Иллюстрированный самоучитель по Secure Web


Шифрование файловой системы


Одним из главных достижений Win 2000 в области безопасности является шифрование файловой системы. Средство EPS (Encrypting File System) — это система шифрования на основе открытого ключа, предназначенная для кодирования данных на диске в реальном времени и предотвращения несанкционированного доступа к ним. Компания Microsoft опубликовала статью, описывающую детали функционирования EPS (http://www.microsoft.com/windows200/
library/howitworks/security/encrypt.asp). Система EFS позволяет закодировать файл или папку с помощью быстрого симметричного алгоритма шифрования на основе случайно сгенерированного ключа FEK (File Encryption Key) специально для этого файла или папки. В качестве алгоритма шифрования в исходной версии системы EFS используется расширенный стандарт шифрования данных DESX . Случайно сгенерированный ключ для шифрования файла сам, в свою очередь, кодируется с помощью одного или нескольких открытых ключей, включая ключ пользователя (в Win 2000 каждый пользователь получает пару ключей — открытый и закрытый) и агент восстановления ключа. Эти зашифрованные значения хранятся как атрибуты файла.

Процедура восстановления ключа применяется для восстановления информации в том случае, если сотрудник, зашифровавший данные, больше не работает в организации, а его ключ утерян. Чтобы обеспечить возможность восстановления зашифрованных данных в Win 2000 существует агент восстановления данных EFS. Без агента восстановления система EFS не работает. Поскольку ключ шифрования файла абсолютно не зависит от пары ключей пользователя, агент восстановления может дешифровать содержимое файла, не раскрывая закрытого ключа пользователя. По умолчанию агентом восстановления данных в системе служит локальная учетная запись администратора.

Хотя шифрование файловой системы во многих случаях может оказаться полезным, его не стоит применять для защиты данных разных пользователей одной рабочей станции друг от друга. Для защиты данных от других пользователей существуют списки управления доступом (ACL — Access Control List) файловой системы NTFS. Компания Microsoft рассматривает систему EFS как средство защиты от атак, направленных на получение данных в обход операционной системы (путем загрузки через другую операционную систему или использования средств доступа к жесткому диску от сторонних производителей), или для зашиты файлов, расположенных на удаленных серверах. В статье компании Microsoft, посвященной системе EFS. говорится буквально следующее: "Система EFS служит для обеспечения защиты информации от доступа из других операционных систем, т.е. от физического доступа к файлам раздела NTFS без соответствующих прав". Далее будет показано, насколько это утверждение соответствует истине.



Начало  Назад  Вперед



Книжный магазин