מערכת קבצים מצפינה (EFS) היא טכנולוגיית הצפנת קבצים בסיסית המשמשת לאחסון קבצים מוצפנים באמצעי אחסון של מערכות קבצים מסוג NTFS. לא ניתן להשתמש בקבצים מוצפנים אלא אם המשתמש ניגש למפתחות הדרושים לפענוח המידע.

אין צורך לפענח קבצים מוצפנים באופן ידני לפני השימוש בהם. באפשרותך לפתוח ולשנות את הקובץ באופן רגיל. לאחר הצפנת קובץ או תיקיה, העבודה עם הקובץ או התיקיה המוצפנים מתבצעת בדיוק כמו עבודה עם כל קובץ או תיקיה אחרים.

השימוש ב- EFS דומה לשימוש בהרשאות עבור קבצים ותיקיות. ניתן להשתמש בשתי שיטות להגבלת גישה לנתונים. עם זאת, פורץ שמשיג גישה פיזית בלתי מורשית לקבצים או לתיקיות המוצפנים, לא יוכל לקרוא אותם. אם הפורץ מנסה לפתוח או להעתיק קובץ או תיקיה מוצפנים, תופיע הודעה שהגישה נדחית. הרשאות עבור קבצים ותיקיות אינם מגנים מפני התקפות פיזיות בלתי מורשות.

ההצפנה והפענוח של תיקיה או קובץ מתבצעים על-ידי הגדרת מאפיין ההצפנה עבור תיקיות וקבצים באופן זהה לקביעת תכונות אחרות כגון לקריאה בלבד, דחוס או מוסתר. בעת הצפנת תיקיה, כל הקבצים ותיקיות המשנה הנוצרות בתיקיה המוצפנת מוצפנים באופן אוטומטי. מומלץ לבצע הצפנה ברמת התיקיה.

באפשרותך להצפין או לפענח קובץ או תיקיה גם על-ידי שימוש בפקודת הפענוח.

בעת עבודה עם קבצים ותיקיות מוצפנים, זכור את הפרטים הבאים:

  • ניתן להצפין רק קבצים ותיקיות שנמצאים באמצעי אחסון מסוג NTFS. עם זאת, ניתן להשתמש ב- Web distributed authoring and versioning (WebDAV)‎, שעובד גם כן עם NTFS, להעברת קבצים בצורה מוצפנת.

  • לא ניתן להצפין קבצים ותיקיות דחוסים. אם המשתמש מסמן קובץ או תיקיה להצפנה, הקובץ או התיקיה לא יהיו דחוסים.

  • קבצים מוצפנים מפוענחים אם הם מועתקים או מועברים אל אמצעי אחסון שאינו מסוג NTFS.

  • העברת קבצים לא מוצפנים לתיקיה מוצפנת תגרום להצפנה אוטומטית של קבצים אלה בתיקיה החדשה. עם זאת, פעולה הפוכה לא תגרום לפענוח אוטומטי של הקבצים. יש לפענח קבצים באופן מפורש.

  • לא ניתן להצפין קבצים שמסומנים באמצעות התכונה 'מערכת', כמו גם קבצים שנמצאים במבנה ספריית הבסיס של המערכת.

  • הצפנה של קובץ או תיקיה אינה מגנה מפני מחיקה של קבצים או ספריות או הצגתם ברשימה. כל אדם בעל ההרשאות המתאימות יכול למחוק או להציג ברשימה את הקבצים או התיקיות המוצפנים. לכן, מומלץ להשתמש בשילוב של EFS עם הרשאות NTFS.

  • באפשרותך להצפין או לפענח קבצים ותיקיות שממוקמים במחשב מרוחק שהוגדר כזמין להצפנה מרחוק, אך הנתונים שמועברים ברשת באמצעות תהליך זה אינם מוצפנים. יש להשתמש בפרוטוקולים אחרים, כגון Secure Socket Layer/Transport Layer Security ‏(SSL/TLS) או אבטחת פרוטוקול אינטרנט (IPsec) כדי להצפין נתונים במהלך ההעברה שלהם ברשת. (באפשרותך להשתמש גם ב- WebDAV, כמתואר בנקודה הראשונה, כדי להעביר את הקובץ בצורה מוצפנת.)

הגדרות מדיניות EFS

באפשרותך להשתמש במדיניות קבוצתית כדי לקבוע את התצורה של מספר הגדרות מדיניות EFS. הגדרות מדיניות אלה ממוקמות בתצורת מחשב/הגדרות Windows/הגדרות אבטחה/מדיניות מפתח ציבורי/מערכת קבצים מצפינה.

הרשאה או אי-הרשאה של EFS

באפשרותך לבחור לאפשר או לא לאפשר שימוש ב- EFS. אם לא תקבע את תצורת הגדרות המדיניות עבור EFS, השימוש יותר.

אם תבחר לאפשר שימוש ב- EFS, תוכל גם לבחור כמה אפשרויות כגון אם לבצע הצפנה אוטומטית של התיקיה 'מסמכים' של המשתמש, לדרוש כרטיס חכם לשימוש עם EFS, לאחסן במטמון מפתחות שנוצרו בהתבסס על כרטיס חכם, ליצור מפתח משתמש הניתן לאחסון במטמון מכרטיס חכם או אם ליידע משתמשים שעליהם ליצור עותקי גיבוי של מפתחות ההצפנה שלהם.

הרשאה או אי-הרשאה של הצפנת Elliptic Curve Cryptography

באפשרותך לבחור לאפשר או לא לאפשר שימוש בהצפנת Elliptic Curve Cryptography (ECC)‎ עם EFS. אם לא תקבע את תצורת הגדרות המדיניות עבור EFS, הצפנת ECC תהיה מותרת לשימוש. הצפנת ECC מאפשרת לארגונים לפעול בהתאם לתקני ההצפנה מסוג Suite B.

Suite B היא מערכת אלגוריתמים של הצפנה. הרכיבים של Suite B הם: תקן הצפנה מתקדם (AES) עם גודלי מפתחות של 128 ו- 256 סיביות עבור הצפנה סימטרית, Elliptic Curve Digital Signature Algorithm (ECDSA)‎ עבור חתימות דיגיטליות, Elliptic Curve Diffie-Hellman (ECDH)‎ עבור הסכמי מפתחות ואלגוריתם Hash מאובטח (SHA-256 ו- SHA-384) עבור תקציר הודעות.


תוכן העניינים