EFS сигурност, Windows IT Pro
1. Ако някой може да стартира програма на вашия компютър, това вече не е вашият компютър.
2. Ако някой може да промени операционната система на вашия компютър, това вече не е вашият компютър.
3. Ако някой има неограничен физически достъп до вашия компютър, това вече не е вашият компютър.
Но какво, ако нападателят има всички изброени възможности, но трябва да се осигури поверителност на данните? Особено ако вашият лаптоп е загубен или откраднат?
В крайна сметка, като се има предвид, че обикновено собствениците на лаптопи са мениджъри и ръководители на предприятия, твърдият диск на устройството често съдържа поверителна информация, чиято употреба от нападателя може да доведе до загуби, многократно по-големи от цената на изгубен или откраднат компютър.
Шифроване на файлова система
От гледна точка на потребителя, процедурата за прилагане на такава функция е доста проста. Използвайки Windows Explorer, потребителят задава атрибута (Properties R Advanced R Encrypt contents to secure data) на файл или папка и след това работи с тези данни, използвайки стандартни методи, без да забележи, че данните са криптирани. Когато обаче друго лице се опита да осъществи достъп до криптираните данни, системата ще покаже съобщение за отказан достъп.
Изглежда, че проблемът е решен. Чрез криптиране на поверителни данни на твърдия диск, потребителят може да бъде сигурен, че ако лаптопът бъде откраднат, нападателят няма да може да получи достъп до информацията. При по-внимателна проверка обаче бяха открити редица недостатъци в EFS, които биха могли да позволят на нападателя да заобиколи защитата.
Опции за заплаха
Вторият недостатък на файловата система за криптиране е свързан с нейните архитектурни характеристики. За криптиране на файлове се използва произволно генериран ключ за шифроване на файлове (FEK), който от своя страна се криптира с помощта на публичния ключ на потребителя и се съхранява във файловите атрибути (в полето за дешифриране на данни). За да се гарантира, че файловете могат да бъдат възстановени, в системата се разпределя специален потребител, агент за възстановяване, чийто публичен ключ се използва също за криптиране FEK и се съхранява в полето за възстановяване на данни (DEF). Когато файлът се дешифрира, FEK се дешифрира с помощта на личния ключ на потребителя или агент за възстановяване. Полученият FEK се използва за дешифриране на файла. По този начин както частният ключ на потребителя, така и частният ключ на агента за възстановяване могат да се използват за дешифриране на файла.
При първото прилагане на EFS се генерира самоподписан сертификат за всеки потребител, който съдържа публичните и частните ключове на потребителя. EFS сертификатът за агент за възстановяване се генерира по време на инсталацията на системата. Агентът за възстановяване по подразбиране е администраторът. По този начин, за да дешифрирате всички файлове в системата, просто трябва да влезете в системата под този акаунт.
Методи за хакване и защита
За да се предпазите от подобни атаки, трябва да експортирате сертификата на агента за възстановяване на външен носител и да премахнете частния му ключ от системата. С тази схема FEK ще бъде криптиран с публичния ключ на агента за възстановяване, но ще трябва да импортирате частния ключ на агента за възстановяване, за да дешифрирате файловете. Когато експортирате сертификата на агента за възстановяване и частния ключ, не забравяйте, че той е запазен на две места по подразбиране:
във вашето лично хранилище на сертификати (добавката на сертификати) и в груповите правила (агенти за възстановяване на криптирани данни). Освен това се препоръчва да посочите специално създаден акаунт като агент за възстановяване, а не като администратор.
Съществуват обаче и други решения за EFS. Тайният ключ на потребителя, използван за дешифриране на файлове, е шифрован в системния регистър на Windows. SID на потребителя се използва за криптиране на секретния ключ. По този начин, за да получите достъп до криптираните файлове, трябва да влезете в системата под акаунта на потребителя, който е шифровал файла. Ако имате физически достъп до системата, това също е съвсем реалистично.
Използвайки алтернативно зареждане на системата и различни помощни програми като ntpasswd, нападателят може да получи достъп до хеша на паролата на потребителя. След това той може да използва програма за крекинг на акаунти, за да възстанови паролите на акаунта чрез груба сила или речникови атаки. След като възстанови паролата, нападателят влиза в системата, като влезе с потребителски акаунт и получи достъп до криптираните файлове. Тъй като паролата не се използва при криптиране на личния ключ на потребителя, стъпката за отгатване на паролата може да бъде изключена от този сценарий. Атакуващият може просто да замени хеша на паролата с предварително оформен и да влезе с нова парола и след това да получи достъп до криптирани файлове.