Защита данных в NTFS

Автор: content Пятница, Апрель 11th, 2008 Нет комментариев

Рубрика: Операционные системы

Как известно, файловая система NTFS оснащена функцией шифрования данных на диске, поэтому, если в свойствах файла поставить галочку на соответствующей опции, то он будет физически зашифрован.

Кроме этого, пользователь может манипулировать правами доступа к тем или иным объектам (см. скриншоты).

 

Защита данных в NTFS 

Защита данных в NTFSОднако при переустановке Windows или подключении жесткого диска к другому компьютеру все указанные ранее права доступа пропадут, и файл будет доступен абсолютно всем. Если же файл был зашифрован, то при сбросе прав доступа он все равно останется зашифрованным, и прочитать его с другой машины будет невозможно (1*). Теоретически все просто и надежно.

А практически сами файлы ключей не зашифрованы, так как по умолчанию пароль к ним хранится на том же системном диске. Как следствие, вскрыть информацию в таком случае — плевое дело. Добавьте сюда массу общедоступных хакерских утилит, в большинстве случаев позволяющих за разумное время «распотрошить» любой зашифрованный файл, достаточно только подключить винчестер к другому ПК (или загрузиться с компакт-диска Windows PE (2*).

В этой статье мы рассмотрим защиту информации от случая, когда в руки злоумышленников попал ваш выключенный компьютер (например, ноутбук в результате кражи). Постараемся максимально усложнить работу этим нехорошим дядям.

Пункт первый. Внимательно посмотрим, какие на нашем компьютере существуют аккаунты и удалим лишние. Для этого следуем в «Мой компьютер -> Управление».

 

Защита данных в NTFSДалее — в меню «Управление компьютером -> Служебные программы -> Локальные пользователи и группы -> Пользователи».

 

Защита данных в NTFSСразу предупредим, что разные системные аккаунты трогать не следует, особенно если вы не знаете, зачем они нужны (однако можно их просто отключить и посмотреть результаты). Удалите явно ненужных пользователей.

Обратите внимание, что в Windows XP по умолчанию обычно получается два администраторских логина: один стандартный, а второй — первого из пользователей, вошедших в систему сразу после установки. И по невнимательности на одном из них может вообще не быть пароля. Дополнительно на всех существующих аккаунтах следует установить пароли не короче 16 символов! В противном случае их легко вскрыть в течение нескольких дней или даже часов (3*).

В пароле не следует использовать словарные слова и какие-либо осмысленные названия (существуют базы, в которых содержится порядка трех миллионов популярных парольных слов). Пароль также не должен состоять из одних только цифр. Помните, что менять пароль можно только в меню «Панель управления -> Учетные записи пользователей», иначе доступ к ранее зашифрованным файлам безвозвратно пропадет.

Пункт второй. Не используйте автоматический вход в Windows. Система должна всегда запрашивать имя и пароль. Если вход в операционную систему автоматический, это надо устранить. Идем в меню «Пуск -> Выполнить», вводим команду control userpasswords2.

 

Защита данных в NTFSВ появившемся окне ставим галочку на опции «Требовать ввод имени пользователя и пароля».

 

Защита данных в NTFSПункт третий. В Windows можно задействовать дополнительное шифрование файла, хранящего все пароли. В принципе, его шифрование задействовано изначально, но пароль, естественно, хранится на этом же диске, и хакерские программы расшифровывают его «на раз». Гораздо безопаснее вводить пароль с клавиатуры либо с ключевой дискеты. В таких случаях взлом становится практически невозможен. Использовать ключевую дискету не рекомендуем из-за ненадежности носителя в силу и физических, и человеческих факторов. А вот использовать ввод с клавиатуры вполне можно.

Проходим в меню «Пуск -> Выполнить», вводим команду syskey. Должно появиться окно управления шифрованием базы данных паролей.

 

Защита данных в NTFSНажимаем кнопку «Обновить» для отображения настроек.

 

Защита данных в NTFSКак видим, по умолчанию ключ шифрования паролей хранится в системе. Выбираем режим требования ввода пароля при запуске системы. Указываем пароль - тоже не словарный и длинный. Готово. Теперь ключевое слово будет запрашиваться при каждой загрузке Windows, еще задолго до появления привычного окна выбора пользователя.

 

Защита данных в NTFSЭтот пароль — общий для всех, его необходимо знать всем пользователям (что, кстати, снимает все преимущества такой дополнительной защиты в том случае, если ломать систему будет один из знающих пароль пользователей). Обычные персональные пользовательские логины и пароли никуда не денутся, они будут тоже запрашиваться как обычно, после ввода общего пароля.

Наконец, отметим еще одну потенциальную уязвимость зашифрованных данных. Большинство программ при работе создают временные файлы, в которых хранят обрабатываемые данные (или, к примеру, копию для возможности Undo), и эти временные файлы обычно не зашифрованы. Злоумышленник может, воспользовавшись любой из многочисленных Unerase-программ, восстановить эти файлы.

Для борьбы с этим следует после работы с зашифрованными файлами затирать пустое место на жестком диске при помощи Wipe-утилит (они входят, в частности, в ОС Windows и в состав Norton Utilities, Acronis, PGP Desktop и других подобных пакетов). В ряде случаев обход этой проблемы обеспечивается установкой шифрования временной папки (на которые ссылаются системные переменные %temp% и %tmp%), применяя шифрование не к отдельному файлу, а к целым директориям.

P.S. Следует трезво осознавать, что вышеперечисленные меры не дают стопроцентной гарантии безопасности. Если диск украден целенаправленно, и данные заведомо представляют коммерческий интерес, то злоумышленники, скорее всего, найдут возможность как-то обойти эти меры.


1*. Если туда не были предварительно экспортированы соответствующие сертификаты шифрования.

2*. Версии Windows, которые запускаются и работают непосредственно с компакт-диска. Используются для восстановления системы или данных.

3*. На то две причины. Во-первых, пароли короче 14 знаков можно быстрее подбирать по старому упрощенному алгоритму. Во-вторых, каждый дополнительный знак увеличивает общее время перебора примерно в 140 раз.

Автор: Евгений aka f2065

Оставить комментарий

Чтобы оставлять комментарии Вы должны быть авторизованы.

Похожие посты