Опубликован: 15.10.2008 | Уровень: профессионал | Доступ: платный
Лекция 8:

Безопасность Windows Server 2003

< Лекция 7 || Лекция 8: 123456 || Лекция 9 >

Защита данных с помощью EFS (Encrypting File System) Windows Server 2003

Аналогично Windows 2000 и Windows XP система Windows Server 2003 может защищать данные на дисках формата NTFS с помощью EFS. EFS не работает на дисках, отформатированных с помощью FAT32. При шифровании файла ему присваивается уникальный ключ шифрования, с помощью которого можно дешифровать его данные. Этот ключ шифрования затем шифруется с помощью открытого ключа данного пользователя. Ключ шифрования файла защищается также открытым ключом других пользователей, которым были предоставлены полномочия на дешифрование этого файла, а также назначенного агента восстановления. Важно также понять, что когда шифрованные с помощью EFS файлы передаются через сеть, они не защищены, если не реализован IPSec (Internet Protocol Security).

Внимание. Хотя алгоритм шифрования EFS считается очень защищенным, шифрованные данные могут быть прочитаны хакером, если он "разгадает" пароль пользователя или администратора. Для защиты шифрованных данных критически важно иметь сильные пароли.

Существуют два метода шифрования файлов и папок с помощью EFS. Основной способ - это шифрование папки или файла с помощью Windows Explorer (Проводник).

  1. Щелкните правой кнопкой на файле или папке.
  2. Выберите Properties/General/Advanced (Свойства/Общие/Дополнительно).
  3. Установите флажок Encrypt Contents To Secure Data (Шифровать содержимое для защиты данных).

Данные шифруются автоматически и совершенно прозрачным образом для пользователя.


Можно также использовать программу, которая называется cipher, чтобы шифровать данные с помощью EFS. Cipher можно вызывать из командной строки для шифрования файлов, папок и подпапок, которые указываются как параметры.


Вопросы администрирования, связанные с EFS

При резервном копировании шифрованных файлов они остаются шифрованными. После операции восстановления шифрованных данных эти данные тоже остаются шифрованными.

Одна из основных проблем восстановления шифрованных данных возникает в тех случаях, когда соответствующий пользователь увольняется из компании или когда эти данные запрашиваются правовыми органами. При таком восстановлении данных требуется дешифрование файла без личного ключа этого пользователя. Чтобы восстановить шифрованный файл, требуется агент восстановления для выполнения следующих шагов.

  1. Резервное копирование шифрованных файлов.
  2. Перемещение файлов резервной копии в какую-либо защищенную систему.
  3. Импорт сертификата восстановления файлов и личного ключа в эту защищенную систему.
  4. Восстановление файлов из резервной копии.
  5. Дешифрование файлов с помощью Windows Explorer или команды cipher.

Администратор может использовать оснастку Group Policy, чтобы определить политику восстановления данных для отдельных компьютеров, доменов или организационных единиц (OU). Центр сертификации (ЦС) может выдавать сертификаты восстановления с помощью оснастки MMC Certificates. При работе в домене Windows Server 2003 реализует политику восстановления по умолчанию для домена, когда создается первый контроллер домена. Администратор домена назначается как агент восстановления.

Чтобы изменить политику восстановления для локального компьютера.

  1. Щелкните на кнопке Start и затем на кнопке Run.
  2. Введите mmc и затем щелкните на кнопке OK, чтобы запустить консоль управления Microsoft (MMC).
  3. В меню Console щелкните на Add/Remove Snap-ins (Добавление/удаление оснасток) и затем щелкните на кнопке Add.
  4. Добавьте Group Policy Object Editor (Редактор объектов Group Policy).
  5. В Group Policy Object проследите, чтобы был представлен текст "Local Computer" и щелкните на кнопке Finish. Щелкните на кнопке Close и затем щелкните на кнопке OK.
  6. В последовательности Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Public Key Policies щелкните правой кнопкой на Encrypting File System и затем выполните одно из следующих действий.

  • Чтобы назначить пользователя как дополнительного агента восстановления с помощью мастера Add Recovery Agent Wizard, щелкните на кнопке Add Data Recovery Agent (Добавить агента восстановления данных). Агентами восстановления можно назначать только пользователей, имеющих сертификат агента восстановления.
  • Чтобы разрешить системе EFS работать без агентов восстановления, щелкните на All Tasks (Все задачи) и затем щелкните на Do Not Require Data Recovery Agents (Не требовать агентов восстановления данных).
  • Чтобы удалить эту политику EFS и всех агентов восстановления, щелкните на All Tasks и затем щелкните на Delete Policy (Удалить политику). После выбора этого варианта пользователи по-прежнему смогут шифровать файлы на данном компьютере.

Использование системного ключа (SYSKEY)

SYSKEY (system key) выполняет сильное шифрование файлов паролей и устанавливается по умолчанию на машинах с Windows 2000, Windows XP и Windows Server 2003. SYSKEY может также защищать следующую важную информацию.

  • Главные ключи, которые защищают личные ключи.
  • Ключи для паролей пользовательских учетных записей, которые хранятся в Active Directory.
  • Ключи для паролей, которые хранятся в реестре в локальном разделе Security Accounts Manager (SAM).
  • Ключи защиты для секретов LSA
  • Ключ для пароля учетной записи Administrator, используемый для загрузки системы в режиме восстановления Safe Mode (Безопасный режим).
Примечание. У вас могут быть трудности с использованием какого-либо средства безопасности, выполняющего аудит паролей на компьютерах с установленным SYSKEY, поскольку шифрованные с помощью SYSKEY файлы паролей могут выглядеть одинаково с нешифрованными файлами, но на самом деле они считаются недоступными для взлома.

Системный ключ может сохраняться одним из трех способов.

  • В нормальном режиме (Mode 1) системный ключ сохраняется в реестре с помощью "сложной скрывающей функции". При этом варианте пользователи могут перезагружать компьютер без необходимости ввода системного ключа. Это конфигурация по умолчанию для системного ключа.
  • В режиме 2 (Mode 2) этот ключ также сохраняется в реестре, но чтобы снять блокировку компьютера во время его загрузки требуется ввод пароля. Системный ключ генерируется с помощью технологии хеширования MD5 из пароля, который может содержать до 128 символов. Этот пароль вводится во время загрузки компьютера.
  • В режиме 3 (Mode 3) системный ключ сохраняется на дискете, которую нужно вставить в дисковод во время загрузки Windows, иначе Windows не загрузится. Дискета должна быть установлена, когда Windows Server 2003 начинает выполнять последовательность загрузки, но до того момента, как пользователи смогут осуществлять вход в систему.
Примечание. Если вы забыли пароль для системного ключа или потеряна дискета, содержащая системный ключ, то загрузить систему невозможно. Единственный способ восстановить систему, когда утрачен SYSKEY, это использование диска аварийного восстановления Emergency Repair Disk (ERD) для восстановления реестра в состояние, предшествовавшее защите системы с помощью системного ключа. Но тогда будут потеряны все изменения, внесенные в систему после этого.

Для защиты по системному ключу выполните следующее.

  1. >Введите syskey в командной строке.
  2. Выберите вариант Encryption Enabled (Включено шифрование), если он еще не выбран, и затем щелкните на кнопке OK. Вы получите напоминание, чтобы следует создать обновленный диск аварийного восстановления (ERD), и в окне будут представлены варианты выбора режима для базы данных учетных записей (Account Database). По умолчанию выбран режим Mode 1.

  3. Щелкните на кнопке Update (Обновить).
  4. В диалоговом окне Account Database Key (Ключ базы данных учетных записей) выберите вариант ключа или измените пароль, затем щелкните на кнопке OK.
  5. Выберите нужный вариант использования системного ключа и затем щелкните на кнопке OK.

  6. Перезагрузите компьютер.
Примечание. Если выбран вариант Password Startup (Загрузка с паролем), то SYSKEY не требует какой-либо минимальной длины пароля.

При загрузке системы у пользователей может быть запрошен ввод системного ключа в зависимости от установленного варианта ключа. Windows Server 2003 обнаруживает первое использование системного ключа и генерирует новый случайный ключ шифрования паролей. Ключ шифрования паролей защищен системным ключом, что обеспечивает сильное шифрование всей информации по паролям учетных записей.

Если установлен SYSKEY, то реализуется следующая последовательность загрузки Windows.

  1. Windows Server 2003 получает системный ключ из хранящегося в реестре ключа, из введенного пароля или с дискеты.
  2. Windows Server 2003 использует системный ключ для дешифрования главного защитного ключа.
  3. Windows Server 2003 использует главный защитный ключ для получения ключа шифрования паролей пользовательских учетных записей, который затем используется для дешифрования информации паролей в Active Directory или в локальном разделе реестра SAM.

Использование SYSKEY в домене

Для компьютеров, которые включены в домен, только члены группы Domain Admin могут запускать SYSKEY. В случае автономных компьютеров SYSKEY могут запускать локальные администраторы.

Примечание. Генерируемый компьютером SYSKEY, хранящийся локально на основном контроллере домена (Primary Domain Controller), не реплицируется на другие контроллеры домена.

SYSKEY можно конфигурировать независимо на каждом компьютере в домене. Каждый компьютер может иметь свой собственный ключ шифрования паролей и уникальный системный ключ. Например, один контроллер домена может иметь режим Mode 3, а другой контроллер домена может использовать Mode 2.

Примечание. Если имеется только один контроллер домена, то администраторы должны обеспечить использование второго (резервного) контроллера домена пока не будут внесены и проверены изменения на первом контроллере домена. Рекомендуется также иметь свежую копию аварийной дискеты (ERD) для этого компьютера.
< Лекция 7 || Лекция 8: 123456 || Лекция 9 >
Павел Маляр
Павел Маляр
Россия, Барнаул, АлтГТУ им. И.И. Ползунова, 2019