Menjelajahi Sistem File Enkripsi di klien Windows

  • 9 menit

EFS adalah alat enkripsi file bawaan untuk sistem berbasis Windows. EFS adalah komponen dari sistem file NTFS, dan menggunakan algoritma kriptografi standar tingkat lanjut untuk memungkinkan enkripsi dan dekripsi file transparan. Melalui fungsionalitas Perlindungan Informasi Windows Windows, fungsionalitas EFS juga disimulasikan pada volume yang menggunakan sistem file FAT32. Setiap individu atau aplikasi yang tidak memiliki akses ke penyimpanan sertifikat yang menyimpan kunci kriptografi yang sesuai tidak dapat membaca data terenkripsi. Anda dapat melindungi file terenkripsi bahkan dari mereka yang mendapatkan kepemilikan fisik komputer tempat file disimpan. Bahkan orang yang memiliki otorisasi untuk mengakses komputer dan sistem filenya tidak dapat melihat data terenkripsi.

Enkripsi adalah tambahan yang kuat untuk rencana defensif apa pun. Namun, Anda harus menggunakan strategi defensif tambahan, karena enkripsi bukanlah penanggulangan yang benar untuk setiap ancaman. Selain itu, setiap senjata defensif berpotensi membahayakan data Anda, jika Anda salah menggunakannya. Ketika Anda menerapkan EFS, tugas yang paling penting adalah mengelola sertifikat EFS dengan benar untuk pengguna. Enkripsi yang disediakan oleh EFS didasarkan pada sertifikat pengguna, dan kunci publik dan privat mereka. Tanpa manajemen sertifikat yang tepat, Anda dapat dengan mudah masuk ke situasi di mana data terenkripsi tidak dapat diakses.

Mengelola sertifikat EFS

EFS menggunakan kriptografi kunci publik untuk mengenkripsi file. EFS mendapatkan kunci dari sertifikat EFS pengguna, yang juga mungkin berisi informasi kunci privat. Oleh karena itu, Anda harus mengelolanya dengan benar.

Pengguna memerlukan pasangan kunci asimetris untuk mengenkripsi data, dan mereka dapat memperoleh kunci ini:

  • Dari otoritas sertifikasi (CA). CA internal atau pihak ketiga dapat menerbitkan sertifikat EFS. Metode ini menyediakan manajemen pusat dan pencadangan kunci. Ini disarankan cara untuk menerbitkan dan mengelola sertifikat EFS karena memungkinkan Anda memulihkan sertifikat pengguna jika hilang.
  • Dengan menghasilkannya. Jika CA tidak tersedia, Windows akan menghasilkan pasangan kunci. Kunci ini memiliki umur 100 tahun. Metode ini lebih sulit daripada menggunakan CA karena tidak ada manajemen terpusat, dan pengguna menjadi bertanggung jawab untuk mengelola kunci mereka sendiri. Selain itu, pemulihan lebih sulit dikelola. Namun, ini masih merupakan metode populer karena tidak memerlukan pengaturan.

Pengguna dapat membuat file terenkripsi dapat diakses oleh sertifikat EFS pengguna lain. Jika Anda memberikan akses ke sertifikat EFS pengguna lain, pengguna tersebut dapat membuat file tersebut tersedia untuk sertifikat EFS pengguna lain.

Menerbitkan sertifikat untuk DRA

Sebelum mulai menggunakan EFS di organisasi Anda, sangat penting untuk menerbitkan sertifikat untuk Agen Pemulihan Data (DRA). Sertifikat ini digunakan dalam skenario di mana pengguna yang mengenkripsi file tidak dapat atau tidak ingin mendekripsinya. Pengguna yang memiliki sertifikat DRA dapat mendekripsi file terenkripsi apa pun di organisasi. Ini berlaku untuk semua file yang dienkripsi setelah sertifikat DRA diterbitkan.

Anda hanya dapat menerbitkan sertifikat EFS untuk pengguna individual. Anda tidak dapat menerbitkan sertifikat EFS ke grup.

CA dapat mengarsipkan dan memulihkan sertifikat EFS yang dikeluarkan CA

Jika Anda menggunakan CA untuk menerbitkan sertifikat EFS, Anda dapat mengonfigurasi pengarsipan kunci privat pengguna. Anda harus mengonfigurasi ini sebelum mulai menerbitkan sertifikat EFS untuk pengguna. Jika Anda tidak menggunakan fungsionalitas ini, pengguna harus mencadangkan sertifikat EFS dan kunci privat yang dibuat sendiri secara manual. Untuk melakukan ini, mereka dapat mengekspor sertifikat dan kunci privat ke File Pertukaran Pribadi (.pfx), yang dilindungi kata sandi selama proses ekspor. Kata sandi ini diperlukan untuk mengimpor sertifikat ke penyimpanan sertifikat pengguna. Di Windows, Anda juga dapat menggunakan alat bawaan untuk mengelola dan mencadangkan sertifikat pengguna yang digunakan untuk EFS. Disarankan agar setiap pengguna yang menggunakan EFS, menggunakan alat ini untuk mencadangkan sertifikatnya, dengan kunci privat, ke lokasi yang dilindungi eksternal.

Mengekspor sertifikat EFS klien tanpa kunci privat

Jika Anda hanya perlu mendistribusikan kunci publik, Anda dapat mengekspor sertifikat EFS klien tanpa kunci privat ke file Aturan Pengodean Kanonis (.cer). Kunci privat pengguna disimpan di profil pengguna di folder RSA, yang dapat Anda akses dengan memperluas >Crypto. Namun, harap dicatat bahwa karena hanya ada satu instans kunci, ia rentan terhadap kegagalan hard-disk atau kerusakan data.

Mengekspor sertifikat dengan snap-in Sertifikat MMC

Snap-in Sertifikat Microsoft Management Console (MMC) mengekspor sertifikat dan kunci privat. Penyimpanan Sertifikat Pribadi berisi sertifikat EFS. Ketika pengguna mengenkripsi file di folder bersama jarak jauh, kunci mereka disimpan di server file.

Cara kerja EFS

Fungsionalitas enkripsi EFS dasar berfungsi sebagai berikut:

  • Ketika pengguna yang memiliki kunci yang diperlukan membuka file, file akan terbuka. Jika pengguna tidak memiliki kunci, pengguna akan menerima pesan yang ditolak aksesnya.
  • Enkripsi file menggunakan kunci konten yang dienkripsinya dengan kunci publik pengguna, yang disimpan di header file. Selain itu, ia menyimpan sertifikat dengan kunci publik dan privat pengguna, atau kunci asimetris, di profil pengguna. Kunci privat pengguna harus tersedia untuk dekripsi file.
  • Jika kunci privat menimbulkan kerusakan atau hilang, file tidak dapat didekripsi. Jika ada agen pemulihan data, file dapat dipulihkan. Jika Anda menerapkan pengarsipan kunci, Anda dapat memulihkan kunci dan mendekripsi file. Jika tidak, file mungkin hilang. Sistem sertifikat, yang didasarkan pada enkripsi, disebut sebagai infrastruktur kunci publik (PKI).
  • Anda dapat mengarsipkan sertifikat pengguna yang berisi kunci publik dan privatnya. Misalnya, Anda dapat mengekspornya ke USB flash drive, lalu menyimpan USB flash drive di tempat yang aman untuk pemulihan jika kunci mengalami kerusakan atau hilang.
  • Kata sandi pengguna melindungi kunci publik dan privat. Setiap pengguna yang dapat memperoleh ID pengguna dan kata sandi dapat masuk sebagai pengguna tersebut dan mendekripsi file pengguna tersebut. Oleh karena itu, praktik keamanan organisasi harus menyertakan kebijakan kata sandi yang kuat dan pendidikan pengguna untuk melindungi file terenkripsi EFS.
  • File terenkripsi EFS tidak tetap dienkripsi saat melintasi jaringan, seperti saat Anda bekerja dengan file pada folder bersama. File didekripsi, dan kemudian melintasi jaringan dalam keadaan tidak terenkripsi. EFS mengenkripsinya secara lokal jika Anda menyimpannya ke folder di drive lokal yang dikonfigurasi untuk enkripsi. File terenkripsi EFS dapat tetap dienkripsi saat melintasi jaringan jika Anda menyimpannya ke folder web dengan menggunakan protokol World Wide Web Distributed Authoring and Versioning (WebDAV). Mereka juga dapat tetap dienkripsi jika Anda mengonfigurasi lalu lintas jaringan untuk dienkripsi dengan menggunakan Internet Protocol Security (IPSec).
  • EFS mendukung algoritma enkripsi standar industri, termasuk Advanced Encryption Standard (AES). AES menggunakan kunci enkripsi simetris 256-bit dan merupakan algoritma EFS default.

Fitur EFS di Windows 10

Selain itu, perhatikan fitur-fitur berikut saat menerapkan EFS di Windows:

  • Dukungan untuk menyimpan kunci privat pada kartu pintar. Windows mencakup dukungan penuh untuk menyimpan kunci privat pengguna pada kartu pintar. Jika pengguna masuk ke Windows dengan kartu pintar, EFS juga dapat menggunakan kartu pintar untuk enkripsi file. Administrator dapat menyimpan kunci pemulihan domain mereka di kartu pintar. Memulihkan file kemudian sesederhana masuk ke komputer yang terpengaruh, baik secara lokal atau dengan menggunakan Desktop Jauh, dan menggunakan kartu pintar pemulihan untuk mengakses file.
  • Wizard Kunci Ulang Sistem File Enkripsi. Wizard Kunci Ulang Sistem File Enkripsi memungkinkan pengguna memilih sertifikat EFS, lalu memilih dan memigrasikan file yang ada yang akan menggunakan sertifikat EFS yang baru dipilih. Administrator dapat menggunakan wizard untuk memigrasikan pengguna dalam penginstalan yang ada dari sertifikat perangkat lunak ke kartu pintar. Wizard ini juga berguna dalam situasi pemulihan karena lebih efisien daripada mendekripsi dan mengenkripsi ulang file.
  • Pengaturan Kebijakan Grup untuk EFS. Anda dapat menggunakan Kebijakan Grup untuk mengontrol dan mengonfigurasi kebijakan perlindungan EFS secara terpusat untuk seluruh perusahaan. Misalnya, Windows mengizinkan enkripsi file halaman melalui kebijakan keamanan lokal atau Kebijakan Grup.
  • Enkripsi per pengguna dari File Offline. Anda dapat menggunakan EFS untuk mengenkripsi salinan file offline dari server jarak jauh. Saat Anda mengaktifkan opsi ini, setiap file dalam cache offline dienkripsi dengan kunci publik dari pengguna yang menyimpan cache file. Dengan demikian, hanya pengguna yang memiliki akses ke file, dan bahkan administrator lokal tidak dapat membaca file tanpa akses ke kunci privat pengguna.
  • Penghapusan Selektif. Fitur Windows di lingkungan perusahaan adalah Penghapusan Selektif. Jika perangkat hilang atau dicuri, administrator dapat mencabut kunci EFS yang digunakan untuk melindungi file pada perangkat. Mencabut kunci mencegah semua akses ke file data yang disimpan di perangkat pengguna.