استكشاف تشفير نظام الملفات في عميل Windows
EFS هو أداة تشفير ملفات مضمنة للأنظمة المستندة إلى Windows. EFS هو أحد مكونات نظام ملفات NTFS، ويستخدم خوارزميات تشفير قياسية متقدمة للسماح بتشفير الملفات الشفاف وفك تشفيرها. من خلال وظيفة Windows حماية البيانات من Windows، تتم محاكاة وظيفة EFS أيضا على وحدات التخزين التي تستخدم نظام ملفات FAT32. لا يمكن لأي فرد أو تطبيق ليس لديه حق الوصول إلى مخزن شهادات يحتوي على مفتاح تشفير مناسب قراءة البيانات المشفرة. يمكنك حماية الملفات المشفرة حتى من أولئك الذين يكتسبون حيازة مادية لجهاز كمبيوتر يتم تخزين الملفات عليه. حتى الأشخاص الذين لديهم إذن بالوصول إلى جهاز كمبيوتر ونظام الملفات الخاص به لا يمكنهم عرض البيانات المشفرة.
التشفير هو إضافة قوية إلى أي خطة دفاعية. ومع ذلك، يجب عليك استخدام استراتيجيات دفاعية إضافية، لأن التشفير ليس هو التدابير المضادة الصحيحة لكل تهديد. علاوة على ذلك، فإن كل سلاح دفاعي لديه القدرة على الإضرار ببياناتك، إذا كنت تستخدمه بشكل غير صحيح. عند تنفيذ EFS، فإن المهمة الأكثر أهمية هي إدارة شهادات EFS للمستخدمين بشكل صحيح. يعتمد التشفير الذي يوفره EFS على شهادات المستخدم ومفاتيحه العامة والخاصة. بدون إدارة الشهادات المناسبة، يمكنك بسهولة الوصول إلى موقف لا يمكن فيه الوصول إلى البيانات المشفرة.
إدارة شهادات EFS
يستخدم EFS تشفير المفتاح العام لتشفير الملفات. يحصل EFS على المفاتيح من شهادة EFS الخاصة بالمستخدم، والتي قد تحتوي أيضا على معلومات مفتاح خاصة. لذلك، يجب عليك إدارتها بشكل صحيح.
يحتاج المستخدمون إلى أزواج مفاتيح غير متماثلة لتشفير البيانات، ويمكنهم الحصول على هذه المفاتيح:
- من مرجع مصدق (CA). يمكن للمرجع المصدق الداخلي أو الخارجي إصدار شهادات EFS. يوفر هذا الأسلوب الإدارة المركزية والنسخ الاحتياطي للمفاتيح. يوصى بهذه الطريقة لإصدار شهادات EFS وإدارتها لأنها تسمح لك باستعادة شهادة المستخدم إذا فقدت.
- من خلال إنشائها. إذا لم يكن المرجع المصدق متوفرا، فسينشئ Windows زوج مفاتيح. هذه المفاتيح لها عمر 100 سنة. هذه الطريقة أكثر صعوبة من استخدام المرجع المصدق لأنه لا توجد إدارة مركزية، ويصبح المستخدمون مسؤولين عن إدارة مفاتيحهم الخاصة. بالإضافة إلى ذلك، من الصعب إدارة الاسترداد. ومع ذلك، فإنه لا يزال أسلوبا شائعا لأنه لا يتطلب أي إعداد.
يمكن للمستخدمين جعل الملفات المشفرة قابلة للوصول إلى شهادات EFS الخاصة بالمستخدمين الآخرين. إذا منحت حق الوصول إلى شهادة EFS الخاصة بمستخدم آخر، فقد يجعل هذا المستخدم هذه الملفات متاحة لشهادات EFS الخاصة بمستخدم آخر.
إصدار شهادة ل DRA
قبل البدء في استخدام EFS في مؤسستك، من المهم جدا إصدار شهادة لعامل استرداد البيانات (DRA). يتم استخدام هذه الشهادة في سيناريوهات حيث لا يمكن للمستخدم الذي قام بتشفير الملف أو لا يريد فك تشفيره. يمكن للمستخدم الذي لديه شهادة DRA فك تشفير أي ملف مشفر في المؤسسة. ينطبق هذا على جميع الملفات المشفرة بعد إصدار شهادة DRA.
يمكنك إصدار شهادات EFS للمستخدمين الفرديين فقط. لا يمكنك إصدار شهادات EFS للمجموعات.
يمكن ل CAs أرشفة واسترداد شهادات EFS الصادرة من CA
إذا كنت تستخدم CA لإصدار شهادات EFS، يمكنك تكوين أرشفة المفتاح الخاص للمستخدم. يجب تكوين هذا قبل البدء في إصدار شهادات EFS للمستخدمين. إذا لم تستخدم هذه الوظيفة، يجب على المستخدمين إجراء نسخ احتياطي لشهادات EFS التي تم إنشاؤها ذاتيا والمفاتيح الخاصة يدويا. للقيام بذلك، يمكنهم تصدير الشهادة والمفتاح الخاص إلى ملف Exchange الشخصي (.pfx)، المحمي بكلمة مرور أثناء عملية التصدير. كلمة المرور هذه مطلوبة لاستيراد الشهادة إلى مخزن شهادات المستخدم. في Windows، يمكنك أيضا استخدام أداة مضمنة لإدارة شهادات المستخدم المستخدمة في EFS ونسخها احتياطيا. من المستحسن أن يستخدم كل مستخدم EFS، استخدم هذه الأداة لنسخ شهادته احتياطيا، باستخدام مفتاح خاص، إلى موقع محمي خارجي.
تصدير شهادة EFS للعميل بدون المفتاح الخاص
إذا كنت بحاجة إلى توزيع المفتاح العام فقط، يمكنك تصدير شهادة EFS للعميل دون المفتاح الخاص إلى ملفات قواعد الترميز المتعارف عليها (.cer). يتم تخزين المفتاح الخاص للمستخدم في ملف تعريف المستخدم في مجلد RSA، والذي يمكنك الوصول إليه عن طريق توسيع AppData>Roaming>Microsoft>Crypto. ومع ذلك، يرجى ملاحظة أنه نظرا لوجود مثيل واحد فقط من المفتاح، فإنه عرضة لفشل القرص الثابت أو تلف البيانات.
تصدير الشهادات باستخدام الأداة الإضافية لشهادات MMC
تصدر شهادات وحدة تحكم إدارة Microsoft (MMC) الشهادات والمفاتيح الخاصة. يحتوي مخزن الشهادات الشخصية على شهادات EFS. عندما يقوم المستخدمون بتشفير الملفات في المجلدات المشتركة البعيدة، يتم تخزين مفاتيحهم على خادم الملفات.
كيفية عمل EFS
تعمل وظيفة تشفير EFS الأساسية كما يلي:
- عندما يفتح مستخدم يمتلك المفتاح الضروري ملفا، يفتح الملف. إذا لم يمتلك المستخدم المفتاح، يتلقى المستخدم رسالة مرفوضة من الوصول.
- يستخدم تشفير الملفات مفتاحا متماثلا يقوم بتشفيره باستخدام المفتاح العام للمستخدم، والذي يتم تخزينه في رأس الملف. بالإضافة إلى ذلك، فإنه يخزن شهادة بالمفاتيح العامة والخاصة للمستخدم، أو مفاتيح غير متماثلة، في ملف تعريف المستخدم. يجب أن يكون المفتاح الخاص للمستخدم متوفرا لفك تشفير الملف.
- إذا تسبب مفتاح خاص في حدوث تلف أو فقد، فلا يمكن فك تشفير الملف. إذا كان عامل استرداد البيانات موجودا، يكون الملف قابلا للاسترداد. إذا قمت بتنفيذ أرشفة المفتاح، يمكنك استرداد المفتاح وفك تشفير الملف. وإلا، فقد يتم فقدان الملف. يشار إلى نظام الشهادات، الذي يستند إليه التشفير، باسم البنية الأساسية للمفتاح العام (PKI).
- يمكنك أرشفة شهادة المستخدم التي تحتوي على مفاتيحه العامة والخاصة. على سبيل المثال، يمكنك تصديره إلى محرك أقراص USB محمول، ثم الاحتفاظ بمحرك أقراص USB المحمول في مكان آمن للاسترداد إذا تعرضت المفاتيح للتلف أو فقدت.
- تحمي كلمة مرور المستخدم المفاتيح العامة والخاصة. يمكن لأي مستخدم يمكنه الحصول على معرف المستخدم وكلمة المرور تسجيل الدخول بصفته ذلك المستخدم وفك تشفير ملفات هذا المستخدم. لذلك، يجب أن تتضمن ممارسات الأمان للمؤسسة سياسة قوية لكلمة المرور وتعليم المستخدم لحماية الملفات المشفرة من EFS.
- لا تظل الملفات المشفرة بواسطة EFS مشفرة عند عبور الشبكة، مثل عند العمل مع الملفات على مجلد مشترك. يتم فك تشفير الملف، ثم يجتاز الشبكة في حالة غير مشفرة. يقوم EFS بتشفيره محليا إذا قمت بحفظه في مجلد على محرك الأقراص المحلي الذي تم تكوينه للتشفير. يمكن أن تظل الملفات المشفرة بواسطة EFS مشفرة أثناء اجتياز شبكة إذا قمت بحفظها في مجلد ويب باستخدام بروتوكول التأليف والإصدار الموزع على شبكة الإنترنت العالمية (WebDAV). يمكن أن تظل مشفرة أيضا إذا قمت بتكوين حركة مرور الشبكة ليتم تشفيرها باستخدام أمان بروتوكول الإنترنت (IPSec).
- يدعم EFS خوارزميات التشفير القياسية في الصناعة، بما في ذلك معيار التشفير المتقدم (AES). يستخدم AES مفتاح تشفير متماثل 256 بت وهو خوارزمية EFS الافتراضية.
ميزات EFS في Windows 10
بالإضافة إلى ذلك، كن على دراية بالميزات التالية عند تنفيذ EFS على Windows:
- دعم تخزين المفاتيح الخاصة على البطاقات الذكية. يتضمن Windows الدعم الكامل لتخزين المفاتيح الخاصة للمستخدمين على البطاقات الذكية. إذا قام مستخدم بتسجيل الدخول إلى Windows باستخدام بطاقة ذكية، فيمكن ل EFS أيضا استخدام البطاقة الذكية لتشفير الملفات. يمكن مسؤول istrators تخزين مفاتيح استرداد مجالهم على بطاقة ذكية. ثم يكون استرداد الملفات بسيطا مثل تسجيل الدخول إلى الجهاز المتأثر، إما محليا أو باستخدام سطح المكتب البعيد، واستخدام البطاقة الذكية للاسترداد للوصول إلى الملفات.
- معالج إعادة مفتاح نظام تشفير الملفات. يسمح معالج تشفير نظام الملفات Rekeying Wizard للمستخدمين باختيار شهادة EFS، ثم تحديد الملفات الموجودة التي ستستخدم شهادة EFS المختارة حديثا وترحيلها. يمكن مسؤول istrators استخدام المعالج لترحيل المستخدمين في عمليات التثبيت الموجودة من شهادات البرامج إلى البطاقات الذكية. المعالج مفيد أيضا في حالات الاسترداد لأنه أكثر كفاءة من فك تشفير الملفات وإعادة تشفيرها.
- إعدادات نهج المجموعة ل EFS. يمكنك استخدام نهج المجموعة للتحكم في نهج حماية EFS وتكوينها مركزيا لمؤسسة بأكملها. على سبيل المثال، يسمح Windows بتشفير ملف الصفحة من خلال نهج الأمان المحلي أو نهج المجموعة.
- تشفير كل مستخدم للملفات غير المتصلة. يمكنك استخدام EFS لتشفير نسخ الملفات دون اتصال من الخوادم البعيدة. عند تمكين هذا الخيار، يتم تشفير كل ملف في ذاكرة التخزين المؤقت دون اتصال بمفتاح عام من المستخدم الذي قام بتخزين الملف مؤقتا. وبالتالي، فقط هذا المستخدم لديه حق الوصول إلى الملف، وحتى المسؤولين المحليين لا يمكنهم قراءة الملف دون الوصول إلى المفاتيح الخاصة للمستخدم.
- مسح انتقائي. ميزة Windows في بيئة الشركة هي المسح الانتقائي. إذا تم فقدان جهاز أو سرقته، يمكن للمسؤول إبطال مفتاح EFS الذي تم استخدامه لحماية الملفات الموجودة على الجهاز. يؤدي إبطال مفتاح إلى منع كل الوصول إلى ملفات البيانات المخزنة على جهاز المستخدم.