Weet iemand toevallig of de Windows files eigenlijk versleuteld zijn? Wat ik bedoel is het volgende.
Stel dat je mijn harde schijf waarop Windows is geïnstalleerd benadert via een andere computer, zie je dan op die andere computer gewoon alle bestanden staan zoals ik die zelf ook zie staan op mijn c-schijf? Dus kun je vanaf die andere computer gewoon de program files, users en windows mappen e.d. zien en benaderen?
Dat klopt: bij EFS zijn er wel sleutels, maar blijft de persoonlijke sleutel voor de gebruiker verborgen. De sleutel wordt namelijk gekoppeld aan je gebruikersaccount. Daarom zie je ná het inloggen niets anders dan een optie die je alleen maar hoeft aan te zetten.
Dit is ook de zwakke plek van EFS: het geheel is nooit veiliger dan je Windows-wachtwoord.
EFS heeft overigens vijf sleutels, maar de keten begint dus met het gebruikerswachtwoord:
• user password (or smart card private key): used to generate a decryption key to decrypt the user's DPAPI Master Key
• DPAPI Master Key: used to decrypt the user's RSA private key(s)
• RSA private key: used to decrypt each file's FEK
• File Encryption Key (FEK): used to decrypt/encrypt each file's data (in the primary NTFS stream)
• SYSKEY: used to encrypt the cached domain verifier and the password hashes stored in the SAM
Even opletten graag; slechts zelden wordt een back-up ge-encrypterd.
Reden als Windows crasht kan je nooit meer aan je bestanden. Wel wordt deze op een "veilige" plaats opgeborgen.
Je hebt ook nog bitlocker op Windows 7. (ultimate en Enterprise)
Ik begrijp het principe nog niet. Even een heel simpel scenario. De kans is uiteraard zeer klein, maar stel dat mijn computer zou worden gestolen. Wat moet ik dan doen om ervoor te zorgen dat de bestanden op mijn computer niet leesbaar zijn als je het Windows wachtwoord niet weet?
@Jan R:
Kun je uitleggen wat je bedoelt? Bedoel je dat ik zelf mijn harde schijven niet moet encrypten, of bedoel je dat ik de image zelf niet moet encrypten? Ik heb Windows 7 Pro, dus geen Bitlocker. Maar is dat Bitlocker weer iets anders dan wat Tim S bedoelde op de vorige pagina?
Als je EFS inschakelt, hoef je niets meer te doen, want je bestanden zijn dan versleuteld opgeslagen. Alleen duimen dat de dief je Windows-wachtwoord niet raadt.
Dat is de achilleshiel van EFS, maar aan de andere kant is de gedachte erachter wel verdedigbaar: het moet voor zakelijke pc-gebruikers simpel zijn om alle vertrouwelijke bedrijfsgegevens versleuteld op te slaan. Hokje aanvinken, klaar.
Ah, thanks. Dat is helder. Op zich wel mooi. Dit betekent dus wel dat je erg goed moet opletten. Als je je map met al je documenten encrypt, en je plaatst de sleutel in diezelfde map, dan heb je een bijzonder groot probleem als het een keer misgaat.
Raad jij het aan om deze vorm van beveiliging te gebruiken?
Oh ja... stel nu dat ik een map met foto's via deze encryptie beveilig, en ik kopieer die map vanuit Windows naar een USB-stick. Zijn de foto's op die USB-stick dan ge-encrypt? Of zijn het de niet-versleutelde versies? Als ze wel ge-encrypt zijn, zou het inhouden dat ik ze niet op een andere computer kan gebruiken. Lijkt me niet echt handig.
