Bezpieczeństwo: uprawnienia, szyfrowanie
System szyfrowania plików (EFS, Encrypting File System) jest funkcją systemu Windows pozwalającą na przechowywanie danych na dysku twardym w postaci zaszyfrowanej. Szyfrowanie jest najwyższym stopniem ochrony dostępnym w systemie Windows w celu zapewnienia bezpieczeństwa informacji.
Główne funkcje systemu EFS:
■
Szyfrowanie jest proste; aby je włączyć, wystarczy zaznaczyć pole wyboru we właściwościach pliku lub folderu.
■
Użytkownik decyduje, kto może odczytać pliki.
■
Pliki są szyfrowane po ich zamknięciu, ale automatycznie gotowe do użycia po ich otwarciu.
■
Jeśli plik nie ma być dłużej szyfrowany, należy wyczyścić pole wyboru we właściwościach pliku.
Szyfrowanie plików:
■
Każdy plik ma unikatowy klucz szyfrowania pliku, który jest później wykorzystywany do odszyfrowywania danych znajdujących się w pliku.
■
Klucz szyfrowania pliku jest również zaszyfrowany — jest chroniony przez klucz publiczny odpowiadający certyfikatowi użytkownika w systemie EFS.
■
Klucz szyfrowania pliku jest także chroniony przez klucz publiczny każdego dodatkowego użytkownika systemu EFS, który został upoważniony do odszyfrowywania pliku, oraz każdego agenta odzyskiwania.
Odszyfrowywanie plików:
■
Aby odszyfrować plik, należy wcześniej odszyfrować klucz szyfrowania pliku. Klucz szyfrowania pliku jest odszyfrowywany, jeśli użytkownik ma klucz prywatny, który pasuje do klucza publicznego.
■
Oryginalny użytkownik może nie być jedyną osobą uprawnioną do odszyfrowywania klucza szyfrowania pliku. Mogą go również odszyfrowywać inni wyznaczeni użytkownicy lub agenci odzyskiwania za pomocą własnych kluczy prywatnych.
AppLocker zawiera nowe możliwości i rozszerzenia, które umożliwiają tworzenie reguł
zezwalających, lub nie, na uruchomienie aplikacji w oparciu o unikalne tożsamości plików, w celu wskazania użytkowników, lub grup, którzy mogą te aplikacje uruchamiać.
Funkcja AppLocker umożliwia:
■
Kontrolowanie następujących typów aplikacji: pliki wykonywalne (.exe and .com), skrypty (.js, .ps1,
.vbs, .cmd, and .bat), pliki Instalatora systemu Windows (.msi and .msp) oraz pliki DLL (.dll and
.ocx).
■
Definiowanie reguł opartych na atrybutach plików pochodzących z podpisu cyfrowego, w tym wydawcy, nazwy produktu, nazwy pliku oraz jego wersji. Można, na przykład, utworzyć reguły w oparciu o atrybut wydawcy, który pozostaje niezmienny we wszystkich aktualizacjach, lub utworzyć
reguły dla określonej wersji pliku.
■
Przypisanie reguły do grupy zabezpieczeń, lub indywidualnego użytkownika.
■
Tworzenie wyjątków od reguł. Możliwe jest, na przykład, utworzenie reguły, która zezwala na uruchamianie wszystkich procesów systemu Windows z wyjątkiem Edytora rejestru (Regedit.exe).
■
Użycie trybu Audit-only do wdrażania zasad i zrozumienia ich wpływu przed ich wprowadzeniem w życie.
■
Importowanie i eksportowanie reguł. Importowanie i eksportowanie wpływa na wszystkie zasady.
Jeśli, na przykład, eksportujemy zasadę, eksportowane są również wszystkie reguły z wszystkich zbiorów reguł, w tym ustawienia egzekwowania dla zbiorów reguł. Kiedy importujemy zasady, wszystkie kryteria w istniejących zasadach zostają nadpisane.
■
Sprawne tworzenie reguł funkcji AppLocker i zarządzanie nimi przy użyciu cmdletów programu Windows PowerShell.
BitLocker jest systemem szyfrującym partycję systemową (domyślnie), ale za jego pomocą można także zaszyfrować każdą inną partycję za wyjątkiem partycji rozruchowej. Pliki odpowiedzialne za ładowanie systemu operacyjnego muszą pozostać niezaszyfrowane. Najważniejszą zaletą BitLockera jest jednak fakt, że w całości zaszyfrowane zostają takie pliki systemowe jak plik hibernacji, plik stronicowania oraz katalog Windows, Users i Program Files włączając wszystkie katalogi tymczasowe. Co więcej, ważne dane można zaszyfrować podwójnie używając znanej już od wielu lat technologii Encrypted File System (EFS) udostępnianej przez NTFS.
BitLocker może pracować w trzech trybach – w zależności od wymagań użytkownika co do poziomu bezpieczeństwa oraz technicznych możliwości komputera.
Tryb bez dodatkowych kluczy
W tym domyślnym trybie funkcja BitLocker zaszyfruje dane oraz wygeneruje specjalne hasło odzyskiwania. Hasła tego będzie można użyć w celu przywrócenia dostępu do dysku w momencie, gdy zostanie on zablokowany przez BitLocker.
Tryb z numerem PIN
Tryb ten różni się od domyślnego jedynie wymogiem podania ustalonego przed zaszyfrowaniem danych numeru PIN. W przypadku jego zapomnienia lub zablokowaniu dostępu do dysku z innych powodów konieczne będzie podanie hasła odzyskiwania.
Tryb z kluczem USB
Najwyższy poziom bezpieczeństwa zapewnia tryb z obsługą klucza USB, na którym zapisane jest hasło uruchomieniowe. Różni się ono jednak od hasła odzyskiwania. Przy każdym normalnym uruchomieniu komputera użytkownik zostanie poproszony o włożenie klucza USB w celu odczytania hasła uruchomieniowego. Zaleca się stosowanie kluczy kryptograficznych. W przypadku zgubienia nośnika USB jedyną możliwością uzyskania dostępu do danych jest podanie hasła odzyskiwania.