- •Питання захисту інформації в ос ms Windows хp План
- •Література
- •Введение
- •1. Понятие безопасности информации в компьютерных системах
- •2. Механизмы безопасности, реализованные в ос msWindows xp
- •2.1. Средства обеспечения безопасности, реализованные в ос msWindows xp
- •2.2. Парольная защита компьютера
- •Блокировка пк
- •Защита файлов с помощью пароля экранной заставки
- •Использование паролей
- •2.3. Защита данных шифрованием
- •Шифрование и файловая система efs
- •Методика и принципы шифрования
- •Процесс шифрования(рис. 2.3)
- •Процесс расшифрования (рис. 2.4)
- •Процесс восстановления (рис. 2.5)
- •2.4. Безопасная передача данных по сети
- •Типы сетевых атак
- •Политика безопасности ipSec
- •3. Управление доступом к файлам
- •3.1. Разрешения ntfs
- •Стандартные разрешения для папок
- •Стандартные разрешения для файлов
- •Особые разрешения для файлов и папок
- •3.2. Назначение, просмотр и изменение разрешений
- •Назначение разрешений для файлов
- •Назначение разрешений для папок
- •3.3. Наследование разрешений, смена владельца и аудит Наследование разрешений
- •Смена владельца
- •3.4. Методика планирования разрешений
- •3.5. Изменение разрешений при копировании и перемещении объектов
- •Контрольные вопросы
- •Задание на самостоятельную работу
Методика и принципы шифрования
Шифрующая файловая система EFS использует архитектуру Windows CryptoAPI, а в основе своей содержит механизм шифрования открытым ключом. При этом для шифрования каждого файла случайным образом генерируется ключ шифрования, зависящий от пары двух других ключей:открытого(Public) изакрытого(Private) ключей пользователя. Такой механизм обладает достаточно большой устойчивостью к криптоатакам.
Значение также имеет то, каким образом производится шифрование файлов. В EFS используется симметричный алгоритм шифрования DESX, являющийся специальной модификацией широко распространенного стандартаDES. При этом длина ключа составляет 56 бит.
Ключи шифрования система EFS хранит в специальной области памяти, не выгружаемой на жесткий диск, а сама EFS располагается в ядре ОС. Таким образом, в принципе исключается несанкционированный доступ к ключам через файл подкачки.
Таким образом, в EFS данные шифруются посредством использования быстрого симметричного алгоритма с использованием ключа шифрования файла FEK(File Encryption Key–ключ шифрования файла).FEKгенерируется случайным образом, длина его 56 бит.
Сам FEKтакже шифруется одним или несколькими общими ключами шифрования, специально для этого предназначенными. При этом создается список нескольких зашифрованных ключейFEK, что позволяет реализовать доступ к зашифрованным данным со стороны нескольких различных пользователей, так как для шифрования набораFEKиспользуется открытая пара ключей каждого пользователя.
Набор зашифрованных ключей FEKхранится в специальном атрибуте файловой системы EFS. Называется этот атрибутDDF—Data Decryption Field–поле дешифрования данных.
FEKтакже шифруется при помощи одного или нескольких ключей восстановления (в целях реализации возможности их восстановления). Зашифрованные таким образом наборы ключейFEKхранятся в отдельном атрибуте файловой системы EFS, который называетсяDRF–Data Recovery Field—поле восстановления данных.
Процесс шифрования(рис. 2.3)
В ходе шифрования можно выделить следующие шаги:
Незашифрованный файл пользователя шифруется при помощи случайно сгенерированного ключа FЕK
Ключ FEKшифруется с помощью открытой части пары ключей пользователя и помешается в полеDDF— поле дешифрования данных в файловой системе EFS.
Ключ FEKснова шифруется с помощью открытой части ключа восстановления и помещается в полеDRF— поле восстановления данных в файловой системе EFS.
Рис. 2.3. Шифрование в EFS
Процесс расшифрования (рис. 2.4)
В ходе расшифрования можно выделить следующие шаги:
Из поля DDFизвлекается зашифрованный ключFЕКи дешифруется с помощью секретной части ключа пользователя.
Зашифрованный файл пользователя дешифруется с помощью ключа FEK, полученного на предыдущем этапе.
Рис. 2.4. Расшифрование в EFS
Процесс восстановления (рис. 2.5)
В ходе восстановления можно выделить следующие шаги:
Из поля DRFизвлекается зашифрованный ключFEKи дешифруется с помощью секретной части ключа восстановления.
Зашифрованный файл пользователя дешифруется с помощью ключа FEK, полученного на предыдущем этапе.
Зашифрованные файлы хранятся на диске в зашифрованном виде. При чтении файла данные автоматически расшифровываются, а при записи автоматически шифруются. С зашифрованными файлами можно работать так же, как и с обычными файлами, т.е. открывать и редактировать в текстовом редакторе MSWord документы, редактировать рисунки в Adobe Photoshop и т.д. и т.п.
Ни в коем случае нельзя шифровать файлы, которые используются при запуске системы — в это время личный ключ пользователя, при помощи которого производится дешифровка, еще недоступен. Это может привести к невозможности запуска системы.
В EFS предусмотрена простая защита от таких ситуаций: файлы с атрибутом «системный» не шифруются. Однако будьте внимательны: это может создать «дыру» в системе безопасности. Проверяйте, не установлен ли атрибут файла «системный» для того, чтобы убедиться, что файл действительно будет зашифрован.
Важно также помнить о том, что зашифрованные файлы не могут быть сжаты средствами Windows XP и наоборот. Иными словами, если файл сжат, его содержимое не может быть зашифровано, а если содержимое файла зашифровано, то он не может быть сжат.
Рис. 2.5. Процесс восстановления в EFS
В том случае, если потребуется дешифровка данных, необходимо просто снять флажки шифрования у выбранных файлов (папок) в Windows Explorer, и файлы автоматически будут дешифрованы. Следует отметить, что эта операция обычно не требуется, так как EFS обеспечивает «прозрачную» работу с зашифрованными данными для пользователя.
Следует также помнить, что после переустановки ОС все зашифрованные (и не расшифрованные заранее) данные будут утеряны.