Poznaliśmy już wiele sposobów zwiększania bezpieczeństwa systemu i danych. Począwszy od ustawiania haseł dostępu na
poszczególne konta, poprzez uprawnienia NTFS, aż do zapory
ogniowej i udostępnianiu połączenia internetowego. Jednak
spróbujmy się zastanowić co się stanie w przypadku, gdy ktoś
fizycznie ukradnie nam dane (np. gdy złodziej ukradnie nam laptopa lub
gdy podczas włamania przestępcy "wyniosą" komputer). W takim przypadku
na nic się zda zapora ogniowa, konta z hasłami, czy system
plików NTFS. Gdy mamy dostęp fizyczny do plików jesteśmy
w stanie ominąć każde z tych utrudnień. A co jeżeli na tym dysku
posiadaliśmy bardzo ważne informacje np. z numerami kont bankowych czy
tajemnice handlowe naszej firmy?
W celu zabezpieczenia nas przed takim zagrożeniem w systemie Windows XP
Professional jest wbudowana opcja pozwalająca na szyfrowanie zawartości
plików, folderów czy nawet całych dysków. Narzędzie
to nazywane jest Systemem szyfrowania plików (EFS).
EFS koduje pliki tak, aby nikt inny nie był w stanie przeczytać
jego zawartości. Dane te możemy odczytać jedynie po zalogowaniu się na
konto, z poziomu którego zostały one zaszyfrowane. Nawet
administrator systemu nie jest w stanie odczytać tak
zabezpieczonych plików a nawet lepiej - nie będzie miał nawet
dostępu do nich.
Używanie systemu szyfrowania plików
Powróćmy jeszcze na chwilę do systemu plików NTFS.
Otóż trzeba pamiętać o jednym. Pliki prywatne jednego
użytkownika w tym rozwiązaniu nie są widoczne z pod profilu innego
użytkownika. Jednak nie dotyczy to dostępu z zewnątrz Windows.
Gdy uruchomimy komputer z dysku startowego a następnie użyjemy programu do
odczytu danych z dysków NTFS (ogólnodostępny w Internecie)
będziemy w stanie bez problemu odczytać zawartość plików i
przegrać je a nawet zniszczyć.
EFS jest tutaj o wiele lepszym rozwiązaniem. Podczas szyfrowania system
Windows generuje pseudolosowy klucz szyfrowania danych (nazywany FEK),
dzięki któremu możemy zaszyfrować plik, folder, lub cały dysk.
Oczywiście FEK jest chroniony przed nieupoważnionym odczytem. Windows
szyfruje go naszym kluczem publicznym. Dzięki temu właśnie jedynie
my jesteśmy w stanie odczytać oryginalną treść.
Każda osoba która zechce użyć "zabezpieczonych"
plików otrzyma komunikat "odmowa dostępu". Wliczają się do tego
również administratorzy naszego systemu.
Należy jednak pamiętać o następującym fakcie: lepiej szyfrować katalogi
niż pliki. Uzasadnienie jest proste. Gdy zaszyfrujemy jedynie plik, to
wiele programów do edycji tego pliku będzie tworzyło kopie
tymczasową danego obiektu, która już niestety nie będzie
zaszyfrowana.
Niebezpieczeństwa EFS
Z doskonałym zabezpieczeniem wiąże się zawsze równie duże
ryzyko. Gdy zgubimy klucz publiczny nie jesteśmy w stanie odzyskać
naszych danych. Utrata klucza nie musi się wiązać z kradzieżą czy
wykasowaniem. Również w sytuacji kiedy reinstalujemy system to
tracimy wszelki kontakt z zaszyfrowanymi obiektami. Nawet gdy
zainstalujemy w identyczny sposób Windows to nie będziemy
mieli identycznych tzw. identyfikatorów zabezpieczeń (SID).
W takim wypadku musimy się pogodzić ze stratą danych. Aby więc
ustrzec się przed taką katastrofą należy postępować według kilku reguł:
- Na początku utworzymy pusty folder na partycji NTFS (to bardzo
ważne ponieważ szyfrowanie nie działa na innych systemach
plików) i zaszyfrujemy go.
- W tymże folderze utworzymy jakikolwiek plik aby sprawdzić, czy
można dowolnie z niego korzystać, tak jak z normalnego pliku poza
katalogiem.
- Utworzymy agenta odzyskiwania danych - czyli drugie konto umożliwiającego odszyfrowanie w razie problemu plików.
- Utworzymy kopie zapasowe naszych certyfikatów odzyskiwania
plików i osobistego certyfikatu szyfrowania (oczywiście razem z
kluczami publicznymi).
- Po tych krokach możemy swobodnie używać szyfrowania EFS.
Szyfrowanie danych
Aby zaszyfrować plik/katalog musimy odnaleźć w eksploratorze element
który chcemy poddać szyfrowaniu. Klikamy prawym przyciskiem i
wybieramy Właściwości a następnie Zaawansowane. W oknie, które nam się pojawi zaznaczamy opcję Szyfruj zawartość aby zabezpieczyć dane.
Gdy zastosujemy te ustawienia, system domyślnie zapyta się nas
czy nie chcemy również zaszyfrować katalogu i
podkatalogów razem z plikami w nich.
Polecenie Cipher
Zamiast używać okien właściwości plików/katalogów możemy użyć polecenia Cipher. Aby zaszyfrować
dane musimy podać odpowiednią ścieżkę i opcję. Główne parametry polecenia to:
- /E - zaszyfrowanie podanych folderów
- /D - odszyfrowanie podanych folderów
- /S:folder - wykonuj polecenia na podanym folderze i folderach podrzędnych (z pominięciem plików)
- /a - wykonuj polecenie na podanych plikach i plikach w podanym folderze
Przykładowe użycie polecenia aby zaszyfrować katalog Moje Dokumenty wraz z jego podkatalogami i plikami
wygląda następująco: cipher /e /a /s:"%userprofile%"\moje dokumenty".
Polecenie to służyć może również do tworzenia klucza
szyfrowania plików, certyfikatów odzyskiwania
plików czy też czyszczenia nieużywanych obszarów danych.
Aby dowiedzieć się więcej wystarczy wpisać polecenie cipher /?.
Udostępnianie zaszyfrowanych plików innym użytkownikom
W Windows XP pojawiła się nowa funkcja. Dzięki niej jesteśmy w stanie
udostępnić zaszyfrowany plik wybranej osobie. Warunek jest taki, by ta
osoba posiadała swój prywatny certyfikat EFS i aby ten
certyfikat znajdował się w naszym magazynie.
Aby udostępnić innemu użytkownikowi korzystanie z naszego zaszyfrowanego
pliku klikamy prawym klawiszem myszy na "zabezpieczonym" już pliku i
wybieramy Właściwości a następnie Zaawansowane. W oknie dialogowym Atrybuty zaawansowane
naciskamy Szczegóły. Wybieramy Dodaj i z listy certyfikatów wybieramy ten, którego
właściciela chcemy upoważnić do oglądania naszego pliku.
Blokowanie i odblokowywanie EFS w Windows XP
Aby zablokować EFS należy wpisać polecenie regedit. Następnie znajdujemy klucz
HKEY_Local_Machine\Software\Microsoft\WindowsNT\CurrentVersion\EFS. Z menu Edycja wybieramy
Nowy i Wartość DWORD. Jako nazwę nowej wartości należy wpisać EfsConfiguration. Na
koniec klikamy dwa razy na nowe pole i nadajemy mu wartość 1 i restartujemy komputer.
Aby odblokować EFS wystarczy jedynie zmienić z powrotem wartość pola EfsConfiguration na 0.
Tworzenie agenta odzyskiwania danych
Aby utworzyć agenta należy najpierw stworzyć, przy pomocy polecenia cipher certyfikat odzyskiwania plików i wyznaczenie na
agenta któregoś z użytkowników w systemie.
Generowanie certyfikatu odzyskiwania plików
Musimy zalogować się z prawami administratora. Następnie w wierszu poleceń podajemy komendę cipher /t:nazwa_pliku, gdzie nazwa_pliku
jest nadaną przez nas nazwą plików z certyfikatem. Na koniec
zostaniemy poproszeni o podanie hasła do zabezpieczenia tych
plików.
Wyznaczanie agentów odzyskiwania danych
Zalogujemy się na koncie, które ma pełnić rolę agenta odzyskiwania danych. Przy użyciu przystawki Certyfikaty
(certmgr.msc) Odnajdujemy kategorie Osobisty. Wybieramy polecenia Akcja później Wszystkie zadania
i Importuj. Uruchomi się Kreator importu certyfikatów.
W pole wpisujemy ścieżkę do pliku, który wcześniej utworzyliśmy
na innym koncie i zaimportowaliśmy na to konto. Podajemy hasło do
plików i zaznaczamy opcję Oznacz ten klucz jako eksportowalny i naciskamy Dalej. Wybieramy opcję Automatycznie wybierz magazyn
certyfikatów na podstawie tego certyfikatu. Dajemy Zakończ i Dalej.
Otwieramy Ustawienia zabezpieczeń lokalnych (Secpol.msc). Znajdujemy System szyfrowania plików. Poleceniem Akcja a
potem Dodaj agenta odzyskiwania danych wywołujemy
kartę, na której otwieramy Przeglądaj foldery i znajdujemy nasz plik utworzony o rozszerzeniu .cer. Gdy go otworzymy pojawi
nam się kolejna karta z której wybieramy USER_UNKNOWN i tym kończymy wyznaczanie agenta.
Ten użytkownik od teraz jest agentem odzyskiwania danych wszystkich zaszyfrowanych plików w naszym systemie.
Na koniec należy pamiętać o zabezpieczeniu takiego konta w najlepszy
możliwy sposób. Do tego powinniśmy również wyeksportować
każdy stworzony nasz certyfikat szyfrowania aby zabezpieczyć się przed
sytuacją już nam znaną - utrata certyfikatu. W tym celu należy
zaznajomić się z artykułem o Eksportowaniu i importowaniu
certyfikatów.