- •2.Идентификатор безопасности (sid)
- •3. Маркеры и субъекты доступа. Олицетворение.
- •4. Диспетчер уз. Назначение. Виды…
- •5. Взломы паролей. Меры повышения защищенности паролей.
- •6. Защита компа во время запуска. Wsh
- •7. Dep, kpp, wpr, Изоляция сессий, aslr.
- •9. Редактор шаблонов.
- •10. Групповая политика
- •11. Родконтроль
- •12. AppLocker
- •13. Дескрипторы безопасности объекта. Dacl и acl.
- •14. Организация контроля доступа к объекту.
- •15. Особенности наследования
- •16. Efs, причины появления. Механизмы работы
- •17. Основные компоненты.
- •18. Особенности реализации функции KeyRecovery
- •19. Efs, особенности работы в сети операций копирования и перемещения
- •20. Tpm. Использование BitLocker
- •21. Принципы работы системы Bitlocker. Bitlocker to go
19. Efs, особенности работы в сети операций копирования и перемещения
хз че ему тут надо
С 2000 появилось новое СЗИ – Файловая система шифрования. Позволяет хранить файлы и папки в шифрованном виде.
EFS основывается на симметричной криптографии. У каждого юзера есть открытый ключ и личный ключ. ОС получает доступ к личному ключу только на время работы пользователя в системе. Личные и открытые ключи генерируются когда пользователь впервые воспользовался функцией шифрования. Они связываются с с SID и остаются неизменными на все время существования записи.
Сами файлы шифруются быстрым симметричным алгоритмом при помощи случайно сгенерированного файлового ключа шифрования файлов. Винда 2000 и XP использовали 128битный алгоритм DESX. Теперь дополнительно используется tripleDES, а по умолчанию является AES. При этом ключ шифрования далее сам шифруется с помощью ассиметричного алгоритма RSA на открытом ключе пользователя и записывается в спец. поле DDF (data decryption field). Начиная с XP можно работать с шифрованным файлов - полей ДДФ может быть несколько. Дальше это шифруется на открытом ключе и записывается в поле (DRF -data recover field).
EFS работает как драйвер на уровне ядра. Когда пользователь или приложение обращается к зашифрованному файлу драйверы NTFS вызывают EFS, которые осуществляют симметричное шифрование. Для ассиметричного шифрования ключа шифрования файла. EFS обращается к работающему на уровне пользователя базе криптографических служб микрософта. Обращение идет через локального администратора безопасности LSA.
ЕFS можно отключать и подключать с помощью параметра EFS configuration, после чего необходимо перезагрузить комп. При этом включении нельзя шифровать новые файлы и расшифровывать зашифрованные. ПРи этом сами ключи как личные, так и открытые, сохраняются и после включения ифс пользователи снова смогут работать с ранее зашифрованным файлом.
Процесс расшифровки начинается с расшифровки сеансового ключа шифрования, который может выполнить только пользователь, зашифровавший файл, так как личный ключ только у него. ЛК хранится либо на смарт-карте, либо в безопасной области памяти.Расшифрованный файловый ключ используется для расшифровки самого файла. Процесс восстановления аналогичен процессу шифровки с той разницей, что для расшифровки ФК используется личный ключ и используется поле DRF.
20. Tpm. Использование BitLocker
TPM
Микросхемы ставятся в матери компьютера и обеспечивают доверенную загрузку ОС. Используется начиная с висты и обеспечивает усиленную защиту данных, проверку целостности загрузочных файлов и определение производимых с диском манипуляций, когда он был отключен от сети. Способен создавать подлючения и шифровать. В частности, в нем хранится корневой ключ хранения Storage root Key. Это обеспечивает секретность. Ключи могут быть не только зашифрованы, но и sealed - изолированы или привязаны к параметрам конкретной платформы или компьютера. Расшифровка возможна если параметры платформы имеют те же значения, что и при создании ключа. TPM для обработки команд использует собственные микрокоманды и логические схемы, поэтому она независит от ОС и не подвержена уязвимости внешнего ПО. Оно может использоваться для кодирования-декодирования данных, сформированных вне TPM. Управление осуществляется через консоль (TPM managment). При его использовании необходима первоначальная инициализация модуля. Для включения необходим локальный доступ к компьютеру, а инициализация может выполняться удаленно. Она подразумевает установку прав собственности на TPM. Производится под локальным админом. При этом задается пароль владельца, чтобы доступ к модулю имел только владелец. Если TPM более не нужен, необходимо отключить и сбросить TPM. Это можно сделать удаленно, при этом необходимо указать либо путь к файлу и пароль, либо набрать его вручную. Сброс TPM завершает его отключение и возвращает заводские настройки, при этом теряются все созданные ключи и данные, защищенные с их помощью
Система bitlocker появилась с висты. Она в дополнение к шифрованию файлов позволяет шифровать и весь логический диск. Шифруется:
Все файлы ОС и приложений.
Реестр.
Файл подкачки.
Свободные сектора на диске.
Не шифруется:
Загрузочный сектор.
Поврежденные сектора.
Метаданные тома которые состоят из трех избыточных копий данных, используемых bitlocker, включающих статистическую инфу о томе и защищенных копиях некоторых ключей расшифровки.
Шифрование тома обеспечивает защиту от оффлайн-атак - обход ОС (кража компьютера, винта). Bitlocker использует новый американский стандарт с длинной ключа 128 бит. При помощи групповых политик длину ключа можно увеличить до 256 бит. Каждый сектор с томом шифруется отдельно, с учетом номера сектора. Сектора с одинаковыми шифрованными данными в шифрованном виде выглядят по разному. При шифровании дополнительно используется алгоритм -diffuser, в результате применения которого даже мельчайшие изменения исходного текста приводят к абсолютным изменениям всего сектора шифрованных данных. Сами сектора шифруются 256 битным ключом шифрования всего тома (полный ключ шифрования тома - full volume encryption key). Юзер с этим ключом непосредственно не работает и не имеет доступа. Ключ шифруется другим ключом, основным ключом (Volume master key - VMK) на 128битном варианте алгоритма AES. Он хранится в среде метаданных, так же шифруется на одном или нескольких ключах.