Windows istemcisinde Şifreleme Dosya Sistemi'ni keşfetme

  • 9 dakika

EFS, Windows tabanlı sistemler için yerleşik bir dosya şifreleme aracıdır. EFS, NTFS dosya sisteminin bir bileşenidir ve saydam dosya şifreleme ve şifre çözme işlemlerine izin vermek için gelişmiş, standart şifreleme algoritmaları kullanır. Windows'un Windows Information Protection işlevselliği aracılığıyla, EFS işlevselliği FAT32 dosya sistemini kullanan birimlerde de simülasyon yapılır. Uygun şifreleme anahtarına sahip bir sertifika deposuna erişimi olmayan herhangi bir kişi veya uygulama şifrelenmiş verileri okuyamaz. Şifrelenmiş dosyaları, dosyaların depolandığı bir bilgisayara fiziksel olarak sahip olanlardan bile koruyabilirsiniz. Bilgisayara ve dosya sistemine erişim yetkisi olan kişiler bile şifrelenmiş verileri görüntüleyemez.

Şifreleme, herhangi bir savunma planına güçlü bir eklemedir. Ancak, şifreleme her tehdit için doğru karşı önlem olmadığından ek savunma stratejileri kullanmanız gerekir. Ayrıca, yanlış kullanırsanız her savunma silahı verilerinize zarar verme potansiyeline sahiptir. EFS'yi uyguladığınızda en önemli görev, kullanıcılar için EFS sertifikalarını düzgün bir şekilde yönetmektir. EFS tarafından sağlanan şifreleme, kullanıcı sertifikalarını ve bunların ortak ve özel anahtarlarını temel alır. Doğru sertifika yönetimi olmadan, şifrelenmiş verilerin erişilebilir olmadığı bir duruma kolayca girebilirsiniz.

EFS sertifikalarını yönetme

EFS, dosyaları şifrelemek için ortak anahtar şifrelemesi kullanır. EFS, anahtarları kullanıcının EFS sertifikasından alır ve bu sertifika özel anahtar bilgileri de içerebilir. Bu nedenle, bunları doğru bir şekilde yönetmeniz gerekir.

Kullanıcıların verileri şifrelemek için asimetrik anahtar çiftlerine ihtiyacı vardır ve bu anahtarları alabilirler:

  • Bir sertifika yetkilisinden (CA) . bir iç veya üçüncü taraf CA EFS sertifikaları verebilir. Bu yöntem anahtarların merkezi yönetimini ve yedeklemesini sağlar. Kaybolursa kullanıcı sertifikasını geri yüklemenize olanak tanıdığı için EFS sertifikalarını vermek ve yönetmek için bu yöntem önerilir.
  • Bunları oluşturarak. CA kullanılamıyorsa, Windows bir anahtar çifti oluşturur. Bu anahtarların kullanım ömrü 100 yıldır. Merkezi yönetim olmadığından ve kullanıcılar kendi anahtarlarını yönetmekten sorumlu olduğundan bu yöntem CA kullanmaktan daha zordur. Ayrıca, kurtarmayı yönetmek daha zordur. Ancak, kurulum gerektirmediğinden hala popüler bir yöntemdir.

Kullanıcılar şifrelenmiş dosyaları diğer kullanıcıların EFS sertifikaları için erişilebilir hale getirebilir. Başka bir kullanıcının EFS sertifikasına erişim verirseniz, bu kullanıcı bu dosyaları başka bir kullanıcının EFS sertifikaları için kullanılabilir hale getirebilir.

DRA için sertifika verme

Kuruluşunuzda EFS'yi kullanmaya başlamadan önce Bir Veri Kurtarma Aracısı (DRA) için sertifika vermek çok önemlidir. Bu sertifika, dosyayı şifreleyen bir kullanıcının dosyanın şifresini çözemediği veya şifresini çözmek istemediği senaryolarda kullanılır. DRA sertifikasına sahip bir kullanıcı, kuruluştaki şifrelenmiş dosyaların şifresini çözebilir. Bu, DRA sertifikası verildikten sonra şifrelenen tüm dosyalar için geçerlidir.

EFS sertifikalarını yalnızca tek tek kullanıcılara vekleyebilirsiniz. Gruplara EFS sertifikaları veremezsiniz.

CA'lar CA tarafından verilen EFS sertifikalarını arşivleyebilir ve kurtarabilir

EFS sertifikaları vermek için CA kullanıyorsanız, kullanıcının özel anahtarının arşivlemeyi yapılandırabilirsiniz. Kullanıcılar için EFS sertifikaları vermeye başlamadan önce bunu yapılandırmanız gerekir. Bu işlevi kullanmıyorsanız, kullanıcıların kendi oluşturduğu EFS sertifikalarını ve özel anahtarlarını el ile yedeklemesi gerekir. Bunu yapmak için, sertifikayı ve özel anahtarı dışarı aktarma işlemi sırasında parola korumalı olan Kişisel Exchange Dosyasına (.pfx) aktarabilir. Bu parola, sertifikayı bir kullanıcının sertifika deposuna aktarmak için gereklidir. Windows'da, EFS için kullanılan kullanıcı sertifikalarını yönetmek ve yedeklemek için yerleşik aracı da kullanabilirsiniz. EFS kullanan her kullanıcının sertifikasını özel anahtarla dış korumalı konuma yedeklemek için bu aracı kullanması önerilir.

İstemci EFS sertifikasını özel anahtar olmadan dışarı aktarma

Yalnızca ortak anahtarınızı dağıtmanız gerekiyorsa, özel anahtar olmadan istemci EFS sertifikasını Kurallı Kodlama Kuralları (.cer) dosyalarına aktarabilirsiniz. Kullanıcının özel anahtarı, AppData>Roaming>Microsoft>Crypto'yı genişleterek erişebileceğiniz RSA klasöründeki kullanıcının profilinde depolanır. Ancak anahtarın yalnızca bir örneği olduğundan, sabit disk hatasına veya veri bozulmasına karşı savunmasız olduğunu lütfen unutmayın.

MMC Sertifikaları ek bileşeniyle sertifikaları dışarı aktarma

Microsoft Yönetim Konsolu (MMC) Sertifikaları ek bileşeni sertifikaları ve özel anahtarları dışarı aktarır. Kişisel Sertifikalar deposu EFS sertifikalarını içerir. Kullanıcılar uzak paylaşılan klasörlerdeki dosyaları şifrelediğinde anahtarları dosya sunucusunda depolanır.

EFS nasıl çalışır?

Temel EFS şifreleme işlevi aşağıdaki gibi çalışır:

  • Gerekli anahtara sahip olan bir kullanıcı bir dosya açtığında, dosya açılır. Bir kullanıcı anahtara sahip değilse, kullanıcı erişim reddedildi iletisi alır.
  • Dosya şifrelemesi, kullanıcının ortak anahtarıyla şifrelediği ve dosya üst bilgisinde depolanan bir simetrik anahtar kullanır. Ayrıca, kullanıcının genel ve özel anahtarları veya asimetrik anahtarları olan bir sertifikayı kullanıcının profilinde depolar. Dosyanın şifresi çözülebilmesi için kullanıcının özel anahtarının kullanılabilir olması gerekir.
  • Özel anahtar hasara neden olursa veya kaybolursa dosyanın şifresi çözülemez. Bir veri kurtarma aracısı varsa, dosya kurtarılabilir. Anahtar arşivleme uygularsanız, anahtarı kurtarabilir ve dosyanın şifresini çözebilirsiniz. Aksi takdirde, dosya kaybolabilir. Şifrelemenin temel aldığı sertifika sistemi, ortak anahtar altyapısı (PKI) olarak adlandırılır.
  • Kullanıcının ortak ve özel anahtarlarını içeren sertifikasını arşivleyebilirsiniz. Örneğin, bunu bir USB flash sürücüye aktarabilir ve ardından anahtarlar zarar görürse veya kaybolursa USB flash sürücüyü kurtarma için güvenli bir yerde tutabilirsiniz.
  • Kullanıcının parolası genel ve özel anahtarları korur. Kullanıcı kimliğini ve parolasını alabilen herhangi bir kullanıcı, bu kullanıcı olarak oturum açabilir ve bu kullanıcının dosyalarının şifresini çözebilir. Bu nedenle, bir kuruluşun güvenlik uygulamaları, EFS ile şifrelenmiş dosyaları korumak için güçlü bir parola ilkesi ve kullanıcı eğitimi içermelidir.
  • EFS ile şifrelenmiş dosyalar, paylaşılan bir klasördeki dosyalarla çalışırken olduğu gibi ağ üzerinden geçerken şifrelenmiş olarak kalmaz. Dosyanın şifresi çözülür ve ardından ağdan şifrelenmemiş durumda geçiş yapılır. ŞIFRELEME için yapılandırılmış yerel sürücüdeki bir klasöre kaydederseniz EFS bunu yerel olarak şifreler. EFS ile şifrelenmiş dosyalar, World Wide Web Dağıtılmış Yazma ve Sürüm Oluşturma (WebDAV) protokollerini kullanarak bir web klasörüne kaydederseniz, ağdan geçerken şifrelenmiş olarak kalabilir. Ağ trafiğini İnternet Protokolü Güvenliği (IPSec) kullanarak şifrelenecek şekilde yapılandırdığınızda da şifrelenmiş olarak kalabilirler.
  • EFS, Gelişmiş Şifreleme Standardı (AES) dahil olmak üzere endüstri standardı şifreleme algoritmalarını destekler. AES, 256 bit simetrik şifreleme anahtarı kullanır ve varsayılan EFS algoritmasıdır.

Windows 10'da EFS özellikleri

Ayrıca, Windows'da EFS'yi uygularken aşağıdaki özelliklere dikkat edin:

  • Akıllı kartlarda özel anahtarları depolama desteği. Windows, akıllı kartlarda kullanıcıların özel anahtarlarını depolamak için tam destek içerir. Bir kullanıcı akıllı kartla Windows'ta oturum açarsa EFS, dosya şifrelemesi için akıllı kartı da kullanabilir. Yönetici istrator'lar etki alanının kurtarma anahtarlarını akıllı kartta depolayabilir. Dosyaları kurtarmak, etkilenen makinede yerel olarak veya Uzak Masaüstü kullanarak oturum açmak ve dosyalara erişmek için kurtarma akıllı kartını kullanmak kadar kolaydır.
  • Şifreleme Dosya Sistemi Yeniden AnahtarLama Sihirbazı. Dosya Sistemini Şifreleme Yeniden Anahtarlama Sihirbazı, kullanıcıların bir EFS sertifikası seçmesine, ardından yeni seçilen EFS sertifikasını kullanacak mevcut dosyaları seçip geçirmesine olanak tanır. Yönetici istrator'lar, mevcut yüklemelerdeki kullanıcıları yazılım sertifikalarından akıllı kartlara geçirmek için sihirbazı kullanabilir. Sihirbaz, dosyaların şifresini çözmekten ve yeniden şifrelemekten daha verimli olduğundan kurtarma durumlarında da yararlıdır.
  • EFS için Grup İlkesi ayarları. EfS koruma ilkelerini tüm kuruluş için merkezi olarak denetlemek ve yapılandırmak için Grup İlkesi'ni kullanabilirsiniz. Örneğin, Windows yerel güvenlik ilkesi veya Grup İlkesi aracılığıyla sayfa dosyası şifrelemesine izin verir.
  • Çevrimdışı Dosyaların kullanıcı başına şifrelenmesini sağlar. Uzak sunuculardan dosyaların çevrimdışı kopyalarını şifrelemek için EFS kullanabilirsiniz. Bu seçeneği etkinleştirdiğinizde, çevrimdışı önbellekteki her dosya, dosyayı önbelleğe alan kullanıcının ortak anahtarıyla şifrelenir. Bu nedenle, yalnızca bu kullanıcının dosyaya erişimi vardır ve hatta yerel yöneticiler bile kullanıcının özel anahtarlarına erişim olmadan dosyayı okuyamaz.
  • Seçmeli Temizleme. Şirket ortamında Windows'un bir özelliği Seçmeli Temizleme'dir. Bir cihaz kaybolur veya çalınırsa, yönetici cihazdaki dosyaları korumak için kullanılan EFS anahtarını iptal edebilir. Anahtarı iptal etmek, kullanıcının cihazında depolanan veri dosyalarına tüm erişimi engeller.