BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ ) TÉMA Č. 9: BEZPEČNOST SOUBORŮ A ADRESÁŘŮ mjr. Ing Milan Jirsa, PhD.
Bezpečnost souborů a adresářů Bezpečnost je zajištěna přístupovými právy definovanými v bezpečnostním deskriptoru. Jedná se o lokální bezpečnost na NTFS disku, nebo o síťovou bezpečnost, pokud uživatel k souboru přistupuje prostřednictvím sdíleného adresáře. Nový soubor dědí přístupová práva adresáře v němž se nachází. Přístupová práva se sčítají, s výjimkou přístupového práva „Deny“, které všechno převáží. Při kopírování v rámci jednoho oddílu disku (partition) zdědí soubor či adresář přístupová práva cílového adresáře.
Bezpečnost souborů a adresářů Při přesunu mezi různými oddíly zdědí soubor či adresář přístupová práva cílového adresáře. Při přesunu v rámci jednoho oddílu si soubor zachová původní přístupová práva. Při přesunu z NTFS disku na FAT disk se přístupová práva ztrácejí, protože FAT nemá bezpečnostní deskriptory. Pro práci s přístupovými právy je určen příkaz CACLS.EXE
Sdílené adresáře Sdílet adresáře mohou pouze členové skupiny Administrators a Power Users. Pro potřeby administrace systému vytváří Windows zvláštní sdílené adresáře (Admin$, Print$, C$, D$ atd.), ke kterým mají přístup jen administrátoři. Tyto sdílené adresáře končí znakem dolar ($), takže pro normální uživatele jsou neviditelné. Sdílená přístupová práva (definovaná v bezpečnostním deskriptoru sdíleného adresáře) se aplikují jen tehdy, pokud se k adresáři přistupuje ze sítě. Standardní sdílené přístupové právo je Full Control pro skupinu Everyone. Sdílená přístupová práva platí nejen pro NTFS, ale i pro souborové systémy FAT a FAT32.
Šifrovaný souborový systém (EFS – Encrypting File System) Šifrování je pro uživatele transparentní. Lze ho použít jen na NTFS disku. Komprimované soubory nelze zašifrovat a naopak. K přesunu souboru do zašifrovaného adresáře je lepší použít metodu Cut and paste. Při přesunu pomocí drag and drop nebudou soubory automaticky zašifrovány. Při přesunu nebo kopírování na disk se systémem FAT dojde automaticky k dešifrování.
Šifrovaný souborový systém Standardní šifrování používá algoritmus DESX a délku klíče 56 bitů. Nastavit lze ale i klíč o délce 128 bitů. Obnovit zašifrovaná data lze i pokud dojde ke ztrátě privátního klíče potřebného k jejich dešifrování. K tomu jsou určeny účty definované jako tzv. agent obnovy dat. Šifrovaná data se zálohují pomocí programu Windows Backup. K zašifrování i dešifrování lze použít řádkový příkaz Cipher. Zašifrované soubory nelze sdílet.
Architektura EFS
Postup při šifrování 1. Uživatel vybere soubor, který chce zašifrovat. (Nastaví šifrování pro daný soubor, nebo vytvoří nový soubor v adresáři, který má nastaveno šifrování.) 2. Počítač vygeneruje náhodný šifrovací klíč zvaný FEK (File Encryption Key). Symetrická šifra, která se použije k zašifrování klíčem FEK, závisí na verzi operačního systému. Windows 2000 použijí algoritmus DESX, Windows XP, Windows 2003 a pozdější použijí AES s 256- bitovým klíčem. 3. Počítač si vyzvedne uživatelův EFS certifikát a získá tak jeho veřejný klíč.
Postup při šifrování 4. Počítač zašifruje FEK algoritmem RSA; zašifrovaný FEK uloží do záhlaví souboru, so pole DDF (Data Decryption Field). (Ve Windows 2000 umožňuje uživatelské rozhraní definovat jen jednu položku v DDF, ve Windows XP a novějších jich ovšem může být více. To znamená, že šifrovaný soubor může sdílet několik uživatelů.) 5. Počítač si vyzvedne certifikáty všech agentů obnovy EFS (EFS Recovery Agent, též DRA – Data Recovery Agent) a jejich veřejnými klíči zašifruje FEK. 6. Takto zašifrovaný klíč nebo klíče uloží do záhlaví souboru do pole DRF (Data Recovery Field).