Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Секреты Windows: статьи о реестре, rundll32.exe, программах


Глава 7. Механизмы безопасности. 7.1. Файловая система EFS - начало
Дата: 29 августа 2009, суббота

Новости нашего сайта:

В конец записи

И в последней главе данной книги давайте рассмотрим некоторые аспекты работы с механизмами безопасности операционной системы Windows Vista.

Файловая система EFS является стандартной файловой системой Windows, предназначенной для шифрования файлов и папок. Она является надстройкой над файловой системой NTFS, и позволяет легко шифровать и дешифровать содержимое отдельных файлов.

Выполнить шифрование файла можно двумя способами: либо при помощи программы командной строки Cipher.exe, либо с помощью флажка ШИФРОВАТЬ СОДЕРЖИМОЕ ДЛЯ ЗАЩИТЫ ДАННЫХ диалога ДОПОЛНИТЕЛЬНЫЕ АТРИБУТЫ (отображается после нажатия на кнопку ДРУГИЕ…, расположенную на вкладке ОБЩИЕ диалога СВОЙСТВА ФАЙЛА).

Дешифрация же выполняется автоматически при открытии зашифрованного файла пользователем, который этот файл шифровал, или входит в группу пользователей, которые могут открыть данный зашифрованный файл.

Справка и поддержка: Основные сведения о механизме EFS можно получить из следующих разделов справки

  • 196e3453-e553-4af3-8220-bdee6e60148c. Использование смарт-карты для шифрования файла
  • 21ad2809-1f05-452c-ae20-bca7994fed10. Изменение ключа, используемого для шифрования файлов и папок
  • 2bfc10ba-0869-47cd-9fb2-aee51a8a375a. Восстановление зашифрованных файлов и папок
  • 2fae3470-742d-4902-95ab-f77cbafb12d4. В чем опасность сброса пароля?
  • 4121b78c-9cb0-4715-93ec-80ba841670a3. Резервное копирование сертификата шифрованной файловой системы (EFS)
  • 42285c67-e346-4523-a61c-5649660c275b. Совместное использование зашифрованных файлов
  • 5a2b6b98-9833-4d73-967e-9293bd1a54e9. Шифрование и расшифровка папки или файла
  • 62f28747-c146-483c-b378-ff3f3977f011. В чем разница между шифрованием диска BitLocker и шифрованной файловой системой EFS?
  • 67bc0494-9a42-4c8a-88fd-6fa4c9c4c498. Что делать, если потерян ключ шифрования файла
  • 75d60d70-1446-4106-bd18-a0f58685371c. Шифрование: рекомендуемые ссылки
  • 90cdd1fe-9cbb-4adc-bccf-7d613425e15e. Создание сертификата восстановления для зашифрованных файлов

Этапы шифрования EFS

Давайте подробнее рассмотрим процесс шифрования файла при помощи EFS.

Этап 1. Загрузка профиля

Для шифрования файла необходимо, чтобы профиль пользователя был загружен операционной системой, так как именно на его основе выполняется создание ключей.

При входе пользователя в систему профиль загружается всегда, однако, например, при использовании программы командной строки runas.exe профиль другого пользователя может и не загружаться. В этом случае профиль пользователя будет загружен вручную.

Этап 2. Создание файла журнала

Если профиль пользователя загружен, тогда все необходимые для шифрования файла данные присутствуют, и начинается процесс шифрования.

Процесс шифрования начинается с создания в каталоге System Volume Information файла журнала шифрования. Он имеет имя формата efsX.log, где X определяет номер файла, который был зашифрован в текущий сеанс шифрования процессом lsasrv.exe.

Этап 3. Генерация FEK

Начинается процесс генерации случайного 128-битного числа FEK.

Число FEK используется для шифрования содержимого файла по определенному алгоритму. После этого число FEK шифруется при помощи алгоритма RSA, используя при этом открытый пользовательский ключ, и полученное значение добавляется к самому зашифрованному файлу.

После выполнения этих операций файл можно считать зашифрованным. Теперь для открытия файла необходимо сначала расшифровать его содержимое при помощи FEK. А FEK, в свою очередь, нужно взять из файла (зашифрованный) и расшифровать при помощи алгоритма RSA на основе пользовательских ключей. Пользовательские же ключи можно получить только после загрузки профиля того пользователя, который зашифровал файл (или после загрузки профиля пользователя, которому разрешен доступ к зашифрованному файлу).

Однако пока что только генерируется число FEK, а пользовательские ключи, необходимые для его шифрования, еще не получены.

Этап 4. Получение открытого и закрытого пользовательского ключа

Пара пользовательских ключей (закрытого и открытого) генерируется при первом процессе шифрования, инициированным пользователем. Поэтому если пользователь никогда еще не выполнял шифрование файлов, тогда происходит генерация пары пользовательских ключей.

Если же пользовательские ключи были сгенерированы ранее, тогда операционная система берет данные, необходимые для создания сигнатуры открытого ключа, из параметра REG_BINARY типа CertificateHash, расположенного в ветви реестра HKCU\Software\Microsoft\Windows NT\CurrentVersion\EFS\CurrentKeys. После этого формируется открытый ключ.

Второй же ключ, закрытый, берется из каталога %userprofile%\AppData\Roaming\Microsoft\Crypto\RSA\«SID-пользователя». Содержимое данного каталога зашифровано на основе симметричного ключа, называемого мастер-ключом пользователя.

Мастер ключ пользователя содержится в каталоге %userprofile%\AppData\Roaming\Microsoft\Protect\«SID-пользователя». Данный ключ также зашифрован (с помощью алгоритма 3DES и пароля от учетной записи пользователя).

Этап 5. Создание DDF

После получения FEK и пользовательских ключей, начинается процесс создания связки ключей DDF (совокупности нескольких DDF).

Один ключ DDF содержит информацию об одном пользователе, которому разрешено открывать данный зашифрованный файл, а также о его правах доступа. Ключ DDF состоит из следующей информации: SID-пользователя, имя контейнера, имя провайдера, зашифровавшего файл, хеш сертификата EFS, используемый при расшифровке, зашифрованный FEK для пользователя.

Этап 6. Создание DRF

Следующей связкой ключей, которая создается для шифруемого файла, является связка ключей DRF.

Один ключ DRF содержит информацию об одном агенте восстановления, который может открыть данный зашифрованный файл. Информация в ключе DRF аналогична информации ключа DDF.

Агентом восстановления называется учетная запись пользователя, который может открыть любой зашифрованный файл данной операционной системы. Как правило, агентом восстановления назначается администратор.

7. Шифрование

Все данные, необходимые для шифрования файла, созданы. Теперь можно начинать сам процесс шифрования.

Процесс шифрования начинается с создания резервной копии шифруемого файла (имеющей имя efs0.tmp). Именно над резервной копией файла будет выполняться процесс шифрования, после чего содержимое резервного файла будет скопировано в исходный файл, и резервный файл, вместе с файлом журнала шифрования, будет удален.

Алгоритм шифрования с помощью FEK Итак, шифрование содержимого резервного файла выполняется на основе числа FEK при помощи алгоритма AES.

В операционных системах семейства Windows NT существует возможность изменить алгоритм, используемый при шифровании файла на 3DES, тем самым усилив его.

Для этого нужно параметру DWORD-типа AlgorithmID, расположенному в ветви реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS, присвоить значение 0x6603. В этом случае алгоритм 3DES будет использоваться только службой EFS.

Также можно установить использование алгоритма 3DES для шифрования, хэширования и подписывания (а не только для EFS). Для этого нужно запустить оснастку РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ (консоль gpedit.msc) и перейти к подразделу КОНФИГУРАЦИЯ КОМПЬЮТЕРА/КОНФИГУРАЦИЯ WINDOWS/ПАРАМЕТРЫ БЕЗОПАСНОСТИ/ЛОКАЛЬНЫЕ ПОЛИТИКИ/ПАРАМЕТРЫ БЕЗОПАСНОСТИ. В данном подразделе нужно установить в положение ВКЛЮЧЕН значение элемента СИСТЕМНАЯ КРИПТОГРАФИЯ: ИСПОЛЬЗОВАТЬ FIPS-СОВМЕСТИМЫЕ АЛГОРИТМЫ ДЛЯ ШИФРОВАНИЯ, ХЭШИРОВАНИЯ И ПОДПИСЫВАНИЯ.

Шифрование FEK После того, как файл будет зашифрован, число FEK также шифруется. Для этого применяется алгоритм, шифрующий число FEK на основе пользовательских ключей.

В операционной системе Windows Vista также можно настроить параметры получения доступа к закрытым пользовательским ключам.

Для этого нужно запустить оснастку РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ (консоль gpedit.msc) и перейти к подразделу КОНФИГУРАЦИЯ КОМПЬЮТЕРА/КОНФИГУРАЦИЯ WINDOWS/ПАРАМЕТРЫ БЕЗОПАСНОСТИ/ЛОКАЛЬНЫЕ ПОЛИТИКИ/ПАРАМЕТРЫ БЕЗОПАСНОСТИ. В данном подразделе нужно воспользоваться элементом СИСТЕМНАЯ КРИПТОГРАФИЯ: ОБЯЗАТЕЛЬНОЕ ПРИМЕНЕНИЕ СИЛЬНОЙ ЗАЩИТЫ КЛЮЧЕЙ ПОЛЬЗОВАТЕЛЕЙ, ХРАНЯЩИХСЯ НА КОМПЬЮТЕРЕ.

Таблица 7.01. Значения параметра ForceKeyProtection

  • 0. Пункт Не требуется ввод данных пользователем при сохранении и использовании новых ключей.
  • 1. Пункт Пользователь получает запрос при первом использовании ключа.
  • 2. Пункт Пользователь должен вводить пароль при каждом использовании ключа.

Продолжение следует

Рейтинг: 0 
Оцените: 1 2 3 4 5
moemesto.ru bobrdobr.ru - добавить в социальные закладки
В начало записи
Оригинал статьи: http://www.onestyle.com.ua/txt.php?u=632

В избранное