در این مطالب، بسیاری از نکات مربوط به EFS پوشش داده می شود. خواننده پس از خواندن این مطلب باید بتواند سناریو های رایج مربوط به EFS را پیاده سازی کند.
رمزنگاری یا Encryption به فرآیند غیرقابل مشاهده کردن فایل ها توسط افراد بدون مجوز گفته می شود. در رمزنگاری یک کلید برای رمزگشایی اطلاعات به کار می رود. افرادی که دارای این کلید باشند می توانند اطلاعات را مشاهده کنند. در پارتیشن و والیوم های با فایل سیستم NTFS علاوه بر NTFS Permission یک راه ایمن کردن اطلاعات EFS یا Encryption File System است. اگر کاربر فاقد کلید لازم برای باز کردن فایل باشد با پیغام Access Denied رو به رو خواهد شد. امنیتی که EFS برای ما ایجاد می کند بسیار امنیت محکم تری نسبت به NTFS Permission است اما این به معنی غیر قابل نفوذ بودن نیست. معمولا برای اطلاعات رده حساس به کار می رود و در اطلاعات رده حیاتی از روش های دیگر که الگوریتم های رمزنگاری پیچیده تری دارند استفاده می شود. همچنین برای اطلاعات رده مهم، که پایین ترین سطح اهمیت اطلاعات اند، از EFS استفاده نمی شود. در ویندوز ویستا روش رمزنگاری پیچیده تری با استفاده از چیپ های TPM و رابط bitlocker موجود است که در این خصوص در گذشته صحبت کرده ایم. اما همچنان بنا به دلایل بسیار و تفاوت عملکرد این دو سیستم EFS متداول است.
تذکر در خواندن این مقاله:
تلاش شده مطالب این مقاله به ساده ترین نحو ممکن نگارش شود. مطالب با روندی آهسته تخصصی تر و پیچیده می شوند. اما مطالب ابتدایی عمومی به شمار می رود و برای همگان مفید است.
هر چند انجام رمزنگاری ظاهرا ساده و به دور از پیچیدگی است، اما به موارد بسیار زیادی باید توجه کرد. که در ادامه آن ها را بررسی می کنیم.برای رمزنگاری در خط فرمان از دستور Cipher استفاده می کنیم که قابلیت های بسیار بیشتر را نسبت به محیط گرافیکی به صورت متمرکز در اختیار ما قرار می دهد. با این وجود بررسی در محیط گرافیکی می کنیم و سپس سری به خط فرمان می زنیم. روی فایلی یا فلدری که می خواهید رمزنگاری شود کلیک راست کنید و سپس Properties را بزنید. در زبانه general گزینه Advanced را بزنید. و چک باکس Encrypt Contents to Secure Data را بزنید. توجه کنید که نمی توانید Compression و Encryption را همزمان داشته باشید. اگر بخواهم دلیل این مسئله را خیلی عامیانه و فقط برای درک مسئله بیان کنم چنین است: در Compression از عبارت های مشابه فاکتور گرفته می شود تا حجم فایل کاهش یابد اما در Encryption عبارتی به فایل ضرب می شود تا فایل بدون کلید غیر قابل تشخیص باشد. بنابراین این دو در خلاف یکدیگرند. سپس OK بزنید و Apply کنید. این فایل در حال حاضر رمزنگاری شده و احتمالا فقط خودتان قادر مشاهده آن هستید. به صروت پیش فرض فایل های رمزنگاری شده با رنگ سبز در Windows Explorer نمایش داده می شوند البته این رنگ قابل تغییر است. برای آنکه بتوانید به فرد دیگری مجوز مشاهده فایل را بدهید دوباره Advanced را بزنید و سپس Details را بزنید. در پنجره user access to file دو قمست وجود دارد: ۱) Users who can access this file لیستی از کاربرانی است که می توانند به این فایل دسترسی داشته باشند. می توانید به راحتی افرادی را اضافه و یا حذف کنید. ۲) Recovery Certificates for this file as defined by Recovery Policy : افرادی هستند که به منظور بازیابی این فایل همواره مجوز دسترسی به این فایل ها را دارند. در اینجا قادر به تغییر این افراد نیستید.
از دست رفتن کلید ها و تهیه نسخه پشتیبان :
همانطور که گفته شد برای دسترسی به یک فایل رمزنگاری شده باید یک کلید در اختیار داشت. این کلید بر اساس کلمه عبور و SID ساخته می شود. در سناریو های بسیاری احتمال از دست رفتن این کلید است. مثلا ست کردن ویندوز در کامپیوتر و یا Set Password کردن. توجه کنید که در Change Password مشکلی وجود ندارد. Change Password به زمانی گفته می شود که با وارد کردن password فعلی، کلمه عبور جدیدی برای خود انتخاب می کنید و Set Password به زمانی گفته می شود که بدون وارد کردن کلمه عبور فعلی یک کلمه عبور جدید را اجبارا اعمال می کنید. در recover password که در خصوص password های فراموش شده استفاده می شود، نیز همانند Change Passwordکلید از دست نمی رود. بنابراین همیشه به کاربران توصیه می شود تا password reset disk بسازند و آن را در محلی امن نگه داری کنند. هر چند خود این مسئله قدری خطرناک است اما راه حلی مناسب است. یک راه حل مناسب برای از دست ندادن کلید ها تهیه نسخه پشتیبان از آن ها است. با زدن دکمه Backup Keys می توانید از کلید های خودتان نسخه پشتیبان تهیه کنید. با زدن این دکمه ویزاردی به نمایش در می آید:
گرفتن نسخه پشتیبان :
در صفحه خوش آمدگویی ویزارد به شما توضیح داده می شود که شما با استفاده از این ویزارد می توانید از مجوز( Certification ) های خودتان یک کپی تهیه کنید. مجوزها که توسط Certification Authority صادر می شوند، شامل تصدیق هویت شما و اطلاعاتی که می تواند موجب ایمن سازی یک ارتباط شبکه و یا محافظت از یک فایل است می باشند. با زدن next به مرحله بعدی می رویم.