La possibilità di crittografare i dati - sia i dati in transito (utilizzando IPSec) che i dati memorizzati sul disco (utilizzando il Crittografia file system) senza la necessità di software di terze parti è uno dei maggiori vantaggi di Windows 2000 e XP / 2003 rispetto a Microsoft precedente sistemi operativi. Sfortunatamente, molti utenti di Windows non approfittano di queste nuove funzionalità di sicurezza o, se le usano, non comprendono appieno cosa fanno, come funzionano e quali sono le migliori pratiche per sfruttarle al meglio. In questo articolo, discuterò di EFS: il suo utilizzo, le sue vulnerabilità e come può adattarsi al tuo piano generale di sicurezza della rete.
La possibilità di crittografare i dati - sia i dati in transito (utilizzando IPSec) che i dati memorizzati sul disco (utilizzando il Crittografia file system) senza la necessità di software di terze parti è uno dei maggiori vantaggi di Windows 2000 e XP / 2003 rispetto a Microsoft precedente sistemi operativi. Sfortunatamente, molti utenti di Windows non approfittano di queste nuove funzionalità di sicurezza o, se le usano, non comprendono appieno cosa fanno, come funzionano e quali sono le migliori pratiche per sfruttarle al meglio.
Ho discusso l'uso di IPSec in un precedente articolo; in questo articolo, voglio parlare di EFS: il suo uso, le sue vulnerabilità e come può adattarsi al tuo piano generale di sicurezza della rete.
Lo scopo di EFS
Microsoft ha progettato EFS per fornire una tecnologia basata su una chiave pubblica che agisse come una sorta di "ultima linea di difesa" per proteggere i dati archiviati dagli intrusi. Se un abile hacker supera le altre misure di sicurezza - passa attraverso il firewall (o ottiene l'accesso fisico al computer), sconfigge le autorizzazioni di accesso per ottenere privilegi amministrativi - EFS può comunque impedirgli di leggere i dati nel documento crittografato. Questo è vero a meno che l'intruso non sia in grado di accedere come utente che ha crittografato il documento (o, in Windows XP / 2000, un altro utente con cui l'utente ha accesso condiviso).
Esistono altri modi per crittografare i dati sul disco. Molti produttori di software realizzano prodotti di crittografia dei dati che possono essere utilizzati con varie versioni di Windows. Questi includono ScramDisk, SafeDisk e PGPDisk. Alcuni di questi usano la crittografia a livello di partizione o creano un'unità virtuale crittografata, in cui tutti i dati memorizzati in quella partizione o su quella unità virtuale saranno crittografati. Altri utilizzano la crittografia a livello di file, che consente di crittografare i dati in base ai file, indipendentemente dal luogo di residenza. Alcuni di questi metodi utilizzano una password per proteggere i dati; quella password viene immessa quando si cripta il file e deve essere immesso nuovamente per decrittografarlo. EFS utilizza certificati digitali associati a un account utente specifico per determinare quando un file può essere decodificato.
Microsoft ha progettato EFS in modo che sia facile da usare ed è praticamente trasparente per l'utente. Crittografare un file - o un'intera cartella - è facile come selezionare una casella di controllo nelle impostazioni Proprietà avanzate del file o della cartella.
Si noti che la crittografia EFS è disponibile solo per file e cartelle su unità formattate NTFS. Se l'unità è formattata in FAT o FAT32, non ci sarà Avanzate pulsante nella scheda delle proprietà. Si noti inoltre che anche se le opzioni per comprimere o crittografare un file / cartella sono presentate nell'interfaccia come caselle di controllo, in realtà funzionano come pulsanti di opzione; cioè, se ne selezioni uno, l'altro viene automaticamente deselezionato. Un file o una cartella non può essere crittografato e compresso allo stesso tempo.
Una volta crittografato il file o la cartella, l'unica differenza visibile è che i file / cartelle crittografati verranno visualizzati in Explorer con un colore diverso, se la casella di controllo Mostra a colori i file NTFS crittografati o compressi è selezionato in Opzioni cartella (configurato tramite Strumenti | Opzioni cartella | Visualizza scheda in Esplora risorse).
L'utente che ha crittografato il documento non deve mai preoccuparsi di decrittografarlo per accedervi. Quando lo apre, viene decodificato automaticamente e in modo trasparente, a condizione che l'utente abbia effettuato l'accesso con lo stesso account utente di quando è stato crittografato. Se qualcun altro tenta di accedervi, tuttavia, il documento non si aprirà e un messaggio informerà l'utente che l'accesso è negato.
Cosa sta succedendo sotto i cofani?
Anche se EFS sembra incredibilmente semplice per l'utente, c'è molto da fare sotto i cofani per far sì che tutto questo accada. Sia la crittografia simmetrica (chiave segreta) che asimmetrica (chiave pubblica) vengono utilizzate in combinazione per sfruttare i vantaggi e gli svantaggi di ciascuna.
Quando un utente inizialmente utilizza EFS per crittografare un file, all'account utente viene assegnata una coppia di chiavi (chiave pubblica e chiave privata corrispondente), generate dai servizi di certificazione, se sulla rete è installata una CA, oppure autofirmate di EFS. La chiave pubblica viene utilizzata per la crittografia e la chiave privata viene utilizzata per la decrittografia …
Per leggere l'articolo completo e vedere le immagini a grandezza naturale delle figure, fare clic qui: Dove si inserisce EFS nel piano di sicurezza?
