Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Cистема шифрования файлов ОС Windows 2000

Говард Маркс

После продолжительной критики безопасности Windows NT, большей частью справедливой, корпорация Microsoft стремится потрясти наше воображение количеством новых функций и усовершенствований, направленных на повышение безопасности Windows 2000. Среди наиболее значимых из них — использование алгоритма Kerberos вместо “слабого” протокола шифрования и аутентификации LAN Manager, поддержка стандартных протоколов IPsec (IP Security) для VPN (Virtual Private Network) и система шифрования файлов EFS (Encrypting File System) — предмет основной концентрации усилий в области повышения уровня безопасности. Все эти функциональные особенности взаимодействуют с Active Directory и PKI (Public Key Infrastructure) ОС Windows 2000.

Ограничение доступа

Благодаря спискам контроля доступа (Access Control Lists — ACL), содержащим права доступа отдельных пользователей и групп, ОС Windows NT и ее преемница Windows 2000 эффективно контролируют обращения к файлам на дисках файловой системы NTFS (NT File System). Однако такая защита действует только во время работы операционной среды Windows NT/2000. Данные на диске остаются уязвимыми для любого, у кого есть физический доступ к компьютеру. Злоумышленнику в этом случае требуется лишь вставить DOS-дискету в компьютер, перезагрузить его и затем запустить NTFSDOS фирмы Winternals Software.

С помощью такого нехитрого способа он получит доступ к любому файлу системы.

Администраторы полагаются на организационные и физические методы предотвращения несанкционированного доступа к компьютерам, на пароли BIOS, обеспечивающие авторизацию при включении компьютера, или на удаление гибких и компакт-дисков из своих систем. Такие приемы оправдывают себя, если речь идет о работе в головных офисах, где все серверы находятся в защищенном центре данных, доступ в который ограничен, а безопасность обеспечивается специальными службами круглосуточно. Подобные условия трудно создать в филиалах, где пользователи хранят конфиденциальные данные на жестких дисках местных рабочих станций. Тут серверы соседствуют с кофейниками и чайниками, а после окончания рабочего дня офис целиком оказывается в руках технических служащих.

Еще боўльшие проблемы могут возникнуть из-за потерянного или украденного портативного ПК, как это случилось в сентябре с Ирвином Якобсом, исполнительным директором компании Qualcomm. Его ноутбук фирмы IBM, который он использовал для показа слайдов во время презентации, посвященной технологии беспроводных соединений, разработанной компанией Qualcomm, исчез, как только Якобс на несколько минут покинул кафедру для того, чтобы поговорить с участниками конференции. Согласно сообщению Associated Press, компьютерная система, защищенная одним лишь паролем, содержала информацию, которая могла представлять собой некоторую ценность для иностранных государств.

Таким образом, если кража не была случайной пропажей, а совершена в интересах корпоративного шпионажа, то вор получил данные, которые можно продать конкурентам или использовать в целях шантажа.

Шифрование надежнее всего

Единственный способ защитить данные в устройстве, которое может попасть в руки злоумышленников, — это зашифровать их. Программы шифрования файлов и даже дисков, подобные PGP и Norton Your Eyes Only фирмы Symantec, служат не первый день, но их трудно устанавливать и использовать, а, кроме того, пользователи должны запоминать дополнительные пароли или целые фразы паролей. При таком способе защиты информации необходимо, чтобы пользователи не забывали зашифровывать файлы перед уходом из офиса и расшифровывали их при каждом обращении. Более того, они должны еще помнить о расшифрованных копиях ценных файлов на своих жестких дисках.

Этим продуктам, разработанным скорее для того, чтобы позволить рядовому пользователю защитить свои файлы, чем обеспечивать секретность общих корпоративных информационных ресурсов, явно не хватает функциональных возможностей по восстановлению данных, таких, как депонирование ключей. Подобные функции необходимы, когда пользователи забывают свои пароли или ключи шифрования или увольняются из компании. Вы можете потратить уйму времени, взламывая забытые пользователем пароли, с одной-единственной целью: получить заветный доступ к какому-нибудь одному, но очень важному для вас файлу. Наличие встроенной системы восстановления файлов могло бы сэкономить силы и время, а также дать уверенность, что в критических ситуациях данные не будут потеряны.

Автоматическое шифрование

EFS — стандартная и неотъемлемая составляющая NTFS 5 в ОС Windows 2000, решает перечисленные выше проблемы, предоставляя простую и практически полностью прозрачную для пользователя систему шифрования с агентами, предназначенными для восстановления данных. Все, что от вас требуется для шифрования файла, — это установить атрибут шифрования “encrypt contents to secure data” в папке, где вы хотите хранить зашифрованные данные. Файлы прозрачно шифруются по мере записи на диск и расшифровываются во время считывания с диска. В результате вы можете шифровать файлы ваших пользователей в их каталогах, находящихся на сервере, работающем под управлением Windows 2000, даже если ваши пользователи все еще работают с определенными системами, которые не обеспечивают реальную безопасность данных, например с Windows 95. Когда пользователь рабочей станции обращается к зашифрованному каталогу на сервере под управлением Windows 2000, данные расшифровываются на сервере, а затем посылаются рабочей станции.

В отличие от методов, с помощью которых шифруют и расшифровывают данные по команде пользователя, автоматическое шифрование распространяется на временные копии файлов, созданные приложениями, подобными Microsoft Office, которые используют стандартные Windows API для их создания. Конечно, приложения, хранящие временные файлы в других каталогах, все еще остаются уязвимыми для хакеров.

Уметь обращаться с шифрованием файлов следует даже руководителям компаний, если в их блокнотных ПК, работающих под управлением Windows 2000, произведены установки, согласно которым каталог “Мои Документы” зашифрован. Если пользователь копирует файл на гибкий диск или прилагает его к письму, отправляемому по электронной почте, он автоматически расшифровывается, поэтому отпадает вероятность случайной посылки зашифрованного файла важному клиенту, хотя здесь бы не помешало использование защищенного протокола S/MIME. Поскольку файлы являются зашифрованными, любой другой пользователь, который попытался бы обратиться к каталогу, получит сообщение “Нет доступа” (Access denied). К сожалению, первая версия EFS не поддерживает зашифрованные файлы и каталоги, которые могут быть доступны нескольким пользователям. Компания Microsoft планирует ввести такую поддержку в будущем.

Конечно, случается, что вы посылаете файлы небезопасным путем, например внутрикорпоративной почтой или через Интернет, и хотите сохранить файл зашифрованным, даже если он находится в незашифрованной папке на томе NTFS. В Windows 2000 введены дополнительные опции (/E — для экспорта зашифрованных файлов и /I — для их импорта) для команды копирования командной строки. Вы можете экспортировать файл в любую среду хранения данных, поддерживаемую системой, но импортировать его следует в зашифрованный каталог только на том NTFS. Раз файл возвращен на том NTFS, вы должны либо войти в систему как пользователь, который зашифровал файл, либо использовать агент восстановления для открытия файла.

Вы управляете агентами восстановления файлов с помощью интегрируемых модулей для Microsoft Management Console (MMC) или через приложение Local Security на рабочей станции, работающей под управлением Windows 2000 Professional. Поскольку вы выпустили сертификаты пользователей, то можете назначить пользователя или сертификат в качестве агента восстановления для домена или организационной единицы (Оrganizational Unit — OU). По умолчанию объект Администратор является агентом восстановления для целого домена или системы. В обычной организации вы создали бы несколько организационных единиц: одну — для рядовых пользователей, одну — для тех, кто имеет доступ к конфиденциальным данным, и одну — для высшего руководства. Для объекта OU, содержащего особо секретные данные, разумно было бы снять с объекта Администратор полномочия агента восстановления и создать учетную запись пользователя — агента восстановления, пароль которого будет храниться в запечатанном конверте в сейфе вице-президента (или в не менее надежном месте). В данном объекте OU из меню All tasks (“Все задачи”) выберите Export (“Экспорт”), запишите сертификат на диск и храните его также в сейфе.

Подобная гибкость при создании агентов восстановления, особенно для групп, использующих конфиденциальную информацию, позволит вам как системным администраторам убедить высшее руководство в том, что оно сможет хранить свои данные на сервере не опасаясь, что кто-либо другой получит к ним доступ. Дружественные Windows 2000 приложения резервирования, например Backup Exec от компании Veritas Software или ArcserveIT фирмы Computer Associates, сохраняют резервные копии файлов EFS без их расшифровки.

Если вы пользуетесь EFS

Как и все новое, система EFS вызывает к себе особый интерес. Теперь после общего обзора давайте получше ознакомимся с предметом, чтобы понять, как он работает. Если пользователь записывает файл в зашифрованный каталог или меняет атрибуты файла на “зашифрованный”, для шифрования файла используется случайно сгенерированный 128-битовый ключ DES (в международных версиях Windows 2000 используются 40-битовые ключи). Этот ключ шифруется на открытом асимметричном ключе пользователя и в таком виде сохраняется в новом атрибуте файла под названием “поле шифрования данных”. При создании “поля восстановления данных” файла используется открытый ключ агента восстановления. Когда пользователь пытается открыть файл, для расшифрования поля шифрования данных он применяет свой секретный асимметричный ключ, а затем для расшифрования самого файла использует извлеченный в результате этой операции ключ шифрования файла. Если же пользователь уволился из компании или просто забыл свой ключ, для просмотра указанного агента восстановления файлов и папок сетевой администратор может задействовать утилиту EFSinfo набора ресурсов Windows 2000. Далее для расшифровки файла агент восстановления обращается к утилите командной строки EFSrecvr.

Бесспорно, EFS — это хорошее решение для защиты файлов от злоумышленников. Microsoft проделала большую работу, создав столь прозрачную для пользователя систему шифрования, уделив при этом достаточно внимания задачам администратора. Мы надеемся, что следующим шагом компании станет включение в ее нынешнюю систему алгоритма 3DES и обеспечение доступа к данным сразу нескольких пользователей, что сделает EFS еще более ценной.





  
2 '2001
СОДЕРЖАНИЕ

колонка редактора

• Тариф всему голова

локальные сети

• Руководство по выживанию с помощью ИТ

• Коммутационные шнуры требуют внимания

• Постоянная поддержка в цене

• Витая пара и радиочастотные помехи

корпоративные сети

• Чтобы бутерброд не падал маслом вниз

бизнес

• HP для сервис-провайдеров

защита данных

• Cистема шифрования файлов ОС Windows 2000

услуги сетей связи

• Шлюзы IP-телефонии. Руководство покупателя


• КАЛЕЙДОСКОП

только на сервере

• Caldera Volution поможет Linux завоевать корпоративный рынок



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх