EFS maakt gebruik van standaard algoritmen en public key cryptografie te zorgen voor sterke encryptie. De bestanden die zijn gecodeerd zijn dus altijd vertrouwelijk. Hoewel aanmeldingsreferenties authenticatie en NTFS-machtigingen zijn gericht op de bescherming van vertrouwelijke gegevens, kunt u gebruik maken van EFS toevoegen van een extra laag van beveiliging. Dit zou ervoor zorgen dat wanneer hackers volledige toegang tot de gegevens opslaan van een computer, de gegevens in bestanden zijn beveiligd wegens EFS encryptie. Een onbevoegde persoon niet in staat zou zijn om een versleuteld bestand.

EFS in Windows Server 2003 verdere verbetering van de capaciteiten van EFS in Windows 2000. Gebruikers die met behulp van EFS versleutelde bestanden kunt delen met andere gebruikers op bestandsshares en zelfs webmappen. U kunt EFS-functies via Group Policy en command-line tools. EFS is goed geschikt voor het beveiligen van gevoelige gegevens op draagbare computers. Het werkt ook goed voor het beveiligen van gegevens als computers worden gedeeld door meerdere gebruikers.

Hoe werkt EFS

EFS is eigenlijk stevig geïntegreerd met NTFS, en zijn bestand encryptie en decryptie processen zijn transparant voor de gebruikers. Wat dit betekent is dat wanneer een gebruiker een bestand opslaat, EFS versleutelt de gegevens als de gegevens worden weggeschreven naar de schijf, en wanneer gebruikers een bestand opent, is ontcijferd door EFS als de gegevens van de schijf. Gebruikers zijn in principe niet op de hoogte van dit proces, en hoeft niet alles te doen om EFS encryptie en decryptie. Er kunnen derden technologieën die kan bestand encryptie vermogens, maar deze programma's zijn niet volledig transparant voor de gebruikers. Met deze programma's, de verantwoordelijkheid zal worden geplaatst op de gebruikers te onthouden om gebruik te maken van de encryptie-programma. Dit op zijn beurt leidt tot een zwakkere veiligheid processen, en kon eventueel creëren beveiligingsproblemen voor gevoelige, vertrouwelijke gegevens.

EFS maakt gebruik van sleutels voor het coderen en decoderen van gegevens en de cryptografie application programming interface (CryptoAPI) architectuur te leveren cryptografische functies. Zelfs al kan gebruik onderneming Certificate Authority (CA) certificaten, dit niet een vereiste. Als er geen CA bestaat, EFS tekenen van een certificaat dat kan worden gebruikt met bestand encryptie. Vanwege deze functie EFS kan functioneren op computers die lid zijn van een domein, en op standalone-computers.

De sleutels die EFS gebruikt voor het coderen en decoderen van gegevens, is een openbare en prive-sleutelpaar en een per bestand coderingssleutel. EFS genereert een bestand encryptie key (FEK), die een symmetrische encryptie-sleutel voor het versleutelen van de gegevens. De File Encryption Key (FEK) is naast versleuteld door middel van asymmetrische encryptie met behulp van de gebruiker van de openbare sleutel. Asymmetrische versleuteling daadwerkelijk gebruik maakt van een openbare en prive-sleutelpaar voor een sterkere beveiliging. De gecodeerde FEK wordt vervolgens opgeslagen met het gecodeerde bestand. Wanneer het bestand moet worden ontcijferd, de FEK moet worden ontcijferd. De gebruiker van de private sleutel wordt gebruikt voor het decoderen van de FEK. De FEK wordt vervolgens gebruikt voor het decoderen van de gegevens van het bestand.

EFS Belangrijkste Kenmerken

• EFS is standaard ingeschakeld. Gebruikers echter behoefte aan een publieke en private sleutelpaar, en toestemming voor het gebruik van EFS.
• EFS heeft behoefte aan een herstelagent certificaat voor haar werk. Het zal leiden tot het certificaat als u niet over een.
• EFS kan alleen bestanden coderen wanneer het NTFS-bestandssysteem wordt gebruikt.
• Encryptie heeft geen effect op de bestanden en mappen machtigingen
• U kunt toestaan meerdere gebruikers te delen gecodeerde bestanden
• Wanneer u EFS-bestanden naar een ander bestandssysteem, encryptie verwijderd is.
• Wanneer u bestanden naar een map die is gecodeerd, wordt het bestand blijft in haar oorspronkelijke vorm. Het blijft een gecodeerd of ongecodeerd.
• Wanneer u een bestand kopieert naar een gecodeerde map, wordt het bestand gecodeerd.
• Wanneer een map is gecodeerd, alle tijdelijke bestanden in die bepaalde map worden gecodeerd als goed.
• Encryptie is opgenomen als een bestand attribuut, en is daarom weergegeven met de rest van de attributen van het bestand.
• EFS kan coderen en decoderen van bestanden op een externe computer
• Offline bestanden kunnen worden gecodeerd met EFS
• Bestanden die zijn versleuteld kunnen worden opgeslagen in webmappen
• EFS eerder gebruikt Data Encryption Standard Extended (DESX) voor encryptie. Met Windows Server 2003, de triple-DES (3DES) encryptie algoritme kan worden gebruikt voor het verhogen van de veiligheid van EFS.
• U kunt een back-up van versleutelde bestanden.
• Elke gecomprimeerde bestanden en mappen moeten worden gedecomprimeerd voordat ze kunnen worden versleuteld
• Systeem bestanden en mappen kunnen niet worden gecodeerd.
• Bestanden of mappen in een zwervend gebruikersprofiel niet kan worden gecodeerd

De componenten van EFS

EFS gebruikt de volgende onderdelen voor het uitvoeren van haar taken:

• EFS-service: De EFS-dienst communiceert met de EFS bestuurder via de lokale procedure-oproep (LPC) poort. De EFS-service en de Microsoft Cryptographic Application Programming Interface (CryptoAPI) communiceren met de EFS-dienst ontvangen bestand encryptie sleutels van de CryptoAPI. Het maakt gebruik van deze toetsen voor het genereren van gegevens decryptie velden (DDFs) en data recovery velden (DRFs). Het bestand encryptie key (FEK) wordt gebruikt voor de gegevens van de bestanden. De EFS-dienst geeft de FEK, DRF, en DDF EFS aan de bestuurder via de EFS File System Run-Time Library (FSRTL).
• EFS bestuurder: De EFS bestuurder verzoeken bestand encryptie sleutels, DDFs en DRFs van de EFS-service. Vervolgens wordt deze relais aan de EFS FSRTL.
• EFS File System Run-Time Library (FSRTL): De EFS FSRTL bestaat in de EFS-driver, en werkt met de EFS-driver als een onderdeel. NTFS-bestand callouts controle worden gebruikt als het mechanisme voor communicatie tussen de twee. De EFS FSRTL voert een reeks bestandssysteem functies die coderen, decoderen en herstellende bestand wanneer het wordt van de harde schijf gelezen of geschreven op schijf.
• Microsoft Cryptographic Application Programming Interface (CryptoAPI): CryptoAPI wordt gebruikt door EFS voor cryptografische functies. CryptoAPI ondersteunt encryptie, decryptie, hashing, digitale handtekeningen en de controle daarvan, sleutelbeheer, beveiligde opslag en de uitwisseling van belangrijke activiteiten.

Hoe bestanden worden gecodeerd en gedecodeerd

Zoals eerder vermeld, EFS maakt gebruik van publieke sleutel en symmetrische sleutel encryptie om de inhoud van bestanden en mappen. De algoritmes die in de publieke sleutel encryptie gebruiken asymmetrische sleutels voor encryptie en decryptie. Wat dit betekent is dat de toetsen gebruikt voor het coderen en decoderen van gegevens zijn verschillende omdat een prive-sleutel en een publieke sleutel wordt gebruikt. De private sleutel wordt bewaard door de eigenaar van de sleutel. De publieke sleutel kan worden gebruikt op het netwerk.

Wanneer gegevens worden gecodeerd, EFS genereert een unieke FEK om het bestand te versleutelen. Vervolgens versleutelt de FEK met behulp van de publieke sleutel van het certificaat van de gebruiker. EFS gebruikt de FEK om ervoor te zorgen dat de versleuteling gebeurt snel. De private sleutel van de gebruiker wordt gebruikt om het decoderen FEK.

Het proces hieronder doet zich voor wanneer een gebruiker een bestand codeert:

• Het bestand wordt geopend door de EFS-service
• De data streams van het bestand worden gekopieerd naar een volgende plaintext tijdelijk bestand in de tijdelijke map van het systeem
• EFS genereert de unieke FEK.
• De FEK wordt gebruikt om het bestand te versleutelen via DESX of 3DES.
• De gegevens decryptie gebied (DDF) is gemaakt. Het DDF heeft de FEK gecodeerd door middel van de publieke sleutel van de gebruiker.
• Wanneer een herstelagent is gedefinieerd door middel van Group Policy, de data recovery velden (DRFs) wordt gecreëerd.
• De gecodeerde gegevens, DDF, en DRF worden opgeslagen in het bestand.
• De plaintext tijdelijke bestand in de tijdelijke map van het systeem wordt geschrapt.

Het proces hieronder treedt op wanneer een bestand wordt gedecodeerd:

• NTFS daadwerkelijk worden de bestanden worden gecodeerd, en vervolgens een verzoek indient voor decryptie door naar de EFS bestuurder.
• De EFS bestuurder naast verkrijgt de gegevens decryptie gebied (DDF) en stuurt het naar het EFS dienst.
• De EFS-dienst krijgt de private sleutel van de gebruiker. Het maakt gebruik van deze sleutel te decoderen de DDF.
• Zodra de EFS-service is ontcijferd de DDF en verkregen de FEK, deze stuurt de FEK op de EFS bestuurder.
• De EFS-driver gebruik maakt van de FEK het ontvangen van de EFS-dienst te decoderen van de gegevens in het bestand.
• De EFS bestuurder vervolgens de gegevens gedecodeerd naar NTFS.

EFS-certificaten en

Zodra een gebruiker in staat stelt encryptie voor een map of bestanden, EFS controleert of de gebruiker heeft een onderneming certificaat opgeslagen in het persoonlijk certificaat winkel. EFS verzoeken een certificaat voor de gebruiker wanneer deze niet kunnen vinden van een certificaat in het persoonlijk certificaat slaan, uit een certificeringsinstantie (CA). EFS opbrengst voor het maken van een zelf-ondertekend certificaat voor de gebruiker als er geen onderneming CAS. De EFS-certificaat van de gebruiker wordt geopend wanneer EFS moet coderen en decoderen van de FEK. EFS ook vernieuwt EFS-certificaten die zijn verstreken.

Certificaten die zijn verkregen uit onderneming CA gebruik certificaat sjablonen die worden opgeslagen in Active Directory. Certificaat templates detail de kenmerken van het certificaat soorten die kunnen worden uitgegeven aan gebruikers en computers. Het certificaat templates die EFS zijn gebruikersgroepen, administrateur, en Basic EFS. Enterprise. CA maakt gebruik van Access Control Lists (ACL's) wanneer zij nodig hebben om na te gaan of certificaat aanvragen dient te worden goedgekeurd. Een gebruiker heeft daarom om de Enroll toestemming voor een certificaat sjabloon te beschikken over een certificaat afgegeven. Leden van de groep Domeinadministrators en Domeingebruikers groep hebben deze toestemming. Gebruikers kunnen gebruik maken van de certificaten snap-in om certificaten.

Gebruik de onderstaande stappen om een certificaat van een CA via de module Certificaten in

1. Open de module Certificaten in
2. Overgaan tot uitbreiding van de Persoonlijke map.
3. Klik met de rechtermuisknop op Certificaten en kies Alle taken en vervolgens een nieuw certificaat uit het snelmenu
4. De vraag een nieuw certificaat wizard lanceringen.
5. Kies de optie Basic EFS op het Certificaat Soorten scherm. Klik op Volgende
6. Het verstrekken van informatie voor de naam en beschrijving. Klik op Volgende
7. Klik op Voltooien om de wizard te sluiten.
8. Het nieuwe certificaat is opgeslagen in de map Certificaten.

U kunt gebruik maken van de certificaten snap-in om te controleren of u al een certificaat

1. Ga om te navigeren naar en open de certificaten snap-in die voor de Mijn account
2. Vouw de Persoonlijke map
3. Klik met de rechtermuisknop op het certificaat te bekijken of een certificaat bestaat

Coderen / decoderen van bestanden met behulp van EFS

Het wordt aanbevolen om EFS encryptie voor mappen in plaats van op basis waarvan zij voor individuele bestanden. Door dit te doen, zou u niet hoeft te versleutelen, elk individueel dossier bij het opslaan van het bestand.

Gebruik de onderstaande stappen voor het coderen van een map

1. Open Deze computer
2. Klik met de rechtermuisknop op de map die u wilt coderen, en kies Eigenschappen uit het snelmenu.
3. Als het dialoogvenster Eigenschappen van de map wordt geopend, klikt u op de knop Geavanceerd op het tabblad Algemeen.
4. Het dialoogvenster Geavanceerde kenmerken weergegeven.
5. In het comprimeren of Versleutel attributen sectie van het dialoogvenster Geavanceerde kenmerken, zodat de Inhoud coderen voor beveiliging van gegevens in.
6. Klik op OK om de codering voor de map en alle bestanden in de map.
7. Een extra bericht wordt weergegeven in een dialoogvenster wanneer de map met submappen en bestanden die ongecodeerd. Het bericht wordt u gevraagd om na te gaan of uw instellingen dienen te worden toegepast op de map of ook op de map de submappen en bestanden.
8. Als u de wijzigingen toepassen op deze map enige optie, gebeurt het volgende:
• Bestanden die al zijn opgeslagen in de map en alle submappen blijven in hun oorspronkelijke staat
• Bestanden die u maakt in de map worden gecodeerd
• Bestanden gekopieerd naar de map die u en andere gebruikers zijn versleuteld
• Bestanden gemaakt in, gekopieerd of verplaatst naar submappen blijven in hun originele staat.
9. Als u kiest voor de Pas wijzigingen in deze map, submappen en bestanden optie, gebeurt het volgende:
• Bestanden die al zijn opgeslagen in de map en alle submappen worden gecodeerd als u de Schrijf toestemming.
• Bestanden gemaakt in, gekopieerd of verplaatst naar submappen worden gecodeerd, hetzij door u of andere gebruikers

Gebruik de onderstaande stappen te decoderen een map

1. Klik met de rechtermuisknop op de map die u wilt decoderen, en kies Eigenschappen uit het snelmenu.
2. Als het dialoogvenster Eigenschappen van de map wordt geopend, klikt u op de knop Geavanceerd op het tabblad Algemeen
3. Wanneer het dialoogvenster Geavanceerde kenmerken wordt weergegeven, is duidelijk Inhoud coderen voor beveiliging van gegevens in.

Hoe te versleutelen offline bestanden

1. Open Deze computer
2. Gebruik het menu Extra en selecteer het item Mapopties
3. Gebruik het tabblad Off line bestanden naar:
• Enable Offline Files
• Offline bestanden coderen
4. Klik op OK

Hoe om de status van EFS-codering

1. Open Deze computer
2. Gebruik het menu Extra en selecteer het item Mapopties
3. Klik op het tabblad Weergave
4. Schakel de Toon versleutelde of gecomprimeerde NTFS-bestanden in kleur te schakelen.
5. Klik op OK
6. Gecodeerde map-en bestandsnamen worden weergegeven in het groen.

Hoe staat te stellen EFS opties in het snelmenu

Als EFS opties zijn ingeschakeld op het snelmenu van een gebruiker alleen maar heeft naar rechts-klik op de map of het bestand te versleutelen of ontsleutelen de map of het bestand.

1. Klik op Start, Uitvoeren en typ regedit.exe in het dialoogvenster Uitvoeren. Klik op OK
2. De Register-editor wordt geopend
3. Zoek de volgende subsleutel:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced

4. Gebruik het menu Bewerken en selecteer Nieuw en vervolgens DWORD-waarde
5. Ga verder te specificeren EncryptionContextMenu waarde voor de naam, en 1 voor waarde gegevens.
6. Wijzigingen in het register worden onmiddellijk van kracht.

Hoe gebruik Cipher.exe bekijken, maken of wijzigen encryptie op mappen en bestanden

Cipher.exe is een command-line tool die kan worden gebruikt voor het coderen en decoderen van mappen of bestanden. Gebruik van de codeermachines opdracht zonder schakelaars zullen elkaar de status van encryptie op de map en de bestanden in de map.

De syntax voor het commando codeermachines en de switches zijn hieronder vermeld:

cipher [{/e|/d}][/s:Folder][/a][/i][/f][/q][/h][/k][/u [/n]]

• /e versleutelt het specifieke mappen en bestanden toegevoegd worden gecodeerd en
• /d ontsleutelt de specifieke mappen. De encryptie-attribuut wordt verwijderd uit de mappen.
• /s:Folder die wordt gebruikt om aan te geven dat de map en submappen die moeten worden benut
• /a gebruikt voor het versleutelen van bestanden in de huidige directory
• /i die wordt gebruikt om aan te geven dat het huidige proces moet doorgaan, ook al fouten aanwezig zijn.
• /f gebruikt voor de werking van encryptie of decryptie voor alle gedefinieerde bestanden en mappen
• /q lijsten alleen de belangrijke informatie
• /h lijsten met bestanden die verborgen attributen en systeem attributen
• /k genereert een nieuwe FEK voor de specifieke gebruiker die het commando
• /u updates de FEK van de gebruiker en de sleutel van het herstel agent. Gebruikt met schakeloptie / n
• /n stopt sleutels worden bijgewerkt. Gebruikt in combinatie met / u switch

Hoe te staan meerdere gebruikers toegang tot gecodeerde bestanden

Vóór toelating van meerdere gebruikers toegang tot gecodeerde bestanden, de volgende:

• Een bestand delen, web map of externe sessie is vereist voor geautoriseerde gebruikers te delen EFS-bestanden over het netwerk.
• De gebruikers die u gaat toestaan om toegang te krijgen tot de EFS-bestanden moeten hebben EFS-certificaten
• Wanneer u toestemming van een gebruiker te decoderen van een bestand, wordt de gebruiker automatisch kunnen toestaan extra gebruikers met toegang tot het dossier

Gebruik de onderstaande stappen om een aandeel EFS bestand met extra gebruikers

1. Open Deze computer
2. Klik met de rechtermuisknop op het gecodeerde bestand en kies Eigenschappen uit het snelmenu.
3. Wanneer het dialoogvenster Geavanceerde kenmerken geopend, klikt u op de knop Details
4. De codering Details dialoogvenster geopend.
5. Klik op Toevoegen te openen op de Select User dialoogvenster.
6. U kunt nu u een gebruiker uit de lokale computer, of uit Active Directory.
7. Klik op het certificaat van de gebruiker om een gebruiker uit de lokale computer. Klik op OK
8. Klik op de knop Gebruiker zoeken om te zoeken naar een gebruiker in Active Directory.
9. Klik op Bladeren als het zoeken gebruikers, contactpersonen en groepen dialoogvenster opent bij het vinden van de gebruiker (s).
10. Klik op de map of het domein dat moet worden gezocht in het Browse voor Container dialoogvenster.
11. Selecteer de gebruiker (s) en klik op OK

File Recovery Agents

In staat om data te recoveren belangrijk misplaatsen wanneer werknemers hun prive-sleutels of laat de organisatie zonder decryptiesoftware al hun bestanden. Dit is wanneer herstelagent belangrijk. Met het oog op het gebruik van EFS, een Encrypted Data Recovery Agent beleid moet bestaan. EFS automatisch gebruik maakt van een standaard herstelagent gehouden wanneer er geen Encrypted Data Recovery Agent beleid bestaat. Leden van de groep Domeinadministrators kunt een account te gebruiken voor het herstel agent account. Lokale beleid kan worden gebruikt op standalone-computers te specificeren rekeningen als data recovery agenten. Deze rekeningen worden doorgaans een Administrator-account. DRA certificaten worden opgeslagen in de certificate store van de computer wanneer een gebruiker een domein computer die is opgenomen in het assortiment van de EFS-herstelbeleid. Dit maakt het mogelijk voor elk domein computer om toegang te krijgen tot de publieke sleutel van de DRA. Gecodeerde bestanden bevatten een data recovery veld dat op zijn beurt het bezit is van het bestand gecodeerd FEK. Een DRA kunnen decoderen van een gecodeerd bestand dat zich in het bereik van de EFS-herstelbeleid door het gebruik van de prive-sleutel.
U moet definiëren meerdere DRAs via EFS-herstelbeleid als u wilt dat meerdere gebruikers te kunnen decoderen van bestanden. Bestanden zijn over het algemeen beter te beveiligen als slechts een persoon in staat is te decoderen van het bestand. Het nadeel echter is dat het bestand is minder komen.

Gebruik de onderstaande stappen om een herstel agent voor de lokale computer

1. Klik op Start, Uitvoeren en voer vervolgens mmc in het dialoogvenster Uitvoeren. Klik op OK
2. Kies Add / Remove Snap-in vanaf het menu Bestand en klik op Toevoegen.
3. Wanneer de Add Standalone Snap-in dialoogvenster verschijnt, kies Group Policy Object Editor. Klik op Toevoegen.
4. Ervoor zorgen dat de lokale computer is geselecteerd. Klik op OK
5. In het linkerdeelvenster verder uit te breiden Beleid voor lokale computer, Computerconfiguratie, Windows-instellingen, Beveiligingsinstellingen en Public Key Settings.
6. Klik met de rechtermuisknop op Encrypting File System en kies Eigenschappen uit het snelmenu.
7. EFS is uitgevoerd op de computer als de gebruikers mogen versleutelen van bestanden met Encrypting File System (EFS) aankruisvak is ingeschakeld. Klik op OK
8. Klik met de rechtermuisknop op Encrypting File System en kies Add Data Recovery Agent uit het snelmenu.
9. Het toevoegen Recovery Agent Wizard gestart.
10. Geef een gebruikersnaam voor de gebruiker die beschikt over een herstel-certificaat. Klik op Volgende
11. Op de Select Herstelagenten scherm, bladert u door de mappen / directories te specificeren gebruikers.
12. Klik op Volgende. Klik op Voltooien.

Gebruik de onderstaande stappen om een DRS

1. Met behulp van Group Policy, in het linkerdeelvenster gaan uitbreiden Beleid voor lokale computer, Computerconfiguratie, Windows-instellingen, Beveiligingsinstellingen, Public Key Policies, en Encrypting File System
2. Kies de DRA die u wilt verwijderen en verwijder het certificaat.

Hoe om te exporteren en importeren en DRA EFS-certificaten en private keys

Gebruikers kunnen de toegang tot de gecodeerde bestanden door het exporteren van hun EFS-certificaten en private sleutels op verwisselbare media.

Gebruik de onderstaande stappen om een certificaat op een verwijderbaar medium

1. Ga voor toegang tot de certificaten snap-in
2. Vouw de persoonlijke map en dubbelklik op het certificaat
3. Zoek en klik met de rechtermuisknop op het certificaat dat u wilt exporteren, en kies Alle taken en vervolgens Export uit het snelmenu.
4. Kies Ja, de uitvoer van de private sleutel.
5. U kunt nu kiezen om de private sleutel van de computer nadat het is uitgevoerd, of u kunt ervoor kiezen te laten op de computer. Na het selecteren van een optie die past bij uw behoeften, klikt u op Volgende
6. Geef een wachtwoord voor de bescherming van de uitgevoerde prive-sleutel. Klik op Volgende
7. Geef een naam voor het geëxporteerde certificaat en private sleutel.
8. Klik op Volgende. Klik op Voltooien.

Gebruik de onderstaande stappen om de invoer van een certificaat

1. Ga voor toegang tot de certificaten snap-in
2. Vouw de persoonlijke map en klik met de rechtermuisknop op het certificaat, kies Alle taken en vervolgens importeren uit het snelmenu.
3. Geef het certificaat bestand dat moet worden geïmporteerd.
4. Geef het juiste wachtwoord voor het openen van het bestand
5. Geef een locatie waar het certificaat dient te worden ingevoerd.

Hoe te versterken en belangrijke dossier veiligheid

U kunt de versterking van de veiligheid door de vervanging van de DESX algoritme dat EFS gebruik maakt, met de sterkere 3DES algoritme. U kunt gebruik maken van het systeem cryptografie Group Policy instelling in staat te stellen voor 3DES encryptie voor IP Security en EFS. U kunt echter de juiste instelling in de registersleutel HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WindowsNT \ CurrentVersion \ EFS sleutel via de Register-editor om 3DES encryptie voor EFS alleen.

U kunt ook gebruik maken van een opstart-sleutel te beschermen kapitein toetsen en vertrouwelijke informatie die zich op de computer. Een opstart-toets wordt ook wel een syskey. Opstarten toetsen worden automatisch gemaakt voor computers die lid zijn van een domein. Je moet het handmatig maken van een opstart-toets voor een stand-alone computer.

Een startup toets beschermt de volgende vertrouwelijke informatie:

• Master toetsen: Deze toetsen worden gebruikt voor de bescherming van prive-sleutels.
• Bescherming toetsen: Deze toetsen zijn voor de gebruiker met de wachtwoorden opgeslagen in Active Directory, of in de lokale Security Accounts Manager (SAM) registersleutel
• Beveiligingssleutels voor uw LSA geheimen
• De bescherming sleutel voor de Administrator-account wachtwoord

Na een opstart-toets wordt ingeschakeld, is de procedure die plaatsvindt bij het opstarten is als volgt:

• Het systeem haalt de opstart-toets
• Het is vervolgens gebruikt om de kapitein decrypteren bescherming toets
• Deze sleutel wordt vervolgens gebruikt om de user account coderingssleutel.
• De gebruiker met encryptie sleutel wordt gebruikt om het wachtwoord decoderen informatie in Active Directory, of in de lokale Security Accounts Manager (SAM) registersleutel.

Gebruik de onderstaande stappen om 3DES encryptie voor EFS alleen

1. Open de Register-editor
2. Zoek de registersleutel HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ EFS registersubsleutel.
3. Gebruik het menu Bewerken klik op Nieuw en vervolgens DWORD-waarde
4. Plaats AlgorithmID waarde naam en 0x6603 voor waarde gegevens
5. Deze waarden staat 3DES
6. Herstart de computer

Gebruik de onderstaande stappen om 3DES met behulp van Group Policy

1. Met behulp van Group Policy, in het linkerdeelvenster gaan uitbreiden Computerconfiguratie, Windows-instellingen, Beveiligingsinstellingen, Lokaal beleid en veiligheid op Opties.
2. Dubbelklik op het systeem: gebruik FIPS-compliant algoritmes voor codering beleid.
3. Kies Enable
4. Klik op OK

Gebruik de onderstaande stappen om de opstart-toets

1. Voer syskey op de opdrachtregel
2. Ga door te klikken Encryptie ingeschakeld.
3. Klik op OK
4. Kies een optie voor de toets. Het systeem gegenereerde wachtwoord dat lokaal wordt opgeslagen optie is de standaard optie.
5. Klik op OK om de computer opnieuw op.

Gebruik de onderstaande stappen om het opstarten van de belangrijkste opties

1. Voer syskey op de opdrachtregel
2. Ga door te klikken op Update.
3. Gaan om het wachtwoord te wijzigen, of kies een andere belangrijke optie
4. Klik op OK. Herstart de computer.

Het uitschakelen van EFS

U kunt EFS uitschakelen voor een computer of voor het domein. Gebruik de onderstaande stappen voor het uitschakelen van EFS met behulp van de Register-editor

1. Open de Register-editor
2. Zoek de registersleutel HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ EFS registersubsleutel.
3. Gebruik het menu Bewerken klik op Nieuw en vervolgens DWORD-waarde
4. Plaats EfsConfiguration waarde voor de naam, en 1 voor waarde gegevens
5. Deze waarden uitschakelen EFS
6. Herstart de computer

EFS Best Practices

Een aantal best practices voor EFS zijn hieronder samengevat:

• Altijd kiezen voor het coderen van mappen, en niet individuele bestanden. Encrypting mappen vergemakkelijkt eenvoudige bestand encryptie beheer. Vergeet niet dat alle bestanden die zich in of in een gecodeerde map worden automatisch versleuteld.
• U kunt gebruik maken van Microsoft Certificate Services voor het beheer van EFS-certificaten en DRA / prive-sleutels
• Gebruikers moeten exporteren hun EFS-certificaten en private sleutels op verwisselbare media, en ook het opslaan van de media in een veilige plaats.
• Proberen om een klein aantal van gespecificeerd herstel agenten. Hoe minder het aantal nuttige agenten, hoe eenvoudiger het is om ze te beheren, en ervoor zorgen dat zij niet ten onrechte het decoderen van bestanden.
• U moet ook de uitvoer van de prive-sleutels voor herstel rekeningen en veilig ze op een veilige locatie.
• Je moet streven naar coderen gevoelige gegevens op elke computer die lid is van een domein.
• Kan een opstart-toets op standalone computers aan verdere verbetering van de beveiliging voor de prive-sleutels van de gebruikers.
• Zorg ervoor dat de map Mijn documenten wordt versleuteld in de gevallen waarin de gebruiker verbinding maakt met dezelfde computer.
• U moet versleutelen offline bestanden te zorgen voor bescherming voor lokaal opgeslagen documenten.
• Gebruik van Server Message Block (SMB) ondertekening met EFS helpt ervoor te zorgen dat de bestanden zijn beveiligd verzonden / ontvangen via het netwerk.
• U kunt ook gebruik maken van IPSec voor het coderen van gegevens als het beweegt over het netwerk