Şifreleme Dosya Sistemi (EFS), istemci bilgisayarlarda ve uzak dosya sunucularında dosya ve klasörleri şifrelemek için kullanılan güçlü bir araçtır. Kullanıcıların verilerine diğer kullanıcılar veya dış saldırganlar tarafından yetkisiz olarak erişilmesini engellemelerine olanak verir.
EFS ne yapıyor?
EFS, kullanıcı düzeyinde dosya ve klasör şifrelemesi için kullanışlıdır. EFS ilk olarak Microsoft® Windows® 2000 işletim sisteminde kullanılmıştır ve işletim sisteminin sonraki sürümlerinde geliştirilmiştir.
Bu özellik kimleri ilgilendirir?
Aşağıdaki gruplar EFS’yi kullanabilir:
- Yöneticiler, BT güvenliği uzmanları ve gizli verilerin yetkisiz kişilerin eline geçmemesini sağlamakla yükümlü uyumluluk memurları.
- Sunuculardan veya taşınabilir Windows Vista® istemci bilgisayarlardan sorumlu yöneticiler.
- Bilgisayarları paylaşan ve gizli bilgilerle çalışan kullanıcılar.
Dikkat edilmesi gereken özel noktalar var mıdır?
Yöneticilerin EFS kullanmaya başlamadan önce, anahtarların veya sertifikaların kaybolması durumunda bilgilerin nasıl kurtarılacağını planlamaları gerekir. EFS, Windows’un bu sürümünde üç önemli değişiklik içeren güçlü bir kurtarma mekanizmasını destekler:
- Anahtar Kurtarma Aracısı (KRA) değişiklikleri
- Veri Kurtarma Aracısı (DRA) olarak artık bir akıllı kart kullanılarak, çevrimdışı kurtarma istasyonu gereksinimi ortadan kaldırılır ve uzak kurtarma işlemi gerçekleştirilebilir.
Bu ilk iki öğe Administrator açısından önemli değişikliklerdir.
- İşletim sisteminde ntbackup aracı artık bulunmamaktadır. Bunun yerine, Windows Server® 2008 işletim sistemine Robocopy yardımcı programı eklenmiştir ve EFS olarak şifrelenmiş dosyaları şifre çözme anahtarı olmadan da kopyalayabilir. (Bu şekilde oluşturulan kopyalar şifreli olarak kalır.) SafeDocs altyapısı, Windows Server 2008 işletim sisteminde EFS dosyalarının yedeklenmesini destekler.
Tüm bu değişiklikler EFS dağıtım planında önemli düzeyde değiştirebilir.
Bu özellik hangi yeni işlevleri sağlamaktadır?
Windows Server® 2008 işletim sisteminde EFS için bazı önemli geliştirmeler bulunmaktadır. Bunlar, şifreleme sertifikalarının akıllı kartlarda saklanabilmesi, dosyaların istemci tarafı önbelleğinde her kullanıcı için ayrı ayrı şifrelenmesi, ek Grup İlkesi seçenekleri ve yeni bir anahtar oluşturma sihirbazıdır.
Akıllı kartta anahtar saklama
EFS şifreleme anahtarları ve sertifikaları akıllı kartlarda saklanarak, şifreleme anahtarları için daha güçlü koruma sağlar. Bu özellik, taşınabilir bilgisayarların veya paylaşılan iş istasyonlarının korunmasına yardımcı olmak açısından önemlidir. Şifreleme anahtarlarını saklamak üzere akıllı kartlar kullanılması, büyük kuruluşlarda anahtar yönetiminin geliştirilebilmesini de sağlayabilir.
Bu işlev neden önemlidir?
EFS anahtarlarını saklamak üzere bir akıllı kart kullanmak, bu anahtarların bilgisayarın sabit diskinde saklanmamasını sağlar. Böylece, bu anahtarlara başka bir kullanıcı veya bilgisayarı çalan bir kişi tarafından saldırılamayacağı için anahtarların güvenliği artar.
Farklı çalışan nedir?
Windows Server 2008 ve Windows Vista işletim sistemlerinde, EFS, kullanıcıların özel anahtarlarının akıllı kartlarda saklanmasını destekler.
Anahtar önbelleklemesi
Grup İlkesi ayarları kullanarak, EFS’yi özel anahtarlar önbelleğe alınmamış veya önbelleklenmiş modda akıllı kartlarda saklanacak biçimde yapılandırabilirsiniz.
- Önbelleğe alınmamış mod. EFS’nin geleneksel çalışma biçimine benzer şekilde, kullanıcının özel anahtarını gerektiren tüm şifre çözme işlemleri akıllı kartta gerçekleşir.
- Önbelleklenmiş mod. Kullanıcının özel anahtarından bir simetrik anahtar türetilir ve koruma belleğe alınır. Daha sonra bu türetilen anahtar kullanılarak, kullanıcının anahtarıyla ilgili şifreleme ve şifre çözme işlemleri karşılık gelen simetrik şifreleme işlemleriyle değiştirilir. Böylece, akıllı kartın sürekli olarak takılı kalması veya her şifre çözme işlemi için akıllı kart işlemcisinin kullanılması gerekmez. Dolayısıyla, önemli bir performans artışı sağlanır.
EFS ayrıca ?akıllı kart gerekmesini? zorlayan ve kullanıcı anahtarlarının parametrelerini ve önbellekleme davranışını denetleyen ilkeler sağlar.
Akıllı kartla çoklu oturum açma
Akıllı kartla çoklu oturum açma (SSO) işlemi, kullanıcı bir akıllı kartla her oturum açtığında aşağıdaki koşullardan biri doğruysa tetiklenir:
- Kullanıcının bilgisayarda geçerli bir EFS şifreleme anahtarı yoktur ve ilke ayarları tarafından EFS için akıllı kartlar istenmektedir.
- Kullanıcının oturum açmak için kullanılan akıllı kartta bulunan geçerli bir EFS şifreleme anahtarı vardır.
SSO tetiklendiğinde, EFS, oturum açma sırasında kullanıcı tarafından girilen kişisel kimlik numarasını (PIN) önbelleğe alır ve bunu EFS işlemleri için de kullanır. Böylece kullanıcıya oturum sırasında EFS tarafından hiçbir PIN istemi görüntülenmez.
Oturum açma için kullanılan akıllı kart herhangi bir şifreleme işlemi gerçekleştirilmeden önce akıllı kart okuyucusundan kaldırılırsa, Çoklu Oturum Açma devre dışı bırakılır. İlk EFS işleminde kullanıcıdan bir akıllı kart ve PIN istenir.
Bu değişikliğe nasıl hazırlanmalıyım?
EFS sertifikalarını saklamak üzere akıllı kartların kullanılmasına hazırlanmak için, varolan ortak anahtar altyapısı (PKI) uygulamanızı incelemeli ve PKI’nıza EFS sertifikaları için de plan eklemelisiniz. Kuruluşunuzda bir PKI kullanılmıyorsa, EFS sertifikalarını saklamak için akıllı kartlar kullanamazsınız.
Çevrimdışı dosyaların her kullanıcı için ayrı ayrı şifrelenmesi
Uzak sunuculardaki dosyaların çevrimdışı kopyaları da EFS kullanılarak şifrelenebilir. Bu seçenek etkinleştirildiğinde, çevrimdışı önbellekteki her dosya, dosyayı önbelleğe alan kullanıcının ortak anahtarıyla şifrelenir. Dolayısıyla yalnızca bu kullanıcı dosyaya erişebilir, kullanıcının özel anahtarlarına erişimi olmayan yerel yöneticiler bile dosyayı okuyamaz.
Önemli |
---|
Bir bilgisayarı birden çok kullanıcı paylaşıyorsa ve belirli bir dosyanın şifrelenmiş ve önbelleğe alınmış bir kopyasını birden çok kullanıcı kullanmaya çalışırsa, yalnızca dosyayı ilk önbelleğe alan kullanıcı dosyanın çevrimdışı kopyasına erişebilir. |
Bu işlev neden önemlidir?
Kullanıcı başına şifreleme sayesinde güvenlik artırılmıştır. Geçmişte, bilgisayarın tüm kullanıcıları çevrimdışı önbellekteki herhangi bir dosyaya erişebiliyordu.
Farklı çalışan nedir?
Geçmişte, şifreleme işlemi sistem anahtarları kullanılarak yapılıyordu ve dolayısıyla bir kullanıcı başka bir kullanıcının çevrimdışı dosyalarını okuyabiliyordu. Şifreleme her kullanıcının kendi ortak anahtarıyla yapıldığı için bu durum artık geçerli değildir.
Bu değişikliğe nasıl hazırlanmalıyım?
Yeni EFS ayarları hakkında bilgi edinin ve şirketinizin güvenlik gereksinimlerini karşılayan seçenekleri belirleyin.
Grup İlkesi aracılığıyla EFS’nin yapılandırılabilirliğini artırın
EFS koruması ilkeleri, Grup İlkesi kullanılarak tüm kuruluş için merkezi olarak denetlenebilir ve yapılandırılabilir.
Yöneticilerin EFS için kuruluş ilkeleri tanımlamalarına ve uygulamalarına yardımcı olan bir dizi yeni Grup İlkesi seçeneği eklenmiştir. Bunlar arasında, EFS için akıllı kart kullanılmasını gerektirme, disk belleği dosyası şifrelemesini zorlama, EFS için en düşük anahtar uzunluklarını gerektirme, kullanıcının Belgeler klasörünün şifrelenmesini zorlama ve otomatik olarak imzalanan sertifikaları yasaklama gibi seçenekler bulunmaktadır.
Bu işlev neden önemlidir?
Artırılmış yapılandırılabilirlik, yöneticilerin kuruluş ölçeğinde EFS ilkeleri yapılandırmalarına ve denetlemelerine olanak vererek verimliliği artırır.
Farklı çalışan nedir?
Ek ayarlar, Grup İlkesi’nin verimliliğini artırmaktadır. Daha fazla bilgi edinmek için, bu konunun ileriki bölümlerinde yer alan Hangi ayarlar eklendi veya değiştirildi? başlığına bakın.
Bu değişikliğe nasıl hazırlanmalıyım?
Grup İlkesi’ndeki yeni EFS ayarları hakkında bilgi edinin ve şirketinizin güvenlik gereksinimlerini karşılayan seçenekleri belirleyin.
Şifreleme Dosya Sistemi yeniden anahtar oluşturma sihirbazı
Şifreleme Dosya Sistemi yeniden anahtar oluşturma sihirbazı, kullanıcının EFS için bir sertifika seçmesine ve yeni seçilen sertifikayı kullanacak varolan dosyaları seçip geçirmesine olanak verir. Varolan yüklemelerdeki kullanıcıları yazılım sertifikalarından akıllı kartlara geçirmek için kullanılabilir. Sihirbaz ayrıca kurtarma işlemleri için bir yönetici veya kullanıcıların kendileri tarafından kullanılabilir. Dosyaların şifresini çözüp daha sonra yeniden şifrelemekten daha etkin bir yoldur.
Bu işlev neden önemlidir?
Sihirbaz, sertifikaları seçmek veya dosyaları geçirmek için hızlı ve adım adım yönergeler sağlar.
Farklı çalışan nedir?
Dosyalar her açıldıklarında veya güncelleştirildiklerinde otomatik olarak yeniden şifrelenmezler. Sihirbaz kullanıcıya büyük oranda esneklik sağlar.
Bu değişikliğe nasıl hazırlanmalıyım?
Bir sınama bilgisayarında Başlat‘ı tıklatın. Aramaya Başla kutusuna rekeywiz yazın ve ENTER tuşuna basın. Şifreleme Dosya Sistemi yeniden anahtar oluşturma sihirbazı başlatılır ve bu işlem hakkında bilgi edinmenizi sağlar.
Hangi ayarlar eklendi veya değiştirildi?
Windows Server 2008 işletim sisteminin bu sürümünde, ek EFS seçenekleri Grup İlkesi kullanılarak yönetilebilir. Aşağıdaki tabloda listelenen Grup İlkesi ayarları yönetim şablonlarında kullanılabilir.
Bu tablo, her ayar için basit bir açıklama içermektedir. Belirli bir ayar ile ilgili daha fazla bilgi için, Grup İlkesi Yönetim Konsolu’nda (GPMC) her ayarın Açıklama sekmesine bakın.
Şablon veya ayar | Yol ve açıklama | Varsayılan | ||
---|---|---|---|---|
GroupPolicy.admx; EFS kurtarma ilkesini işleme |
Bilgisayar Yapılandırması\Yönetim Şablonları\Sistem\Grup İlkesi; Şifreleme ilkelerinin ne zaman güncelleştirileceğini belirler. |
Yapılandırılmadı |
||
EncryptFilesonMove.admx; Şifrelenmiş klasörlere taşınan dosyaları otomatik olarak şifreleme |
Bilgisayar Yapılandırması\Yönetim Şablonları\Sistem\; Windows Gezgini’nin bir şifrelenmiş klasöre taşınan dosyaları şifrelemesini engeller. |
Yapılandırılmadı |
||
OfflineFiles.admx; Çevrimdışı Dosyalar önbelleğini şifrele |
Bilgisayar Yapılandırması\Yönetim Şablonları\Ağ\Çevrimdışı Dosyalar\; Bu ayar, çevrimdışı dosyaların şifrelenip şifrelenmeyeceğini belirler.
|
Yapılandırılmadı |
||
Search.admx; Şifrelenmiş dosyaların dizinini oluşturmaya izin ver |
Bilgisayar Yapılandırması\Yönetim Şablonları\Windows Bileşenleri\Ara\; Bu ayar, şifrelenmiş öğeler için Windows Arama tarafından dizin oluşturulmasına izin verir.
|
Yapılandırılmadı |
Aşağıdaki EFS seçeneklerini yapılandırmak için GPMC’yi veya Yerel Grup İlkesi Düzenleyicisi’ni (secpol.msc) de kullanabilirsiniz. Bu seçenekleri görüntülemek veya değiştirmek için, Ortak Anahtar İlkeleri düğümünü genişletin, Şifreleme Dosya Sistemi‘ni sağ tıklatın ve sonra da Özellikler‘i tıklatın.
Genel sekmesinde, genel seçenekleri ve sertifika seçeneklerini yapılandırabilirsiniz. Aşağıdaki genel seçenekler kullanılabilir:
Seçenek | Notlar | Varsayılan |
---|---|---|
Dosya Şifreleme Sistemi (EFS) kullanarak dosya şifreleme |
İzin verme olarak ayarlanırsa, EFS, bu bilgisayarda kullanılamaz. İzin ver veya Tanımsız olarak ayarlanırsa, EFS, bu bilgisayarda kullanılabilir. |
Tanımsız |
Kullanıcının Belgeler klasörünün içeriğini şifrele |
etkinleştirilirse, bu bilgisayardaki tüm kullanıcıların Belgeler klasörleri EFS ile otomatik olarak şifrelenir. |
Devre Dışı |
EFS için akıllı kart gerektir |
Etkinleştirilirse, yazılım sertifikaları EFS için kullanılamaz. |
Devre Dışı |
Akıllı karttan önbelleğe alınabilen kullanıcı anahtarı oluştur |
Etkinleştirilirse, kullanıcı oturumu sırasında EFS için ilk kez bir akıllı kart gerektiğinde, bu konunun önceki kısımlarında anlatıldığı şekilde, gerekli anahtarların önbelleğe alınmış bir sürümü oluşturulur. Devre dışı bırakılırsa, akıllı karttaki bir sertifika ile korunan bir dosya her şifrelendiğinde veya şifresi çözüldüğünde bir akıllı kart takılması gerekir. |
Etkin |
Disk belleği şifrelemeyi etkinleştir |
Etkinleştirilirse, Windows disk belleği dosyası EFS ile şifrelenir. |
Devre Dışı |
Kullanıcı anahtarı oluşturulduğunda veya değiştirildiğinde anahtar yedekleme bildirimleri görüntüle |
Etkinleştirilirse, yeni bir anahtar oluşturulduğunda veya anahtar değiştirildiğinde kullanıcılardan EFS anahtarlarını yedeklemeleri istenir. |
Etki Alanına Katılmış: Devre Dışı Çalışma Grubu veya Tek Başına: Etkin |
Sertifikalar bölümünde, aşağıdaki seçenekler kullanılabilir:
Seçenek | Notlar | Varsayılan |
---|---|---|
Sertifika yetkilisi olmadığında EFS’nin kendini imzalayan sertifikalar üretmesine izin ver |
Devre dışı bırakılırsa, kullanıcılar bir güvenlik yetkilisinden alınan sertifikalar dışında EFS kullanamaz. |
Etkin |
Otomatik olarak imzalanan sertifikalar için anahtar boyutu |
1024, 2048, 4096, 8192 veya 16384 bit anahtarlar seçebilirsiniz. Uzun anahtar boyutları güvenliği artırır, ancak performansı düşürebilir. |
2048 |
Otomatik sertifika istekleri için EFS şablonu |
Bu, bir sertifika yetkilisinden EFS sertifikası istemek için kullanılan sertifika şablonunun adıdır. |
Temel EFS |
Not |
---|
Windows Server 2008 işletim sistemindeki hem kullanıcı hem kurtarma amaçlı olan tüm EFS şablonları ve ayrıca otomatik olarak imzalanan EFS sertifikalarında varsayılan olarak 2048-bit anahtar uzunluğu belirtilmektedir. |
Önbellek sekmesinde, EFS sertifika önbelleğinin davranışını ayarlayabilirsiniz. EFS’de önbelleğe alma konusunda daha fazla bilgi için, Önbellek sekmesindeki EFS önbelleklemesi hakkında daha fazla bilgi edinin bağlantısını tıklatın.
Varolan kodu değiştirmem gerekiyor mu?
EFS için varolan kodda değişiklik yapılması gerekmez.
Bu özelliği dağıtmak için nasıl hazırlık yapmalıyım?
EFS’yi etkinleştirmeden önce, aşağıdakilere dikkat etmeniz gerekir:
- Atanmış bir kurtarma aracısı ve bir kurtarma işlemi belirleyin.
- Yeni EFS ayarlarını gözden geçirin ve hangi yapılandırmaların güvenlik gereksinimleriniz için en uygun olduğunu belirleyin.
Bu özellik Windows Server 2008’in tüm sürümlerinde kullanılabilir mi?
EFS, Windows Server 2008 işletim sisteminin tüm sürümlerinde dosya sisteminin tümleşik bir parçasıdır ve sürümler arasında herhangi bir işlev farkı yoktur. EFS, 32-bit ve 64-bit platformlarda kullanılabilir.
EFS, Windows Vista® Business, Windows Vista® Enterprise ve Windows Vista® Ultimate sürümlerinde kullanılabilir; istemci bilgisayarlarda ve özellikle de taşınabilir bilgisayarlarda saklanan verilerin korunmasında büyük önem taşır.
Ek başvurular
- EFS hakkında ek bilgi için, bkz. Windows XP ve Windows Server 2003’te Şifreleme Dosya Sistemi (http://go.microsoft.com/fwlink/?LinkID=85746). (Bu sayfa İngilizce içeriğe sahip olabilir.)
- Microsoft şifreleme teknolojilerini kullanarak verileri koruma hakkında ek bilgi için, bkz. Mobil Bilgisayarlar için Veri Şifreleme Araç Takımı (http://go.microsoft.com/fwlink/?LinkID=85982). (Bu sayfa İngilizce içeriğe sahip olabilir.)