Обеспечение информационной безопасности в операционных системах

При работе с зашифрованными файлами и папками  следует учитывать ряд моментов. 

Могут быть зашифрованы только файлы и папки, находящиеся на томах NTFS. 

Сжатые  файлы и папки не могут быть зашифрованы. Если шифрование выполняется  для сжатого файла или папки, файл или папка преобразуются  к состоянию без сжатия. 

Зашифрованные файлы могут стать расшифрованными, если файл копируется или перемещается на том, не являющийся томом NTFS. При  перемещении незашифрованных файлов в зашифрованную папку они  автоматически шифруются в новой  папке, однако обратная операция не приведет к автоматической расшифровке файлов, файлы необходимо явно расшифровать. Не могут быть зашифрованы файлы  с атрибутом Системный и файлы в системном каталоге. Шифрование папки или файла не защищает их от удаления — любой пользователь, имеющий права на удаление, может удалить зашифрованные папки или файлы. По этой причине рекомендуется использование EFS в комбинации с разрешениями системы NTFS. Могут быть зашифрованы или расшифрованы файлы и папки на удаленном компьютере, для которого разрешено удаленное шифрование. Однако если зашифрованный файл открывается по сети, передаваемые при этом по сети данные не будут зашифрованы. Для шифрования данных, передаваемых по сети, должны использоваться другие протоколы, например SSL/TLS или IPSec. 

Теперь  давайте рассмотрим процесс шифрования в Microsoft Windows XP на более низком уровне, чтобы обезопасить себя от издержек шифрования, а именно — потери данных. 

Для начала вспомним две основные криптографические  системы. Наиболее простая — шифрование с использованием секретного (симметричного) ключа, т.е. для шифровки и расшифровки данных используется один и тот же ключ. Преимущества: высокая скорость шифрования; недостатки: проблема передачи секретного ключа, а именно возможность его перехвата. Представители: DES, 3DES, DESX, AES. Отличие шифрования с открытым ключом (асимметричное шифрование) заключается в том, что данные шифруются одним ключом, а расшифровываются другим, с помощью одного и того же ключа нельзя осуществить обратное преобразование. Эта технология шифрования предполагает, что каждый пользователь имеет в своем распоряжении пару ключей — открытый ключ (public key) и личный или закрытый ключ (private key). Таким образом, свободно распространяя открытый ключ, вы предоставляете другим пользователям возможность шифровать свои сообщения, направленные вам, которые сможете расшифровать только вы. Если открытый ключ и попадет в «плохие руки», то он не даст возможности определить секретный ключ и расшифровать данные. Отсюда и основное преимущество систем с открытым ключом: не нужно передавать секретный ключ, однако есть и недостаток — низкая скорость шифрования. Представители: RSA, алгоритм Эль-Гамаля, алгоритм Диффи-Хелмана. 

В EFS для  шифрования используются все преимущества вышеперечисленных систем. Данные шифруются  с помощью симметричного алгоритма  с применением ключа шифрования файла (File Encryption Key, FEK). FEK — сгенерированный EFS случайным образом ключ. На следующем этапе FEK шифруется с помощью открытого ключа пользователя и сохраняется в пределах атрибута, называемого полем расшифровки данных (Data Decryption Field, DDF) непосредственно внутри самого файла. Кроме того, EFS шифрует FEK, используя открытый ключ агента восстановления, и помещает его в атрибут Data Recovery Field — DRF. DRF может содержать данные для множества агентов восстановления. 

Кто же такой  этот загадочный агент восстановления? Агент восстановления данных (Data Recovery Agent, DRA) — пользователь, который имеет доступ ко всем зашифрованным данным других пользователей. Это актуально в случае утраты пользователями ключей или других непредвиденных ситуациях. Агентом восстановления данных назначается обычно администратор. Для создания агента восстановления нужно сначала создать сертификат восстановления данных и определить политику восстановления, а затем назначить одного из пользователей таким агентом. Политика восстановления играет важную роль в системе шифрования Windows XP, она определяет агентов восстановления, а их отсутствие или удаление политики вообще запрещает использование пользователями шифрования. 

Чтобы настроить  политику восстановления, необходимо запустить консоль Пуск > Настройка > Панель управления > Администрирование >Локальная политика безопасности, в которой перейти к пункту Политики открытого ключа > Файловые системы EFS (рис. 3). По умолчанию политика восстановления такова, что права агента восстановления принадлежат администратору. Если сертификат агента восстановления по умолчанию удален, а другого агента в политике нет, компьютер будет иметь пустую политику восстановления. Пустая политика восстановления означает, что агента восстановления не существует. Это отключает EFS, следовательно, запрещает пользователям шифровать файлы на этом компьютере. Мы можем создать учетную запись администратора с помощью агента восстановления и провести для надежности операцию экспорта его ключа, а можем создать новый сертификат восстановления и назначить другого пользователя в качестве агента.

Чтобы создать  сертификат восстановления, необходимо воспользоваться утилитой командной  строки cipher, которая предназначена для управления шифрованием (подробную информацию об этой утилите можно прочитать в справке операционной системы). Нужно войти в систему с полномочиями администратора, ввести в командной строке: cipher /R: имя файла сертификата

Далее введите  пароль, который понадобится в  случае импортирования. Файлы сертификата  имеют расширение .pfx (содержит сертификат и связанный с ним открытый и закрытый ключ) или .cer(сертификат и связанный с ним открытый ключ) и указанное вами имя. Эти файлы позволяют любому пользователю системы стать агентом восстановления, поэтому наша задача — сохранить их в надежном месте, а главное, не забыть добавить сертификат агента восстановления в политику открытого ключа. 

Чтобы создать  этого самого агента, необходимо проделать  следующие шаги: войти в систему  под учетной записью, которая  должна стать агентом восстановления данных; в консоли Сертификатыперейдите в раздел Сертификаты - Текущий пользователь > Личные > Сертификаты; далее Действие >Все задачи > Импорт для запуска мастера импорта сертификатов, затем проведите импорт сертификата восстановления. Причем учтите: чтобы расшифровывать файлы, необходимо импортировать закрытый ключ, поэтому при выборе файла для импорта используйте файл .pfx. 

Часто недостатком  шифрования с помощью EFS считают  невозможность транспортировки  зашифрованных данных, т.е. записать данные на носитель, не потеряв их секретность, не удастся. Но это не совсем так — действительно, просто записать их нельзя, но можно воспользоваться программой архивации для Windows XP — NTBackup, в этом случае данные будут скопированы на указанный носитель без дешифрования, причем носитель может не поддерживать NTFS 5.0. После восстановления зашифрованные данные остаются в зашифрованном виде. 

 

Заключение

 

Информация это нечто без чего мы не сможем продвигаться и развивать свои различные потребности. А важность информации  в современном мире - признанный и неоспоримый факт.

Вот для чего и появилось необходимость в ее защите. Высокая уязвимость информационных технологий к различным злоумышленным действиям породила острую необходимость в средствах противодействия этому, что привело к возникновению и развитию области защиты информации (ЗИ) как неотъемлемой части информационной индустрии. Древнейшей задачей сферы ЗИ является защита передаваемых сообщений от несанкционированного ознакомления с их содержимым.

Информационная безопасность относится  к числу дисциплин, развивающихся  чрезвычайно быстрыми темпами. Только комплексный, систематический, современный  подход способен успешно противостоять  нарастающим угрозам.

 

 

 

 

 

 

 

 

 

 

 

 

 

Список  используемой литературы

 

1. Внутреннее устройство Windows 2000 master class, Москва- 2004г
2. Карасик И. Программные и аппаратные средства защиты  информации для персональных компьютеров / /КомпьютерПресс   №3, 1995
3. Мельников В.П. Информационная безопасность и защита информации : учеб.пособие для вузов / В.П.Мельников, С.А.Клейменов,А.М. Петраков;под ред.С.А.Клейменова .— 3-е изд.,стер. — М. : Академия, 2008 .— 336с.
4. http://protect.htmlweb.ru/