Jedan od zadataka sistem administratora je upravljanje podacima u mreži organizacije. Da bi postigao ekstra nivo sigurnosti podataka, administrator mora, zajedno sa drugim stvarima, da razume šifrovanje na nivou fajlova.

U ovom modulu naučićete sve o Encryprting File System-u (EFS), pomoću kojeg možemo sigurno da smeštamo poverljive i osetljive podatke. Nakon kompletnog modula moći ćete da:

  • Opišete EFS i na koji način radi.
  • Implementirate EFS u Stand-Alone Microsoft Windows XP okruženju.
  • Planirate i implementirate EFS u domenskom okruženju koji koristi PKI infrastrukturu.
  • Implementirate EFS šerovanje fajlova.
  • Rešavate probleme koji se odnose na EFS.


NTFS dozvole nude jedan sloj sigurnosti za podatke koji su smešteni na kompjuteru koji se nalazi na mreži. Možemo da dodamo još jedan sloj sigurnosti šifrovanjem tih podataka korišćenjem Encrypting File System-a (EFS). Kada su fajlovi šifrovani, podaci su zaštićeni čak i ako uljez ima kompletan pristup kompjuteru na kojem se fajlovi nalaze. U ovoj lekciji naučićete kako EFS funkcioniše.

 

Šta je EFS?

Autentifikacija i sigurni fajl sistemi su korisni sigurnosni slojevi, ali napadač može da zaobiđe ove sigurnosne slojeve. Napadač koji poseduje fizički pristup kompjuteru može da pristupi šerovanom (deljenom) sistemu tako što može da reinstalira operativni sistem, i samim tim dobije administratorske privilegije za podatke koji se nalaze na kompjuteru. Napadač, takođe, može da ukrade kompjuter, ukloni hard disk, instalira hard disk na drugom sistemu, i pristupi svim smeštenim fajlovima. Da bi sprečio napadača da pristupi podacima na ove načine, Microsoft je predstavio EFS sa Windows 2000 operativnim sistemom. Fajlovi koji su enkriptovani koristeći EFS vide se kao nerazumljivi karakteri kada napadač ne poseduje ključ kojim može da dešifruje fajlove. EFS je još više unapređen u Windows Server 2003 i Windows XP sistemima.


EFS karakteristike

EFS poseduje sledeće karakteristike:

  • EFS nudi šifrovanje na nivou fajlova za fajlove koji su kreirani na NTFS volumenima.
  • Defoltna konfiguracija EFS ne zahteva dodatni posao za administratora jer korisnici mogu da počnu sa šifrovanjem odmah.
  • Da bi šifrovao fajl, EFS koristi par ključeva (javni i privatni) koji su jedinstveni za specifične sigurnosne subjekte.


EFS karakteristike u Windows Server 2003 i Windows XP: U Windows Server 2003 i Windows XP, EFS poseduje sledeće karakteristike:

  • Možemo da autorizujemo dodatne korisnike koji će moći da pristupaju fajlovima. Da bi ovo odradili korisnikovi javni ključevi moraju da budu smešteni na kompjuteru na kojem se nalaze šifrovani fajlovi.
  • Možemo da šifrujemo offline fajlove. Kada omogućimo offline fajlove, možemo da izaberemo lokalne kopije mrežnih fajlova. Ova karakteristika podržava šifrovanje i dešifrovanje cele offline baze podataka.
  • Možemo da koristimo sigurniji Triple Data Encryption Standard (3DES) algoritam umesto Extended Data Encryption Standard (DESX) algoritma. Defoltni nivo šifrovanja za Windows Server 2003 i Windows XP Service Pack 1 ili novije operativne sisteme je Advanced Encryption Standard (AES). Da bi konfigurisali 3DES šifrovanje, potrebno je omogućimo sigurnosni šablon System Cryptography: Use FIPS compilant algorithms for encryption, hashing and signing.
  • Možemo da koristimo Password-reset disk za bekapovanje lozinki na Recovery disk. Ovaj disk posle možemo da koristimo za ispravljanje lozinke, koja nam omogućava da pristupimo šifrovanim fajlovima čak i kada smo zaboravili našu lozinku. Ova karakteristika se može koristiti samo u Workgroup mrežama.
  • EFS čuva enkripciju kada se fajlovi šalju preko mreže koristeći WebDAV. Web folder karakteristika u Windows 2000, Windows XP i Windows Server 2003 koristi WebDAV.
  • EFS dozvoljava pristup Data Recovery agentima (DRAs) i Key Recovery agentima (KRAs). DRA je određeni korisnik čiji se sertifikat koristi za šifrovanje File Encryption ključa kao dodatak korisničkog ključa za šifrovanje (Encrypting users Key). Ako je korisnikov ključ izgubljen, DRA može da dešifruje fajl. U Windows 2000, DRA mora da se posebno odredi, ili EFS neće hteti da šifruje fajlove. U Windows XP i Windows Server 2003, DRAs su izborni. Ovo dozvoljava viši nivo sigurnosti, ali takođe povećava i rizik gubljena podataka u slučaju gubitka privatnog ključa. KRA ne može da pristupi odmah korisničkim šifrovanim podacima, ali on može da oporavi korisnikove ključeve i može da ih pošalje korisniku. Takođe KRAs mogu ovu mogućnost da iskoriste za sebe tako da je od ključne važnosti da KRAs budu ljudi od poverenja.
  • Windows XP i Windows Server 2003 poseduju nekoliko korisnih dodataka. Sada možemo da vidimo Encryption Properties fajla koristeći Windows Explorer. Ranije, u Windows 2000, alatka sa komandne linije Efsinfo koja se nalazi u Windows 2000 Resource KIT-u je bila potrebna da bi se odredilo koji korisnik je šifrovao fajl i ko je DRA.
  • Sertifikati mogu automatski da se obnavljaju i to više ne moraju da rade korisnici. 

 

Kako radi EFS?

EFS u Windows Server 2003 je kombinacija korisničkog moda Dynamic Link Libraries (DLLs) i kernel mode drajvera koji rade u dogovoru sa NTFS-om da bi omogućili EFS.

Kao dodatak, EFS drajver radi zajedno (closely) sa NTFS fajl sistem drajverom. Kada NTFS obeleži šifrovani fajl, NTFS aktivira kriptografske funkcije u EFS drajveru. EFS drajver šifruje i dešifruje fajlove kada aplikaciji treba pristup fajlu. Da bi pomogli šifrovanje i dešifrovanje fajlova, EFS se zasniva na ugrađenim kriptografskoj podršci u Windows Server 2003 sistemu.

Kako radi EFS?

Sledeći koraci opisuju funkcionisanje EFS-a:

  1. Kada korisnik šifruje fajl prvi put, EFS traži sertifikat za EFS u lokalnoj bazi sertifikata.
  2. Ako je sertifikat za EFS dozvoljen (dostupan) i fajl je označen za šifrovanje, EFS generiše random broj, koji se naziva File Encryption Key (FEK), za fajl. EFS koristi FEK da bi šifrovao sadržaj fajla sa DESX, 3DES ili AES algoritmom. Ako ne postoji sertifikat za EFS, EFS zahteva sertifikat za korisnika od Online Certification Authoroty CA. Ako ne postoji online CA, EFS generiše self-signed sertifikat.
  3. EFS tada uzima javni ključ korisnikovog sertifikata koji je obeležen za korišćenje sa EFS-om i šifruje FEK koristeći Rivest, Shamir, Adleman (RSA) public key-based Encryption Algorithm.


U određenim situacijama možda ćemo želeti da nekoliko korisnika poseduje pristup FEK-u. Na primer, možda imamo dva korisnika koji treba da sarađuju na visoko osetljivom dokumentu. Mogućnost da dozvolimo da nekoliko korisnika koristi šifrovani fajl ispoljava se kroz EFS File Sharing (EFS deljenje fajlova). EFS deljenje fajlova dozvoljava da FEK bude šifrovan javnim ključem  svakog korisnika koje smo odredili da mogu da dešifruju fajl. FEK koji je šifrovan sa korisnikovim javnim ključem je smešten u DDF-u. 

 

EFS ograničenja

Iako EFS nudi ekstra nivo sigurnosti za fajlove koji su smešteni na hard disku kompjutera, takođe postoje određeni rizici prlikom izgradnje EFS-a.


 
Potencijalno gubljenje podataka

Šifrovani podaci poseduju opasnot gubljenja podataka. Fajlovi su šifrovani koristeći javni ključ jednog ili više korisnika. Svi pristupi podacima biće izgubljeni ako je privatni ključ koji odgovara javnom ključu izgubljen. Na primer, ako reinstaliramo operativni sistem i nemamo bekap našeg korisničkog profila (user profile), pristup privatnom ključu i važnim podacima može biti izgubljen. Ili ako se pokvari hard disk na kompjuteru, i jedina kopija privatnog ključa se nalazi na tom hard disku, nećemo biti u mogućnosti da dešifrujemo šifrobane podatke sa korisnikovim javnim ključem.

Ovaj rizik potencijalno raste u Windows Server 2003 i Windows XP sistemima zbog toga što ovi operativni sistemi ne zahtevaju obavezno posedovanje DRA pre enkriptovanja (šifrovanja) fajlova. Ako nemamo Recovery Agente, niko neće moći da oporavi šifrovane fajlove u slučaju gubitka privatnog ključa. Možemo da se zaštitimo od ovih problema eksportovanjem privatnog ključa i smeštanjem kopije na sigurnu lokaciju.

Zavisi od sigurnosti lozinke: Privatni ključevi koji se koriste za dešifrovanje se smeštaju samo na korisnikovom kompjuteru. Napadač koji poseduje fizički pristup kompjuteru možda će moći da pogodi korisnikovu lozinku i pristupi privatnom ključu. Ovaj rizik možemo da zaobiđemo konfiguracijom kompleksnih lozinki.

Komplikovano deljenje fajlova (sharing): Korišćenje EFS-a može da iskomplikuje deljenje fajlova između korisnika. U Windows Server 2003 i Windows XP, administrator može da dozvoli da nekoliko korisnika pristupa šifrovanim fajlovima, ali ovo zahteva dodatno opterećenje i dodatni trening za korisnike. Takođe, javni ključevi svakog korisika kojem će biti dozvoljeno da pristupa šifrovanim fajlovima moraju biti dostupni na klijentskom kompjuteru kada šifruje fajl. Korišćenjem PKI integrisanim sa aktivnim direktorijumom, administrator može da učini dostupnim javne ključeve svih korisnika u celoj šumi.

Ne štiti mrežni saobraćaj: EFS samo šifruje fajl kada je napisan na lokalnom hard disku na klijnetskom kompjuteru ili na serveru. On ne štiti mrežni saobraćaj prilikom slanja kroz mrežu. Da bi ovo odradili potrebno je da implementiramo File Sharing koristeći WebDAV.

Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Upoznavanje sa EFS-om 1
  • Upoznavanje sa EFS-om 2
  • Upoznavanje sa EFS-om 3
  • Upoznavanje sa EFS-om 4