Poznaliśmy już wiele sposobów zwiększania bezpieczeństwa systemu i danych. Począwszy od ustawiania haseł dostępu na poszczególne konta, poprzez uprawnienia NTFS, aż do zapory ogniowej i udostępnianiu połączenia internetowego. Jednak spróbujmy się zastanowić co się stanie w przypadku, gdy ktoś fizycznie ukradnie nam dane (np. gdy złodziej ukradnie nam laptopa lub gdy podczas włamania przestępcy "wyniosą" komputer). W takim przypadku na nic się zda zapora ogniowa, konta z hasłami, czy system plików NTFS. Gdy mamy dostęp fizyczny do plików jesteśmy w stanie ominąć każde z tych utrudnień. A co jeżeli na tym dysku posiadaliśmy bardzo ważne informacje np. z numerami kont bankowych czy tajemnice handlowe naszej firmy?
W celu zabezpieczenia nas przed takim zagrożeniem w systemie Windows XP Professional jest wbudowana opcja pozwalająca na szyfrowanie zawartości plików, folderów czy nawet całych dysków. Narzędzie to nazywane jest Systemem szyfrowania plików (EFS). EFS koduje pliki tak, aby nikt inny nie był w stanie przeczytać jego zawartości. Dane te możemy odczytać jedynie po zalogowaniu się na konto, z poziomu którego zostały one zaszyfrowane. Nawet administrator systemu nie jest w stanie odczytać tak zabezpieczonych plików a nawet lepiej - nie będzie miał nawet dostępu do nich.
Używanie systemu szyfrowania plików
Powróćmy jeszcze na chwilę do systemu plików NTFS. Otóż trzeba pamiętać o jednym. Pliki prywatne jednego użytkownika w tym rozwiązaniu nie są widoczne z pod profilu innego użytkownika. Jednak nie dotyczy to dostępu z zewnątrz Windows. Gdy uruchomimy komputer z dysku startowego a następnie użyjemy programu do odczytu danych z dysków NTFS (ogólnodostępny w Internecie) będziemy w stanie bez problemu odczytać zawartość plików i przegrać je a nawet zniszczyć.
EFS jest tutaj o wiele lepszym rozwiązaniem. Podczas szyfrowania system Windows generuje pseudolosowy klucz szyfrowania danych (nazywany FEK), dzięki któremu możemy zaszyfrować plik, folder, lub cały dysk. Oczywiście FEK jest chroniony przed nieupoważnionym odczytem. Windows szyfruje go naszym kluczem publicznym. Dzięki temu właśnie jedynie my jesteśmy w stanie odczytać oryginalną treść.
Każda osoba która zechce użyć "zabezpieczonych" plików otrzyma komunikat "odmowa dostępu". Wliczają się do tego również administratorzy naszego systemu.
Należy jednak pamiętać o następującym fakcie: lepiej szyfrować katalogi niż pliki. Uzasadnienie jest proste. Gdy zaszyfrujemy jedynie plik, to wiele programów do edycji tego pliku będzie tworzyło kopie tymczasową danego obiektu, która już niestety nie będzie zaszyfrowana.
Niebezpieczeństwa EFS
Z doskonałym zabezpieczeniem wiąże się zawsze równie duże ryzyko. Gdy zgubimy klucz publiczny nie jesteśmy w stanie odzyskać naszych danych. Utrata klucza nie musi się wiązać z kradzieżą czy wykasowaniem. Również w sytuacji kiedy reinstalujemy system to tracimy wszelki kontakt z zaszyfrowanymi obiektami. Nawet gdy zainstalujemy w identyczny sposób Windows to nie będziemy mieli identycznych tzw. identyfikatorów zabezpieczeń (SID). W takim wypadku musimy się pogodzić ze stratą danych. Aby więc ustrzec się przed taką katastrofą należy postępować według kilku reguł:
- Na początku utworzymy pusty folder na partycji NTFS (to bardzo ważne ponieważ szyfrowanie nie działa na innych systemach plików) i zaszyfrujemy go.
- W tymże folderze utworzymy jakikolwiek plik aby sprawdzić, czy można dowolnie z niego korzystać, tak jak z normalnego pliku poza katalogiem.
- Utworzymy agenta odzyskiwania danych - czyli drugie konto umożliwiającego odszyfrowanie w razie problemu plików.
- Utworzymy kopie zapasowe naszych certyfikatów odzyskiwania plików i osobistego certyfikatu szyfrowania (oczywiście razem z kluczami publicznymi).
- Po tych krokach możemy swobodnie używać szyfrowania EFS.
Szyfrowanie danych
Aby zaszyfrować plik/katalog musimy odnaleźć w eksploratorze element który chcemy poddać szyfrowaniu. Klikamy prawym przyciskiem i wybieramy Właściwości a następnie Zaawansowane. W oknie, które nam się pojawi zaznaczamy opcję Szyfruj zawartość aby zabezpieczyć dane.
Gdy zastosujemy te ustawienia, system domyślnie zapyta się nas czy nie chcemy również zaszyfrować katalogu i podkatalogów razem z plikami w nich.
Polecenie Cipher
Zamiast używać okien właściwości plików/katalogów możemy użyć polecenia Cipher. Aby zaszyfrować dane musimy podać odpowiednią ścieżkę i opcję. Główne parametry polecenia to:
- /E - zaszyfrowanie podanych folderów
- /D - odszyfrowanie podanych folderów
- /S:folder - wykonuj polecenia na podanym folderze i folderach podrzędnych (z pominięciem plików)
- /a - wykonuj polecenie na podanych plikach i plikach w podanym folderze
Przykładowe użycie polecenia aby zaszyfrować katalog Moje Dokumenty wraz z jego podkatalogami i plikami wygląda następująco: cipher /e /a /s:"%userprofile%"\moje dokumenty".
Polecenie to służyć może również do tworzenia klucza szyfrowania plików, certyfikatów odzyskiwania plików czy też czyszczenia nieużywanych obszarów danych. Aby dowiedzieć się więcej wystarczy wpisać polecenie cipher /?.
Udostępnianie zaszyfrowanych plików innym użytkownikom
W Windows XP pojawiła się nowa funkcja. Dzięki niej jesteśmy w stanie udostępnić zaszyfrowany plik wybranej osobie. Warunek jest taki, by ta osoba posiadała swój prywatny certyfikat EFS i aby ten certyfikat znajdował się w naszym magazynie.
Aby udostępnić innemu użytkownikowi korzystanie z naszego zaszyfrowanego pliku klikamy prawym klawiszem myszy na "zabezpieczonym" już pliku i wybieramy Właściwości a następnie Zaawansowane. W oknie dialogowym Atrybuty zaawansowane naciskamy Szczegóły. Wybieramy Dodaj i z listy certyfikatów wybieramy ten, którego właściciela chcemy upoważnić do oglądania naszego pliku.
Blokowanie i odblokowywanie EFS w Windows XP
Aby zablokować EFS należy wpisać polecenie regedit. Następnie znajdujemy klucz HKEY_Local_Machine\Software\Microsoft\WindowsNT\CurrentVersion\EFS. Z menu Edycja wybieramy Nowy i Wartość DWORD. Jako nazwę nowej wartości należy wpisać EfsConfiguration. Na koniec klikamy dwa razy na nowe pole i nadajemy mu wartość 1 i restartujemy komputer.
Aby odblokować EFS wystarczy jedynie zmienić z powrotem wartość pola EfsConfiguration na 0.
Tworzenie agenta odzyskiwania danych
Aby utworzyć agenta należy najpierw stworzyć, przy pomocy polecenia cipher certyfikat odzyskiwania plików i wyznaczenie na agenta któregoś z użytkowników w systemie.
Generowanie certyfikatu odzyskiwania plików
Musimy zalogować się z prawami administratora. Następnie w wierszu poleceń podajemy komendę cipher /t:nazwa_pliku, gdzie nazwa_pliku jest nadaną przez nas nazwą plików z certyfikatem. Na koniec zostaniemy poproszeni o podanie hasła do zabezpieczenia tych plików.
Wyznaczanie agentów odzyskiwania danych
Zalogujemy się na koncie, które ma pełnić rolę agenta odzyskiwania danych. Przy użyciu przystawki Certyfikaty (certmgr.msc) Odnajdujemy kategorie Osobisty. Wybieramy polecenia Akcja później Wszystkie zadania i Importuj. Uruchomi się Kreator importu certyfikatów.
W pole wpisujemy ścieżkę do pliku, który wcześniej utworzyliśmy na innym koncie i zaimportowaliśmy na to konto. Podajemy hasło do plików i zaznaczamy opcję Oznacz ten klucz jako eksportowalny i naciskamy Dalej. Wybieramy opcję Automatycznie wybierz magazyn certyfikatów na podstawie tego certyfikatu. Dajemy Zakończ i Dalej.
Otwieramy Ustawienia zabezpieczeń lokalnych (Secpol.msc). Znajdujemy System szyfrowania plików. Poleceniem Akcja a potem Dodaj agenta odzyskiwania danych wywołujemy kartę, na której otwieramy Przeglądaj foldery i znajdujemy nasz plik utworzony o rozszerzeniu .cer. Gdy go otworzymy pojawi nam się kolejna karta z której wybieramy USER_UNKNOWN i tym kończymy wyznaczanie agenta.
Ten użytkownik od teraz jest agentem odzyskiwania danych wszystkich zaszyfrowanych plików w naszym systemie.
Na koniec należy pamiętać o zabezpieczeniu takiego konta w najlepszy możliwy sposób. Do tego powinniśmy również wyeksportować każdy stworzony nasz certyfikat szyfrowania aby zabezpieczyć się przed sytuacją już nam znaną - utrata certyfikatu. W tym celu należy zaznajomić się z artykułem o Eksportowaniu i importowaniu certyfikatów.
341f31d.png)