Набор средств шифрования данных для мобильных ПК — анализ безопасности

Глава 3. Шифрованная файловая система (EFS)

Опубликовано 4 апреля 2007

Операционные системы Microsoft® Windows® XP и Windows Vista™ позволяют защищать данные и восстанавливать их с помощью шифрованной файловой системы (EFS). Файловая система EFS — это технология шифрования данных, применяемая к отдельным файлам или всем файлам в конкретной папке. Файлы EFS невозможно расшифровать без соответствующих данных ключа. Кроме того, необходимо отметить, что, в отличие от технологии шифрования диска Microsoft BitLocker™ (BitLocker), файловую систему EFS нельзя применять к файлам, необходимым для загрузки операционной системы.

Хотя технология BitLocker обеспечивает шифрование всех данных на системном томе, файловая система EFS обеспечивает большую точность и гибкость при настройке параметров шифрования для одного или нескольких пользователей компьютера. Например, файловую систему EFS можно использовать для шифрования файлов данных в сети, доступ к которым имеет множество различных пользователей, что невозможно сделать с помощью технологии BitLocker.

Файловая система EFS шифрует данные каждого пользователя с помощью ключа, доступного только самому пользователю и авторизованным агентам восстановления. Злоумышленник, получивший копии файлов, не сможет их прочитать, пока не получит данные ключа или не скопирует файлы напрямую из исходного местоположения в другое, используя учетную запись пользователя, который зашифровал файлы.

На этой странице

Файловая система EFS в Windows XP Файловая система EFS в Windows Vista Режим EFS: EFS с программным хранилищем ключей Режим EFS: EFS с использованием смарт-карт Технология EFS: сводный анализ рисков Дополнительные сведения

Файловая система EFS в Windows XP

Хотя файловая система EFS была доступна еще в Windows 2000, ее реализация в Windows XP и Windows Server® 2003 предлагает важные дополнительные возможности, в том числе:

• улучшенные возможности восстановления;

• полная поддержка проверки отзыва сертификатов, используемых при предоставлении общего доступа к зашифрованным файлам;

• упрощение поиска и проверки защищенных файлов благодаря изменению пользовательского интерфейса в проводнике Windows;

• поддержка зашифрованных автономных папок в Windows XP;

• поддержка нескольких пользователей для зашифрованных файлов;

• поддержка поставщиков служб шифрования повышенной стойкости корпорации Майкрософт;

• сквозное шифрование с использованием файловой системы EFS через протокол WebDAV.

Дополнительные сведения об улучшениях файловой системы EFS для Windows XP см. в статье Шифрованная файловая система (EFS) в Windows XP и Windows Server 2003.

Во всех сценариях с использованием файловой системы EFS, описанных в данной главе, вошедший в систему пользователь может включить шифрование файлов и папок в окне Дополнительные атрибуты проводника Windows.

Рис. 3.1. Диалоговое окно "Дополнительные атрибуты" Windows XP

Если файл в папке шифруется впервые, появляется запрос о том, следует ли зашифровать только выбранный файл или всю папку.

Организации, которым требуется повышенный контроль над областью действия политики шифрования EFS, могут централизованно управлять файловой системой EFS с помощью объектов групповой политики для автоматического распространения сценариев, использующих служебную программу Cipher.exe для настройки шифрования во всей организации.

Примечание.

Оба режима работы файловой системы EFS (программный и с использованием смарт-карт) требуют наличия соответствующего сертификата для выполнения каждой операции. Например, режим файловой системы EFS с использованием смарт-карт требует наличия смарт-карты для каждой операции шифрования и расшифровки. Это не позволяет пользователям случайно зашифровать файлы с использованием сертификата, для которого отсутствует закрытый ключ, поскольку сертификат нельзя использовать для шифрования, если закрытый ключ недоступен.

К началу страницы

Файловая система EFS в Windows Vista

Файловая система EFS доступна в выпусках Windows Vista Business, Enterprise и Ultimate. Кроме того, она будет включена в выпуск Windows Server с кодовым именем "Longhorn". В системе Windows Vista в файловую систему EFS внесены важные дополнительные улучшения, в том числе следующие:

• использование для шифрования EFS ключей шифрования, хранящихся на смарт-картах;

• создание и выбор сертификатов для EFS с помощью мастера;

• перенос файлов со старой смарт-карты на новую с помощью мастера;

• шифрование системного файла подкачки при включенной файловой системе EFS;

• новые параметры групповой политики, позволяющие администраторам определять и внедрять политики организации, касающиеся EFS. Эти параметры позволяют требовать смарт-карты для EFS, принудительно шифровать файл подкачки, задавать минимальную длину ключа для EFS и принудительно шифровать папки пользователей "Мои документы".

• Улучшенная функциональность и возможность точного управления возможностями EFS в Windows Vista отражены в новом пользовательском интерфейсе.

Рис. 3.2. Интерфейс управления EFS в Windows Vista

Далее в этой главе описаны два режима работы файловой системы EFS и уровни защиты, обеспечиваемые ими.

К началу страницы

Режим EFS: EFS с программным хранилищем ключей

Для использования этого режима EFS требуется только компьютер с Windows XP или Windows Vista.

Логическая последовательность процесса шифрования EFS в данном режиме показана на рисунке ниже.

Рис. 3.3. Процесс шифрования EFS

Ниже описаны этапы процесса шифрования, показанные на рисунке.

1. Пользователь создает файл в зашифрованной папке.

2. Случайным образом создается симметричный ключ шифрования файлов.

3. Операционная система проверяет хранилище сертификатов пользователя на наличие сертификата, имеющего соответствующие флаги использования ключа. Если такой сертификат отсутствует, он создается автоматически.

4. Для шифрования и хранения закрытого ключа, связанного с сертификатом пользователя, используется интерфейс DPAPI.

5. Ключ шифрования файлов шифруется с помощью открытого ключа сертификата и хранится в метаданных файла.

6. Ключ шифрования файлов используется для шифрования каждого блока данных.

7. Зашифрованные блоки записываются на диск.

Логическая последовательность процесса расшифровки EFS в данном режиме показана на рисунке ниже.

Рис. 3.4. Процесс расшифровки EFS

Ниже описаны этапы процесса расшифровки, показанные на рисунке.

1. Учетные данные пользователя для входа в систему проверяется либо локально, либо контроллером домена.

2. Пользователь пытается получить доступ к зашифрованному файлу.

3. Интерфейс DPAPI используется для загрузки закрытого ключа, связанного с сертификатом пользователя X.509. Этот ключ расшифровывается с помощью ключа, полученного на основе учетных данных пользователя.

4. Ключ шифрования файлов загружается из файла и расшифровывается с помощью закрытого ключа, полученного на предыдущем этапе.

5. Ключ шифрования файлов используется для расшифровки каждого блока файла при его запросе.

6. Расшифрованные данные передаются запросившему их приложению.

Дополнительные сведения о реализации файловой системы EFS см. в технической справке по шифрованной файловой системе.

Снижение рисков: EFS с программным хранилищем ключей

Этот режим файловой системы EFS позволяет снизить указанные ниже риски.

• Сотрудник организации может прочитать зашифрованные данные. Преимущество файловой системы EFS по сравнению с BitLocker заключается в том, что ключи шифрования хранятся в безопасном хранилище ключей, защищенном учетными данными пользователя. В данной конфигурации в качестве учетных данных выступает пароль. Таким образом, другие полномочные пользователи компьютера могут входить в систему как интерактивно, так и по сети, но не будут иметь доступа к конфиденциальным файлам на компьютере, которые пользователь защитил с помощью файловой системы EFS, если он отдельно не предоставит им доступ к этим файлам.

• Обнаружение ключей с помощью автономной атаки. Если целью злоумышленника является ключ (например ключ шифрования файлов или главный ключ DPAPI), а не пароль пользователя, ключ восстановления EFS (который является закрытым ключом для используемых файловой системой EFS сертификатов) или главный ключ DPAPI можно найти методом перебора. Эта угроза не должна волновать большинство организаций в силу сложности осуществления подобной атаки из-за стойкости ключей, используемых EFS.

• Утечка незашифрованных данных через системный файл подкачки (только для Windows Vista). Windows Vista предоставляет возможность шифрования содержимого системного файла подкачки, что позволяет устранить возможный источник утечки данных. Эта функция была специально разработана для защиты ключей EFS в Windows Vista, таких как главный ключ DPAPI (см. следующий раздел), в процессе их использования на компьютере. Она также позволяет снизить риск доступности незашифрованных данных в файле подкачки при его использовании каким-либо приложением. Ключи шифрования, используемые для шифрования файла подкачки, являются временными и создаются в подсистеме LSA. Они не создаются на основе учетных данных пользователя, применяемых для входа в систему, или сертификата X.509. После выключения (или сбоя) компьютера данные из зашифрованного файла подкачки невозможно восстановить или прочитать любым известным способом за исключением перебора.

Другие риски и их снижение: EFS с программным хранилищем ключей

Данный режим EFS не позволяет снизить указанные ниже риски без применения дополнительных средств управления и политик.

• Компьютер оставлен в режиме гибернации. Как и при использовании BitLocker, если пользователь не настроил компьютер на запрос пароля при выходе из спящего режима или режима гибернации, операционная система не сможет определить, является ли текущий пользователь полномочным. В подобной ситуации злоумышленник может воспользоваться переносным компьютером от лица полномочного пользователя. Одним из наиболее вероятных видов атаки является копирование интересующих злоумышленника данных на съемный носитель или на сетевой диск. Однако если компьютер настроен на запрос учетных данных пользователя при выходе из спящего режима или режима гибернации, этот риск снижается.

• Компьютер оставлен в спящем (ждущем) режиме. Используется способ снижения риска, описанный выше.

• Пользователь не вышел из системы, компьютер разблокирован. После входа пользователя в систему его учетные данные можно применять для расшифровки сертификатов, используемых для EFS. С этого момента незашифрованные данные может получить любой пользователь, имеющий доступ к клавиатуре. Наиболее надежным способом снижения данного риска является обучение пользователей, на компьютерах которых имеются конфиденциальные данные, основам безопасности.

• Обнаружение локального пароля или пароля домена. В этой конфигурации ключи файловой системы EFS расшифровываются в последовательности, которая начинается с ключа, полученного на основе пароля пользователя. Таким образом, шифрование EFS вскрывается при разглашении пароля пользователя. Этот риск можно снизить, реализовав политику надежных паролей, которая позволяет предотвратить некоторые атаки (например атаки перебором по словарю), а также проинформировав пользователей о важности защиты паролей.

• Автономные атаки на операционную систему. Файловая система EFS не обеспечивает защиты операционной системы или ее файлов конфигурации в случае автономной атаки.

• Сетевые атаки на операционную систему. Риск сетевых атак на операционную систему не снижается при использовании данного режима. Злоумышленник, которому удастся выполнить в операционной системе соответствующий код, сможет похитить ключи шифрования.

• Утечка незашифрованных данных через файл гибернации. Файловая система EFS не защищает системный файл гибернации. Этот риск можно снизить путем обновления до Windows Vista и использования технологии BitLocker либо путем отключения режима гибернации.

  Важно!

  Отключение режима гибернации снижает удобство использования мобильных ПК. Этот способ снижения риска подходит для компьютеров, на которых хранятся чрезвычайно важные данные, но обычно более приемлемо использовать другие способы.

• Утечка незашифрованных данных через системный файл подкачки (только для Windows XP). В Windows XP файловая система EFS не позволяет шифровать системные файлы, в том числе и системный файл подкачки. Это ограничение означает, что если доступ к конфиденциальным данным осуществляется через какое-либо приложение, данные могут записываться на диск в процессе обычных операций с файлом подкачки. Этот риск можно снизить путем обновления до Windows Vista или отключения на компьютере файла подкачки.

  Важно!

  Отключение файла подкачки, как правило, приводит к снижению производительности компьютера, в некоторых случаях значительному.

• Атаки на платформу. Компьютер, на котором используется файловая система EFS с программным хранилищем ключей, хранит ключи EFS на диске и в оперативной памяти. Атака на платформу с использованием прямого доступа к памяти или иных действий с оборудованием позволяет восстановить данные ключа.

• Необходимое средство проверки подлинности оставлено на компьютере или рядом с ним. В этом случае отсутствует дополнительный фактор проверки подлинности. Единственным фактором проверки подлинности является пароль пользователя для входа в систему или в сеть.

• Ошибка пользователя. Пользователи не должны сохранять файлы, содержащие конфиденциальные данные, в папки, для которых не включена файловая система EFS. В Windows Vista этот риск частично снижен, поскольку существует параметр конфигурации EFS, позволяющий шифровать все файлы в папке "Документы". Эта функция обеспечивает шифрование всех файлов и каталогов пользователя. Этот риск также можно снизить при использовании средства Microsoft Encrypting File System Assistant (входит в состав данного решения Solution Accelerator) для автоматизации защиты файлов пользователей с помощью EFS.

К началу страницы

Режим EFS: EFS с использованием смарт-карт

Различные версии Windows предоставляют различные возможности для улучшения функций безопасности файловой системы EFS. Сведения о возможностях операционных систем приведены в последующих подразделах.

Windows XP и вход в систему со смарт-картой

Вход со смарт-картой — это параметр пользователя домена, настраиваемый с помощью службы каталогов Active Directory®, который требует от пользователя использовать смарт-карту для входа с учетной записью домена. Основной риск для файловой системы EFS заключается в том, что в случае раскрытия пароля пользователя злоумышленник сможет войти в систему с этой учетной записью и получить доступ к любым данным на компьютере, в том числе к данным, защищенным с помощью EFS.

Параметр политики Active Directory, требующий смарт-карту для входа в систему, значительно повышает безопасность учетной записи, а следовательно, безопасность данных, защищенных с помощью EFS. Этот параметр также позволяет защитить зашифрованные данные от автономных атак, поскольку он повышает стойкость ключа, используемого EFS для шифрования DPAPI. DPAPI создает ключ на основе учетных данных пользователя.

Существует два варианта требования входа в систему с помощью смарт-карт: для каждого пользователя и для каждого компьютера. В каждом режиме можно включить или принудительно использовать такой вход в систему. Между этими режимами имеется ряд важных отличий в плане безопасности; часть из них приведена ниже.

• При принудительном входе в систему с помощью смарт-карт для каждого пользователя исходный ключ имеет значительно большую стойкость, чем обычный пароль. Вместо подбора пароля перебором по словарю злоумышленнику потребуется методом перебора определить закрытый ключ, который при достаточной длине практически невозможно взломать, используя современные технологии.

• Принудительный вход в систему с помощью смарт-карт для каждого компьютера в некотором роде обеспечивает большую безопасность, чем вход в систему с помощью только одного пароля, поскольку при этом используется дополнительный фактор проверки подлинности. Однако при входе в систему с помощью смарт-карт для каждого компьютера смарт-карты используются только для проверки подлинности при входе в систему. Злоумышленник, получивший зашифрованный главный ключ DPAPI, сможет выполнить перебор за меньшее время, чем потребуется для перебора главного ключа DPAPI, защищенного смарт-картой для входа в систему каждого пользователя.

Включение каждого режима входа в систему с помощью смарт-карт без их принудительного использования не является эффективной мерой обеспечения безопасности, поскольку при этом пользователь может не использовать смарт-карту.

Дополнительные сведения о DPAPI и влиянии входа в систему с помощью смарт-карт на ключи DPAPI см. в статье MSDN Защита данных Windows.

Примечание.

Предполагается, что смарт-карты используются с неочевидным ПИН и реализована блокировка ПИН для защиты от его подбора.

Процесс шифрования EFS с использованием смарт-карт в Windows XP показан на рисунке ниже.

Рис. 3.5. Последовательность шифрования EFS с использованием смарт-карт для Windows XP

Ниже описаны этапы процесса шифрования, показанные на рисунке.

1. Пользователь создает файл в зашифрованной папке.

2. Случайным образом создается симметричный ключ шифрования файлов.

3. Операционная система проверяет хранилище сертификатов пользователя на наличие сертификата, имеющего соответствующие флаги использования ключа. Если такой сертификат отсутствует, он создается автоматически.

4. Для шифрования и хранения закрытого ключа, связанного с сертификатом пользователя, используется интерфейс DPAPI. Такое шифрование является более стойким, чем используемое в предыдущем режиме, поскольку при принудительном входе в систему с помощью смарт-карт применяется значительно более надежный пароль.

5. Ключ шифрования файлов шифруется с помощью открытого ключа сертификата и хранится в метаданных файла.

6. Ключ шифрования файлов используется для шифрования каждого блока данных.

7. Зашифрованные блоки записываются на диск.

Процесс расшифровки EFS с использованием смарт-карт в Windows XP показан на приведенном ниже рисунке.

Рис. 3.6. Последовательность расшифровки EFS с использованием смарт-карт для Windows XP

Ниже описаны этапы процесса расшифровки, показанные на рисунке.

1. Учетные данные пользователя для входа в систему с использованием смарт-карт проверяется либо локально, либо контроллером домена.

2. Пользователь пытается получить доступ к зашифрованному файлу.

3. Правильный закрытый ключ загружается из хранилища DPAPI пользователя, а DPAPI расшифровывает его с помощью ключа, полученного на основе надежного случайного пароля пользователя, применяемого к учетной записи пользователя при включенном параметре Вход со смарт-картой.

4. Ключ шифрования файлов загружается из файла и расшифровывается с помощью закрытого ключа, полученного на предыдущем этапе.

5. По мере считывания приложением каждого блока файла он расшифровывается с помощью ключа шифрования файлов, а затем передается запросившему его приложению.

Windows Vista и файловая система EFS с использованием смарт-карт

Windows Vista предоставляет новые широкие возможности, повышающие безопасность и удобство использования файловой системы EFS благодаря более тесной интеграции с технологией смарт-карт. В Windows XP вход в систему с помощью смарт-карт используется ненапрямую благодаря улучшению возможностей ключей DPAPI. В то же время в Windows Vista смарт-карты можно использовать напрямую для шифрования файлов с помощью файловой системы EFS. Новые возможности не требуют от пользователя входить в систему с помощью смарт-карты, хотя этот вариант также можно использовать. Вместо этого пользователю предлагается вставить смарт-карту и ввести ПИН, если файловая система EFS настроена на использование смарт-карт.

Очевидная реализация файловой системы EFS со смарт-картами заключается в прямом шифровании ключа шифрования файлов с помощью открытого ключа и расшифровке ключа шифрования файлов с помощью закрытого ключа, соответствующего сертификату, который хранится на смарт-карте. Хотя такой подход является весьма простым и безопасным, он приводит к снижению производительности, поскольку каждая операция расшифровки закрытого ключа требует взаимодействия со смарт-картой, а ЦП смарт-карты работает крайне медленно по сравнению с ЦП компьютера.

Другая проблема, связанная с данной очевидной реализацией, заключается в необходимости постоянного наличия смарт-карты, поскольку при каждой попытке расшифровки файла для расшифровки ключа шифрования файлов требуется закрытый ключ. Для повышения производительности и удобства использования файловой системы EFS с использованием смарт-карт EFS по умолчанию получает симметричный ключ на основе закрытого ключа, хранящегося на смарт-карте, и использует его для расшифровки и шифрования ключей шифрования файлов, связанных с зашифрованными файлами. В конфигурации по умолчанию полученный симметричный ключ кэшируется операционной системой, поэтому для последующих операций шифрования или расшифровки не требуются смарт-карты и соответствующие закрытые и открытые ключи.

Возможность создания симметричного ключа и его кэширования определяется значением параметра Создать по смарт-карте ключ пользователя, допускающий кэширование (рис. 3.2, "Интерфейс управления EFS в Windows Vista"). Если этот параметр отключен, симметричный ключ не создается и не кэшируется, а ключ шифрования файлов шифруется и расшифровывается напрямую с помощью смарт-карт. В данном руководстве для описания двух различных рабочих режимов с уникальными характеристиками безопасности используются термины режим кэширования ключей и режим без кэширования ключей.

Режим кэширования ключей

В режиме кэширования ключей созданный симметричный ключ кэшируется и хранится операционной системой в защищенной области памяти LSA до истечения срока действия кэша, который можно настроить. Срок действия кэша по умолчанию составляет восемь часов простоя системы. Любая операция с использованием созданного ключа приведет к сбросу отсчета срока действия. Также можно настроить очистку кэша ключей EFS при блокировке компьютера или извлечении смарт-карты. Режим кэширования ключей значительно повышает производительность и позволяет администратору настроить файловую систему EFS таким образом, чтобы зашифрованные файлы можно было шифровать и расшифровывать при отсутствии смарт-карты в устройстве чтения.

Примечание.

Дополнительные сведения о реализации режима кэширования в Windows Vista см. в Руководстве по безопасности Windows Vista.

Процесс шифрования EFS в режиме кэширования ключей показан на рисунке ниже.

Рис. 3.7. Последовательность шифрования EFS для Windows Vista с использованием смарт-карт (в режиме кэширования)

Ниже описаны этапы процесса шифрования, показанные на рисунке.

1. Пользователь создает файл в зашифрованной папке.

2. При выполнении одного из указанных ниже условий пользователю будет предложено вставить смарт-карту и ввести ПИН.

   • Пользователь не вошел в систему с помощью смарт-карты.

   • Пользователь не использовал смарт-карту для доступа к файлу EFS в последнее время.

   • ПИН смарт-карты не был кэширован с момента последней операции с файловой системой EFS, либо кэш ПИН был очищен вследствие бездействия.

3. Случайным образом создается ключ шифрования файлов.

4. Симметричный ключ создается на основе закрытого ключа смарт-карты при выполнении одного из следующих условий:

   • шифруется первый файл;

   • созданный ключ отсутствует в кэше.

5. Ключ шифрования файлов шифруется с помощью созданного симметричного ключа и хранится в метаданных файла.

6. Созданный симметричный ключ кэшируется в защищенной области памяти LSA.

7. Ключ шифрования файлов используется для шифрования каждого блока данных.

8. Зашифрованные блоки записываются на диск.

Процесс расшифровки EFS в режиме кэширования ключей показан на рисунке ниже.

Рис. 3.8. Последовательность расшифровки EFS с использованием смарт-карт для Windows Vista (в режиме кэширования)

Ниже описаны этапы процесса расшифровки, показанные на рисунке.

1. Пользователь пытается получить доступ к зашифрованному файлу.

2. При выполнении одного из указанных ниже условий пользователю будет предложено вставить смарт-карту и ввести ПИН.

   • Пользователь не вошел в систему с помощью смарт-карты.

   • Пользователь не использовал смарт-карту для доступа к файлу EFS в последнее время.

   • ПИН смарт-карты не был кэширован с момента последней операции с файловой системой EFS, либо кэш ПИН был очищен вследствие бездействия.

3. Симметричный ключ создается на основе закрытого ключа смарт-карты, если он еще не был кэширован. После первого использования созданный ключ кэшируется в защищенной области памяти LSA.

4. Ключ шифрования файлов загружается из файла и расшифровывается с помощью созданного симметричного ключа.

5. По мере считывания приложением каждого блока файла он расшифровывается с помощью ключа шифрования файлов, а затем передается запросившему его приложению.

Режим без кэширования ключей

Процесс шифрования EFS в системе Windows Vista при работе EFS в режиме без кэширования ключей показан на приведенном ниже рисунке.

Рис. 3.9. Последовательность шифрования EFS с использованием смарт-карт для Windows Vista (без кэширования ключей)

Ниже описаны этапы процесса шифрования, показанные на рисунке.

1. Пользователь создает файл в зашифрованной папке.

2. Если смарт-карта пользователя отсутствует в устройстве чтения, пользователю предлагается вставить смарт-карту.

3. Случайным образом создается симметричный ключ шифрования файлов.

4. Ключ шифрования файлов шифруется с помощью открытого ключа сертификата и хранится в метаданных файла.

5. По мере записи приложением каждого блока данных он шифруется с помощью ключа шифрования файлов.

6. Зашифрованный блок записывается на диск.

Процесс расшифровки EFS без кэширования ключей показан на приведенном ниже рисунке.

Рис. 3.10. Последовательность расшифровки EFS с использованием смарт-карт для Windows Vista (без кэширования ключей)

Ниже описаны этапы процесса расшифровки, показанные на рисунке.

1. Пользователь пытается получить доступ к зашифрованному файлу.

2. Если смарт-карта пользователя отсутствует в устройстве чтения, пользователю предлагается вставить смарт-карту. При выполнении одного из указанных ниже условий пользователю будет предложено ввести ПИН.

   • Пользователь не вошел в систему с помощью смарт-карты.

   • Пользователь не использовал смарт-карту для доступа к файлу EFS в последнее время.

   • ПИН смарт-карты не был кэширован с момента последней операции с файловой системой EFS, либо кэш ПИН был очищен вследствие бездействия.

3. Из файла загружаются метаданные EFS, а зашифрованный ключ шифрования файлов передается смарт-карте.

4. Смарт-карта расшифровывает метаданные для получения ключа шифрования файлов, который затем возвращается операционной системе.

5. По мере считывания приложением каждого блока файла он расшифровывается с помощью ключа шифрования файлов, а затем передается запросившему его приложению.

Снижение рисков: EFS с использованием смарт-карт

Файловая система EFS со смарт-картами позволяет снизить указанные ниже риски.

• Компьютер оставлен в режиме гибернации (только для режима без кэширования ключей в Windows Vista). Windows Vista может требовать проверки подлинности с помощью смарт-карты каждый раз при доступе к файлу, защищенному EFS. Данный режим работы позволяет эффективно снизить этот риск (в отличие от используемого по умолчанию режима кэширования ключей смарт-карт).

• Компьютер оставлен в спящем (ждущем) режиме (только для режима без кэширования ключей в Windows Vista). Используется способ снижения риска, описанный выше (для режима гибернации).

• Пользователь не вышел из системы, компьютер разблокирован (только для режима без кэширования ключей в Windows Vista). Windows Vista может требовать проверки подлинности с помощью смарт-карты каждый раз при доступе к файлу, защищенному EFS. Эта возможность (режим без кэширования ключей), описанная выше в данной главе, позволяет эффективно снизить этот риск благодаря требованию наличия смарт-карты в устройстве чтения при всех операциях доступа к файлам EFS. Хотя в этом случае существенно снижается удобство использования, этот режим подходит тем организациям, которым требуется наиболее надежное шифрование конфиденциальных и критически важных данных.

• Обнаружение локального пароля или пароля домена. Как показано в разделе "Риски для данных" главы 1, умный злоумышленник всегда использует самое слабое звено. К сожалению для тех, кто отвечает за безопасность ИТ-систем, самым слабым звеном зачастую являются пользователи, выбирающие крайне ненадежные пароли или записывающие надежные пароли на листке бумаги, прикрепленном к монитору. После внедрения в организации двухфакторной проверки подлинности на основе смарт-карт для защиты сети необходимо повысить безопасность EFS с помощью политики "Интерактивный вход: требуется смарт-карта". В системе Windows Vista для доступа к конфиденциальным данным двухфакторную проверку можно использовать даже в тех случаях, когда для входа в систему нельзя принудительно использовать смарт-карту с помощью параметра Вход со смарт-картой.

• Сотрудник организации может прочитать зашифрованные данные. Режим работы EFS с использованием смарт-карт эффективно снижает этот риск благодаря дополнительному фактору проверки подлинности.

• Обнаружение ключей с помощью автономной атаки. Если целью злоумышленника является ключ (например ключ шифрования файлов или главный ключ DPAPI), а не пароль пользователя, ключ восстановления EFS (который является закрытым ключом для используемых файловой системой EFS сертификатов) или главный ключ DPAPI можно найти методом перебора. Эта угроза не должна волновать большинство организаций в силу сложности осуществления подобной атаки из-за стойкости ключей, используемых EFS.

• Утечка незашифрованных данных через системный файл подкачки (только для Windows Vista). Систему Windows Vista можно настроить на шифрование системного файла подкачки, что эффективно снижает этот риск.

• Атаки на платформу (только для режима без кэширования ключей в Windows Vista). В режиме кэширования ключей компьютер, настроенный на использование файловой системы EFS с хранилищем ключей на смарт-карте, хранит ключи файловой системы EFS в памяти, поэтому при атаке на платформу можно восстановить их. Режим EFS без кэширования ключей на смарт-карте позволяет эффективно защититься от подобных атак, поскольку для получения данных ключа необходима прямая атака на смарт-карту.

• Необходимое средство проверки подлинности оставлено на компьютере или рядом с ним. В данном режиме пользователь должен ввести ПИН наряду с использованием физического фактора проверки подлинности, что обеспечивает многофакторную защиту.

Другие риски и их снижение: EFS с использованием смарт-карт

Режим EFS со смарт-картами не позволяет снизить указанные ниже риски без применения дополнительных средств управления и политик.

• Компьютер оставлен в режиме гибернации (только для режима кэширования ключей Windows XP и Windows Vista). Если пользователь не настроил компьютер на запрос пароля при выходе из спящего режима или режима гибернации, операционная система не сможет определить, является ли текущий пользователь полномочным. В подобной ситуации злоумышленник может воспользоваться переносным компьютером от лица полномочного пользователя. Одним из наиболее вероятных видов атаки является копирование интересующих злоумышленника данных на съемный носитель или на сетевой диск. Однако если компьютер настроен на запрос учетных данных пользователя при выходе из спящего режима или режима гибернации, этот риск снижается. В режиме EFS с использованием смарт-карт в Windows Vista этот риск можно снизить, как описано выше.

• Компьютер оставлен в спящем (ждущем) режиме (только для режима кэширования ключей в Windows XP и Windows Vista). Сохраняется тот же риск, что и для предыдущего режима (режима гибернации).

• Пользователь не вышел из системы, компьютер разблокирован (только для режима кэширования ключей в Windows Vista). После входа пользователя в систему его учетные данные можно применять для расшифровки сертификатов, используемых для EFS. С этого момента незашифрованные данные может получить любой пользователь, имеющий доступ к клавиатуре. Наиболее надежным способом снижения данного риска является обучение пользователей, на компьютерах которых имеются конфиденциальные данные, основам безопасности. В режиме EFS с использованием смарт-карт в Windows Vista этот риск можно снизить, как описано выше.

• Автономные атаки на операционную систему. Файловая система EFS не обеспечивает защиты операционной системы или ее файлов конфигурации в случае автономной атаки.

• Сетевые атаки на операционную систему (только для режима кэширования ключей в Windows XP и Windows Vista). Риск сетевых атак на операционную систему не снижается при использовании данного режима. Однако использование Windows Vista со смарт-картами без кэширования ключей частично снижает этот риск, так как злоумышленник не может восстановить ключи EFS, поскольку они недоступны программам, выполняемым в операционной системе.

• Утечка незашифрованных данных через файл гибернации. Файловая система EFS не защищает системный файл гибернации. Этот риск можно снизить путем обновления до Windows Vista и использования технологии BitLocker либо путем отключения режима гибернации.

  Важно!

  Отключение режима гибернации снижает удобство использования мобильных ПК. Этот способ снижения риска подходит для компьютеров, на которых хранятся чрезвычайно важные данные, но обычно более приемлемо использовать другие способы.

• Утечка незашифрованных данных через системный файл подкачки (только для Windows XP). В Windows XP файловая система EFS не позволяет шифровать системные файлы, в том числе и системный файл подкачки. Это ограничение означает, что если доступ к конфиденциальным данным осуществляется через какое-либо приложение, данные могут записываться на диск в процессе обычных операций с файлом подкачки. Этот риск можно снизить путем обновления до Windows Vista или отключения на компьютере файла подкачки.

  Важно!

  Отключение файла подкачки, как правило, приводит к снижению производительности компьютера, в некоторых случаях значительному.

• Атаки на платформу (только для режима кэширования ключей Windows XP и Windows Vista). В режиме кэширования ключей компьютер хранит ключи EFS в памяти, поэтому при атаке на платформу можно восстановить их.

• Ошибка пользователя. Пользователи не должны сохранять файлы, содержащие конфиденциальные данные, в папках, для которых не включена файловая система EFS. В Windows Vista этот риск частично снижен, поскольку существует параметр конфигурации EFS, позволяющий шифровать все файлы в папке "Документы". Эта функция обеспечивает шифрование всех файлов и каталогов пользователя. Этот риск также можно снизить при использовании средства EFS Assistant (входит в состав данного решения Solution Accelerator) для автоматизации защиты файлов пользователей с помощью EFS.

К началу страницы

Технология EFS: сводный анализ рисков

В приведенной ниже таблице содержатся данные о рисках и различных режимах EFS, которые позволяют снизить каждый из них. Для компьютеров с Windows XP включен параметр пользователей домена Вход со смарт-картой. Для компьютеров с Windows Vista включены параметры EFS Требовать смарт-карту для EFS и Включить шифрование файла подкачки.

Риски, которые можно снизить при использовании определенных режимов, помечены словом Да. Тире (—) обозначают риски, которые нельзя существенно снизить с помощью соответствующего режима.

Таблица 3.1. Снижение рисков EFS

К началу страницы

Дополнительные сведения

• Техническая справка по шифрованной файловой системе (EFS)

• Защита данных Windows

• Руководство по безопасности Windows Vista

Файлы для загрузки

Загрузите набор средств шифрования данных для мобильных ПК

Регистрация

Зарегистрируйтесь в программе тестирования бета-версии набора средств шифрования данных

Уведомления об обновлениях

Подпишитесь, чтобы вовремя узнавать об обновлениях и новых выпусках

Отзывы и предложения

Присылайте свои комментарии и предложения

К началу страницы