Encrypted File System Windows

Introducere
Pe lânga utilizarea strategiilor pentru recuperarea si protectia datelor în Windows XP, voi prezenta si cateva exemple pas-cu-pas care vor exemplifica trasaturile si setarile disponibile în recuperarea si protectia datelor, o abordare în Windows XP.
În Windows 2000, Microsoft a introdus Encrypted File System (EFS) – o noua caracteristica integrata în sistemul de operare, item ce usureaza protectia datelor utilizatorului si totodata o întareste, un plus de securitate oferit anterior de sistemul de fisiere NTFS.
Motivul pentru care s-a adus aceasta îmbunatatire este dezavantajul ca securitatea oferita de NTFS poate fi usor evitata o data ce un atacator reuseste sa obtina acces fizic la calculator. Exista o varietate larga de programe utilitare care pot accesa un disk protejat de NTFS prin simpla pornire a calculatorului de pe o discheta. Deasemenea, cu toate ca accesul la calculator se poate proteja prin parolare, aceasta parola nu împiedica pe nimeni sa scoata hard-diskul si sa acceseze datele de pe el, folosind un alt calculator cu Windows 2000/Xp/2003. Din fericire, în astfel de scenarii, EFS poate oferi siguranta datelor.
Privire de ansamblu
EFS foloseste o combinatie de cheie de criptare simetrica si publica/privata pentru a securiza continutul fisierelor aflate pe o partitie NTFS. Cheia simetrica (generata dinamic la momentul criptarii si diferita pentru fiecare fisier) este folosita pentru a executa procesul de criptare si este salvata împreuna cu fisierul criptat. Cheia privata, necesara pentru decriptare, este rezidenta profilului utilizatorului, astfel datele existente pe disk vor fi afisate într-un format indescifrabil si inutile fara cheia privata, cu toate ca pot fi accesate de alte utilitare.
Totusi exista anumite probleme posibile de securitate cu EFS pe care un utilizator ar trebui sa le cunoasca si anume:
• Fisierele criptate sunt disponibile oricarei persoane care detine cheia privata. Aceasta cheie este folosita pentru a recupera cheia simetrica criptata cu o cheie publica (din acelasi set de chei din care face parte cheia privata). Cheia privata se aplica utilizatorului care a criptat fisierele si altui utilizator, un cont de Windows, denumit Data Recovery Agent (DRA). În lipsa unei setari specifice, în Windows 2000, acest DRA este userul Administrator (administratorul local, pe sistemele care nu fac parte dintr-un domeniu si respectiv administratorul de domeniu pentru sistemele care fac parte dintr-un domeniu). Deoarece este posibila utilizarea anumitor utilitare pentru a reseta parola de administrator local sau oricare parola a unui utilizator local (data de posibilitatea accesarii fizice a calculatorului) sistemele care nu fac parte dintr-un domeniu sunt nesigure.
• Dealtfel într-un mediu bazat pe Windows 2000, resetarea parolei de administrator nu va avea nici un impact asupra fisierelor protejate cu EFS pe acel sistem. Totusi, cheia privata a utilizatorului poate fi compromisa atata timp cat se afla salvata pe sistemul local. Deoarece mediile pe care se implementeaza EFS, tipic se bazeaza pe profile roaming (profilele sunt salvate pe serverul domeniului, aceasta asigura ca aceeasi cheie privata sa fie folosita pentru toate fisierele criptate ale acelui utilizator), profilul utilizatorului este copiat pe sistemul local de fiecare data când se logheaza in sistem. Pentru a se asigura ca atacatorul nu se va putea folosi de cheia privata copiata pe sistemul local, trebuie folosit Group Policy pentru a forta stergerea profilului roaming de pe sistemul local o data cu delogarea utilizatorului. De asemenea trebuie folosit un cont dedicat pentru Disaster Recovery Agent si realizat în asa fel încât cheia privata sa fie pastrata intr-un loc sigur.
Ambele probleme descrise anterior au fost eliminate în Windows XP Professional datorita urmatoarelor doua schimbari în implementarea EFS:
• Nu mai exista un Data Recovery Agent (DRA) setat în prealabil. Deasemenea, contrar Windows 2000, DRA nu mai este necesar pentru ca EFS sa functioneze. Administratorii mediilor Windows 2000 ar trebui sa retina urmatorul lucru: era posibil sa se previna criptarea mediului Windows 2000 la nivel de domeniu prin initializarea unei reguli goale (Empty Policy) pentru Encripted Data Recovery Agents. Setarea Empty Policy se realiza prin lansarea Group Policy, selectarea regulilor legate de domeniul respectiv si parcurgerea urmatoarele meniuri: Computer Configuration -> Windows Settings -> Security Settings -> Public Key Policies -> Encrypted Data Recovery Agents, apoi click dreapta pe ultimul director numit Encrypted Data Recovery Agents si selectarea Initialize Empty Policy din meniul afisat. Acest lucru era suficient pentru a se indeparta capacitatile utilizarii EFS de utilizatori în orice sistem Windows 2000 care este membru al unui domeniu.
Cu Windows Xp acest lucru nu mai este posibil. Pentru a dezactiva EFS la nivel de domeniu într-un mediu în care sunt folosite sisteme Windows XP trebuie sa pornim Microsoft Management Console de pe un sistem Windows XP Professional, care era un membru al domeniului respectiv, se ruleaza Group Policy Editor si se selecteaza obiectul Group Policy al domeniului respectiv si se parcurg urmatoarele meniuri: Computer Configuration -> Windows Settings -> Security Settings -> Public Key Policies -> Encrypting File System, se da click dreapta si se alege Properties iar din meniul “Allow users to encrypt files using Encripting File Szstem (EFS)” se debifeaza casuta asociata acestei optiuni (optiune este selectata implicit).
• EFS introduce un nivel aditional de criptare care foloseste parola utilizatorului pentru a pastra cheia privata în profilul utilizatorului. Pe de o parte, aceasta previne situatiile in care un atacator reseteaza parola oricarui utilizator local pentru a încerca sa acceseze fisierele criptate EFS (deoarece o data cu resetarea parolei, cheia privata pastrata in profilul utilizatorului devine inutila), pe de alta parte se creaza o problema daca utilizatorul uita parola (de aici vine si nevoia de a se recupera parola utilizând discheta Password Recovery).

Arhitectura EFS
EFS se bazeaza pe criptare cu chie publica si are avantajele arhitecturei CryptoAPI in Windows XP. Configurarea implicita a EFS nu are nevoie de efort administrativ, se poate începe criptarea fisierelor imediat dupa ce s-a încheiat instalarea Windows XP. Procesele de criptare si decriptare sunt transparente utilizatorului.
Setarile pentru EFS:

Imaginea 1
EFS poate folosi ca algoritmi de criptare atât expanded Data Encryption Standard (DESX) cât si Triple-DES (3DES). Atât softul RSA de baza cât si softul RSA avansat inclus în sistemul de operare pot fi folositi pentru certificatul EFS si pentru criptarea cheii simetrice.

Principalele teme prezentate sunt urmatoarele:
• EFS, înbunatatirile în Windows XP si Windows Server 2003
• Recuperarea Datelor, privire de ansamblu
• Recuperarea Datelor, folosind EFS
• Protectia Datelor, cele mai bune metode
• Depanare
Nota: EFS nu este disponibil in Windows XP Home Edition.
EFS, îmbunatatirile în Windows XP si Windows Server 2003
• Suport complet pentru verificarea anularii certificatelor cand se distribuie fisierele criptate
• Suportul EFS în clusterele Windows Server 2003
• Afisarea în culori (verde) a fisierelor criptate pentru a se localiza mai repede fisierele protejate
• Criptarea fisierelor offline în Windows XP
• Suport pentru folosirea fisierelor criptate de alti utilizatori în interfata cu utilizatorul (UI)
• Suport pentru „Microsoft Enhanced and Strong cryptographic service providers (CSPs)”
• Suport aditional pentru optiuni ce îmbunatatesc si întaresc algoritmul de criptare
• Politica de recuperare îmbunatatita
• Cresterea performantei si a sigurantei
Recuperarea Datelor, privire de ansamblu
Recuperarea Datelor (Data Recovery) este un proces prin care elemente individuale de date, precum fisiere sau directoare, sunt criptate pentru mai mult de o persoana sau pentru o entitate. Prin criptarea pentru mai mult de o persoana se fac disponibile mai multe cai de decriptare, o entitate poate fi desemnata ca si administrator ce are doar drepturi de recuperare a datelor.
Recuperarea datelor nu implica neaparat ca o recuperare a cheii private a avut loc, totusi, recuperarea cheii private poate fi o metoda pentru a realiza recuperarea datelor. În Windows XP recuperarea datelor se poate realiza fara o recuperare a cheii private.
Atat „Secure Multi-purose Internet Mail Extension (S/MIME)” cat si EFS folosesc blocuri de date criptate simetric, cheia simetrica fiind protejata de una sau mai multe chei publice, realizate dintr-o pereche de chei plublice/private. In acest scenariu, cheia simetrica poate fi protejata (criptata) în profilul unui sau mai multor utilizatori asadar din mai mult de o cheie publica.
Recuperarea datelor poate avea loc printr-un alt utilizator ce decripteaza datele, în cazul EFS, fisierele pot fi deschise si datele recuperate prin utilizarea DRA dupa cum este prezentat în Imaginea 2:

Imaginea 2
În Windows 2000, administratorul unui domeniu Windows 2000 este împuternicit implicit DRA, dar Windows XP elimina acest neajuns.
Recuperarea Datelor si EFS
EFS are încorporata recuperarea datelor prin fortarea setarii unei politici de recuperare, dar înainte sa aiba loc criptarea, Windows 2000 cerea ca o politica de recuperare sa fie setata. Politica de recuperare este un tip de cheie publica ce înzestreaza unul sau mai multi utilizatori cu drepturi de DRA, si este implicit asociata administratorului de domeniu. Windows XP si Windows Server 2003 nu mai cer setarea unei politici de recuperare pentru a putea cripta fisiere.
Regula de recuperare este configurata local, automat, pentru sistemele ce nu fac parte dintr-un domeniu, aceasta regula asociata administratorului local expira dupa 100 de ani.
Într-un mediu cu retea, administratorul domeniului controleaza cum este implementata politica de recuperare a EFS pentru toti utilizatorii si sistemele aflate în influenta politicii de recuperare. Într-o instalare standard a Windows 2000 sau Windows Server 2003, când primul controler de domeniu este setat, administratorul de domeniu este setat ca si agentul de recuperare pentru domeniul respectiv.
Într-un domeniu regula de recuperare asociata administratorului de domeniu expira dupa 3 ani.
Administratorii pot defini una din cele trei politici:
Recovery agent policy - Când administratorul adauga unul sau mai multi agenti de recuperare, o politica „recovery-agent” intra in actiune. Acesti agenti sunt responsabili pentru orice recuperare de date ce intra în atributiile lor de administrare. Aceasta este politica de recuperare cel mai des întâlnita.
Empty recovery policy - Când un administrator sterge toti agentii de recuperare si certificatele cheilor publice, o politica „empty recovery” intra în actiune. O astfel de politica înseamna ca nici un agent de recuperare nu mai exista si daca sistemul client este un sitem Windows 2000 EFS va fi dezactivat, însa sistemul client Windows XP permite utilizarea EFS sa functioneze cu o politica DRA goala.

No recovery policy - Când un administrator sterge o cheie privata asociata cu o politica de recuperare data, o politica „ no recovery” intra în actiune. Deoarece cheia privata nu este disponibila nu exista nici o posibilitate ca sa se foloseasca un agent de recuperare iar recuperare nu va fi posibila. Astfel de politica ar fi utila în organizatii cu sisteme client mixte Windows 2000 si Windows XP unde recuperarea datelor nu este dorita.
Cu toate ca administratorul de domeniu este implicit DRA, într-un mediu bazat pe Active Directory, aceste drepturi pot fi delegate sau atribuite unuia sau mai multor utilizatori, acst lucru va fi discutat mai tarziu în detaliu.
Recuperarea Datelor pe sisteme ce nu fac parte dintr-un domeniu
Dupa instalarea Windows XP, DRA nu mai este creat implicit pe sistemele ce apartin unui domeniu sau al unui grup de retea, acest lucru previne posibilitatea atacului asupra contului de administrator, anterior posibil. Daca un sistem este adaugat unui domeniu, toti utilizatorii, inclusiv utilizatorii locali, vor mosteni politica de recuperare a domeniului. Pentru sistemele ce fac parte dintr-un grup de retea , un DRA trebuie creat si instalat manual de utilizator. Pentru a crea un DRA se foloseste utilitarul cipher.exe.

Comanda va genera un fisier .PFX (pentru recuperarea datelor) si un fisier .CER (pentru a fi folosit în politica de recuperare). Certificatul este generat în memorie si sters o data cu generarea celor doua fisiere. Odata ce cheile au fost generate certificatul ar trebui sa fie importat în politica de recuperare si cheile private pastrate într-un loc sigur.

Recuperare Datelor utilizand EFS
Urmatoarea portiune va prezenta pasi necesari pentru a folosi partajarea fisierelor EFS
Partajarea fisierelor EFS
Suportul de a fi folosite fisiere criptate în grupuri de retea nu este prevazut EFS, de asemenea, suportul pentru mai multi utilizatori nu este prevazut nici în Windows 2000 nici în Windows XP. Totusi, în Windows XP, EFS suporta partajarea fisierelor între mai multi utilizatori, dar a unui singur fisier la un moment dat.
Partajarea fisierelor EFS în Windows XP furnizeaza o alta oportunitate de recuperare a datelor, prin adaugarea altor utilizatori fisierului criptat. Cu toate ca integrarea altor utilizatori nu se poate forta printr-o politica de criptare sau alta metoda, este util si usor sa activam recuperarea datelor, fisierelor criptate, prin activarea mai multor utilizatori nefiind obligatorie utilizarea grupurilor si partajarea cheilor private între utilizatori.
Odata cu criptarea fisierelor, partajarea fisierelor este activata printr-o noua optiune ce apare în interfata cu utilizatorul. Fisierul trebuie întâi sa fie criptat si salvat pentru a i se putea adauga utilizatori aditionali. Dupa selectarea Advanced Properties a unui fisier criptat, un nou utilizator poate fi adaugat prin selectarea Details, alti utilizatori individuali pot adauga alti utilizatori fisierului criptat, atâta timp cat au un certificat valid pentru EFS.
Activarea partajarii de fisiere EFS
Partajarea fisierelor criptate folosind EFS a fost suportata înca din Windows 2000 prin API (Aplication Program Interface) dar EFS nu a fost prezent în Windows Explorer decât dupa aparitia Windows XP Professional.
Pentru a cripta fisiere cu suport multi-utilizator
1. Se deschide Windows Explorer si se selecteaza fisierul care se doreste sa fie criptat
2. Click dreapta pe fisierul respectiv si se selecteaza Properties
3. Se selecteaza Advanced pentru a activa EFS
4. Se cripteaza fisierul prin selectarea casutei Encrypt contents to secure data dupa cum este prezentat in Imaginea 3 si se selecteaza OK

Imaginea 3
Nota: Un fisier nu poate fi simultan atât compresat cât si criptat.
Daca aceasta este prima data când un fisier sau director este criptat, o casuta de confirmare va aparea cerând daca se doreste sa fie criptate fisierele ori directorul.
5. Se selecteaza optiunea dorita si se va reveni la meniul initial
Nota: Acest fisier nu este criptat pana nu se selecteaza OK. De asemenea nici alti utilizatori nu pot fi adaugati înainte ca fisierul sa fie criptat pentru primul utilizator.
6. Se selecteaza OK pentru a cripta fisierele
7. Se acceseaza din nou proprietatile fisierului prin butonul Advanced, se selecteaza Details si se adauga utilizatori suplimentari.
Pentru a adauga alti utilizatori:
1. Se selecteaza optiunea Add.

Imaginea 4
Va aparea un nou meniu ce contine utilizatorii existenti si certificatele de autentificare.
Nota: Un utilizator trebuie sa aiba un certificat EFS valid pentru a putea fi adaugat fisierului criptat
2. Se selecteaza optiunea Find User pentru a adauga utilizatori din domeniu.

Imaginea 5
Daca utilizatorul nu are un certificat valid EFS urmatoarea eroare va aparea:

Imaginea 6
3. Se selecteaza OK pentru a adauga utilizatorul:

Imaginea 7
Nota: Un utilizator ce are drept de decriptare a fisierului poate sa elimine drepturile unui alt utilizator daca are drept de scriere asupra fisierului respectiv. EFS are o limita de 256k pentru informatii pentru fiecare fisier, iar limta de utilizatori pentru un fisier criptat fiind 800.
Schimbari aduse Windows Server 2003
Anumite îmbunatatiri au fost integrate în Windows Server 2003, îmbunatatiri ce nu pot fi vazute în Windows XP sau Windows 2000 si anume: cheile EFS pot fi salvate pe un alt suport folosind linia de comanda sau din proprietatile fisierului, dupa cum este prezentat în Imaginea 8, selectând optiunea Backup Keys:

Imaginea 8
Pentru a salva cheile EFS folosind lina de comanda se foloseste utilitarul chiper.exe folosind urmatoarele optiuni

Copierea, mutarea si salvarea fisierelor criptate
Datorita caracteristicilor unice ale fisierelor criptate, când se copiaza sau muta acest tip de fisiere, pot aparea rezultate diferite. De exemplu: când se copiaza un fisier criptat de pe un sistem client pe un sistem server folosind reteaua, pot aparea diferente între cele doua fisiere daca sistemul server are un alt sistem de operare. In general o copiere va mosteni toate proprietatile EFS ale fisierului respectiv, pe când o mutare nu.
Când copiem un fisier criptat:
• Daca folosim un sistem Windows 2000 iar sistemul destinatie este Windows NT 4.0, fisierul va fi decriptat transparent si copiat pe server. Daca sistemul sursa este Windows XP sau Windows 2003 utilizatorului i se va cere confirmarea copierii totodata fiind înstiintat ca fisierul urmeaza sa fie decriptat.
• Daca sistemul destinatie este Windows 2000 sau Windows Server 2003 si daca utilizatorul are drepturi de decriptare pe sistemul destinatie, fisierul va fi decriptat, copiat, iar pe server va fi criptat din nou, folosind cheia privata prezenta în sistemul destinatie
Nota: Fisierul este transmis prin retea într-un format neprotejat !
• Daca sistemul destinatie este Windows 2000 sau Windows Server 2003 si utilitatorul nu are drepturi de decriptare pe sitemul destinatie, va aparea un mesaj de eroare „acces interzis” .
Windows XP contine câteva îmbunatatiri în copierea fisierelor criptate. Atât modul grafic, cât si linia de comanda au optiunea de a permite sau nu decriptarea fisierelor pentru a putea fi copiate. Când un fisier este copiat pe un sistem ce nu suporta criptarea fisierelor, utilizatorul va fi întrebat daca fisierele sa fie decriptate sau nu.
Utilitarele COPY si XCOPY se comporta la fel prin folosirea unei optiuni pentru a decripta fisierul în operatia de copiere.
C:\>copy /? (copiaza unul sau mai multe fisiere în alt loc)
/D (fisierele destinatie vor fi decriptate)
C:\>xcopy (copiaza fisiere sau directoarele, inclusiv structura lor)

/G (permite copierea fisierelor criptate spre o destinatie ce nu suporta fisiere criptate)
Proceduri de recuperare a politicii EFS
Vor fi prezentate câteva dintre cele mai utilizate metode legate de EFS si recuperarea datelor.
Înlaturarea unei politici de recuperare deja existente
Se întâmpla ca o politica de recuperare configurata anterior sa trebuiesca sa fie înlaturata. Când aceasta politica de recuperare a datelor este înlaturata, din domeniu, nici un alt fisier nu va mai putea fi criptat, pe sisteme Windows 2000, pana cand politica înlaturata va fi înlocuita de alta politica de recuperare. Sistemele Windows XP si Windows Server 2003 vor fi neafectate de aceste schimbari, utilizatorii vor putea folosi fisierele criptate, vor putea crea alte fisiere criptate, dar nu vor putea edita fisierele criptate anterior, fisierele criptate vor putea fi editate doar dupa ce un utilizator va folosi o cheie privata valida pentru a deschide fisierul.
Important: Înainte de a se schimba politica de recuperare, este puternic indicat sa se salveze cheia privata pe o discheta !
Utilizarea recuperarii datelor
Recuperarea datelor se realizeaza în acelasi mod ca si criptarea fisierelor. Singura diferenta consta în faptul ca persoana care realizeaza acest lucru este alta decât posesorul fisierului respectiv. Deoarece toate fisierele ar trebui sa aiba un utilizator si un DRA care sa poata decripta fisierele, nu trebuie sa folosim un alt proces pentru a decripta fisierele criptate de un alt utilizator, DRA având acces deplin asupra orarui fisier din aria sa de administrare. Fisierului ii poate fii înlaturata criptarea daca DRA are drept de scriere asupra acelui fisier.
Importarea si Exportarea Cheilor DRA
Exportarea cheilor DRA
1. Utilizatorul trebuie sa fie administratorul domeniului
2. Se executa mmc.exe în linia de comanda
3. Se selecteaza Console menu, dupa aceea se selecteaza Add/Remove Snap-in.
4. Se selecteaza optiunea Add, de aici se face dublu click pe Certificates, se selecteaza My User Acount, si se apasa Finish
5. Se navigheaza prin Certificates, Current User, Personal, si mai apoi Certificates, ca si în Imaginea 9:
Imaginea 9
6. Click dreapta pe certificatul pe care este destinat recuperarii datelor, standard, certificatul DRA ar trebui sa aiba o valabilitate de 3 ani.
7. Se selecteaza All Tasks iar dupa aceea Export.
Important Este imperativ sa se selecteze certificatul corect, deoarece odata cu exportarea certificatul va fi sters de pe sistem, daca certificatul nu va putea fi restaurat pe sitem, recuperarea fisierului nu va putea fi facuta cu certificatul DRA
8. Selectati Yes, export the private key si apasati Next

Imaginea 10
Cea mai buna metoda este sa stergem cheia privata din sistem o data ce exportul s-a încheiat cu success.

Imaginea 11
Fisierul salvat va fi de tipul *.PFX si permite securizarea cu parola (este recomandat sa folosim o parola complexa).
Ulimul pas este sa indicam calea unde acest fisier urmeaza sa fie salvat.
Importarea Cheilor
Importarea cheilor este un proces mai simplu decat cel de exportare. Exista doua posibilitati de a importa o cheie salvata in formatul *.PFX, si anume: se face dublu click pe fisier, cheia fiind importata automat sau se parcurg urmatorii pasi:
1. Utilizatorul trebuie sa fie administratorul domeniului
2. Se executa mmc.exe în linia de comanda
3. Se selecteaza Console menu, dupa aceea se selecteaza Add/Remove Snap-in.
4. Se selecteaza optiunea Add, de aici se face dublu click pe Certificates, se selecteaza My User Acount, si se apasa Finish
5. Se navigheaza prin Certificates, Current User, Personal, si mai apoi Certificates, ca si în Imaginea 12:
Imaginea 12
6. Click dreapta pe certificatul pe care este destinat recuperarii datelor, standard certificatul DRA ar trebui sa aiba o valabilitate de 3 ani.
7. Se selecteaza All Tasks iar dupa aceea Import.
8. Se indica calea spre fisierul ce contine cheia si se introduce parola
Imaginea 13
9. Pentru a ne asigura ca certificatul va fi importat în profilul personal se selecteaza optiunea Place all certificates in the following store
10. Se selecteaza optiunea Personal si se selecteaza Next iar dupa aceea Finish.

Imaginea 14
Protectia Datelor - cele mai bune metode
Voi prezenta cele mai bune metode de protectie pentru organizatiile care sunt interesate sa asigure protectia datelor:
• Protectia fizica este lucrul suprem si trebuie considerata ca standard, glumind, nu exista nici o protectie software care sa împiedice furtul unei componente hardware!
• Întotdeauna sistemul trebuie sa fie un client al unui domeniu.
• Cheile private trebuie salvate independent de sistem si importate doar în caz de necesitate.
• Pentru stocarea de rutina, directorul My Documents si directorul cu fisiere temporare trebuiesc sa fie setate pentru a cripta fisiere în asa fel încat toate fisierele nou create sa fie criptate.
• Este imperativ ca de fiecare data când se lucreaza cu fisiere ce contin date confidentiale sa se lucreze in directoare criptate.
• Folosirea SYSKEY în mod 2 sau mod 3 (pornirea sistemului de pe disketa sau activarea parolei la pronirea calculatorului), pentru a se peveni ca sistemul sa fie folosit de utilizatori rau intentionati
Nota: SYSKEY mod 1 este activat automat în Windows 2000 si Windows XP
Important: Trebuie luat în considerare faptul ca prin criptarea directorului TEMP performanta sistemului poate avea de suferit.
Stergerea fisierului pagefile.sys o data cu oprirea sistemului
Pentru a ne asigura ca nu vor exista parti din memorie ce contin informatii importante pe disc, o data cu oprirea sistemului fisierul pagefile.sys trebuie sa fie sters.
1. Se executa comanda gpedit.msc
2. Se parcurge urmatoarea cale: Computer configuration - Windows settings - Security settings - Local Policies - Security Options

3. Se deschide Shutdown: Clear virtual memory pagefile si se selecteaza Enabled

Imaginea 15
Algoritmi de criptare
Toate versiunile exterioare USA de Windows 2000 folosesc chei de criptare pe 56 de biti, însa se poat actualza la 128 de biti folosind un utilitar Microsoft ce trebuie rulat ulterior. Sistemele ce folosesc chei de criptare pe 128 de biti vor putea deschide fisierele criptate pe 56 de biti si le pot salva cu chei pe 128 biti, dar sistemele ce folosesc chei de criptare pe 56 biti nu vor putea deschide fisierele criptate pe 128 de biti.

Windows XP suporta un algoritm mai puternic de criptare decât algoritmul DESX, algoritm inclus în Windows 2000. Algortimul standard pentru Windows 2000 si Windows XP este DESX, în schimb algoritmul standard pentru Windows XP cu Service Pack 1 si Windows Server 2003 este AES (Advanced Encryption Standard) si foloseste chei de criptare pe 256 de biti. Pentru ulilizatorii ce au nevoie de un algoritm mai puternic se poate folosi algoritmul 3DES.
Pentru a activa algoritmul 3DES se parcurg urmatorii pasi:
1. Se executa comanda gpedit.msc
2. Se parcurge urmatoarea cale: Computer configuration - Windows settings - Security settings - Local Policies - Security Options
3. Se alege System cryptography: Use FIPS compliant algorithms for encryption si se selecteaza Enabled
4.

Imaginea 16
Nota: AES si 3DES nu este comatibil cu versiunile anterioare Windows XP Service Pack 1 si Windows Server 2003
Depanare
Problema principala care apare cand se foloseste EFS este asocierea fisierului cu certificatul de securitate. Daca utilizatorul sau DRA nu are cheia privata asociata certificatului de securitate descoperit in fisierul criptat, nu va putea accesa fisierul!
Eroarea cel mai des întalinta este „acces interzis” probabil datorita lipsei de asociere a cheii private cu certificatul de securitate prezent în fisier. Acest lucru se intampla frecvent când utilizatorul uita sa salveze certificatele si cheile din sistem si face o reinstalare a sistemului de operare. Pentru a se determina care sunt certificatele necesare decriptarii se acceseaza proprietatile fisierului si în meniul Advanced Details se va afisa atât utilizatorul ce poate accesa fisierul cât si certificatul de care este nevoie.

Imaginea 17
A doua problema poate aparea daca un server nu are activata optiunea Delegation, în acest caz va aparea urmatoarea eroare:

Imaginea 18
În concluzie Windows XP si Windows Server 2003 ofera avantaje seminificative în protejarea si recuperarea datelor, dar atentie si la aspectele legate de securitate specificate anterior.
Bibliografie : Internet

Niciun comentariu: