تقويت ايمني ويندوز7 با سيستم رمزنگاري فايل EFC

از داده هاي تان حفاظت کنيد
 

داستان هاي فراوان و روزافزون هک شدن پي سي ها ،يا مورد تهاجم قرار گرفتن پي سي ها سبب گشته است که بسياري از کاربران ازخود بپرسند که «چگونه مي توانم براي داده هايم امنيت به وجود آورم؟» اگر از ويندوز7 نگارش Professional و Ultimate بهره مي گيريد، يک محافظ داده ها مشهور به EFC سرواژه عبارت زير است.
Encrypting File System
که به معني «سيستم رمزنگاري فايل» است .
يادآوري: اين برنامه در ويندوز 7نگارهاي ,Windows 7 Home Premium ,Windows 7 Starterو windows 7 Home Basic به طور کامل پشتيباني نشده است.
با EFC مي توانيد به ويندوز7 دستوربدهيد که ازفناوري رمزگذاري چند لايه اي خود براي رمزنگاري فايل هاي داده اي، پوشه ها، يا ديسک سيستم استفاده کند (EFC فايل هاي سيستمي يا ديسک هايي را که براي عمليات شما ضروري اند، يا روي سيستم اثر گذار هستند رمزنگاري نمي کند) هرگاه فايلي را رمزنگاري (encrypt) کنيد، عمليات رمزگشايي/باز- رمزنگاري» براي کاربراني که آن فايل را بازمي کنند به صورت پنهان انجام مي گيرد. با وجود اين، هرکس ديگري که بخواهد فايل رمزنگاري شده را باز کند، آن را ازطريق ايميل به پي سي ديگري ارسال کند، يا آن را درديسکي کپي کند که رمزنگاري را پشتيباني نمي کند يک پيام خطا خواهد ديد. اين امان براي داده هاي شما امنيت خوب فراهم مي سازد. با اين همه، EFC نوشدارو نيست. يک فناوري فريبنده وپيچيده است، وکاربران بايد با احتياط فراوان از آن بهره بگيرند، درغيراين صورت ممکن است اطلاعات خود را از دست بدهند.

مباني EFC
 

استفاده از فناوري EFC آسان است. اما، چند مانع ممکن است روي توانايي (يا ميل شما در استفاده از EFCاثر بگذارد.
ساختار ديسک. EFC نمي تواند ديسک ها، فايل ها، يا پوشه هاي فشرده شده (compressed) را رمزنگاري کند. در نتيجه،EFC، پيش از آن که فايل ها را رمزنگاري کند، به طور خودکار فشرده سازي راغير فعال مي کند (فايل ها را نافشرده مي کند).
اگر از فشرده سازي استفاده مي کنيد و فضاي آزاد ديسک سخت شما ناچيز است، پيش از آن که رمزنگاري فايل ها يا پوشه ها را آغاز کنيد، بعضي ازفايل ها را حذف کنيد، يا يک ديسک سخت با ظرفيت بيشتر بخريد.
EFC فقط ديسک هايي را رمزنگاري مي کند که از سيستم فايل بومي ويندوز7، يعني سيستم فايل NTFC بهره مي گيرند. 
معيارهاي امنيتي. اگر بخش کاربري (user profile) خود را به گذرواژه مجهزنکنيد حفاظتي که EFC فراهم مي سازد بي ارزش مي شود. براي اطمينان از اين که در صورت فراموشي گذرواژه مي توانيد فايل هاي خود را بازيابي کنيد، يک ديسک بازگردان گذرواژه بسازيد و آن را در جايي مطمئن قرار دهيد. (اگرازيک حساب administrator براي بازسازي گذرواژه فراموش شده استفاده کنيد. دستيابي فايل ها ي EFC خود را از دست خواهيد داد.) نکته ياد آور(hint) گذرواژه را استفاده نکنيد، چون براي همه کساني که مي توانند وارد بخش کاربري شما بشوند قابل رؤيت است و مي توانند با آن، گذرواژه شما را کشف کنند.
 محافظ دستيابي فايل. EFC براي رمزنگاري و رمزبرداري فايل هاي شما، از يک کليد خصوصي ذخيره شده دربخش کاربري شما استفاده مي کند. اگر بخش کاربري شما خراب يا حذف شود، کليد خصوصي را از دست خواهيد داد. بازسازي بخش کاربري يا نصب مجدد ويندوز7 مسئله دستيابي را حل نخواهد کرد. اگر مي خواهيد ازEFC استفاده کنيد، بايد چند اقدام احتياطي را انجام دهيد. درغيراين صورت، اگر دستيابي بخش کاربري خود را ازدست بدهيد، مجبوريد براي بازيابي فايل هاي خود به شرکت هاي حرفه اي بازيابي داده ها برويد و هزينه هنگفتي را متحمل شويد .

پيش گيري
 

مايکروسافت به جامعه کاربران فني (TechNet) خودهشدارداده است که «در بعضي از وضعيت ها EFCممکن است درست عمل نکند. بعضي از مسائل EFC به راه حل هاي پيچيده و سطح بالا نياز دارند.» در نتيجه، مطمئن ترين راه براي محافظت از داده هاي رمزنگاري شده تهيه يک نسخه پشتيبان از داده ها و قرار دادن آن در مکاني امن (جايي به جز پي سي) است .
 نسخه پشتيبان را رمزنگاري نکنيد، مگر آن که در مورد رمزبرداري آن مطمئن باشيد. افزون بر اين، بايد از بخش کاربري (user profile)خود نيز نسخه پشتيبان تهيه کنيد. (تهيه يک نسخه پشتيبان کامل سيستم اين کار را انجام مي دهد.) 
رمزنگاري(1) يکي ازعناصربنيادين ايمن سازي سيستم است، در نتيجه، شگفت انگيز نيست اگر رمزنگاري بخشي از سيستم عامل باشد (هر چند، امکانات رمزنگاري در نگارش هاي Windows 7 Starter Windows 7 Home Basic و Windows 7 Home Permium محدود است).
درحقيقت،(EFC (2از ويندوز 2000به بعد، به عنوان يک خصوصيت تعبيه شده در سيستم فايل(3) NTFS(4) حضورداشته است که ويندوز7 ويستا، اکس پي، و ويندوز2000 برآن بنا مي شوند. ويندوز7 درنگارش هاي Ultimate, Enterprise,Professionalيک سيستم امنيتي اضافي، به نام BitLocker، فراهم مي سازد. که وقتي باEFC ترکيب شود يک بسته قدرتمند رمزنگاري را فراهم مي سازد (هرچند، Bit Locker اختصاصاً براي کاربران لپ تاپ طراحي شده است). در اينجا ما فقط به EFC توجه کرده ايم.
علت اين که EFC درويندوز گنجانده شده است آن است که يک سيستم رمزنگاري داده هاي قدرتمند در خود سيستم عامل تعبيه شود، تا در نتيجه هم به خريد يک برنامه مستقل رمزنگاري نياز نباشد، وهم جلوي مسائلي گرفته شود که برنامه هاي افزودني مستقل مي توانند بر روي چنين عمليات مهمي به وجود بياورند. EFCبه همراه NTFS کار مي کند و روي واليوم هاي (FAT (5 يا FAT32کار نمي کند؛ درحقيقت، اگر يک پوشه يا فايل رااز يک پارتيشن NTFS در يک پارتيشن FAT32/FATکپي کنيد، از آن فايل به طورخودکار رمزگشايي مي شود. در جهت عکس، يک پوشه يا فايلي که رمزنگاري نشده است به محض آن که به يک پوشه رمزنگاري شده انتقال يابد رمزنگاري مي شود. علاوه بررمزنگاري بر اساس فايل به فايل، همه فايل هاي داخل يک پوشه را به طور خودکار با رمزنگاري کردن خود پوشه مي توانيد رمزنگاري کنيد - يک روش آسان، و کار آمد. 
يک هشدارملايم: پيش از رمزنگاري فايل هاي مهم خود، کل اين عمليات را روي يک پوشه بلااستفاده تمرين کنيد (به ويژه بخش حذف کردن گواهينامه خود را همان گونه که در زير پيشنهاد شده است حتماً تمرين کنيد.) آسان ترين روش، ساخت يک کپي از يک پوشه موجود است؛ هنگام تمرين بايد مراقب باشيد که فقط روي نگارش کپي شده کار مي کنيد.

رمزنگاري آسان است
 

ويندوز7 رمزنگاري فايل را از طريق صفحه Propertiesبراي فايل يا پوشه اي که مي خواهيد رمزنگاري شود انجام مي دهد. به پوشه انتخابي خود درWindows Explorer برويد، روي آن کليک - راست کنيد و Properties را انتخاب کنيد.

 

در برگه General از منوي Properties نتيجه، روي دکمه Advanced کليک کنيد.
در اينجا، مربع کنارگزينه Encrypt contents to secure data را تيک دار کنيد. وسپس روي دکمه OKکليک کنيد. توجه داشته باشيد که با آن که گزينه هاي فشرده سازي و رمزنگاري در کنار هم هستند هر دو گزينه را همزمان نمي توانيد انتخاب کنيد؛ ويندوز به فايل هاي فشرده شده اجازه رمزنگاري شدن از طريق EFCرا نمي دهد. هنگامي که يک طرح ايمن سازي جامع را برپا مي کنيد، اين محدوديت را در ذهن داشته باشيد. ياهمه فايل هاي فشرده شده را ازهمه پوشه هاي مورد نظر خود حذف کنيد، يا از يک برنامه ،رمزنگاري ديگر عرضه شده در بازار استفاده کنيد.

 

روي دکمه Apply در پنجره Properties کليک کنيد. پنجره Confirm Attribute Changes آخرين گام است، که درآن بين گزينه هاي رمزنگاري صرف پوشه کنوني، يا رمزنگاري پوشه به همراه رمزنگاري همه پوشه هاي فرعي آن (وهمه فايل هاي داخل آن پوشه هاي فرعي)، يکي را انتخاب کنيد.

 

روي OK کليک کنيد، وآماده ديدن نوارپيشرفت عمليات در زماني شويد که EFCعمليات رمزنگاري را بر روي موارد انتخابي انجام مي دهد.

 

پشتيبان گيري ازکليدها
 

ويندوز7 براي کمک به شما در کامل کردن اين عمليات يک کار ديگر انجام مي دهد (که ويندوز اکس پي و ساير نگارش هاي پيشين ويندوزانجام نمي دادند). در لحظه اي که رمزنگاري راآغاز مي کنيد، يک پيام در نوار آيکن در پايين صفحه اصلي ويندوز ظاهر مي شود و ازشما مي خواهد که از کليد (key) رمزنگاري تان پشتيبان گيري کنيد.

 

روي اين پيام براي بازکردن پنجره Backup your fike encryption certificate and key کليک کنيد.

 

اهميت اين نسخه پشتيبان درتوضيحات واقع دراين پنجره مشخص است- در نتيجه، Back up now توصيه مي شود. اما انتخاب Back up later به معني آن است که هنگامي که بار بعد وارد حساب کاربري خود مي شويد(log onمي کنيد)، ويندوز7 به شما اجازه نمي دهد که پشتيبان گيري را فراموش کنيد. گزينه پاياني، Never back up ، فقط مخصوص خطرپذيران است: اگرازگواهينامه و کليد رمزنگاري خود پشتيبان گيري نکنيد، و روزي مجبور به نصب مجدد ويندوز7 شويد، يا حساب کاربري شماآسيب ببيند، اصلاً قادر نخواهيد بود که فايل هاي رمزنگاري شده را دستيابي کنيد.
اگر روي (Back up now (recommended کليک کنيد برنامه Certificate Export Wizard به اجرا در مي آيد.

 

روي Next کليک کنيد. در پنجره بعدي اولين گزينه را براي صدور (export)کليد خصوصي (private key)، انتخاب کنيد، روي Next کليک کنيد. هنگامي که برنامه انواعي از فرمت هاي رمزنگاري فايل را نمايش مي دهد، همگي به جز يکي، (Personal Information Exchange (PFX) به رنگ خاکستري هستند، چون برنامه EFC در ويندوز7 فقط اين فرمت را پشتيباني مي کند.

 

 

با تيک دارکردن اولين گزينه تحت اين فرمت، يعني گزينه Includ all certificates in the certification path if possible به يک باره مي توانيد از همه گواهينامه هاي کاربري شخصي خود پشتبيان گيري کنيد.(اگراولين رمزنگاري شما باشد ضروري نيست). روي Next کليک کنيد.

 

يک گذرواژه - همانند همه گذرواژه هايي که واقعاً براي تأمين امنيت داده ها طراحي مي شود - تايپ کنيد. يک گذرواژه آسان تايپ نکنيد در کادر بعدي دوباره همان گذرواژه را تايپ کنيد.

 

در صفحه بعد، يک نام براي فايل خود تايپ کنيد (هر نامي کار خواهد کرد، و ويندوز 7بسط «PFX» را به طورخودکار براي آن اضافه خواهد کرد). روي دکمه Browse کليک کنيد ويک مکان امن را براي ذخيره فايل گواهينامه مشخص کنيد. روي Next براي نمايان شدن صفحه موفقيت آميز بودن عمليات کليک کنيد.

 

روي Finish کليک کنيد.

 

يادآوري: اگر پشتيبان گيري را دراين زمان انجام ندهيد، اين برنامه را بعداً نيز در Cartificate Manager مي توانيد دستيابي کنيد: عبارت certmgr .msc را در کادر Search درپايين منوي Start تايپ کنيد. کليد Enterرا بزنيد. در بخش دست چپ، به Personal /Certificates برويد، سپس دربخش دست راست، همه گواهينامه ها را انتخاب کنيد و روي آنها کليک - راست کنيد، و آنگاه All Tasks /Export را انتخاب کنيد.

 

حذف يک گواهينامه ازديسک سخت
 

پشتيبان گيري ازگواهينامه ها وکليدها در ديسک ها و رسانه هاي جابه جاپذير بي مسئله نيست. بالاخره، هر کسي که به ديسک يا رسانه جابه جا پذيرشما دسترسي پيدا کند مي تواند اطلاعات رمزنگاري شده شمارا دستيابي کند. بايد به خوبي از اين رسانه مراقبت کنيد. اما اقداماتي دربرابر نفوذ گراني که از طريق اينترنت يا شبکه قصد دستيابي اطلاعات شما را دارند مي توانيد انجام دهيد. براي اين کار، گواهينامه و کليد خود را از روي ديسک سخت حذف کنيد و فقط اجازه دهيد که برروي يک رسانه جابه جا پذير يا جدانشدني قراربگيرد. البته، اگرداده هاي رمزنگاري شده شما بر روي يک لپتاپ باشد، مجبوريد رسانه جداشدني پشتيبان را همواره با خود داشته باشيد تا بتوانيد به داده هاي خود دسترسي پيدا کنيد. در نتيجه، اگر کسي لپ تاپ شما و گذرواژه حساب شما را بدزدد داده هاي شما را نخواهد توانست که دستيابي کند.
پس ازصدورگواهينامه، رسانه خارج شدني خود را بررسي کنيد و اطمينان يابد که فايل حاوي گواهينامه در آنجا عملاً حاضر و سالم است، سپس اين رسانه را از کامپيوتر جدا کنيد. Certificate Manager را بازکنيد (روي دکمه Start کليک کنيد، وعبارت certmgr.msc را درکادر Search درپايين منو تايپ کنيد). دربخش دست چپ، مورد Personal را باز کنيد و روي Certificate کليک کنيد تا نام کاربري خود را در سمت راست ببينيد (جايي است که گواهينامه اي که ساخته ايد درآن قراردارد). روي نام کاربري خود کليک - راست کنيد وDelete را انتخاب کنيد.

 

نگران نباشيد و روي Yes کليک کنيد، چون گواهينامه بر روي رسانه جدانشدني شما موجود است.
حال، از Windows Explorer براي مرورپوشه رمزنگاري شده خود بهره بگيرند. ويندوز7 اين پوشه و فايل هاي آن را به رنگ سبز نمايش مي دهد. اگر بخواهيد هر يک از فايل ها را باز کنيد، يک پنجره به نمايش در مي آيد که به شما مي گوييد که اجازه اين کار را نداريد.
اين پيام هشداربه معني ان است که کامپيوتر شما براي رمزگشايي فايل ها حاوي گواهينامه متناظر با نام کاربري شمانيست. لازم است که گواهينامه اي را که به رسانه جداشدني صادر کرده ايد براي سيستم خود بازگرداني کنيد.
براي اين کار، رسانه جداشدني را به کامپيوتر خود وصل کنيد (يا اگرديسک باشد در ديسکران قرار دهيد)،Certificate Manager را بازکنيد و روي مورد Personal دربخش دست چپ کليک - راست کنيد Import | All Tasks را براي باز کردن Certificate Import Wizardانتخاب کنيد.

 

روي Next کليک کنيد و فايل حاوي گواهينامه را در رسانه جداشدني خود بيابيد (در پنجره اي که به نمايش در مي آيد ونوع فايل پيش فرض مورد استفاده CER وCRT است، درنتيجه، روي پيکان «file types» کليک کنيد نوع فايل PFXرا انتخاب کنيد). فايل صادر شده خود را انتخاب کنيد و روي Open کليک کنيد.

 

روي Next کليک کنيد، گذ رواژه اي را که براي اين فايل اختصاص داده ايد تايپ کنيد و روي Nextکليک کنيد.

 

در صفحه Certificate Store، براي بازگرداندن گواهينامه به ناحيه حساب شخصي خود، انتخاب پيش فرض رابپذيريد.

 

روي Next کليک کنيد، و سپس روي Finish کليک کنيد به Windows Explorer باز گرديد و فايل داده اي خود را باز کنيد.
اگراجراي عمليات رمزنگاري، باعمل حذف گواهينامه از ديسک سخت و بازگرداني گواهينامه از رسانه جداشدني همراه شود فايل ها ي داده اي خصوصي خودرا همواره مي توانيد خصوصي نگه داريد. اما حتماً گواهينامه خود را در دو يا سه رسانه مجزا پشتيبان گيري کنيد تا اطمينان يابيد که اگر يکي از رسانه ها خراب يا گم شود بازهم خواهيد توانست داده هاي تان را دستيابي کنيد.
پي نوشت:

1- encryption
2- Encrypting File System
3- file system
4-NT file system
5- volume
منبع:مجله ریزپردازنده شماره 186
/ج