System szyfrowania plików

Rozbudowane funkcje mechanizmu Systemu szyfrowania plików (Encrypting File System, EFS) znacznie zwiększyły możliwości systemu Windows® XP Professional dzięki zapewnieniu dodatkowej elastyczności dla użytkowników korporacyjnych wdrażających rozwiązania z zakresu zabezpieczeń oparte na szyfrowanych plikach danych.

Architektura mechanizmu EFS
Mechanizm EFS jest oparty na szyfrowaniu przy użyciu klucza publicznego i wykorzystuje architekturę CryptoAPI dostępną w systemie Windows XP. Domyślna konfiguracja funkcji EFS nie wymaga żadnych działań administracyjnych — szyfrowanie plików można rozpocząć natychmiast. Mechanizm EFS automatyczne generuje parę kluczy szyfrujących oraz certyfikat dla użytkownika, jeśli elementy te nie zostały jeszcze zdefiniowane.

Funkcja EFS może korzystać z algorytmu szyfrowania Data Encryption Standard (DESX) lub Triple-DES (3DES). Dla certyfikatów EFS oraz do szyfrowania symetrycznych kluczy szyfrowania można stosować zarówno oprogramowanie RSA Base, jak i RSA Enhanced, które zostało dołączone do systemu operacyjnego przez dostawców usług kryptograficznych (Cryptographic Service Provider, CSP).

W przypadku szyfrowania folderu następuje automatyczne szyfrowanie wszystkich plików i podfolderów utworzonych lub dodanych do folderu. Zaleca się szyfrowanie na poziomie folderów, co pozwoli uniknąć tworzenia na dysku twardym tymczasowych plików tekstowych podczas konwersji plików.

Mechanizm EFS i system plików NTFS
System szyfrowania plików (EFS) zapewnia ochronę wrażliwych danych znajdujących się w plikach przechowywanych na dyskach sformatowych w systemie plików NTFS. EFS to podstawowa technologia służąca do szyfrowania i odszyfrowywania plików przechowywanych na woluminach NTFS. Tylko użytkownik, który zaszyfrował chroniony plik, może go otworzyć i na nim pracować. Jest to szczególnie przydatne dla użytkowników komputerów przenośnych, ponieważ nawet jeśli inna osoba uzyska dostęp do zagubionego lub skradzionego komputera, nie będzie w stanie uzyskać dostępu do żadnych plików przechowywanych na dysku. W systemie Windows XP funkcja EFS działa obecnie dla plików i folderów trybu offline.

Funkcja EFS umożliwia szyfrowanie poszczególnych plików i folderów. Zaszyfrowane pliki pozostają poufne, nawet jeśli haker obejdzie zabezpieczenia systemu, na przykład instalując nowy system operacyjny. Mechanizm EFS zapewnia silne szyfrowanie dzięki użyciu algorytmów szyfrowania stosowanych w informatyce, a ścisła integracja z systemem NTFS zapewnia łatwość obsługi. Funkcja EFS dla systemu Windows® XP Professional zawiera nowe opcje dotyczące udostępniania zaszyfrowanych plików lub wyłączania agentów odzyskiwania plików, jak również umożliwia skuteczne zarządzanie dzięki obsłudze zasad grup oraz mechanizmom wiersza poleceń.

Zapewnienie poufności plików
Funkcje zabezpieczeń, takie jak uwierzytelnianie logowania lub uprawnienia dla plików, chronią zasoby sieciowe przed nieuprawnionym dostępem. Z drugiej strony każda osoba mająca fizyczny dostęp do komputera może zainstalować na nim nowy system operacyjny i obejść istniejące zabezpieczenia systemu. W ten sposób poufne dane mogą być narażone na ujawnienie. Szyfrowanie ważnych plików przy użyciu mechanizmu EFS dodaje kolejny poziom zabezpieczeń. Gdy pliki są zaszyfrowane, ich dane są chronione, nawet jeśli intruz ma pełny dostęp do magazynów danych na komputerze.

Pliki mogą być odszyfrowywane tylko przez upoważnionych użytkowników i wyznaczone osoby zajmujące się odzyskiwaniem danych. Inne konta systemowe z uprawnieniami dla danego pliku, nawet konto z uprawnieniami Przejęcie na własność, nie pozwalają na otwarcie pliku bez upoważnienia. Pliku nie można otworzyć nawet przy użyciu konta administratora, jeśli nie jest ono wyznaczone jako agent odzyskiwania danych. W przypadku próby otwarcia zaszyfrowanego pliku przez nieuprawnionego użytkownika nastąpi odmowa dostępu.

Na rysunku pokazano sposób konfigurowania mechanizmu EFS.

Jak działa mechanizm EFS
Funkcja EFS umożliwia przechowywanie poufnych danych o komputerze użytkownika w przypadku, osoby z fizycznym dostępem do tego komputera mogą spowodować ujawnienie tych danych, celowe bądź przypadkowe. Funkcja EFS jest szczególnie przydatna do zabezpieczania poufnych danych na komputerach przenośnych lub komputerach współużytkowanych przez kilku użytkowników. Oba rodzaje komputerów są narażone na ataki przy użyciu technik pozwalających ominąć zabezpieczenia list ACL.

Na komputerze współużytkowanym intruz może uzyskać dostęp do danych przez uruchomienie innego systemu operacyjnego. Może on również ukraść komputer, usunąć dyski twarde, umieścić dyski w innym komputerze, a następnie uzyskać dostęp do przechowywanych plików. Jeśli jednak napastnik nie użyje właściwego klucza odszyfrowującego, pliki zaszyfrowane przy użyciu mechanizmu EFS widoczne są jako nieczytelne znaki.

Ponieważ mechanizm EFS jest ściśle zintegrowany z systemem plików NTFS, szyfrowanie i odszyfrowywanie plików realizowane przez udziału użytkownika. W przypadku otwierania pliku jest on odszyfrowywany przez funkcję EFS podczas odczytywania danych z dysku. Podczas zapisywania plików mechanizm EFS szyfruje dane w momencie ich zapisywania na dysku. Dzięki posiadaniu odpowiednich upoważnień użytkownik może nawet nie zauważyć, że pliki są zaszyfrowane, ponieważ praca na nich odbywa się w zwykły sposób.

W konfiguracji domyślnej mechanizm EFS umożliwia rozpoczęcie szyfrowania z poziomu Eksploratora Windows żadnych działań administracyjnych. Z punktu widzenia użytkownika szyfrowanie plików to jedynie kwestia określenia atrybutu pliku. Atrybut szyfrowania może być również ustawiony dla folderu plików. Oznacza to, że wszystkie pliki utworzone w folderze lub do niego dodane są automatycznie szyfrowane.

Konfigurowanie mechanizmu EFS dla danego środowiska
Funkcja EFS jest włączona domyślnie. Pliki można szyfrować, jeśli użytkownik posiada uprawnienia do modyfikowania plików. Ponieważ mechanizm EFS wykorzystuje do szyfrowania klucz publiczny, użytkownik musi mieć własną parę kluczy publiczny-prywatny oraz certyfikat klucza publicznego. Ponieważ funkcja EFS może wykorzystywać certyfikaty podpisane samodzielnie, jest użycie nie wymaga wcześniejszych działań administracyjnych.

Jeśli mechanizm EFS nie jest wskazany w środowisku informatycznym użytkownika lub jeśli posiadane pliki nie powinny być szyfrowane, istnieje wiele możliwości wyłączenia funkcji EFS. Istnieje również szereg możliwości konfigurowania mechanizmu EFS w sposób zapewniający spełnienie unikatowych wymogów danej organizacji.

Aby korzystać z funkcji EFS, wszyscy użytkownicy muszą posiadać certyfikaty EFS. Jeśli aktualnie firma nie korzysta z infrastruktury klucza publicznego (Public Key Infrastructure, PKI), można użyć samodzielnie podpisanych certyfikatów, generowanych automatycznie przez system operacyjny. Jeśli jednak użytkownik posiada uprawnienia do wydawania certyfikatów, może je skonfigurować w sposób umożliwiający tworzenie certyfikatów EFS. W przypadku stosowania funkcji EFS na komputerze warto również rozważyć opracowanie planu odzyskiwania danych.

Co można szyfrować
Atrybut szyfrowania można nadawać poszczególnym plikom i folderom (lub podfolderom) plików na woluminach NTFS. Chociaż foldery plików z atrybutem szyfrowania przyjęło się nazywać "zaszyfrowanymi", sam folder nie jest zaszyfrowany, a dla określenia atrybutu szyfrowania folderu nie jest wymagana żadna para kluczy publiczny-prywatny. W przypadku określenia atrybutu szyfrowania folderu funkcja EFS powoduje automatyczne zaszyfrowanie następujących elementów:

• Wszystkie nowe pliki utworzone w folderze.

• Wszystkie pliki tekstowe skopiowane lub przeniesione do folderu.

• Opcjonalnie, wszystkie pliki i podfoldery w folderze.

Za pomocą mechanizmu EFS można również szyfrować pliki trybu offline, znane w systemie Windows 2000 jako funkcja buforowania po stronie klienta.

Szyfrowanie plików offline
W systemie Windows 2000 wprowadzono funkcję buforowania po stronie klienta, którą obecnie przemianowano na pliki trybu offline. Jest to opracowana w ramach Microsoft IntelliMirror® technologia zarządzania umożliwiająca użytkownikom sieci uzyskiwanie dostępu plików w udziałach sieciowych nawet w przypadku, gdy komputer kliencki jest odłączony z sieci. Po odłączeniu od sieci użytkownicy komputerów przenośnych mogą w dalszym ciągu przeglądać, odczytywać i edytować pliki, ponieważ zostały one umieszczone w buforze na komputerze klienckim. Gdy użytkownik podłączy później komputer do serwera, system uzgadnia zmiany z serwerem.

Klient wyposażony w system Windows XP Professional może wykorzystywać mechanizm EFS do szyfrowania plików i folderów trybu offline. Funkcja ta jest szczególnie przydatna dla osób spędzających wiele czasu poza biurem, które muszą okresowo pracować w trybie offline przy zapewnieniu maksymalnego bezpieczeństwa danych.

Szyfrowanie bazy danych plików trybu offline
Teraz użytkownicy mają możliwość szyfrowania bazy danych plików trybu offline. Jest to udoskonalenie w porównaniu z systemem Windows 2000, gdzie pliki w buforze nie mogły być szyfrowane. System Windows XP umożliwia szyfrowanie bazy danych plików trybu offline w celu zabezpieczenia wszystkich lokalnie buforowanych plików przez kradzieżą, zapewniając jednocześnie dodatkowe zabezpieczenie danych umieszczonych w lokalnym buforze.

Funkcja umożliwia na przykład używanie plików trybu offline przy zachowaniu bezpieczeństwa danych poufnych. Jeśli użytkownik jest administratorem systemów informatycznych, może używać tej funkcji do zabezpieczania wszystkich dokumentów przechowywanych lokalnie w buforze. Mechanizm plików trybu offline to idealna metoda ochrony na wypadek, gdyby komputer przenośny zawierający poufne dane przechowywane w plikach offline został skradziony.

Funkcja obsługuje szyfrowanie i odszyfrowywanie całej bazy danych plików trybu offline. Aby skonfigurować sposób szyfrowania takich plików, należy posiadać uprawniania administratora. Aby zaszyfrować pliki trybu offline, w aplecie Mój komputer, w menu Narzędzia, należy wybrać polecenie Opcje folderów, a następnie na karcie Pliki trybu offline należy zaznaczyć opcję Szyfruj pliki trybu offline w celu zabezpieczenia danych.

Na rysunku pokazano opcje szyfrowania bazy danych plików trybu offline.

Zdalna obsługa funkcji EFS w udziałach plików i folderach sieci Web
System Windows XP zapewnia możliwość szyfrowania i odszyfrowywania plików przechowywanych w sieciowych udziałach plików lub w folderach sieci Web typu Web Distributed Authoring and Versioning (WebDAV). Foldery sieci Web mają wiele zalet w porównaniu do udziałów plików i firma Microsoft zaleca stosowanie folderów sieci Web dla zdalnego przechowywania szyfrowanych plików wszędzie tam, gdzie jest to możliwe.

Foldery sieci Web wymagają mniejszych nakładów administracyjnych i są bezpieczniejsze niż udziały sieciowe. Foldery sieci Web zapewniają również bezpieczniejsze przechowywanie i dostarczanie szyfrowanych plików za pośrednictwem Internetu przy użyciu standardowego przesyłania opartego na protokole HTTP. Korzystanie z udziałów plików dla zdalnych operacji Mechanizmu EFS wymaga środowiska domeny opartego na systemie Windows 2000 lub nowszym. Jest to niezbędne, ponieważ mechanizm EFS musi zidentyfikować użytkownika za pośrednictwem protokołu Kerberos w celu zaszyfrowania lub odszyfrowania plików użytkownika.

Podstawowa różnica
Podstawowa różnica między zdalnymi operacjami mechanizmu EFS na plikach przechowywanych w udziałach plików a na plikach przechowywanych w folderach sieci Web jest miejsce realizowania operacji.

Jeśli pliki są przechowywane w udziałach plików, wszystkie operacje Mechanizmu EFS są wykonywane na komputerze, na którym przechowywanie są pliki. Jeśli na przykład komputer jest podłączony do udziału sieciowego i użytkownik chce otworzyć plik, który wcześniej zaszyfrował, plik jest odszyfrowywany na komputerze, na którym jest przechowywany, po czym jest przesyłany jako zwykły tekst za pośrednictwem sieci do komputera użytkownika.

Jeśli pliki są przechowywane w folderach sieci Web, wszystkie działania mechanizmu EFS są realizowane na lokalnym komputerze użytkownika. Jeśli na przykład komputer jest podłączony do folderu sieci Web i użytkownik chce otworzyć plik, który wcześniej zaszyfrował, plik pozostaje zaszyfrowany podczas przesyłania do komputera użytkownika i jest odszyfrowywany przez funkcję EFS na komputerze użytkownika.

Ta różnica w miejscy wykonywania działań funkcji EFS wyjaśnia również, dlaczego udziały sieciowe wymagają większych liczby działań konfiguracyjnych ze strony administratora niż foldery sieci Web.

Zdalne operacje mechanizmu EFS w środowisku folderów sieci Web
Podczas otwierania zaszyfrowanych plików przechowywanych w folderach sieci Web pliki pozostają zaszyfrowane podczas przesyłania i są odszyfrowywane przez funkcję EFS lokalnie. Ładowanie danych do folderów sieci Web i pobieranie danych z tych folderów polega na przekazywaniu nieprzetworzonych danych, tak więc nawet w przypadku uzyskania przez intruza dostępu do danych podczas ich przesyłania przechwycone dane byłyby zaszyfrowane, a więc całkowicie bezużyteczne.

Korzystanie z funkcji EFS dla folderów sieci Web eliminuje konieczność stosowania specjalistycznego oprogramowania zapewniającego bezpieczne udostępnianie zaszyfrowanych danych między użytkownikami, firmami lub organizacjami. Pliki mogą być przechowywane na wspólnych intranetowych serwerach plików lub w systemach internetowych, zapewniając łatwość dostępu przy zachowaniu wysokiego poziomu bezpieczeństwa gwarantowanego przez mechanizm EFS.

Readresator WebDAV
Readresator WebDAV to minireadresator obsługujący protokół WebDAV, który jest rozszerzeniem standardu HTTP wersja 1.1 obsługującym zdalne udostępnianie dokumentów za pośrednictwem protokołu HTTP. Readresator WebDAV zapewnia obsługę istniejących aplikacji i umożliwia udostępnianie plików w Internecie (na przykład za pośrednictwem zapór typu firewall lub ruterów) do serwerów HTTP. Mechanizm Internet Information Services (IIS) wersja 5.0 (Windows 2000) zapewnia obsługę folderów sieci Web.

Dostęp do folderów sieci Web można uzyskać w taki sam sposób, jak dostęp do udziałów plików. Aby odwzorować dysk sieciowy na folder sieci Web, można użyć polecenia Net Use lub Eksploratora Windows. Po połączeniu z folderem sieci Web można skopiować, zaszyfrować lub odszyfrować pliki dokładnie tak samo, jak w przypadku udziałów plików.