 |
Использование агента восстановления
|
|
|
|
Факультет прикладной информатики
Кафедра прикладной информатики в управлении
«Информационная безопасность»
Лабораторная работа № 9
ПОВЫШЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ВСТРОЕННЫМИ СРЕДСТВАМИ ШИФРОВАНИЯ ОПЕРАЦИОННОЙ СИСТЕМЫ
Москва
ЛАБОРАТОРНАЯ РАБОТА № 9
ПОВЫШЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ВСТРОЕННЫМИ СРЕДСТВАМИ ШИФРОВАНИЯ ОПЕРАЦИОННОЙ СИСТЕМЫ
Продолжительность лабораторной работы – 4 часа.
Литература: электронный лабораторный практикум; конспект лекций.
ОБЩИЕ УКАЗАНИЯ ПО ВЫПОЛНЕНИЮ РАБОТЫ
1.1. Целью лабораторной работы является получение навыков по повышению безопасности информации встроенными средствами операционной системы от возможного несанкционированного копирования.
1.2. В результате выполнения лабораторной работы должны быть приобретены знания:
- общие сведения о EFS;
- использование агента восстановления.
1.3. В процессе выполнения лабораторной работы необходимо овладеть навыками:
- шифрования и расшифрования файлов;
- проверки шифрации файла;
- расшифрования файлов и папок.
1.4. Используемое оборудование и программное обеспечение - ПЭВМ IBM PC, операционная система WINDOWS –XP.
ДОМАШНИЕ ЗАДАНИЯ И МЕТОДИЧЕСКИЕ УКАЗАНИЯ
ПО ИХ ВЫПОЛНЕНИЮ
Первое домашнее задание
Изучите общие сведения о EFS.
Чтобы предотвратить неавторизованный просмотр или использование информации, ее шифруют. После шифрации информация становится нечитаемой, и требуется ключ для ее дешифрации. Файловая система Microsoft Encrypting File System (EFS) предоставляет возможность шифрации данных, хранящихся на дисках NTFS. Шифрация основана на алгоритме с открытым ключом и запускается как интегрированная системная служба, упрощающая управление, усложняющая возможность взлома и работающая прозрачно для владельца файла. Если у пользователя, пытающегося обратиться к зашифрованному файлу, есть закрытый ключ для него, файл, будет дешифрован и пользователь может открыть его и работать как с обычным файлом. Для пользователей, не имеющих закрытого ключа, доступ к файлу запрещен.
|
|
|
Windows XP Professional включает также команду Cipher, предоставляющую возможности шифрации и дешифрации файлов из командной строки. Чтобы восстановить зашифрованный файл в случае утраты его владельцем секретного ключа, в Windows XP Professional предусмотрен агент восстановления.
EFS позволяет шифровать файлы на NTFS разделах, используя криптографический алгоритм с открытым ключом для шифрации всех файлов в папке. Пользователи с перемещаемыми профилями могут использовать тот же самый ключ на удаленных системах. Для шифрования не требуется никаких действий администратора, и большинство операций прозрачны. Архивы и копии зашифрованных файлов также являются зашифрованными, если располагаются на томах NTFS. Файлы остаются зашифрованными при их переименовании и перемещении; временные файлы, созданные в процессе редактирования, и фрагменты в файле подкачки не позволяют получить доступ к содержимому файла.
При необходимости можно задать политику восстановления зашифрованных с использованием EFS файлов. Политика восстановления интегрируется в остальные политики безопасности Windows XP Professional. Управление этой политикой может быть делегировано лицам с полномочиями восстановления. Для различных отделов предприятия может быть настроена различная политика восстановления. Восстановление данных позволяет только лишь расшифровать данные, но не предоставляет ключ, использовавшийся при шифрации. Подобная защита гарантирует, что данные можно восстановить и они не будут потеряны в случае сбоя системы.
|
|
|
Установить EFS можно либо из Проводника (Windows Explorer), либо из командной строки. EFS может быть разрешена или запрещена для компьютера, домена или организационной единицы (OU), если задать политику открытого ключа в оснастке Групповая политика (Group Policy) в консоли ММС (Microsoft Management Console).
EFS разрешается использовать для шифрации и дешифрации файлов на удаленном файловом сервере, но не для шифрации данных, передаваемых по сети. Для шифрации передаваемых по сети данных Windows XP Professional предоставляет сетевые протоколы, такие как Secure Sockets Layer (SSL).
Базовые возможности, обеспечиваемые EFS в Windows XP Professional, описаны в таблице 1.
Шифрация
Рекомендуемый метод шифрации файлов предполагает создание папки на томе NTFS и последующую ее шифрацию. Чтобы зашифровать папку, следует открыть окно Свойства (Properties) для папки и щелкнуть вкладку Общие (General), а на ней — кнопку Другие (Advanced) и установить флажок Шифровать содержимое для защиты данных (Encrypt Contents To Secure Data). Все файлы, размещенные в папке, будут зашифрованы и сама папка будет помечена как зашифрованная. Папка, помеченная как зашифрованная, в действительности не шифруется; шифруются только файлы, размещенные в этой папке.
Примечание Сжатые файлы NTFS не могут быть зашифрованы, а зашифрованные файлы не могут быть сжаты с использованием сжатия NTFS.
После того как папка зашифрована, сохраняемые в ней файлы будут шифроваться с использованием ключа шифрования, представляющего собой симметричный ключ для шифрации. Файл шифруется блоками с использованием различных ключей шифрации для каждого блока. Все ключи шифрации файла затем зашифровываются с помощью открытого ключа пользователя и в зашифрованном виде помещаются в поля Data Decryption Field (DDF) и Data Recovery Field (DRF) в заголовке файла.
Возможности файловой системы Microsoft Encrypting File System Таблица 1
| Функция | Описание |
| Прозрачная шифрация | Используя EFS, владельцу файла при работе с ним не надо расшифровывать его каждый раз, а затем зашифровывать снова. Дешифрация и шифрация файла производятся незаметно для пользователя при чтении файла и записи файла на диск |
| Интегрированная система восстановления данных | Если закрытый ключ владельца недоступен, агент восстановления может открыть файл, используя собственный закрытый ключ. Может быть несколько агентов восстановления, каждый со своим открытым ключом, но для шифрации файла в системе должен быть по крайней мере один агент восстановления. |
| Защита ключей шифрования | Шифрация с открытым ключом защищает данные от всех методов атак, кроме самых сложных. Поэтому в EFS в качестве ключа шифрации используется открытый ключ из сертификата пользователя. (Обратите внимание, что Windows XP Professional и Windows 2000 используют сертификаты Х.509 v3.) Список ключей, используемых для шифрации файла, хранится вместе с ним и уникален для этого файла. Для дешифрации файла владелец предоставляет закрытый ключ, имеющийся только у него |
| Защита временных файлов | Многие приложения создают временные и файлов подкачки копии файлов во время редактирования документов, и эти временные файлы сохраняются на диске в незашифрованном виде. На компьютерах под управлением Windows XP Professional система EFS применяется на уровне папок, благодаря чему любые временные копии зашифрованных файлов также шифруются, при условии, что все файлы располагаются на томах NTFS. EFS располагается в ядре операционной системы Windows и использует невыгружаемый пул для хранения ключей шифрации файлов, что гарантирует отсутствие копий этих ключей в файле подкачки |
|
|
|
Вы работаете с зашифрованным файлом точно так же, как и с любым другим, поскольку шифрация прозрачна для пользователя. Расшифровывать файл перед его использованием не требуется. Когда вы открываете зашифрованный файл, ваш закрытый ключ применяется к полю DDF для разблокирования списка ключей шифрации, позволяющих преобразовать содержимое файла в обычный вид. EFS автоматически определяет зашифрованные файлы, местоположение пользовательских сертификатов и закрытый ключ. Вы открываете файл, вносите в него изменения и закрываете его точно так же, как при работе с любым другим файлом. Однако, если кто-либо еще попытается открыть ваш зашифрованный файл, он не сможет этого сделать и получит сообщение, что доступ к файлу запрещен.
|
|
|
Осторожно! Если администратор удаляет пароль учетной записи пользователя, то данный пользователь теряет все свои зашифрованные файлы EFS, личные сертификаты и сохраненные пароли для Web-сайтов и сетевых ресурсов. Для предотвращения такой ситуации каждый пользователь должен создать дискету восстановления паролей. Для этого следует открыть окно Учетные записи пользователей (User Accounts) и в разделе Связанные задачи (Related Tasks) щелкнуть пункт Предотвратить потерю паролей (Prevent A Forgotten Password). Мастер сохранения паролей (Forgotten Password Wizard) поможет создать диск восстановления паролей.
Дешифрация
Для дешифрации файла или папки достаточно снять флажок Шифровать содержимое для защиты данных (Encrypt Contents To Secure Data) в диалоговом окне Дополнительные атрибуты (Advanced Attributes) для данного файла или папки, к которому можно обратиться из диалогового окна Свойства (Properties) файла или папки. Файл будет незашифрованным, пока вы снова не установите флажок Шифровать содержимое для защиты данных (Encrypt Contents To Secure Data).
Использование команды Cipher
Команда Cipher предоставляет возможность зашифровывать и расшифровывать файлы и папки из командной строки. Ниже приведен пример синтаксиса команды Cipher, а в таблице 2 описаны возможные ключи.
Cipher [/e | /d] [ /s:имя_папки] [/a] [/i] [/f] [/q] [/h] [/k] [имя_файла [...]]
Ключи команды Cipher. Таблица 2
| Ключ | Описание |
| /е | Шифруется указанная папка. Любые файлы, которые добавляются в нее, будут шифроваться |
| /d | Дешифруется указанная папка. Файлы, которые будут потом добавлены в нее, шифроваться не будут |
| /s | Указанная операция выполняется для всех файлов и подпапок, содержащихся в заданной папке |
| /а | Указанная операция устанавливает соответствие файлов папке. Зашифрованные файлы будут дешифрованы, если они содержатся в незашифрованной папке. Чтобы избежать этого, зашифруйте как файлы, так и родительскую папку |
| /i | Выполнение операции будет продолжено даже при обнаружении ошибки. По умолчанию при ошибке выполнение команды Cipher прекращается |
| /f | Выполняет операцию шифрования для всех файлов, даже если они уже зашифрованы. По умолчанию зашифрованные файлы пропускаются |
| /q | Отчет содержит только необходимую информацию |
| /h | Отображаются файлы с атрибутами Скрытый (Hidden) и Системный (System), не выводящиеся по умолчанию |
| /k | Создает новый ключ шифрования для пользователя, выполняющего команду Cipher. При использовании этого ключа все остальные игнорируются |
| имя_файла | Задает шаблон имени, файл или папку |
|
|
|
Если вы запускаете команду Cipher без ключей, будет выведено состояние шифрации для текущей папки и всех содержащихся в ней файлов. Вы можете задать несколько имен файлов и использовать специальные символы для задания шаблона имени. Параметры команды разделяются пробелами.
Второе домашнее задание
Использование агента восстановления
Если сертификат шифрации и связанный с ним закрытый ключ владельца файла утерян в результате ошибки диска или по другой причине, человек, указанный как агент восстановления, может открыть файл, используя собственный сертификат и закрытый ключ. Если агент восстановления работает на другом компьютере, отправьте ему восстанавливаемый файл по сети. Агент восстановления может отправить свой закрытый ключ на компьютер владельца, но копирование закрытых ключей на другой компьютер является недопустимой практикой с точки зрения безопасности.
Примечание: По умолчанию агентом восстановления на компьютере, не входящем в домен, является администратор локального компьютера. В домене по умолчанию агентом восстановления является администратор домена. Вы можете назначить альтернативного агента восстановления для компьютеров, сгруппированных в организационную единицу (OU). Перед тем как назначать учетную запись агента восстановления в домене Windows 2000, вы должны развернуть Windows 2000 Server и Службы сертификации (Certificate Services) для создания сертификата агента восстановления.
В целях безопасности полезна смена агентов восстановления. Однако при смене назначенного агента доступ к файлам запрещается. Поэтому необходимо сохранять сертификаты и закрытые ключи агента восстановления, пока все зашифрованные им файлы не будут изменены.
Человек, указанный как агент восстановления, обладает специальным сертификатом и связанным с ним закрытым ключом, позволяющим восстанавливать данные. Для восстановления зашифрованного файла агент восстановления должен выполнить описанные далее действия.
1. С помощью программы архивации или других инструментальных средств резервного копирования восстановите зашифрованный файл или папку пользователя на компьютере, где расположен сертификат агента восстановления.
2. В Проводнике (Windows Explorer) откройте диалоговое окно Свойства (Properties) для файла или папки и на вкладке Общие (General) щелкните кнопку Другие (Advanced).
3. Снимите флажок Шифровать содержимое для защиты данных (Encrypt Contents To Secure Data).
4. Создайте резервную копию расшифрованных файлов или папок и отправьте ее пользователю.
Отключение EFS
Запретить использование EFS для домена, организационной единицы (OU) или локального компьютера можно, очистив параметры Политики открытого ключа (Encrypted Data Recovery Agent). Для шифрования файлов в системе должен быть назначенный агент восстановления. Пустая политика восстановления означает, что агента восстановления не существует. Это отключает EFS и, следовательно, запрещает пользователям шифровать файлы на данном компьютере.
3. ВОПРОСЫ К ДОМАШНИМ ЗАДАНИЯМ
1. Что такое шифрация и что такое Microsoft EFS?
2. Какие из перечисленных ниже файлов и папок разрешается шифровать в Windows XP Professional? (Выберите все правильные ответы.)
a. Файлы на томе NTFS.
b. Файлы на томе FAT.
c. Файлы на дискетке.
d. Папки на томе NTFS.
3. Как зашифровать папку? Шифруется ли сама папка?
4. Как можно расшифровать файл, если недоступен закрытый ключ владельца файла?
5. Агентом восстановления на компьютере с Windows XP Professional, входящем в рабочую группу, является________, а на компьютере с Windows XP Professional, входящем в домен, агентом восстановления является.
|
|
|
