Bezpieczeństwo: uprawnienia, szyfrowanie

Bezpieczeństwo: uprawnienia, szyfrowanie
System szyfrowania plików (EFS, Encrypting File System) jest funkcją systemu Windows
pozwalającą na przechowywanie danych na dysku twardym w postaci zaszyfrowanej. Szyfrowanie
jest najwyższym stopniem ochrony dostępnym w systemie Windows w celu zapewnienia
bezpieczeństwa informacji.
Główne funkcje systemu EFS:
■
■
■
■
Szyfrowanie jest proste; aby je włączyć, wystarczy zaznaczyć pole wyboru we właściwościach pliku
lub folderu.
Użytkownik decyduje, kto może odczytać pliki.
Pliki są szyfrowane po ich zamknięciu, ale automatycznie gotowe do użycia po ich otwarciu.
Jeśli plik nie ma być dłużej szyfrowany, należy wyczyścić pole wyboru we właściwościach pliku.
Szyfrowanie plików:
■
■
■
Każdy plik ma unikatowy klucz szyfrowania pliku, który jest później wykorzystywany do
odszyfrowywania danych znajdujących się w pliku.
Klucz szyfrowania pliku jest również zaszyfrowany ? jest chroniony przez klucz publiczny
odpowiadający certyfikatowi użytkownika w systemie EFS.
Klucz szyfrowania pliku jest także chroniony przez klucz publiczny każdego dodatkowego
użytkownika systemu EFS, który został upoważniony do odszyfrowywania pliku, oraz każdego
agenta odzyskiwania.
Odszyfrowywanie plików:
■
■
Aby odszyfrować plik, należy wcześniej odszyfrować klucz szyfrowania pliku. Klucz szyfrowania
pliku jest odszyfrowywany, jeśli użytkownik ma klucz prywatny, który pasuje do klucza
publicznego.
Oryginalny użytkownik może nie być jedyną osobą uprawnioną do odszyfrowywania klucza
szyfrowania pliku. Mogą go również odszyfrowywać inni wyznaczeni użytkownicy lub agenci
odzyskiwania za pomocą własnych kluczy prywatnych.
AppLocker zawiera nowe możliwości i rozszerzenia, które umożliwiają tworzenie reguł
zezwalających, lub nie, na uruchomienie aplikacji w oparciu o unikalne tożsamości plików, w celu
wskazania użytkowników, lub grup, którzy mogą te aplikacje uruchamiać.
Funkcja AppLocker umożliwia:
■
Kontrolowanie następujących typów aplikacji: pliki wykonywalne (.exe and .com), skrypty (.js, .ps1,
■
.vbs, .cmd, and .bat), pliki Instalatora systemu Windows (.msi and .msp) oraz pliki DLL (.dll and
.ocx).
Definiowanie reguł opartych na atrybutach plików pochodzących z podpisu cyfrowego, w tym
wydawcy, nazwy produktu, nazwy pliku oraz jego wersji. Można, na przykład, utworzyć reguły w
oparciu o atrybut wydawcy, który pozostaje niezmienny we wszystkich aktualizacjach, lub utworzyć
■
■
■
■
■
reguły dla określonej wersji pliku.
Przypisanie reguły do grupy zabezpieczeń, lub indywidualnego użytkownika.
Tworzenie wyjątków od reguł. Możliwe jest, na przykład, utworzenie reguły, która zezwala na
uruchamianie wszystkich procesów systemu Windows z wyjątkiem Edytora rejestru (Regedit.exe).
Użycie trybu Audit-only do wdrażania zasad i zrozumienia ich wpływu przed ich wprowadzeniem w
życie.
Importowanie i eksportowanie reguł. Importowanie i eksportowanie wpływa na wszystkie zasady.
Jeśli, na przykład, eksportujemy zasadę, eksportowane są również wszystkie reguły z wszystkich
zbiorów reguł, w tym ustawienia egzekwowania dla zbiorów reguł. Kiedy importujemy zasady,
wszystkie kryteria w istniejących zasadach zostają nadpisane.
Sprawne tworzenie reguł funkcji AppLocker i zarządzanie nimi przy użyciu cmdletów programu
Windows PowerShell.
BitLocker jest systemem szyfrującym partycję systemową (domyślnie), ale za jego pomocą można
także zaszyfrować każdą inną partycję za wyjątkiem partycji rozruchowej. Pliki odpowiedzialne za
ładowanie systemu operacyjnego muszą pozostać niezaszyfrowane. Najważniejszą zaletą BitLockera
jest jednak fakt, że w całości zaszyfrowane zostają takie pliki systemowe jak plik hibernacji, plik
stronicowania oraz katalog Windows, Users i Program Files włączając wszystkie katalogi
tymczasowe. Co więcej, ważne dane można zaszyfrować podwójnie używając znanej już od wielu lat
technologii Encrypted File System (EFS) udostępnianej przez NTFS.
BitLocker może pracować w trzech trybach – w zależności od wymagań użytkownika co do poziomu
bezpieczeństwa oraz technicznych możliwości komputera.
Tryb bez dodatkowych kluczy
W tym domyślnym trybie funkcja BitLocker zaszyfruje dane oraz wygeneruje specjalne hasło
odzyskiwania. Hasła tego będzie można użyć w celu przywrócenia dostępu do dysku w momencie,
gdy zostanie on zablokowany przez BitLocker.
Tryb z numerem PIN
Tryb ten różni się od domyślnego jedynie wymogiem podania ustalonego przed zaszyfrowaniem
danych numeru PIN. W przypadku jego zapomnienia lub zablokowaniu dostępu do dysku z innych
powodów konieczne będzie podanie hasła odzyskiwania.
Tryb z kluczem USB
Najwyższy poziom bezpieczeństwa zapewnia tryb z obsługą klucza USB, na którym zapisane jest
hasło uruchomieniowe. Różni się ono jednak od hasła odzyskiwania. Przy każdym normalnym
uruchomieniu komputera użytkownik zostanie poproszony o włożenie klucza USB w celu odczytania
hasła uruchomieniowego. Zaleca się stosowanie kluczy kryptograficznych. W przypadku zgubienia
nośnika USB jedyną możliwością uzyskania dostępu do danych jest podanie hasła odzyskiwania.