Teknologi

Sistem File Enkripsi (EFS)

Ikhtisar EFS

Encrypting File System (EFS) memungkinkan pengguna untuk mengenkripsi file dan folder, dan seluruh drive data pada volume berformat NTFS. NTFS memungkinkan Anda untuk mengatur izin pada file dan folder pada volume berformat NTFS yang mengontrol akses ke file dan folder ini. EFS memungkinkan Anda untuk mengenkripsi file dan folder untuk lebih meningkatkan keamanan file dan folder ini. Bahkan ketika orang yang tidak berwenang berhasil mengakses file dan folder karena izin NTFS yang tidak dikonfigurasi dengan benar, file dan folder akan dienkripsi! Hanya pemilik file, pengguna resmi, dan agen pemulihan tertentu yang dapat mendekripsi file terenkripsi. Dengan cara ini, EFS mengamankan data rahasia perusahaan dari akses yang tidak sah.

EFS menggunakan algoritme standar industri dan kriptografi kunci publik untuk memastikan enkripsi yang kuat. File yang dienkripsi karena itu selalu rahasia. Meskipun otentikasi logon dan izin file NTFS ditujukan untuk melindungi data rahasia, Anda dapat menggunakan EFS untuk menambahkan lapisan keamanan tambahan. Ini akan memastikan bahwa ketika peretas mendapatkan akses penuh ke penyimpanan data komputer, data yang terletak di file diamankan karena enkripsi EFS. Orang yang tidak berwenang tidak akan dapat membuka file terenkripsi.

EFS di Windows Server 2003 semakin meningkatkan kemampuan EFS di Windows 2000. Pengguna yang menggunakan EFS dapat berbagi file terenkripsi dengan pengguna lain pada file yang dibagikan dan bahkan folder Web. Anda dapat mengonfigurasi fitur EFS melalui Kebijakan Grup dan alat baris perintah. EFS sangat cocok untuk mengamankan data sensitif pada komputer portabel. Ini juga berfungsi dengan baik untuk mengamankan data saat komputer digunakan bersama oleh banyak pengguna.

Cara kerja EFS

EFS sebenarnya terintegrasi dengan kuat dengan NTFS, dan proses enkripsi dan dekripsi filenya transparan bagi pengguna . Artinya, saat pengguna menyimpan file, EFS mengenkripsi data saat data ditulis ke disk, dan saat pengguna membuka file, file didekripsi oleh EFS saat data dibaca dari disk. Pengguna pada dasarnya tidak mengetahui proses ini, dan tidak perlu mengambil tindakan apa pun untuk memulai enkripsi dan dekripsi EFS. Mungkin ada teknologi pihak ketiga yang dapat menyediakan kemampuan enkripsi file tetapi program ini tidak sepenuhnya transparan bagi pengguna. Dengan program ini, tanggung jawab akan ditempatkan pada pengguna untuk mengingat untuk menggunakan program enkripsi. Hal ini pada gilirannya menyebabkan proses keamanan yang lebih lemah, dan mungkin dapat menciptakan kerentanan keamanan untuk data yang sensitif dan rahasia.

EFS menggunakan kunci untuk mengenkripsi dan mendekripsi data, dan arsitektur antarmuka pemrograman aplikasi kriptografi (CryptoAPI) untuk menyediakan fungsi kriptografi. Meskipun dapat menggunakan sertifikat otoritas sertifikat perusahaan (CA), ini bukan persyaratan. Ketika tidak ada CA, EFS menandatangani sertifikat yang dapat digunakan dengan enkripsi file. Karena fitur ini, EFS dapat berfungsi di komputer yang tergabung dalam domain, dan di komputer yang berdiri sendiri.

Kunci yang digunakan EFS untuk mengenkripsi dan mendekripsi data, adalah pasangan kunci publik dan pribadi, dan kunci enkripsi per file. EFS menghasilkan kunci enkripsi file (FEK) yang merupakan kunci enkripsi simetris untuk mengenkripsi data. File Encryption Key (FEK) selanjutnya dienkripsi dengan cara enkripsi asimetris menggunakan kunci publik pengguna. Enkripsi asimetris sebenarnya menggunakan pasangan kunci publik dan pribadi untuk keamanan yang lebih kuat. FEK terenkripsi kemudian disimpan dengan file terenkripsi. Ketika file perlu didekripsi, FEK harus didekripsi. Kunci pribadi pengguna digunakan untuk mendekripsi FEK. FEK kemudian digunakan untuk mendekripsi data file.

Karakteristik Kunci EFS

  • EFS diaktifkan secara default. Namun pengguna memerlukan pasangan kunci publik dan pribadi, dan izin untuk menggunakan EFS.
  • EFS memerlukan sertifikat agen pemulihan agar dapat berfungsi. Ini akan menghasilkan sertifikat jika Anda tidak memilikinya.
  • EFS hanya dapat mengenkripsi file ketika sistem file NTFS sedang digunakan.
    li>Enkripsi tidak berdampak pada izin file dan folder
  • Anda dapat mengotorisasi beberapa pengguna untuk berbagi file terenkripsi.
  • Saat Anda memindahkan file EFS ke sistem file yang berbeda, enkripsi akan dihapus.
  • Saat Anda memindahkan file ke folder yang dienkripsi, file tetap dalam bentuk aslinya. Itu tetap terenkripsi atau tidak terenkripsi.
  • Saat Anda menyalin file ke folder terenkripsi, file tersebut akan dienkripsi.
  • Saat folder dienkripsi, semua file sementara di folder tertentu juga dienkripsi.
  • Enkripsi terdaftar sebagai atribut file, dan karena itu ditampilkan dengan atribut file lainnya.
  • EFS dapat mengenkripsi dan mendekripsi file di komputer jarak jauh.
  • File offline juga dapat dienkripsi oleh EFS.
  • File yang dienkripsi dapat disimpan dalam folder Web.
  • EFS sebelumnya menggunakan Data Encryption Standard Extended (DESX) untuk enkripsi. Dengan Windows Server 2003, algoritma enkripsi triple-DES (3DES) dapat digunakan untuk meningkatkan keamanan EFS.
  • Anda dapat mencadangkan file terenkripsi.
  • Semua file dan folder terkompresi perlu didekompresi sebelum dapat dienkripsi.
  • File dan folder sistem tidak dapat dienkripsi.
  • File atau folder dalam profil pengguna roaming tidak dapat dienkripsi.

Komponen EFS

EFS menggunakan komponen berikut untuk menjalankan fungsinya:

  • Layanan EFS : Layanan EFS berkomunikasi dengan driver EFS melalui port panggilan prosedur lokal (LPC). Layanan EFS dan Antarmuka Pemrograman Kegunaan Kriptografis Microsoft (CryptoAPI) berkomunikasi, dengan layanan EFS yang menerima kunci enkripsi file dari CryptoAPI. Ini menggunakan kunci ini untuk menghasilkan bidang dekripsi data (DDF) dan bidang pemulihan data (DRF). Kunci enkripsi file (FEK) digunakan untuk data file. Layanan EFS meneruskan FEK, DRF, dan DDF ke driver EFS melalui EFS File System Run-Time Library (FSRTL).
  • Driver EFS : Driver EFS meminta kunci enkripsi file, DDF, dan DRF dari layanan EFS. Ini kemudian menyampaikan ini ke EFS FSRTL.
  • EFS File System Run-Time Library (FSRTL) : EFS FSRTL ada di pengandar EFS, dan beroperasi dengan pengandar EFS sebagai satu komponen. Info kontrol file NTFS digunakan sebagai mekanisme komunikasi antara keduanya. EFS FSRTL menjalankan serangkaian fungsi sistem file yang mencakup enkripsi, dekripsi, dan pemulihan data file saat dibaca dari disk atau ditulis ke disk.
  • Antarmuka Pemrograman Kegunaan Kriptografi Microsoft (CryptoAPI) : CryptoAPI digunakan oleh EFS untuk fungsi kriptografi. CryptoAPI mendukung enkripsi, dekripsi, hashing, tanda tangan digital dan verifikasinya, manajemen kunci, penyimpanan aman, dan operasi pertukaran kunci.

Bagaimana file dienkripsi dan didekripsi

Seperti disebutkan sebelumnya, EFS menggunakan kunci publik dan enkripsi kunci simetris untuk mengamankan konten file dan folder. Algoritma dalam enkripsi kunci publik menggunakan kunci asimetris untuk enkripsi dan dekripsi. Artinya, kunci yang digunakan untuk mengenkripsi dan mendekripsi data berbeda karena kunci pribadi dan kunci publik digunakan. Kunci pribadi disimpan oleh pemilik kunci. Kunci publik dapat digunakan di jaringan.

Saat data dienkripsi, EFS menghasilkan FEK unik untuk mengenkripsi file. Kemudian mengenkripsi FEK menggunakan kunci publik dari sertifikat pengguna. EFS menggunakan FEK untuk memastikan bahwa enkripsi terjadi dengan cepat. Kunci pribadi pengguna digunakan untuk mendekripsi FEK.

Proses yang diuraikan di bawah ini terjadi ketika pengguna mengenkripsi file:

  • File dibuka oleh layanan EFS.
  • Aliran data file selanjutnya disalin ke file sementara plaintext yang terletak di direktori sementara sistem.
  • EFS menghasilkan FEK yang unik.
  • FEK digunakan untuk mengenkripsi file baik melalui DESX atau 3DES.
  • Bidang dekripsi data (DDF) dibuat. DDF menyimpan FEK yang dienkripsi melalui kunci publik pengguna.
  • Jika agen pemulihan ditentukan melalui Kebijakan Grup, bidang pemulihan data (DRF) dibuat.
  • Data terenkripsi, DDF, dan DRF disimpan dalam file.
  • File sementara plaintext yang terletak di direktori sementara sistem akan dihapus.

Proses yang diuraikan di bawah ini terjadi ketika file didekripsi:

  • NTFS sebenarnya mengidentifikasi file sebagai dienkripsi, dan kemudian mengajukan permintaan dekripsi melalui driver EFS.
  • Driver EFS selanjutnya mendapatkan bidang dekripsi data (DDF) dan mengirimkannya ke layanan EFS.
  • Layanan EFS memperoleh kunci pribadi pengguna. Ia menggunakan kunci ini untuk mendekripsi DDF.
  • Setelah layanan EFS mendekripsi DDF dan memperoleh FEK, ia mengirimkan FEK ke driver EFS.
  • Driver EFS menggunakan FEK yang diterimanya dari layanan EFS untuk mendekripsi data dalam file.
  • Driver EFS kemudian meneruskan data yang didekripsi ke NTFS.

EFS dan Sertifikat

Segera setelah pengguna mengaktifkan enkripsi untuk folder atau file, EFS memeriksa apakah pengguna memiliki sertifikat perusahaan yang disimpan di penyimpanan sertifikat pribadi. EFS meminta sertifikat untuk pengguna ketika tidak dapat menemukan sertifikat di toko sertifikat pribadi, dari otoritas sertifikasi (CA). EFS melanjutkan untuk membuat sertifikat yang ditandatangani sendiri untuk pengguna jika tidak ada CA perusahaan. Sertifikat EFS pengguna diakses saat EFS perlu mengenkripsi dan mendekripsi FEK. EFS juga memperbarui sertifikat EFS yang telah kedaluwarsa.

Sertifikat yang diperoleh dari CA perusahaan menggunakan templat sertifikat yang disimpan di Active Directory. Templat sertifikat merinci atribut jenis sertifikat yang dapat diterbitkan untuk pengguna dan komputer. Templat sertifikat yang mendukung EFS adalah Pengguna, Administrator, dan EFS Dasar. Perusahaan. CA menggunakan Daftar Kontrol Akses (ACL) ketika mereka perlu memastikan apakah permintaan sertifikat harus disetujui. Oleh karena itu, pengguna harus memiliki izin Mendaftar untuk templat sertifikat agar sertifikat diterbitkan. Anggota grup Admin Domain dan grup Pengguna Domain memiliki izin ini. Pengguna dapat menggunakan snap-in Sertifikat untuk meminta sertifikat.

Gunakan langkah-langkah di bawah ini untuk meminta sertifikat dari CA melalui snap-in Sertifikat.

  1. Buka snap-in Sertifikat.
  2. Lanjutkan untuk memperluas folder Pribadi.
  3. Klik kanan Sertifikat dan pilih Semua Tugas, lalu Minta Sertifikat Baru dari menu pintasan.
  4. Wisaya Permintaan Sertifikat Baru diluncurkan.
  5. Pilih opsi Basic EFS pada layar Jenis Sertifikat. Klik Berikutnya.
  6. Berikan informasi untuk Nama dan Deskripsi Ramah. Klik Berikutnya.
  7. Klik Selesai untuk keluar dari wizard.
  8. Sertifikat baru disimpan dalam folder Sertifikat.

Anda dapat menggunakan snap-in Sertifikat untuk memeriksa apakah Anda sudah memiliki sertifikat.

  1. Lanjutkan untuk menavigasi ke dan membuka snap-in Sertifikat yang disiapkan untuk akun Pengguna saya.
  2. Perluas folder Pribadi.
  3. Klik kanan Sertifikat untuk melihat apakah ada sertifikat.

Mengenkripsi/Mendekripsi file menggunakan EFS

Disarankan untuk mengaktifkan enkripsi EFS untuk folder daripada mengaktifkannya untuk file individual. Dengan melakukan ini, Anda tidak perlu mengenkripsi setiap file individual saat menyimpan file.

Gunakan langkah-langkah di bawah ini untuk mengenkripsi folder.

  1. Buka Komputer Saya.
  2. Klik kanan folder yang ingin Anda enkripsi, dan pilih Properties dari menu shortcut.
  3. Ketika kotak dialog Properties folder terbuka, klik tombol Advanced pada tab General.
  4. Kotak dialog Atribut Lanjutan ditampilkan.
  5. Di bagian Kompres atau Enkripsi atribut dari kotak dialog Atribut Tingkat Lanjut, aktifkan kotak centang Enkripsikan konten untuk mengamankan data.
  6. Klik OK untuk mengaktifkan enkripsi untuk folder dan semua file yang termasuk dalam folder.
  7. Pesan tambahan ditampilkan di kotak dialog saat folder menyertakan subfolder dan file yang tidak dienkripsi. Pesan tersebut meminta Anda untuk memverifikasi apakah pengaturan Anda harus diterapkan ke folder saja atau ke subfolder dan file folder juga.
  8. Jika Anda memilih opsi Terapkan perubahan ke folder ini saja, hal berikut akan terjadi:
    • File yang sudah disimpan di folder dan subfolder apa pun tetap dalam keadaan aslinya.
    • File yang Anda buat di folder dienkripsi.
    • File yang disalin ke folder oleh Anda dan pengguna lain dienkripsi.
    • File yang dibuat, disalin, atau dipindahkan ke subfolder tetap dalam keadaan aslinya.
  9. Jika Anda memilih opsi Terapkan perubahan ke folder, subfolder, dan file ini, hal berikut akan terjadi:
    • File yang sudah disimpan dalam folder dan subfolder apa pun akan dienkripsi jika Anda memiliki izin Tulis.
    • File yang dibuat, disalin, atau dipindahkan ke subfolder dienkripsi, baik oleh Anda atau pengguna lain.

Gunakan langkah-langkah di bawah ini untuk mendekripsi folder.

  1. Klik kanan folder yang ingin Anda dekripsi, dan pilih Properties dari menu shortcut.
  2. Ketika kotak dialog Properties folder terbuka, klik tombol Advanced pada tab General.
  3. Saat kotak dialog Atribut Tingkat Lanjut ditampilkan, kosongkan kotak centang Enkripsi konten untuk mengamankan data.

Cara mengenkripsi file offline

  1. Buka Komputer Saya.
  2. Gunakan menu Alat untuk memilih item Opsi Folder.
  3. Gunakan tab File Offline untuk:
    • Aktifkan File Offline.
    • Enkripsi file offline.
  4. Klik Oke.

Cara melihat status enkripsi EFS

  1. Buka Komputer Saya.
  2. Gunakan menu Alat untuk memilih item Opsi Folder.
  3. Klik tab Lihat.
  4. Aktifkan kotak centang Tampilkan file NTFS terenkripsi atau terkompresi dalam warna.
  5. Klik Oke.
  6. Folder terenkripsi dan nama file ditampilkan dalam warna hijau.

Cara mengaktifkan opsi EFS pada menu pintasan

Jika opsi EFS diaktifkan pada menu pintasan, pengguna hanya perlu mengklik kanan folder atau file untuk mengenkripsi atau mendekripsi folder atau file.

  1. Klik Mulai, Jalankan, dan masukkan regedit.exe di kotak dialog Jalankan. Klik Oke.
  2. Editor Registri terbuka.
  3. Temukan subkunci berikut:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerLanjutan

  1. Gunakan menu Edit untuk memilih Baru, lalu Nilai DWORD.
  2. Lanjutkan untuk menentukan EncryptionContextMenu untuk nama nilai, dan 1 untuk data nilai.
  3. Perubahan registri berlaku segera.

Cara menggunakan cipher.exe untuk melihat, membuat, atau memodifikasi enkripsi pada folder dan file

Cipher.exe adalah alat baris perintah yang dapat digunakan untuk mengenkripsi dan mendekripsi folder atau file. Menggunakan perintah cipher tanpa sakelar akan menampilkan status enkripsi pada folder dan file yang terletak di dalam folder.

Sintaks untuk perintah cipher dan sakelarnya dicatat di bawah ini:

sandi [{/e|/d}][/s:Folder][/a][/i][/f][/q][/h][/k][/u [/n]]

  • /e, mengenkripsi folder tertentu, dan file yang ditambahkan juga dienkripsi.
  • /d, mendekripsi folder tertentu. Atribut enkripsi dihapus dari folder.
  • /s:Folder, digunakan untuk menunjukkan folder dan subfolder yang harus digunakan.
  • /a, digunakan untuk mengenkripsi file di direktori saat ini.
  • /i, digunakan untuk menunjukkan bahwa proses saat ini harus dilanjutkan meskipun ada kesalahan.
  • /f, digunakan untuk memaksa enkripsi atau dekripsi untuk semua file dan folder yang ditentukan.
  • /q, hanya mencantumkan informasi penting.
  • /h, daftar file yang memiliki atribut tersembunyi dan atribut sistem.
  • /k, menghasilkan FEK baru untuk pengguna tertentu yang menjalankan perintah.
  • /u, memperbarui FEK pengguna dan kunci agen pemulihan. Digunakan dengan sakelar /n.
  • /n, menghentikan pembaruan kunci. Digunakan dengan sakelar /u.

Cara mengotorisasi akses banyak pengguna ke file terenkripsi

Sebelum mengotorisasi akses beberapa pengguna ke file terenkripsi, pertimbangkan hal berikut:

  • Berbagi file, folder web, atau sesi jarak jauh diperlukan bagi pengguna yang berwenang untuk berbagi file EFS di seluruh jaringan.
  • Pengguna yang akan Anda otorisasi untuk mengakses file EFS harus memiliki sertifikat EFS.
  • Saat Anda mengotorisasi pengguna untuk mendekripsi file, pengguna secara otomatis dapat mengotorisasi pengguna tambahan dengan akses ke file.

Gunakan langkah-langkah di bawah ini untuk berbagi file EFS dengan pengguna tambahan.

  1. Buka Komputer Saya.
  2. Klik kanan file terenkripsi dan pilih Properties dari menu shortcut.
  3. Ketika kotak dialog Atribut Lanjutan terbuka, klik tombol Detail.
  4. Kotak dialog Detail Enkripsi terbuka.
  5. Klik Tambah untuk membuka kotak dialog Pilih Pengguna.
  6. Anda sekarang dapat menambahkan pengguna dari komputer lokal, atau dari Active Directory.
  7. Klik sertifikat pengguna untuk menambahkan pengguna dari komputer lokal. Klik Oke.
  8. Klik tombol Temukan Pengguna untuk menemukan pengguna di Direktori Aktif.
  9. Kemudian klik Telusuri ketika kotak dialog Temukan Pengguna, Kontak, dan Grup terbuka untuk menemukan pengguna.
  10. Klik folder atau domain yang harus dicari di kotak dialog Browse for Container.
  11. Pilih pengguna lalu klik OK.

Agen Pemulihan File

Mampu memulihkan data menjadi penting ketika karyawan salah menaruh kunci pribadi mereka atau meninggalkan organisasi tanpa mendekripsi semua file mereka. Ini adalah saat agen pemulihan menjadi penting. Untuk menggunakan EFS, kebijakan Agen Pemulihan Data Terenkripsi harus ada. EFS secara otomatis menggunakan akun agen pemulihan default ketika tidak ada kebijakan Agen Pemulihan Data Terenkripsi. Anggota grup Admin Domain dapat menentukan akun yang akan digunakan untuk akun agen pemulihan. Kebijakan lokal dapat digunakan pada komputer mandiri untuk menentukan akun sebagai agen pemulihan data. Akun ini biasanya merupakan akun Administrator. Sertifikat DRA disimpan di penyimpanan sertifikat komputer saat pengguna mengakses komputer domain yang disertakan dalam kisaran kebijakan pemulihan EFS. Ini memungkinkan setiap komputer domain untuk mengakses kunci publik DRA. File terenkripsi berisi bidang pemulihan data yang pada gilirannya menyimpan file terenkripsi FEK. DRA dapat mendekripsi file terenkripsi yang berada dalam kisaran kebijakan pemulihan EFS melalui pemanfaatan kunci pribadi.
Anda harus menentukan beberapa DRA melalui kebijakan pemulihan EFS jika Anda ingin banyak pengguna dapat mendekripsi file. File umumnya lebih aman jika hanya satu orang yang dapat mendekripsi file tersebut. Kelemahannya adalah file tersebut kurang dapat dipulihkan.

Gunakan langkah-langkah di bawah ini untuk menambahkan agen pemulihan untuk komputer lokal.

  1. Klik Mulai, Jalankan, lalu masukkan mmc di kotak dialog Jalankan. Klik Oke.
  2. Pilih Tambah/Hapus Snap-in dari menu File, dan klik Tambah.
  3. Ketika kotak dialog Add Standalone Snap-in muncul, pilih Group Policy Object Editor. Klik Tambahkan.
  4. Pastikan bahwa Komputer Lokal dipilih. Klik Oke.
  5. Di panel kiri, lanjutkan untuk memperluas Kebijakan Komputer Lokal, Konfigurasi Komputer, Pengaturan Windows, Pengaturan Keamanan, dan Pengaturan Kunci Publik.
  6. Klik kanan Encrypting File System, lalu pilih Properties dari menu shortcut.
  7. EFS berjalan di komputer jika kotak centang Izinkan pengguna untuk mengenkripsi file menggunakan Ecrypting File System (EFS) diaktifkan. Klik Oke.
  8. Klik kanan Encrypting File System dan pilih Add Data Recovery Agent dari menu pintasan.
  9. Wisaya Tambahkan Agen Pemulihan dimulai.
  10. Berikan nama pengguna untuk pengguna yang memiliki sertifikat pemulihan. Klik Berikutnya.
  11. Pada layar Pilih Agen Pemulihan, telusuri folder/direktori untuk menentukan pengguna.
  12. Klik Berikutnya. Klik Selesai.

Gunakan langkah-langkah di bawah ini untuk menghapus DRS.

  1. Menggunakan Kebijakan Grup, di panel kiri, lanjutkan untuk memperluas Kebijakan Komputer Lokal, Konfigurasi Komputer, Pengaturan Windows, Pengaturan Keamanan, Kebijakan Kunci Publik, dan Sistem File Enkripsi.
  2. Pilih DRA yang ingin Anda hapus, dan hapus sertifikatnya.

Cara mengekspor dan mengimpor sertifikat EFS dan DRA serta kunci pribadi

Pengguna dapat memastikan akses ke file terenkripsi dengan mengekspor sertifikat EFS dan kunci pribadi mereka ke media yang dapat dipindahkan.

Gunakan langkah-langkah di bawah ini untuk mengekspor sertifikat ke media yang dapat dipindahkan.

  1. Lanjutkan untuk mengakses snap-in Sertifikat.
  2. Perluas folder Pribadi, lalu klik dua kali Sertifikat.
  3. Temukan dan klik kanan sertifikat yang ingin Anda ekspor, dan pilih Semua Tugas, lalu Ekspor dari menu pintasan.
  4. Pilih Ya, ekspor kunci pribadi.
  5. Anda sekarang dapat memilih untuk menghapus kunci pribadi dari komputer setelah diekspor, atau Anda dapat memilih untuk membiarkannya di komputer. Setelah memilih opsi yang sesuai dengan kebutuhan Anda, klik Berikutnya.
  6. Berikan kata sandi untuk perlindungan kunci pribadi yang diekspor. Klik Berikutnya.
  7. Berikan nama untuk sertifikat yang diekspor dan kunci pribadi.
  8. Klik Berikutnya. Klik Selesai.

Gunakan langkah-langkah di bawah ini untuk mengimpor sertifikat.

  1. Lanjutkan untuk mengakses snap-in Sertifikat.
  2. Perluas folder Pribadi, lalu klik kanan Sertifikat, pilih Semua Tugas, lalu Impor dari menu pintasan.
  3. Masukkan file sertifikat yang harus diimpor.
  4. Berikan kata sandi yang tepat untuk membuka file.
  5. Tentukan lokasi di mana sertifikat harus diimpor.

Cara memperkuat keamanan kunci dan file

Anda dapat memperkuat keamanan dengan mengganti algoritme DESX yang digunakan EFS, dengan algoritme 3DES yang lebih kuat. Anda dapat menggunakan pengaturan Kebijakan Grup kriptografi sistem untuk mengaktifkan 3DES untuk enkripsi untuk Keamanan IP dan EFS. Namun Anda dapat mengubah pengaturan registri yang sesuai di kunci HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionEFS melalui Peninjau Suntingan Registri untuk mengaktifkan 3DES untuk enkripsi hanya untuk EFS.

Anda juga dapat menggunakan kunci startup untuk melindungi kunci master dan informasi rahasia yang ada di komputer. Kunci startup juga disebut syskey. Kunci startup secara otomatis dibuat untuk komputer yang menjadi anggota domain. Anda harus membuat kunci startup secara manual untuk komputer mandiri.

Kunci startup melindungi informasi rahasia berikut:

  • Kunci utama: Ini adalah kunci yang digunakan untuk melindungi kunci pribadi.
  • Kunci perlindungan: Ini adalah kunci untuk kata sandi akun pengguna yang disimpan di Active Directory, atau di kunci registri Manajer Akun Keamanan (SAM) lokal.
  • Kunci perlindungan untuk rahasia LSA Anda.
  • Kunci perlindungan untuk kata sandi akun administrator.

Setelah kunci startup diaktifkan, prosedur yang terjadi saat startup adalah sebagai berikut:

  • Sistem mengambil kunci startup.
  • Ini kemudian digunakan untuk mendekripsi kunci perlindungan utama.
  • Kunci ini kemudian digunakan untuk mendapatkan kunci enkripsi akun pengguna.
  • Kunci enkripsi akun pengguna digunakan untuk mendekripsi informasi sandi di Active Directory, atau di kunci registri Manajer Akun Keamanan (SAM) lokal.

Gunakan langkah-langkah di bawah ini untuk mengaktifkan 3DES untuk enkripsi hanya untuk EFS.

  1. Buka Peninjau Suntingan Registri.
  2. Temukan subkunci registri HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionEFS.
  3. Gunakan menu Edit untuk mengklik Baru, lalu Nilai DWORD.
  4. Masukkan AlgorithmID untuk nama nilai, dan 0x6603 untuk data nilai.
  5. Nilai-nilai ini mengaktifkan 3DES.
  6. Nyalakan ulang komputernya.

Gunakan langkah-langkah di bawah ini untuk mengaktifkan 3DES menggunakan Kebijakan Grup.

  1. Menggunakan Kebijakan Grup, di panel kiri, lanjutkan untuk memperluas Konfigurasi Komputer, Pengaturan Windows, Pengaturan Keamanan, Kebijakan Lokal, dan Opsi Keamanan.
  2. Klik dua kali Sistem kriptografi: Gunakan algoritme yang sesuai dengan FIPS untuk kebijakan enkripsi.
  3. Pilih Aktifkan.
  4. Klik Oke.

Gunakan langkah-langkah di bawah ini untuk mengaktifkan kunci startup.

  1. Masukkan syskey di baris perintah.
  2. Lanjutkan dengan mengeklik Enkripsi Diaktifkan.
  3. Klik Oke.
  4. Pilih opsi untuk kunci. Kata sandi yang dihasilkan sistem yang disimpan secara lokal adalah opsi default.
  5. Klik OK untuk me-restart komputer.

Gunakan langkah-langkah di bawah ini untuk mengubah opsi kunci startup.

  1. Masukkan syskey di baris perintah.
  2. Lanjutkan dengan mengklik Perbarui.
  3. Lanjutkan untuk mengubah kata sandi, atau pilih opsi kunci yang berbeda.
  4. Klik Oke. Nyalakan ulang komputernya.

Cara menonaktifkan EFS

Anda dapat menonaktifkan EFS untuk komputer atau domain. Gunakan langkah-langkah di bawah ini untuk menonaktifkan EFS menggunakan Editor Registri

  1. Buka Peninjau Suntingan Registri.
  2. Temukan subkunci registri HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionEFS.
  3. Gunakan menu Edit untuk mengklik Baru, lalu Nilai DWORD.
  4. Masukkan EfsConfiguration untuk nama nilai, dan 1 untuk data nilai.
  5. Nilai-nilai ini menonaktifkan EFS.
  6. Nyalakan ulang komputernya.

Praktik Terbaik EFS

Beberapa praktik terbaik untuk EFS dirangkum di bawah ini:

  • Selalu pilih untuk mengenkripsi folder, dan bukan file individual . Mengenkripsi folder memfasilitasi manajemen enkripsi file sederhana. Ingatlah bahwa file apa pun yang terletak di, atau dibuat dalam folder terenkripsi akan dienkripsi secara otomatis.
  • Anda dapat menggunakan Layanan Sertifikat Microsoft untuk mengelola sertifikat/kunci pribadi EFS dan DRA.
  • Pengguna harus mengekspor sertifikat EFS dan kunci pribadi mereka ke media yang dapat dipindahkan, dan juga menyimpan media di tempat yang aman.
  • Cobalah untuk memiliki sejumlah kecil agen pemulihan tertentu. Semakin sedikit jumlah agen pemulihan, semakin mudah untuk mengelolanya, dan memastikan bahwa mereka tidak salah mendekripsi file.
  • Anda juga harus mengekspor kunci pribadi untuk akun pemulihan, dan mengamankannya di lokasi yang aman.
  • Anda harus berusaha untuk mengenkripsi data sensitif di setiap komputer yang menjadi anggota domain.
  • Aktifkan kunci startup di komputer mandiri untuk lebih meningkatkan keamanan kunci pribadi pengguna.
  • Pastikan folder My Documents dienkripsi jika pengguna terhubung ke komputer yang sama.
  • Anda harus mengenkripsi file offline untuk memastikan perlindungan bagi dokumen yang disimpan secara lokal.
  • Menggunakan penandatanganan Server Message Block (SMB) dengan EFS membantu memastikan bahwa file dikirim/diterima dengan aman melalui jaringan.
  • Anda juga dapat menggunakan IPSec untuk mengenkripsi data saat bergerak melalui jaringan.