Защита ключей шифрования EFS

EFS может шифровать отдельные файлы на жестком диске, чтобы никто не мог их прочитать, кроме человека, который их создал. Хотя EFS, безусловно, обеспечивает дополнительную безопасность для мобильных пользователей, она сама по себе сопряжена с некоторыми рисками. Сами ключи шифрования могут быть утеряны или украдены. Если ключ потерян, пользователь теряет доступ к своим зашифрованным файлам. Если ключ украден, то человек, владеющий ключом, может получить доступ к файлам пользователя. Я объясню, как вы можете противодействовать обеим этим проблемам.

Почему важна защита ключей

Как вы, наверное, знаете, основным механизмом безопасности на уровне файлов в Windows является список контроля доступа (ACL). ACL отлично подходят для защиты файлов от доступа из сети, но они мало что делают для защиты файлов от доступа тех, кто имеет физический доступ к машине. Существует множество утилит, которые могут обойти операционную систему и получить полный доступ к файловой системе NTFS. Здесь в игру вступает EFS. EFS шифрует файлы, поэтому, если кто-то получит доступ к файловой системе за пределами операционной системы, зашифрованные файлы станут нечитаемыми. Единственный способ (кроме использования агента восстановления) получить доступ к зашифрованным файлам — войти в систему как пользователь, зашифровавший файлы.

Можно возразить, что если все, что нужно сделать для доступа к зашифрованным файлам, — это войти в систему как пользователь, который их зашифровал, то файлы на самом деле небезопасны. Причина этого в том, что существуют утилиты, которые можно использовать для сброса пароля любого локального пользователя без фактического знания исходного пароля пользователя и даже без необходимости входа в операционную систему (процесс сброса происходит вне операционной системы). Однако в Windows есть встроенный механизм безопасности. Если пароль пользователя сброшен, ключи шифрования становятся недействительными, и пользователь больше не может получить доступ к зашифрованным файлам. Пользователь может изменить свой собственный пароль, но сброс пароля запускает механизм «самоуничтожения» ключа.

Как видите, кто-то может заблокировать доступ пользователя к его собственным файлам, просто сбросив пароль пользователя. При этом весь процесс шифрования и дешифрования привязан к учетной записи пользователя. Если пользователь забудет свой пароль, он не сможет войти в систему и, следовательно, не сможет получить доступ к зашифрованным файлам. Если администратор сбрасывает пароль пользователя, пользователь может войти в систему, но теряет доступ ко всем зашифрованным файлам.

Агенты восстановления

Чтобы предотвратить потерю данных, у вас должен быть назначенный агент восстановления. Назначение агента по восстановлению похоже на то, как дать соседу ключ от вашего дома на случай, если вы когда-нибудь заблокируете себя. Вы доверяете своему соседу, чтобы он не использовал ваш ключ, чтобы войти в ваш дом, когда вас нет дома, и вы доверяете своему соседу, чтобы он впустил вас в ваш дом, если вы когда-нибудь закроетесь.

Агенты восстановления работают аналогично. Агент восстановления — это тот, у кого есть резервная копия ключа шифрования, и он может расшифровать файлы для вас, если вы потеряете ключи шифрования. Однако есть как хорошие, так и плохие новости относительно агента восстановления. Хорошая новость в том, что он у вас уже есть. Локальная учетная запись администратора (учетная запись администратора, а не член группы администраторов) автоматически становится агентом восстановления для машины. Если пользователь блокирует доступ к зашифрованному файлу, администратор может войти в систему, стать владельцем файла, предоставить себе доступ к файлу, а затем удалить бит шифрования или использовать команду шифрования для расшифровки файла.

Плохая новость заключается в том, что агентом восстановления является локальная учетная запись администратора. Поскольку учетная запись администратора является излюбленной целью хакеров, было бы неплохо назначить другую учетную запись в качестве агента восстановления. Хотя можно назначить альтернативную учетную запись в качестве агента восстановления, вы не можете сделать это без помощи центра сертификации (ЦС).

Windows Server не устанавливает ЦС по умолчанию. Для реализации ЦС требуется значительное количество планирования и работы. Однако, как только вы это сделаете, вы можете использовать его для назначения учетных записей по вашему выбору в качестве агентов восстановления.

Экспорт сертификатов

К настоящему времени мы установили, что зашифрованные файлы безопасны в том смысле, что доступ к ним есть только у авторизованного пользователя и назначенного агента восстановления. Однако остается одна проблема. Если вор знает пароль пользователя, он может получить доступ к зашифрованным файлам пользователя. Представьте на мгновение сценарий. Пользователь сидит в аэропорту и выполняет какую-то работу. Парень, сидящий рядом с пользователем, видит, как пользователь вводит свой пароль, и поэтому знает, что это за пароль. Если бы этот человек украл ноутбук, он мог бы войти в систему как пользователь, у которого он украл ноутбук, и получить доступ ко всем зашифрованным файлам пользователя.

Однако есть способ защитить ваших пользователей от такого типа кражи. По умолчанию ключи шифрования хранятся на жестком диске системы. Однако вы можете экспортировать ключи на какой-либо съемный носитель, а затем удалить ключи с жесткого диска системы. Таким образом, если кто-то украдет ноутбук и узнает пароль пользователя, он все равно не сможет получить доступ к зашифрованным файлам, поскольку у него нет ключей шифрования.

Если вы решили экспортировать ключи шифрования на съемный носитель, то рекомендую использовать флешку. Они имеют тенденцию быть намного более долговечными, чем дискеты и компакт-диски. Вы также можете записать копию на компакт-диск и поместить ее в безопасное место на случай, если что-нибудь случится с вашим USB-накопителем.

Чтобы экспортировать ключи EFS, введите команду MMC в строке «Выполнить». Когда вы это сделаете, Windows загрузит пустую консоль управления Microsoft. Теперь выберите команду «Добавить/удалить оснастку» в меню «Файл» консоли. Теперь вы увидите лист свойств добавления/удаления оснастки. Нажмите кнопку «Добавить» на вкладке «Автономный» листа свойств, и вы увидите список доступных оснасток. Выберите опцию «Сертификаты» и нажмите «Добавить». Затем выберите параметр «Моя учетная запись пользователя» и нажмите «Готово», затем «Закрыть» и «ОК».

Теперь, когда оснастка «Сертификаты» загружена, перейдите по дереву консоли к Console Root | Сертификаты — Текущий пользователь | Личный | Сертификаты. Теперь ваши сертификаты появятся в столбце справа. Щелкните правой кнопкой мыши сертификат, который вы хотите экспортировать, и выберите Все задачи | Экспортируйте команды из полученного контекстного меню. Теперь Windows запустит мастер экспорта сертификатов.

Щелкните Далее, чтобы пропустить экран приветствия мастера. Теперь вас спросят, хотите ли вы экспортировать закрытый ключ вместе с сертификатом. Закрытый ключ необходим для расшифровки зашифрованных файлов, поэтому обязательно экспортируйте его. Нажмите «Далее», и вам будет предложено указать параметры экспорта, которые вы хотите использовать. Я рекомендую включить все сертификаты в путь сертификации, включить надежную защиту и удалить закрытый ключ после завершения экспорта. Нажмите «Далее», и вам будет предложено ввести пароль. Поскольку вы решили экспортировать закрытый ключ, вы должны защитить ключ паролем. Нажмите «Далее», и вам будет предложено ввести имя экспортируемого файла. Последний экран, который вы увидите, дает вам возможность просмотреть все параметры, которые вы выбрали перед выполнением фактического экспорта. Если все выглядит хорошо, нажмите «Готово», чтобы завершить процесс.

Вывод

В этой статье я объяснил, почему шифрование файлов может создать у пользователей ложное чувство безопасности. Затем я продолжил объяснять, как пользователи могут повысить безопасность, удалив ключи шифрования со своих жестких дисков. Я также объяснил, почему важно иметь назначенного агента по восстановлению.