μέσα.

Χρησιμοποιήστε τα παρακάτω βήματα για να εξαγάγετε ένα πιστοποιητικό σε ένα αφαιρούμενο μέσο

1. Προχωρήστε με την πρόσβαση πιστοποιητικά snap-in
2. Αναπτύξτε το φάκελο Προσωπικά, και στη συνέχεια κάντε διπλό κλικ Πιστοποιητικά
3. Βρείτε και κάντε δεξί κλικ στο πιστοποιητικό που θέλετε να εξαγάγετε και να επιλέξετε All Tasks και, στη συνέχεια, των εξαγωγών από το μενού συντόμευσης.
4. Επιλέξτε Ναι, εξαγωγή του ιδιωτικού κλειδιού.
5. Μπορείτε τώρα να επιλέξουν είτε να διαγράψετε το ιδιωτικό κλειδί από τον υπολογιστή μετά από την εξαγωγή, ή μπορείτε να επιλέξετε να αφήσετε τον υπολογιστή. Αφού επιλέξετε μια επιλογή που ταιριάζει στις ανάγκες σας, κάντε κλικ στο Επόμενο
6. Δώστε ένα κωδικό πρόσβασης για την προστασία του εξαγόμενου ιδιωτικού κλειδιού. Κάντε κλικ στο κουμπί Επόμενο
7. Δώστε ένα όνομα για το πιστοποιητικό που εξάγονται και ιδιωτικό κλειδί.
8. Κάντε κλικ στο κουμπί Next. Κάντε κλικ στο κουμπί Finish.

Χρησιμοποιήστε τα παρακάτω βήματα για να εισαγάγετε ένα πιστοποιητικό

1. Προχωρήστε με την πρόσβαση πιστοποιητικά snap-in
2. Αναπτύξτε το φάκελο Προσωπικά, και στη συνέχεια κάντε δεξί κλικ πιστοποιητικά, επιλέξτε All Tasks και, στη συνέχεια, Εισαγωγή από το μενού συντόμευσης.
3. Εισάγετε το αρχείο πιστοποιητικού που πρέπει να εισαχθούν.
4. Ενημερώστε για την ορθή κωδικό πρόσβασης για το άνοιγμα του αρχείου
5. Καθορίστε μια τοποθεσία όπου το πιστοποιητικό θα πρέπει να εισαχθούν στο.

Πώς να ενισχύσει τους βασικούς και το αρχείο της ασφάλειας

Μπορείτε να ενισχυθεί η ασφάλεια με την αντικατάσταση του DESX EFS αλγόριθμος που χρησιμοποιεί, με την ισχυρότερη 3DES αλγόριθμο. Μπορείτε να χρησιμοποιήσετε το σύστημα κρυπτογράφησης ρύθμιση Πολιτικής ομάδας για να μπορέσει 3DES για την κρυπτογράφηση για την Ασφάλεια και ΠΕ EFS. Μπορείτε να αλλάξετε όμως την κατάλληλη ρύθμιση μητρώου στο HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WindowsNT \ CurrentVersion \ EFS βασικά μέσω του Registry Editor για να επιτρέψει 3DES για την κρυπτογράφηση για EFS μόνο.

Μπορείτε επίσης να χρησιμοποιήσετε ένα κλειδί εκκίνησης για την προστασία πλοίαρχος κλειδιά και εμπιστευτικές πληροφορίες, που βρίσκεται στον υπολογιστή. Ένα κλειδί εκκίνησης είναι επίσης ονομάζεται syskey. Startup κλειδιά δημιουργείται αυτόματα για υπολογιστές που είναι μέλη ενός τομέα. Θα χρειαστεί να δημιουργήσετε ένα κλειδί εκκίνησης για ένα μεμονωμένο υπολογιστή.

Ένα κλειδί εκκίνησης προστατεύει εμπιστευτικές οι ακόλουθες πληροφορίες:

• Master κλειδιά: Αυτά είναι τα κλειδιά που χρησιμοποιούνται για την προστασία των ιδιωτικών κλειδιών.
• Προστασία κλειδιά: Αυτά είναι τα κλειδιά για το λογαριασμό χρήστη τους κωδικούς πρόσβασης που αποθηκεύονται είτε στην υπηρεσία καταλόγου Active Directory, ή στην τοπική Security Accounts Manager (SAM), το κλειδί μητρώου
• Προστασία για τα κλειδιά σας LSA μυστικά
• Το κλειδί για την προστασία του λογαριασμού διαχειριστή κωδικός πρόσβασης

Μετά από ένα κλειδί εκκίνησης είναι ενεργοποιημένη, η διαδικασία που λαμβάνει χώρα κατά την εκκίνηση είναι το εξής:

• Το σύστημα ανακτά το κλειδί εκκίνησης
• Στη συνέχεια, χρησιμοποιείται για την αποκρυπτογράφηση του πλοιάρχου προστασία βασικών
• Αυτό το κλειδί είναι στη συνέχεια χρησιμοποιούνται για την απόκτηση λογαριασμού χρήστη του κλειδιού κρυπτογράφησης.
• Ο λογαριασμός χρήστη είναι κλειδί κρυπτογράφησης που χρησιμοποιούνται για να αποκρυπτογραφήσει τον κωδικό πρόσβασης σε πληροφορίες καταλόγου Active Directory, ή στην τοπική Security Accounts Manager (SAM), το κλειδί μητρώου.

Χρησιμοποιήστε τα παρακάτω βήματα για να μπορέσει 3DES για την κρυπτογράφηση EFS μόνο για

1. Ανοίξτε τον Επεξεργαστή Μητρώου
2. Εντοπίστε το HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ EFS δευτερεύον κλειδί μητρώου.
3. Χρησιμοποιήστε το μενού Edit κάντε κλικ στο New και, στη συνέχεια, DWORD Value
4. Τοποθετήστε AlgorithmID για το όνομα τιμής, 0x6603 και για την αξία των δεδομένων
5. Οι τιμές αυτές επιτρέπουν 3DES
6. Κάντε επανεκκίνηση του υπολογιστή

Χρησιμοποιήστε τα παρακάτω βήματα για να επιτρέψει τη χρήση της Πολιτικής ομάδας 3DES

1. Η χρήση της Πολιτικής ομάδας, στο αριστερό τμήμα του, να προβεί σε επέκταση Computer Configuration, Windows Ρυθμίσεις, ρυθμίσεις ασφαλείας, τοπικές πολιτικές, και Επιλογές Ασφαλείας.
2. Κάντε διπλό κλικ στο Σύστημα κρυπτογράφησης: Χρήση αλγορίθμων συμβατών FIPS για κρυπτογράφηση πολιτικής.
3. Επιλέξτε Ενεργοποίηση
4. Κάντε κλικ στο OK

Χρησιμοποιήστε τα παρακάτω βήματα για να μπορέσει το κλειδί εκκίνησης

1. Εισάγετε syskey στη γραμμή εντολών
2. Συνεχίστε να κάνετε κλικ Κρυπτογράφηση Enabled.
3. Κάντε κλικ στο OK
4. Διαλέξτε μια επιλογή για το πλήκτρο. Το σύστημα που δημιουργείται από τον κωδικό πρόσβασης που είναι αποθηκευμένα τοπικά επιλογή είναι η προεπιλεγμένη επιλογή.
5. Κάντε κλικ στο κουμπί ΟΚ για να γίνει επανεκκίνηση του υπολογιστή.

Χρησιμοποιήστε τα παρακάτω βήματα για να αλλάξετε το κλειδί εκκίνησης επιλογές

1. Εισάγετε syskey στη γραμμή εντολών
2. Συνεχίστε να κάνετε κλικ Update.
3. Προχωρήστε για να αλλάξετε τον κωδικό πρόσβασης, ή επιλέξτε μια διαφορετική πλήκτρο επιλογής
4. Κάντε κλικ στο κουμπί OK. Κάντε επανεκκίνηση του υπολογιστή.

Πώς να απενεργοποιήσετε EFS

Μπορείτε είτε να απενεργοποιήσετε EFS για υπολογιστή ή για τον τομέα. Χρησιμοποιήστε τα παρακάτω βήματα για να απενεργοποιήσετε τη χρήση του EFS Registry Editor

1. Ανοίξτε τον Επεξεργαστή Μητρώου
2. Εντοπίστε το HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ EFS δευτερεύον κλειδί μητρώου.
3. Χρησιμοποιήστε το μενού Edit κάντε κλικ στο New και, στη συνέχεια, DWORD Value
4. Τοποθετήστε EfsConfiguration για το όνομα τιμής, και 1 για την αξία των δεδομένων
5. Οι αξίες αυτές απενεργοποιήσετε EFS
6. Κάντε επανεκκίνηση του υπολογιστή

EFS Βέλτιστες Πρακτικές

Λίγες οι βέλτιστες πρακτικές για EFS συνοψίζονται παρακάτω:

• Πάντοτε να επιλέξετε τους φακέλους για την κρυπτογράφηση, και δεν τους ατομικούς φακέλους. Κρυπτογράφηση φακέλων διευκολύνει απλό αρχείο κρυπτογράφησης διαχείρισης. Να θυμάστε ότι όλα τα αρχεία που βρίσκονται εντός ή δημιουργούνται σε έναν κρυπτογραφημένο φάκελο είναι αυτομάτως κρυπτογραφημένα.
• Μπορείτε να χρησιμοποιήσετε το Microsoft Certificate Services για τη διαχείριση και EFS Dra πιστοποιητικά / ιδιωτικών κλειδιών
• Οι χρήστες θα πρέπει να εξάγουν EFS πιστοποιητικών και ιδιωτικών κλειδιών σε αφαιρούμενα μέσα, και επίσης να αποθηκεύουν τα μέσα ενημέρωσης σε ασφαλές μέρος.
• Προσπαθήστε να έχουν ένα μικρό αριθμό ειδικών παραγόντων ανάκτησης. Η μικρότερη ανάκαμψη του αριθμού των υπαλλήλων, το απλούστερο είναι να γίνεται η διαχείρισή τους, και να διασφαλίσει ότι δεν είναι εσφαλμένο να αποκρυπτογραφούν τα αρχεία.
• Θα πρέπει επίσης να εξάγουν τα ιδιωτικά κλειδιά για την είσπραξη λογαριασμών, ασφαλή και σε ασφαλή τοποθεσία.
• Θα πρέπει να αγωνιστούμε για την κρυπτογράφηση ευαίσθητων δεδομένων σε κάθε υπολογιστή που είναι μέλος ενός τομέα.
• Ενεργοποίηση εκκίνησης κλειδί για standalone υπολογιστές για την περαιτέρω ενίσχυση της ασφάλειας για τα ιδιωτικά κλειδιά των χρηστών.
• Βεβαιωθείτε ότι το φάκελο Τα έγγραφά μου είναι κρυπτογραφημένη σε περιπτώσεις κατά τις οποίες ο χρήστης συνδέεται στον ίδιο υπολογιστή.
• Μπορείτε να κρυπτογραφήσετε τα αρχεία χωρίς σύνδεση για να διασφαλίσει την προστασία των εγγράφων που είναι αποθηκευμένα σε τοπικό επίπεδο.
• Χρησιμοποιώντας Server Message Block (SMB) υπογραφή με EFS βοηθά στην εξασφάλιση ότι τα αρχεία που μεταδίδονται με ασφάλεια / ελήφθη από το δίκτυο.
• Μπορείτε επίσης να χρησιμοποιήσετε το IPSec για την κρυπτογράφηση των δεδομένων, καθώς κινείται πάνω από το δίκτυο