TAHA
10-28-2009, 09:03 PM
Microsoft’s Encrypting File System برای رمز نگاری اطلاعات در ویندوز های XP,2000,2003 مورد استفاده قرار میگیرد.EFS برای انجام این امر، از public key certificate بهره می گیرد.
زمانی که شما PKI ندارید، EFS می تواند یک Self Signed Certificate ایجاد کنید. این عمل پیش فرضی است که در سیستم های مبتنی بر گروه کاری و یا مستقل بکار گرفته می شود.در این راستا پیاده سازی EFS با بکارگیری دامنه و PKI ، پیچیدگی و امنیت را به ارمغان می آورد.
EFS و امضای دیجیتالی
به طور کلی برای رمز نگاری فایلها و پوشه ها با استفاده از EFS ، کاربر بایستی از گواهینامه معتبر X.509 برخوردار باشد.
زمانی که کاربر اقدام به رمزنگاری اطلاعات میکند، EFS به دنبال گواهینامه شخصی کاربر می گردد. چنانچه گواهینامه معتبری یافت نشد، EFS اقدام معرفی شما برای دریافت گواهینامه EFS به Windows certification authority می کند. چنانچه شما عضو دامنه ای نباشید و یا اینکه امکان برقراری ارتباط با CA برای دریافت گواهینامه وجود نداشته باشد. EFS اقدام به تولید Self Signed Certificate می کند.
در حالی که این Self Signed Certificate از معایبی برخوردار است :
1- برخلاف گواهینامه های که توسط CA منتشر می شود، Self Signed Certificate تنها دلالت بر Self-Trust دارد.
2- چنانچه Self Signed Certificate آسیبی ببیند و یا حذف شود؛ فایلهایی که توسط آن رمز شده اند دیگر قابل استفاده نخواهند بود.
3- عدم امکان استفاده اطلاعات توسط کاربران دیگر .
EFS و PKI
گرچه میتوان از از Self Signed Certification در دامنه استفاده کرد؛ اما بهترین راه کار بکارگیری EFS و PKI است.
ویندوز های 2000و 2003 سرور را می توان با استفاده از Certificate Service به نحوی پیکربندی کرد که نقش یک Certificate Authority را داشته باشند. و همچین چنانچه CA و Active Directoty با هم ترکیب شوند، چرخه درخواست گواهینامه ها به صورت خودکار انجام خواهد شد.
CA ها بیشتر علافه به اعطای گواهینامه بر اساس Certificate Template را دارند. این Template ها در AD وجود دارند؛ با استفاده از خصوصیت های این Template های می توان مشخص کرد که کاربر و یا کاربرانی خاص حق استفاده از گواهینامه EFS را ندارند و لزومی به رمز نگاری اطلاعات این گروه کاربران نیست.
همچنین این امکان وجود دارد که بتوان به تعداد و یا گروهی از کاربران اجازه درخواست گواهینامه را از CA داد.
نکته :
زمانی که سرور از EFS استفاده می کند و درایو و یا پوشه ای در کامپیوتر های کاربران MAP شده است؛ در زمانی که کاربران اقدام به ارسال اطلاعات بر روی سرور میکنند از مکانیزم رمزنگاری استفاده نمی شود بلکه پس از اتمام عملیات اتقال فایل رمزنگاری انحام می شود. برای بالا بردن ضریب امنیت بکارگیری IPsec ضروری است.
زمانی که شما PKI ندارید، EFS می تواند یک Self Signed Certificate ایجاد کنید. این عمل پیش فرضی است که در سیستم های مبتنی بر گروه کاری و یا مستقل بکار گرفته می شود.در این راستا پیاده سازی EFS با بکارگیری دامنه و PKI ، پیچیدگی و امنیت را به ارمغان می آورد.
EFS و امضای دیجیتالی
به طور کلی برای رمز نگاری فایلها و پوشه ها با استفاده از EFS ، کاربر بایستی از گواهینامه معتبر X.509 برخوردار باشد.
زمانی که کاربر اقدام به رمزنگاری اطلاعات میکند، EFS به دنبال گواهینامه شخصی کاربر می گردد. چنانچه گواهینامه معتبری یافت نشد، EFS اقدام معرفی شما برای دریافت گواهینامه EFS به Windows certification authority می کند. چنانچه شما عضو دامنه ای نباشید و یا اینکه امکان برقراری ارتباط با CA برای دریافت گواهینامه وجود نداشته باشد. EFS اقدام به تولید Self Signed Certificate می کند.
در حالی که این Self Signed Certificate از معایبی برخوردار است :
1- برخلاف گواهینامه های که توسط CA منتشر می شود، Self Signed Certificate تنها دلالت بر Self-Trust دارد.
2- چنانچه Self Signed Certificate آسیبی ببیند و یا حذف شود؛ فایلهایی که توسط آن رمز شده اند دیگر قابل استفاده نخواهند بود.
3- عدم امکان استفاده اطلاعات توسط کاربران دیگر .
EFS و PKI
گرچه میتوان از از Self Signed Certification در دامنه استفاده کرد؛ اما بهترین راه کار بکارگیری EFS و PKI است.
ویندوز های 2000و 2003 سرور را می توان با استفاده از Certificate Service به نحوی پیکربندی کرد که نقش یک Certificate Authority را داشته باشند. و همچین چنانچه CA و Active Directoty با هم ترکیب شوند، چرخه درخواست گواهینامه ها به صورت خودکار انجام خواهد شد.
CA ها بیشتر علافه به اعطای گواهینامه بر اساس Certificate Template را دارند. این Template ها در AD وجود دارند؛ با استفاده از خصوصیت های این Template های می توان مشخص کرد که کاربر و یا کاربرانی خاص حق استفاده از گواهینامه EFS را ندارند و لزومی به رمز نگاری اطلاعات این گروه کاربران نیست.
همچنین این امکان وجود دارد که بتوان به تعداد و یا گروهی از کاربران اجازه درخواست گواهینامه را از CA داد.
نکته :
زمانی که سرور از EFS استفاده می کند و درایو و یا پوشه ای در کامپیوتر های کاربران MAP شده است؛ در زمانی که کاربران اقدام به ارسال اطلاعات بر روی سرور میکنند از مکانیزم رمزنگاری استفاده نمی شود بلکه پس از اتمام عملیات اتقال فایل رمزنگاری انحام می شود. برای بالا بردن ضریب امنیت بکارگیری IPsec ضروری است.