Oleh Deb Shinder dengan izin dari WindowSecurity.com
Kemampuan untuk mengenkripsi data - baik data transit (menggunakan IPSec ) dan data yang disimpan pada disk (menggunakan Sistem File Enkripsi ) tanpa perlu perangkat lunak pihak ketiga adalah salah satu keuntungan terbesar dari Windows 2000 dan XP / 2003 dibandingkan Microsoft sebelumnya. sistem operasi. Sayangnya, banyak pengguna Windows tidak memanfaatkan fitur keamanan baru ini atau, jika mereka menggunakannya, tidak sepenuhnya memahami apa yang mereka lakukan, bagaimana mereka bekerja, dan apa praktik terbaik untuk membuat sebagian besar dari mereka. Dalam artikel ini, saya akan membahas EFS: penggunaannya, kerentanannya, dan bagaimana itu dapat masuk ke dalam rencana keamanan jaringan Anda secara keseluruhan.
Kemampuan untuk mengenkripsi data - baik data transit (menggunakan IPSec) dan data yang disimpan pada disk (menggunakan Sistem File Enkripsi) tanpa perlu perangkat lunak pihak ketiga adalah salah satu keuntungan terbesar dari Windows 2000 dan XP / 2003 dibandingkan Microsoft sebelumnya. sistem operasi. Sayangnya, banyak pengguna Windows tidak memanfaatkan fitur keamanan baru ini atau, jika mereka menggunakannya, tidak sepenuhnya memahami apa yang mereka lakukan, bagaimana mereka bekerja, dan apa praktik terbaik untuk membuat sebagian besar dari mereka.
Saya membahas penggunaan IPSec dalam artikel sebelumnya; dalam artikel ini, saya ingin berbicara tentang EFS: penggunaannya, kerentanannya, dan bagaimana itu bisa masuk ke dalam rencana keamanan jaringan Anda secara keseluruhan.
Tujuan EFS
Microsoft merancang EFS untuk menyediakan teknologi berbasis kunci publik yang akan bertindak sebagai semacam "garis pertahanan terakhir" untuk melindungi data yang disimpan dari penyusup. Jika seorang peretas pintar berhasil melewati langkah keamanan lain - membuatnya melalui firewall Anda (atau memperoleh akses fisik ke komputer), mengalahkan izin akses untuk mendapatkan hak istimewa administratif - EFS masih dapat mencegahnya untuk dapat membaca data di dokumen terenkripsi. Ini benar kecuali penyusup dapat logon sebagai pengguna yang mengenkripsi dokumen (atau, di Windows XP / 2000, pengguna lain dengan siapa pengguna itu memiliki akses bersama).
Ada cara lain untuk mengenkripsi data pada disk. Banyak vendor perangkat lunak membuat produk enkripsi data yang dapat digunakan dengan berbagai versi Windows. Ini termasuk ScramDisk, SafeDisk dan PGPDisk. Beberapa di antaranya menggunakan enkripsi tingkat partisi atau membuat drive terenkripsi virtual, di mana semua data yang disimpan dalam partisi itu atau pada drive virtual itu akan dienkripsi. Lainnya menggunakan enkripsi level file, memungkinkan Anda untuk mengenkripsi data Anda pada basis file-demi-file di mana pun mereka berada. Beberapa metode ini menggunakan kata sandi untuk melindungi data; kata sandi dimasukkan ketika Anda mengenkripsi file dan harus dimasukkan lagi untuk mendekripnya. EFS menggunakan sertifikat digital yang terikat ke akun pengguna tertentu untuk menentukan kapan file dapat didekripsi.
Microsoft merancang EFS agar mudah digunakan, dan memang praktis transparan bagi pengguna. Mengenkripsi file - atau seluruh folder - semudah memeriksa kotak centang di pengaturan Properti Lanjutan file atau folder.
Perhatikan bahwa enkripsi EFS hanya tersedia untuk file dan folder yang ada di drive berformat NTFS . Jika drive diformat dalam FAT atau FAT32, tidak akan ada tombol Advanced pada lembar Properties. Perhatikan juga bahwa meskipun opsi untuk memadatkan atau mengenkripsi file / folder disajikan di antarmuka sebagai kotak centang, mereka sebenarnya bekerja seperti tombol opsi; yaitu, jika Anda memeriksanya, yang lain secara otomatis tidak dicentang. File atau folder tidak dapat dienkripsi dan dikompresi pada saat yang bersamaan.
Setelah file atau folder dienkripsi, satu-satunya perbedaan yang terlihat adalah file yang dienkripsi / folder akan muncul di Explorer dalam warna yang berbeda, jika kotak centang untuk Menampilkan file NTFS terenkripsi atau terkompresi dalam warna dipilih dalam Opsi Folder (dikonfigurasi melalui Alat | Opsi Folder | Lihat tab di Windows Explorer).
Pengguna yang mengenkripsi dokumen tidak perlu khawatir tentang mendekripsi untuk mengaksesnya. Ketika dia membukanya, itu secara otomatis dan transparan didekripsi - selama pengguna login dengan akun pengguna yang sama seperti ketika dienkripsi. Jika orang lain mencoba untuk mengaksesnya, bagaimanapun, dokumen tidak akan terbuka dan sebuah pesan akan memberi tahu pengguna bahwa akses ditolak.
Apa yang Terjadi di Bawah Terpal?
Meskipun tampaknya EFS sangat sederhana bagi pengguna, ada banyak hal yang terjadi di bawah kap untuk membuat ini semua terjadi. Baik kunci simetrik (kunci rahasia) dan asimetris (kunci publik) digunakan dalam kombinasi untuk mengambil keuntungan dari manfaat dan kerugian masing-masing.
Ketika pengguna pada awalnya menggunakan EFS untuk mengenkripsi file, akun pengguna adalah pasangan kunci yang ditetapkan (kunci publik dan kunci pribadi terkait), baik yang dihasilkan oleh layanan sertifikat - jika ada CA yang dipasang di jaringan - atau ditandatangani sendiri oleh EFS. Kunci publik digunakan untuk enkripsi dan kunci privat digunakan untuk dekripsi ...
Untuk membaca artikel lengkap dan melihat gambar berukuran penuh untuk Angka, klik di sini: Di mana Apakah EFS Sesuai dengan Paket Keamanan Anda?