Использование EFS в домене Windows Server 2003

Published on Февраль 3, 2009 by   ·   Комментариев нет

Microsoft Encrypting File System (EFS — шифрование файловой системы) используется для шифрования данных на компьютерах с Windows 2000, XP и Server 2003 на основе сертификата открытого ключа. Если у вас нет инфраструктуры открытого ключа, то EFS может использовать собственный сертификат. Этот сертификат также используется на отдельно взятой машине. Использование EFS в домене с PKI более сложно. В этой статье рассматривается, как управлять и использовать EFS в домене Windows 2000 или Server 2003.

EFS и цифровые сертификаты

Для того, чтобы зашифровать файлы и папки с помощью EFS, пользователь должен иметь правильный сертификат X.509. Когда пользователь пытается зашифровать данные, EFS ищет в хранилище сертификатов сертификат для EFS. Если он его не находит, то EFS формирует собственный сертификат. Но при использовании собственных сертификатов могут возникать проблемы:

  • В отличие от сертификата, используемого сторонними организациями (CA), собственный сертификат основан на самодоверии. Т.к. зашифрованные файлы используются в этом случае только вами, то это не представляет особой проблемы, но эта проблема не единственная.
  • Если собственный ключ сертификата будет поврежден или удален, то файлы, которые были зашифрованы с его помощью, нельзя будет расшифровать. Пользователь не может запросить новый сертификат, как в случае с CA.

Примечание:
Из-за опасности потери данных в случае потери или повреждения ключа вы должны следить, чтобы все пользователи экспортировали свои ключи и всегда имели его копию на независимом носителе (защищенную паролем для безопасности). Для усиления безопасности вы можете удалить ключ из локальной системы после экспорта. Если ключ храниться в системе, то злоумышленник, который сможет взломать пароль пользователя, сможет расшифровать все зашифрованные данные. Если ключ хранится на независимом носителе, то все зашифрованные данные в этом случае по-прежнему останутся в безопасности, хотя в этом случае появляется некоторое неудобство в импорте ключа каждый раз, когда пользователь захочет расшифровать данные.

EFS и PKI

Хотя собственные сертификаты могут использоваться в домене, лучше все-таки использовать EFS только в среде PKI. Windows 2000 или 2003 server позволяют использовать встроенные службы сертификации. Вы можете интегрировать CA с Active Directory для автоматизации процесса запроса сертификатов.

Корпоративные возможности по сертификации CA основаны на шаблонах. Шаблоны хранятся в Active Directory. Они определяют атрибуты сертификации, которые используются для пользователей или компьютеров. Вы может задать права на шаблоны, если вы хотите оградить некоторых пользователей от получения EFS сертификатов. Также вы можете задавать целые группы пользователей, которые будут иметь права на шифрование данных. В этом случае вы можете запретить пользователям использовать разрешение Enroll для шаблона, и тем самым они будут не в состоянии получить сертификат EFS. Пользователи, у которых есть разрешение enroll, могут запрашивать сертификат EFS из CA.

Имеется также возможность использовать сертификаты сторонних организаций для EFS. Сертификаты должны быть совместимы с Personal Information Exchange (PKCS #12) и удовлетворять некоторым требованиям. CA сторонних организаций должны быть настроены на создание сертификатов, которые удовлетворяют этим требованиям. За более подробной информацией о сертификатах сторонних организации обратитесь к статье KB 273856 по ссылке http://support.microsoft.com/default.aspx?scid=kb;en-us;273856&sd=tech.

Переход на PKI

Если вы используете EFS в среде, в которой нет CA, а затем устанавливаете PKI, вам необходимо явно заменить собственный сертификат, который используют пользователи, на сертификат, созданный CA. Даже если CA создает новый сертификат, по умолчанию собственный сертификат будет по-прежнему использоваться до тех пор, пока пользователь не запросит новый сертификат, созданный CA, воспользовавшись командой cipher с ключом /k.

EFS в домене В дереве Windows пользователи могут хранить зашифрованные файлы на удаленных серверах. Удаленные файлы должны храниться общих сетевых папках или в WebDAV папках. Чтобы зашифровать удаленный файл в общей папке, удаленный сервер должен состоять в доверительных отношениях, до того как пользователи смогут зашифровать файлы. Это делается с помощью инструмента Active Directory Users and Computers. Обратитесь к ссылке http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/b742ce99-e53a-4bce-8bc5-f3f3fa89af9d.mspx за инструкциями. Затем, чтобы зашифровать файл на удаленном сервере, вам необходимо указать сетевой диск. Удаленное шифрование файлов может быть сделано только в домене.

Необходимо также заметить, что EFS шифрует только данные, хранящиеся на диске. Он не шифрует данные в момент передачи по сети. Для этих целей вы можете использовать IPsec. Также, если вы шифруете файл, а затем копируете или перемещаете его в папку WebDAV, во время передачи он остается зашифрованным.

Проблемы с EFS в домене

Существуют потенциальные проблемы, о которых вы должны знать перед тем, как соберетесь использовать EFS в домене. Например, пользователь должен иметь права на запись NTFS для файла, для того чтобы зашифровать его. Это означает, что если несколько пользователей имеют права на доступ к файлу, одни из них может зашифровать его, и тем самым сделать его недоступным для других.

Примечание:
Одна настройка в EFS для Windows XP/2003, по сравнению с Windows 2000, позволяет сделать так, чтобы несколько пользователей могли получить доступ к зашифрованному файлу. Для доступа к зашифрованному файлу все пользователи должны иметь сертификат EFS на компьютере, на котором он хранится.

Агент по восстановлению сертификата EFS в домене по умолчанию хранится на первом контролере домена в домене. Это важно помнить. Вы должны избежать ситуации, когда вы не можете расшифровать файл при удалении учетной записи пользователя.

Data Protection API (DPAPI) защищает закрытые ключи EFS с помощью других полномочий в Windows 2000/XP/2003. Если пользователь изменяет пароль для входа в домен с помощью удаленного телефонного или VPN соединения, мастер ключ DPAPI может быть не сразу создан для всех контролеров домена. В результате пользователь может получить сообщение об отказе в доступе при попытке доступа к локальным зашифрованным файлам после смены пароля. Эта проблема решается путем создания параметра реестра под названием ProtectionPolicy в

HKLM\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb.

Установите его значение равным 1.

Предупреждение:
Изменение реестра позволит пользователю получить доступ к зашифрованным файлам после удаленного изменения пароля, но этот также подвергает опасности учетную запись пользователя при атаке.

При использовании EFS в домене по умолчанию администратор первого контролера домена становится агентом по восстановлению. Вы должны создать новые учетные записи для агента по восстановлению и удалить роль агента по восстановлению из учетной записи администратора. Учетная запись агента по восстановлению должна использоваться по своему назначению.

Если ранее компьютер не входил в сеть, а затем был включен в домен, который использует CA для создания EFS сертификатов, то вы, возможно, не сможете открыть файлы, которые были зашифрованы собственным сертификатом после присоединения к домену. Для доступа к этим файлам вы должны зайти на компьютер под учетной записью локального пользователя.

Повышение безопасности EFS

Вы можете сделать EFS более безопасной на Windows XP и Server 2003 с помощью настройки EFS для использования алгоритма шифрования 3DES вместо DESX, используемого по умолчанию. Вы также можете подключить 3DES с помощью политики групп (Group Policy), в результате этого и EFS и Ipsec будут использовать 3DES. Если вы хотите использовать 3DES только для EFS, то вы должны отредактировать реестр и создать новый параметр DWORD под названием AlgorithmID в

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS

Установите его значение равным 0x6603 (hex), чтобы подключить 3DES для EFS и перезагрузите компьютер, чтобы изменения вступили в силу.

Примечание:
Windows 2000 не поддерживает использование 3DES для EFS. Но вы можете использовать 3DES в Windows 2000, если установите High Encryption Pack. Вы можете загрузить High Encryption Pack с сайта Microsoft Web по ссылке http://www.microsoft.com/windows2000/downloads/recommended/encryption/

Вы также должны знать о проблемах с безопасностью. К примеру, многие приложения создают временные файлы во время вашей работы. Эти временные файлы могут быть не зашифрованы. Вы можете исправить это, зашифровав папку, в которой приложение хранит свои временные файлы: при помещении файлов в эту папку они будут шифроваться автоматически.

Вы должны также знать, что приложения могут копировать содержимое зашифрованного файла в файл подкачки в процессе использования. Файл подкачки нельзя зашифровать, т.к. он является частью файловой системы. Данные могут оставаться в файле подкачки даже после того, как приложение закрывает файл, и неавторизованная персона может запустить компьютер под управлением другой операционной системы и прочитать содержимое файла подкачки. Чтобы избежать этого вы можете настроить локальную политику группы так, чтобы содержимое файла подкачки очищалось после перезагрузки. Это можно сделать в Shutdown: Clear Virtual Memory Pagefile policy в Computer Configuration | Windows Settings | Security Settings | Local Policies | Security Options.

Источник www.windowsecurity.com






Смотрите также:

Tags: , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]