2. Підтримка шифрувальних файлових систем у зазначених ос.
Шифрована файлова система (Encrypted File System - EFS) використовується для збереження шифрованих файлів на томах файлової системи NTFS 5.0. Після того, як файл або папка зашифровані, з ними можна працювати, як зі звичайними файлами, тобто шифрування прозоре для користувача, що зашифрував файл. Це означає, що перед використанням файл не потрібно розшифровувати. Можна просто відкрити його, змінити, і взагалі, виконувати звичайні дії з файлом.
Робота з EFS є аналогічною використанню дозволів для файлів та папок. Завдання обох методів - обмеження доступу до інформації. Однак дозволи для файлів і папок не захистять Вас від фізичного доступу зловмисника до Ваших даних, наприклад, якщо він завантажить Ваш комп‘ютер за допомогою іншої операційної системи, або підключить Ваш жорсткий диск до свого комп‘ютера. При використанні EFS і в цьому випадку зловмисник отримає вичерпне повідомлення: „Доступ заборонено”.
Шифрування та розшифрування файлів виконується шляхом зміни атрибуту файлу або папки: Свойства→Дополнительно→Шифровать содержимое для защиты данных. Як тільки ми зашифруємо будь-який файл, Windows створить для нас сертифікат та пов‘язану з ним пару ключів (секретний та відкритий), за допомогою яких буде виконуватися шифрування та розшифрування файлів. Сертифікат - цифровий документ, що використовується для перевірки автентичності та безпечного передавання даних у загально доступних мережах (Інтернет, інтранет тощо). Цей сертифікат пов‘язує відкритий ключ з особою, яка має парний йому секретний ключ.
Якщо Ви вже зашифрували будь-який файл або папку, то в Корень консоли→Сертификаты→текущий пользователь→Личные→ Сертификаты Ви повинні побачити сертифікат. Перейдемо до цього сертифікату, викличемо контекстне меню, а звідти виберемо Все задачи, потім - Экспорт. На пропозицію Экспортировать закрытый ключ вместе с сертификатом відповімо Да, формат файлу залишимо без змін, уведемо пароль, знання якого нам буде потрібно для імпорту сертифіката. Отриманий файл з розширенням .pfx необхідно тримати у надійному місці, оскільки будь-який користувач, який імпортує цей сертифікат для свого профілю, отримає доступ до Ваших зашифрованих файлів, звичайно, якщо буде знати пароль, необхідний для імпорту сертифіката.
Рекомендується використовувати шифрування на рівні папок. В цьому випадку вся інформація всередині цієї папки автоматично шифрується. Ця процедура дозволяє створювати файли, дані яких ніколи не з‘являться на диску у вигляді звичайного тексту - навіть тимчасові файли, що створюються програмами в процесі роботи, також буде зашифровано.
При роботі з шифрованою інформацією слід мати на увазі наступне:
можуть бути зашифрованими лише файли, які розміщено на томах NTFS;
стиснуті файли та папки не можуть бути зашифровані. Якщо шифрування виконується для стиснутого файлу, то він автоматично перетворюється у нетиснутий стан;
зашифровані файли буде розшифровано, якщо файл копіюється або переміщується на не-NTFS том;
при переміщенні незашифрованих файлів у зашифровану папку, вони автоматично зашифровуються, однак обернена операція не призведе до автоматичного розшифрування, файли необхідно явно розшифрувати;
не можуть бути зашифрованими файли з атрибутом Системный або файли у системному каталозі;
шифрування файлів та каталогів не захищає їх від вилучення, - будь-який користувач, що має дозвіл на вилучення файлів, може вилучити зашифровану інформацію;
якщо зашифрований файл відкривається з іншого комп‘ютера мережі, то мережею будуть передаватися незашифровані дані. Для шифрування даних, що передаються мережею, необхідно використовувати протоколи типу SSL/TLS або IPSec.
У EFS для шифрування даних використовується така схема. Дані шифруються на ключі шифрування файла (File Encryption Key, FEK). FEK генерується EFS випадковим чином. Далі FEK шифрується на відкритому ключі користувача і результат зберігається в межах атрибуту, який називається полем розшифрування даних (Data Decryption Field, DDF) безпосередньо в самому файлі. Крім того, EFS шифрує FEK на відкритому ключі агента відновлення і розміщує його в атрибут Data Recovery Field - DRF. DRF може містити дані для багатьох агентів відновлення.
Агент відновлення даних
Хто такий цей агент відновлення? Агент відновлення даних (Data Recovery Agent, DRA) - користувач, що має доступ до всіх зашифрованих даних інших користувачів. Це актуально у випадку, коли хтось з користувачів загубив свій ключ, або в інших непередбачених випадках. Агентом відновлення даних призначається адміністратор. Для створення агента відновлення необхідно спочатку створити сертифікат відновлення даних і визначити політику відновлення, і лише після цього призначити одного з адміністраторів агентом відновлення.
Політика відновлення грає визначальну роль у системі шифрування Windows XP, вона визначає агентів відновлення. Відсутність агентів відновлення, або вилучення політики взагалі забороняє використання користувачами шифрування.
За замовчуванням політика відновлення така, що права агента відновлення належать адміністратору.
Для зміни політики відновлення необхідно запустити консоль Локальная политка безопасности (Пуск→Настройка→Панель управления→ Администрирование→Локальная политика безопасности), де треба перейти до пункту Политики открытого ключа→Файловые системы EFS. Тепер для створення агента відновлення даних необхідно відкрити меню Действие та вибрати Добавить агент восстановления данных. На екрані з‘явиться майстер створення агента відновлення, рекомендаціям якого необхідно слідувати.
- Основні поняття та визначення захисту інформації. Захист інформації це діяльність спрямована забезпечення
- Властивості інформації, що підлягають захисту.
- Класифікація загроз інформації
- 5. Посередництво (Man-In-Middle).
- 6. Зловживання довірою
- 7. Комп’ютерні віруси:
- 8. Атаки на рівні застосувань:
- Причини виникнення загроз
- Структура політики безпеки
- 1) Таблиця збитків:
- 2) Таблиця імовірності атаки:
- 3) Таблиця ризиків:
- V) Реакція системи на вторгнення
- VI) Опис повноважень користувачів системи
- Політика інформаційної безпеки та її основні поняття. Моделі керування безпекою.
- Захист інформації від витоку технічними каналами. Поняття небезпечного сигналу. Класифікація технічних каналів витоку інформації. Типи захисту від витоку інформації технічними каналами.
- Захист інформації від витоку технічними каналами. Пасивний та активний захист.
- 1) Пасивні методи:
- 2) Активні методи:
- Методи захисту комп’ютерної техніки від витоку інформації технічними каналами.
- Формальні моделі доступу
- Захист інформації в комп’ютерних системах від несанкціонованого доступу. Критерії оцінки захищеності інформації від нсд.
- Захист інформації в комп’ютерних системах від несанкціонованого доступу.
- Аналіз захищеності сучасних універсальних ос. Основні завдання захисту ос. Принципи керування доступом сучасних універсальних ос. Аутентифікація, авторизація та аудит.
- I. Протокол „виклик-відповідь”
- II. Використання одноразових паролів.
- IV. Протокол Kerberos.
- Аналіз захищеності сучасних універсальних ос. Особливості підсистеми захисту в ос Windows nt/2000/xp. Політика безпеки
- Основні компоненти системи безпеки ос Windows
- Аутентифікація користувача. Вхід у систему
- Маркер доступу. Контекст користувача
- Запозичення прав
- Контроль доступу. Маркер доступу. Ідентифікатор безпеки sid. Структура ідентифікатора безпеки
- Ролевий доступ. Привілеї
- 5. Заборона використання usb-дисків.
- 7. Блокування мережевих загроз.
- 9. Захисник Windows.
- Аналіз захищеності сучасних універсальних ос. Особливості підсистеми захисту ос типу *nix.
- 2. Підтримка шифрувальних файлових систем у зазначених ос.
- Захищені протоколи. Протокол ssl.
- Методи підсилення стандартних засобів захисту. Електронні засоби ідентифікації та аутентифікації. Біометричні засоби ідентифікації.
- 2. Біометричні засоби ідентифікації