Rozbudowane funkcje mechanizmu Systemu szyfrowania plików (Encrypting File System, EFS) znacznie zwiększyły możliwości systemu Windows® XP Professional dzięki zapewnieniu dodatkowej elastyczności dla użytkowników korporacyjnych wdrażających rozwiązania z zakresu zabezpieczeń oparte na szyfrowanych plikach danych.
Architektura mechanizmu EFS
Mechanizm EFS jest oparty na szyfrowaniu przy użyciu klucza publicznego i
wykorzystuje architekturę CryptoAPI dostępną w systemie Windows XP. Domyślna
konfiguracja funkcji EFS nie wymaga żadnych działań administracyjnych —
szyfrowanie plików można rozpocząć natychmiast. Mechanizm EFS automatyczne
generuje parę kluczy szyfrujących oraz certyfikat dla użytkownika, jeśli
elementy te nie zostały jeszcze zdefiniowane.
Funkcja EFS może korzystać z algorytmu szyfrowania Data Encryption Standard (DESX) lub Triple-DES (3DES). Dla certyfikatów EFS oraz do szyfrowania symetrycznych kluczy szyfrowania można stosować zarówno oprogramowanie RSA Base, jak i RSA Enhanced, które zostało dołączone do systemu operacyjnego przez dostawców usług kryptograficznych (Cryptographic Service Provider, CSP).
W przypadku szyfrowania folderu następuje automatyczne szyfrowanie wszystkich plików i podfolderów utworzonych lub dodanych do folderu. Zaleca się szyfrowanie na poziomie folderów, co pozwoli uniknąć tworzenia na dysku twardym tymczasowych plików tekstowych podczas konwersji plików.
Mechanizm EFS i system plików NTFS
System szyfrowania plików (EFS) zapewnia ochronę wrażliwych danych
znajdujących się w plikach przechowywanych na dyskach sformatowych w systemie
plików NTFS. EFS to podstawowa technologia służąca do szyfrowania i
odszyfrowywania plików przechowywanych na woluminach NTFS. Tylko użytkownik,
który zaszyfrował chroniony plik, może go otworzyć i na nim pracować. Jest to
szczególnie przydatne dla użytkowników komputerów przenośnych, ponieważ nawet
jeśli inna osoba uzyska dostęp do zagubionego lub skradzionego komputera, nie
będzie w stanie uzyskać dostępu do żadnych plików przechowywanych na dysku. W
systemie Windows XP funkcja EFS działa obecnie dla plików i folderów trybu
offline.
Funkcja EFS umożliwia szyfrowanie poszczególnych plików i folderów. Zaszyfrowane pliki pozostają poufne, nawet jeśli haker obejdzie zabezpieczenia systemu, na przykład instalując nowy system operacyjny. Mechanizm EFS zapewnia silne szyfrowanie dzięki użyciu algorytmów szyfrowania stosowanych w informatyce, a ścisła integracja z systemem NTFS zapewnia łatwość obsługi. Funkcja EFS dla systemu Windows® XP Professional zawiera nowe opcje dotyczące udostępniania zaszyfrowanych plików lub wyłączania agentów odzyskiwania plików, jak również umożliwia skuteczne zarządzanie dzięki obsłudze zasad grup oraz mechanizmom wiersza poleceń.
Zapewnienie poufności plików
Funkcje zabezpieczeń, takie jak uwierzytelnianie logowania lub uprawnienia dla
plików, chronią zasoby sieciowe przed nieuprawnionym dostępem. Z drugiej
strony każda osoba mająca fizyczny dostęp do komputera może zainstalować na
nim nowy system operacyjny i obejść istniejące zabezpieczenia systemu. W ten
sposób poufne dane mogą być narażone na ujawnienie. Szyfrowanie ważnych plików
przy użyciu mechanizmu EFS dodaje kolejny poziom zabezpieczeń. Gdy pliki są
zaszyfrowane, ich dane są chronione, nawet jeśli intruz ma pełny dostęp do
magazynów danych na komputerze.
Pliki mogą być
odszyfrowywane tylko przez upoważnionych użytkowników i wyznaczone osoby
zajmujące się odzyskiwaniem danych. Inne konta systemowe z uprawnieniami dla
danego pliku, nawet konto z uprawnieniami Przejęcie na własność, nie pozwalają
na otwarcie pliku bez upoważnienia. Pliku nie można otworzyć nawet przy użyciu
konta administratora, jeśli nie jest ono wyznaczone jako agent odzyskiwania
danych. W przypadku próby otwarcia zaszyfrowanego pliku przez nieuprawnionego
użytkownika nastąpi odmowa dostępu.
Na rysunku pokazano sposób konfigurowania mechanizmu EFS.
Jak działa mechanizm EFS
Funkcja EFS umożliwia przechowywanie poufnych danych o komputerze użytkownika
w przypadku, osoby z fizycznym dostępem do tego komputera mogą spowodować
ujawnienie tych danych, celowe bądź przypadkowe. Funkcja EFS jest szczególnie
przydatna do zabezpieczania poufnych danych na komputerach przenośnych lub
komputerach współużytkowanych przez kilku użytkowników. Oba rodzaje komputerów
są narażone na ataki przy użyciu technik pozwalających ominąć zabezpieczenia
list ACL.
Na komputerze współużytkowanym intruz może uzyskać dostęp do danych przez uruchomienie innego systemu operacyjnego. Może on również ukraść komputer, usunąć dyski twarde, umieścić dyski w innym komputerze, a następnie uzyskać dostęp do przechowywanych plików. Jeśli jednak napastnik nie użyje właściwego klucza odszyfrowującego, pliki zaszyfrowane przy użyciu mechanizmu EFS widoczne są jako nieczytelne znaki.
Ponieważ mechanizm EFS jest ściśle zintegrowany z systemem plików NTFS, szyfrowanie i odszyfrowywanie plików realizowane przez udziału użytkownika. W przypadku otwierania pliku jest on odszyfrowywany przez funkcję EFS podczas odczytywania danych z dysku. Podczas zapisywania plików mechanizm EFS szyfruje dane w momencie ich zapisywania na dysku. Dzięki posiadaniu odpowiednich upoważnień użytkownik może nawet nie zauważyć, że pliki są zaszyfrowane, ponieważ praca na nich odbywa się w zwykły sposób.
W konfiguracji domyślnej mechanizm EFS umożliwia rozpoczęcie szyfrowania z poziomu Eksploratora Windows żadnych działań administracyjnych. Z punktu widzenia użytkownika szyfrowanie plików to jedynie kwestia określenia atrybutu pliku. Atrybut szyfrowania może być również ustawiony dla folderu plików. Oznacza to, że wszystkie pliki utworzone w folderze lub do niego dodane są automatycznie szyfrowane.
Konfigurowanie mechanizmu EFS dla danego środowiska
Funkcja EFS jest włączona domyślnie. Pliki można szyfrować, jeśli użytkownik
posiada uprawnienia do modyfikowania plików. Ponieważ mechanizm EFS
wykorzystuje do szyfrowania klucz publiczny, użytkownik musi mieć własną parę
kluczy publiczny-prywatny oraz certyfikat klucza publicznego. Ponieważ funkcja
EFS może wykorzystywać certyfikaty podpisane samodzielnie, jest użycie nie
wymaga wcześniejszych działań administracyjnych.
Jeśli mechanizm EFS nie jest wskazany w środowisku informatycznym użytkownika lub jeśli posiadane pliki nie powinny być szyfrowane, istnieje wiele możliwości wyłączenia funkcji EFS. Istnieje również szereg możliwości konfigurowania mechanizmu EFS w sposób zapewniający spełnienie unikatowych wymogów danej organizacji.
Aby korzystać z funkcji EFS, wszyscy użytkownicy muszą posiadać certyfikaty EFS. Jeśli aktualnie firma nie korzysta z infrastruktury klucza publicznego (Public Key Infrastructure, PKI), można użyć samodzielnie podpisanych certyfikatów, generowanych automatycznie przez system operacyjny. Jeśli jednak użytkownik posiada uprawnienia do wydawania certyfikatów, może je skonfigurować w sposób umożliwiający tworzenie certyfikatów EFS. W przypadku stosowania funkcji EFS na komputerze warto również rozważyć opracowanie planu odzyskiwania danych.
Co można szyfrować
Atrybut szyfrowania można nadawać poszczególnym plikom i folderom (lub
podfolderom) plików na woluminach NTFS. Chociaż foldery plików z atrybutem
szyfrowania przyjęło się nazywać "zaszyfrowanymi", sam folder nie jest
zaszyfrowany, a dla określenia atrybutu szyfrowania folderu nie jest wymagana
żadna para kluczy publiczny-prywatny. W przypadku określenia atrybutu
szyfrowania folderu funkcja EFS powoduje automatyczne zaszyfrowanie
następujących elementów:
-
Wszystkie nowe pliki utworzone w folderze.
-
Wszystkie pliki tekstowe skopiowane lub przeniesione do folderu.
-
Opcjonalnie, wszystkie pliki i podfoldery w folderze.
Za pomocą mechanizmu EFS można również szyfrować pliki trybu offline, znane w systemie Windows 2000 jako funkcja buforowania po stronie klienta.
Szyfrowanie plików offline
W systemie Windows 2000 wprowadzono funkcję buforowania po stronie klienta,
którą obecnie przemianowano na pliki trybu offline. Jest to opracowana w
ramach Microsoft IntelliMirror® technologia zarządzania umożliwiająca
użytkownikom sieci uzyskiwanie dostępu plików w udziałach sieciowych nawet w
przypadku, gdy komputer kliencki jest odłączony z sieci. Po odłączeniu od
sieci użytkownicy komputerów przenośnych mogą w dalszym ciągu przeglądać,
odczytywać i edytować pliki, ponieważ zostały one umieszczone w buforze na
komputerze klienckim. Gdy użytkownik podłączy później komputer do serwera,
system uzgadnia zmiany z serwerem.
Klient wyposażony w system Windows XP Professional może wykorzystywać mechanizm EFS do szyfrowania plików i folderów trybu offline. Funkcja ta jest szczególnie przydatna dla osób spędzających wiele czasu poza biurem, które muszą okresowo pracować w trybie offline przy zapewnieniu maksymalnego bezpieczeństwa danych.
Szyfrowanie bazy danych plików trybu offline
Teraz użytkownicy mają możliwość szyfrowania bazy danych plików trybu offline.
Jest to udoskonalenie w porównaniu z systemem Windows 2000, gdzie pliki w
buforze nie mogły być szyfrowane. System Windows XP umożliwia szyfrowanie bazy
danych plików trybu offline w celu zabezpieczenia wszystkich lokalnie
buforowanych plików przez kradzieżą, zapewniając jednocześnie dodatkowe
zabezpieczenie danych umieszczonych w lokalnym buforze.
Funkcja umożliwia na przykład używanie plików trybu offline przy zachowaniu bezpieczeństwa danych poufnych. Jeśli użytkownik jest administratorem systemów informatycznych, może używać tej funkcji do zabezpieczania wszystkich dokumentów przechowywanych lokalnie w buforze. Mechanizm plików trybu offline to idealna metoda ochrony na wypadek, gdyby komputer przenośny zawierający poufne dane przechowywane w plikach offline został skradziony.
Funkcja obsługuje
szyfrowanie i odszyfrowywanie całej bazy danych plików trybu offline. Aby
skonfigurować sposób szyfrowania takich plików, należy posiadać uprawniania
administratora. Aby zaszyfrować pliki trybu offline, w aplecie Mój komputer, w
menu Narzędzia, należy wybrać polecenie Opcje folderów, a następnie na karcie
Pliki trybu offline należy zaznaczyć opcję Szyfruj pliki trybu offline w celu
zabezpieczenia danych.
Na rysunku pokazano opcje szyfrowania bazy danych plików trybu offline.
Zdalna obsługa funkcji EFS w udziałach plików i
folderach sieci Web
System Windows XP zapewnia możliwość szyfrowania i odszyfrowywania plików
przechowywanych w sieciowych udziałach plików lub w folderach sieci Web typu
Web Distributed Authoring and Versioning (WebDAV). Foldery sieci Web mają
wiele zalet w porównaniu do udziałów plików i firma Microsoft zaleca
stosowanie folderów sieci Web dla zdalnego przechowywania szyfrowanych plików
wszędzie tam, gdzie jest to możliwe.
Foldery sieci Web wymagają mniejszych nakładów administracyjnych i są bezpieczniejsze niż udziały sieciowe. Foldery sieci Web zapewniają również bezpieczniejsze przechowywanie i dostarczanie szyfrowanych plików za pośrednictwem Internetu przy użyciu standardowego przesyłania opartego na protokole HTTP. Korzystanie z udziałów plików dla zdalnych operacji Mechanizmu EFS wymaga środowiska domeny opartego na systemie Windows 2000 lub nowszym. Jest to niezbędne, ponieważ mechanizm EFS musi zidentyfikować użytkownika za pośrednictwem protokołu Kerberos w celu zaszyfrowania lub odszyfrowania plików użytkownika.
Podstawowa różnica
Podstawowa różnica między zdalnymi operacjami mechanizmu EFS na plikach
przechowywanych w udziałach plików a na plikach przechowywanych w folderach
sieci Web jest miejsce realizowania operacji.
Jeśli pliki są przechowywane w udziałach plików, wszystkie operacje Mechanizmu EFS są wykonywane na komputerze, na którym przechowywanie są pliki. Jeśli na przykład komputer jest podłączony do udziału sieciowego i użytkownik chce otworzyć plik, który wcześniej zaszyfrował, plik jest odszyfrowywany na komputerze, na którym jest przechowywany, po czym jest przesyłany jako zwykły tekst za pośrednictwem sieci do komputera użytkownika.
Jeśli pliki są przechowywane w folderach sieci Web, wszystkie działania mechanizmu EFS są realizowane na lokalnym komputerze użytkownika. Jeśli na przykład komputer jest podłączony do folderu sieci Web i użytkownik chce otworzyć plik, który wcześniej zaszyfrował, plik pozostaje zaszyfrowany podczas przesyłania do komputera użytkownika i jest odszyfrowywany przez funkcję EFS na komputerze użytkownika.
Ta różnica w miejscy wykonywania działań funkcji EFS wyjaśnia również, dlaczego udziały sieciowe wymagają większych liczby działań konfiguracyjnych ze strony administratora niż foldery sieci Web.
Zdalne operacje mechanizmu EFS w środowisku folderów
sieci Web
Podczas otwierania zaszyfrowanych plików przechowywanych w folderach sieci Web
pliki pozostają zaszyfrowane podczas przesyłania i są odszyfrowywane przez
funkcję EFS lokalnie. Ładowanie danych do folderów sieci Web i pobieranie
danych z tych folderów polega na przekazywaniu nieprzetworzonych danych, tak
więc nawet w przypadku uzyskania przez intruza dostępu do danych podczas ich
przesyłania przechwycone dane byłyby zaszyfrowane, a więc całkowicie
bezużyteczne.
Korzystanie z funkcji EFS dla folderów sieci Web eliminuje konieczność stosowania specjalistycznego oprogramowania zapewniającego bezpieczne udostępnianie zaszyfrowanych danych między użytkownikami, firmami lub organizacjami. Pliki mogą być przechowywane na wspólnych intranetowych serwerach plików lub w systemach internetowych, zapewniając łatwość dostępu przy zachowaniu wysokiego poziomu bezpieczeństwa gwarantowanego przez mechanizm EFS.
Readresator WebDAV
Readresator WebDAV to minireadresator obsługujący protokół WebDAV, który jest
rozszerzeniem standardu HTTP wersja 1.1 obsługującym zdalne udostępnianie
dokumentów za pośrednictwem protokołu HTTP. Readresator WebDAV zapewnia
obsługę istniejących aplikacji i umożliwia udostępnianie plików w Internecie
(na przykład za pośrednictwem zapór typu firewall lub ruterów) do serwerów
HTTP. Mechanizm Internet Information Services (IIS) wersja 5.0 (Windows 2000)
zapewnia obsługę folderów sieci Web.
Dostęp do folderów sieci Web można uzyskać w taki sam sposób, jak dostęp do udziałów plików. Aby odwzorować dysk sieciowy na folder sieci Web, można użyć polecenia Net Use lub Eksploratora Windows. Po połączeniu z folderem sieci Web można skopiować, zaszyfrować lub odszyfrować pliki dokładnie tak samo, jak w przypadku udziałów plików.
