Безопасность автономной работы повышается благодаря объединению технологий
В Windows 2000 появилась файловая система с шифрованием Encrypting File System (EFS) и была реализована концепция автономных файлов Offline Files. С помощью EFS пользователи могут шифровать файлы и папки в разделах NTFS, а благодаря Offline Files можно автономно обращаться к файлам, если соединение с сервером прервано. В Windows XP Professional эти технологии объединены, и у администраторов появилась возможность повысить уровень защиты, шифруя автономные файлы. В данной статье мы рассмотрим, как использовать новые функции для шифрования кэш-папки автономных файлов.
Краткие сведения о EFS
EFS обеспечивает шифрование файлов с использованием асимметричных и симметричных ключей. Когда пользователь впервые шифрует конкретный файл, Windows выясняет доступность сервера сертификатов PKI (Public Key Infrastructure — инфраструктура открытых ключей), например предоставляемого службой Certificate Services компании Microsoft. Сервер PKI выдает пользователю новый цифровой сертификат EFS с двухлетним сроком действия. Если Windows не обнаруживает PKI-сервера, который мог бы предоставить сертификаты EFS, то операционная система генерирует для пользователей сертификат EFS с собственной подписью и сроком действия 100 лет.
Когда пользователь выбирает файл для шифрования, Windows генерирует случайный симметричный ключ, называемый ключом шифрования файла (File Encryption Key, FEK), и связывает его с файлом. Windows использует FEK для шифрования файла и генерирует только один уникальный FEK для каждого файла, независимо от того, сколько пользователей шифровали файл. Для шифрования FEK применяется асимметричный открытый ключ индивидуального пользователя. Если пользователь назначен агентом восстановления данных (data recovery agent, DRA), то Windows шифрует экземпляр FEK с использованием открытого ключа EFS агента DRA. В XP Pro и более новых операционных системах файлы, защищенные EFS, могут быть одновременно зашифрованы многими пользователями (теоретически до нескольких сотен). Для каждого пользователя, шифрующего файл, Windows шифрует экземпляр FEK открытым ключом EFS данного пользователя. Частный ключ EFS каждого пользователя, выполняющего шифрование, может расшифровать FEK (который расшифровывает защищенный файл); он хранится в профиле пользователя. Все частные ключи EFS защищены главным ключом, который Windows генерирует с паролем пользователя. Надежность шифрования EFS проверена на практике. Более полное описание EFS приведено в статье «И вновь о EFS», опубликованной в Windows IT Pro/RE № 7 за 2005 год.
Краткие сведения об автономных файлах
Для Offline Files используются общие папки (или Web-страницы) с клиентской и серверной поддержкой. Каждый ресурс на клиентском компьютере необходимо настроить для работы с Offline Files, хотя параметры сервера часто бывают активизированы по умолчанию. Клиентские машины должны быть настроены на работу с Offline File для каждого задействованного ресурса. Когда компьютер пользователя подключается к общему ресурсу, настроенному на работу с Offline Files, файлы загружаются в автономный кэш на клиентской системе. Пользователь может работать с автономными файлами, а после того, как соединение будет восстановлено, файлы синхронизируются с сервером, и варианты файлов на клиенте и сервере взаимно обновляются с использованием новейших данных каждой версии. Синхронизация файлов возможна при переводе компьютера пользователя в автономный режим, в процессе регистрации или при завершении сеанса либо по заранее составленному расписанию.
Использование EFS и автономных файлов
Пользователи XP Pro и более новых версий операционных систем могут зашифровать все локально хранимые файлы, чтобы повысить уровень безопасности. Для этого необходимо, чтобы пользователи активизировали режим Offline Files на клиентской системе, но предварительно шифровать отдельные файлы не требуется. Когда пользователь активизирует шифрование кэша автономных папок на клиентской системе, Windows шифрует кэш с использованием специального цифрового сертификата EFS системы. К сожалению, ключ системы шифрует личные автономные папки всех пользователей клиентского компьютера. Очевидно, данный метод более уязвим, чем схемы шифрования с применением индивидуальных пользовательских ключей. Представители Microsoft утверждают, что в следующих версиях Windows в эту функцию будут внесены изменения.
Для шифрования хранилища данных Offline Files на локальном компьютере XP Pro требуется выполнить следующие действия:
- Из меню Start следует щелкнуть на Settings и выбрать пункт меню Control Panel. Если вид панели управления - классический, то нужно дважды щелкнуть мышью на Folder Options. Если панель управления представлена видом Category, следует выбрать ссылку Appearance and Themes и щелкнуть на Folder Options.
- Выбрать вкладку Offline Files.
- Если режим Offline Files не активизирован, то следует выбрать пункт Enable Offline Files (см. экран).
- Установить флажок Encrypt offline files to secure data и нажать OK.
Экран. Образец сертификата от VeriSign |
В результате клиентский модуль расширения Windows, cscui.dll, будет автоматически шифровать автономные файлы, сохраняемые в локальном хранилище данных Offline Files. Для шифрования файлов должны быть выполнены следующие требования.
- Локальный кэш автономных папок должен быть размещен в разделе NTFS.
- Первый пользователь, который регистрируется в системе локально после активизации шифрования автономной папки, должен быть локальным администратором. Это обусловлено необходимостью создать запись в реестре от имени пользователя, а для изменения реестра требуются административные полномочия.
- EFS и шифрование автономной папки не должны быть блокированы администратором или групповой политикой.
Групповые политики и кэширование папки автономных файлов
Кэшированием папки автономных файлов, как и большинством аспектов Windows, можно управлять с помощью групповой политики. Многие параметры Group Policy влияют на Offline Files. Обзор этих параметров дается в документации Microsoft Windows XP Resource Kit Documentation в статье «Group Policy Settings that Affect Offline Files» (http://www.microsoft.com/resources/ documentation/Windows/XP/all/reskit/en-us/Default.asp?url=/resources/documentation/Windows/XP/all/ reskit/en-us/prde_ffs_phvy.asp). Однако только один параметр Group Policy влияет на Offline Files и EFS: Encrypt the Offline Files cache. Если данная политика активна, то весь кэш Offline Files будет зашифрован на клиентской системе с XP Pro или более поздней ОС. При использовании данной политики нельзя выбрать отдельные файлы для шифрования — шифруются все файлы, которые находятся в кэше.
О чем следует помнить
EFS защищает только файлы, сохраненные на диске. Если уполномоченный пользователь открывает EFS-файлы, то Windows расшифровывает их. При копировании расшифрованных файлов через сеть (уполномоченным пользователем) данные пересылаются как простой текст. Microsoft рекомендует использовать IP Security (IPsec), Secure Sockets Layer (SSL) или другой протокол шифрования сетевых соединений, чтобы защитить передаваемые данные. По неизвестной мне причине использовать автономные папки и файлы одновременно с Remote Desktop не разрешается: при активизации одного режима другой требуется отключить. И наконец, как всегда в случае с технологией дистанционной синхронизации, в результате сбоя процедуры может быть нарушено нормальное функционирование компьютера. Например, если пользователь поспешно отключил компьютер от сети, не дожидаясь окончания синхронизации, доступ к автономным файлам может быть закрыт до тех пор, пока соединение не будет восстановлено и синхронизация не доведена до конца. Но, несмотря на эти недостатки, комбинация EFS и Offline Files все же обеспечивает надежную защиту автономных файлов.
Роджер А. Граймз - Редактор Windows IT Pro и консультант по проблемам безопасности. Имеет сертификаты CPA, CISSP, CEH, CHFI, TICSA и MCSE: Security. roger@banneretcs.com