EFS - надёжно ли?

Discussion in 'Windows' started by clin, 20 Jun 2009.

  1. clin

    clin Elder - Старейшина

    Joined:
    17 Nov 2008
    Messages:
    452
    Likes Received:
    24
    Reputations:
    3
    Необходимо шифровать данные на сервере (а точнее некий каталог глубоко в дереве каталогов). Контейнеры не подходят, по этому решил сделать средствами NTFS.
    Растолкуйте своими словами сабж...
     
  2. POS_troi

    POS_troi Elder - Старейшина

    Joined:
    1 Dec 2006
    Messages:
    1,574
    Likes Received:
    467
    Reputations:
    108
    Смотря что ты хочеш получить.
    Для расшифровки будет достаточно заполучить профиль пользователя.
     
  3. clin

    clin Elder - Старейшина

    Joined:
    17 Nov 2008
    Messages:
    452
    Likes Received:
    24
    Reputations:
    3
    Среди сотни пользователей в АДу, только один должен иметь доступ к шифрованной папке.
     
  4. POS_troi

    POS_troi Elder - Старейшина

    Joined:
    1 Dec 2006
    Messages:
    1,574
    Likes Received:
    467
    Reputations:
    108
    Для шифрования файла/папки достаточно активировать данное действие в свойствах объекта, при этом в профиле пользователя будут созданы соответствующие ключи с помощью которых и осуществиться шифрования.

    В случае утери профиля пользователя или других непредвиденных обстоятельствах следует помнить что система EFS создает копию сертификата и дарит его Администратору.

    P.S.> Advanced EFS Data Recovery снимает на раз ;)
     
    #4 POS_troi, 20 Jun 2009
    Last edited: 20 Jun 2009
  5. clin

    clin Elder - Старейшина

    Joined:
    17 Nov 2008
    Messages:
    452
    Likes Received:
    24
    Reputations:
    3
    Ещё, на сколько я знаю, перенос шифрованной папки на FAT32, снимает шифрование:)

    Собственно, нужно зашифровать неким образом папку... Но не ложить её в контейнер, так как она должна быть доступна в сети на чтение все, но изменять - только один маст хев...

    Другого, пока что, ничего в голову не идёт...

    Права? Не подходит(
     
  6. POS_troi

    POS_troi Elder - Старейшина

    Joined:
    1 Dec 2006
    Messages:
    1,574
    Likes Received:
    467
    Reputations:
    108
    а почему не подходит? неужели так критично шифрование данных?
    А вообще самая лучшая защита данных в таком случае - ограничение физического доступа к носителю информации и локалку оттуда нафик =)

    Опиши более подробнее о том как необходимо организовать работу с этими данными а там гляди что-то и сообразим, ща еще "СпанжБоб" прийдет , он с виндами дружит хорошо.
     
  7. NaX[no]rT

    NaX[no]rT Members of Antichat

    Joined:
    3 Sep 2005
    Messages:
    489
    Likes Received:
    201
    Reputations:
    202
    POS_troi , в корпоративном бизнесе так критично шифрование данных.
     
    _________________________
  8. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,022
    Likes Received:
    129
    Reputations:
    23
    эта информация точная, или подозрения ?
    Как то читал, что при утечке ключей - невозможно становится расшифровка данных?..
    А прога EFS data recovery сможет восстановить данные только тогда, когда ключи(сертификат) сушествует.

    P.S. мои обсуждение могут быть НЕ правильным, так что если у вас есть точная информация - исправте меня пожалуйся :)
     
  9. POS_troi

    POS_troi Elder - Старейшина

    Joined:
    1 Dec 2006
    Messages:
    1,574
    Likes Received:
    467
    Reputations:
    108
    2NaX[no]rT

    А это уже зависит от начальства.. мои вот например когда-то хотели прайсы СВОИ шифровать 0_о (именно свои а не поставщиков)
     
  10. SpangeBoB

    SpangeBoB Elder - Старейшина

    Joined:
    12 Jul 2008
    Messages:
    1,680
    Likes Received:
    393
    Reputations:
    102
    EFS достаточно надежен и прост,но для применения надо немного подготовиться.
    1)Назначить агента восстановления для домена(т.к не стоит использовать доменного администратора).
    2)Сгенерировать для него ключ и импиртировать в AD.
    3)Экспортировать ключ на носитель и удалить ключи(при расшифровки импортируем ключ и расшифровываем).
    4)Если пользователи загружают профиль с сервера,то настроить IPSEC.
    5)Зашифровать TEMP.
    6)Если требуется повышенная безопасность,то объяснить пользователям что надо экспортировать свои сертификаты на носитель и применять в системе при работе с файлами,в остальном случае удалить сертификат.

    Если у пользователя есть сертификат,то при переносе на FAT аттрибут шифрования снимается.Если просто копирование скажем с Live-cd,то файл будет зашифрован.
     
  11. POS_troi

    POS_troi Elder - Старейшина

    Joined:
    1 Dec 2006
    Messages:
    1,574
    Likes Received:
    467
    Reputations:
    108
    а это какраз и будет самым сложным в подготовке =(
     
  12. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,022
    Likes Received:
    129
    Reputations:
    23
    SpangeBoB
    А если нет сертификата, то не сможет копировать или на FAT всеравно не будет читатся ? че то не очень понимаю.. в противном случае можно украсть и расшифровать переместив на FAT том.

    и еще не ясно четко 4 и 5 пункт. допустим если пользователь грузит аккаунт с домена, то IPSec исключает перекват EFS ключа ?
    А темп шифровывать надо для того, что туда кэщируется ключи EFS ?
     
    1 person likes this.
  13. SpangeBoB

    SpangeBoB Elder - Старейшина

    Joined:
    12 Jul 2008
    Messages:
    1,680
    Likes Received:
    393
    Reputations:
    102
    Допустим удалось попасть за компьютер пользователя,но пользователь удалил сертификат,то доступ на копировании будет запрещен.Перемещение и дешифрование возможно только при наличии сертификата,в остальном файл будет также зашифрован не зависимо куда копируется.

    Да IPSEC позволит шифровать данные между сервером и клиентом исключаю возможность перехвата данных(т.к сертификат пользователя хранится в профиле возможно перехватить ).Некоторые программы создают временные файлы в TEMP которые не будут шифроваться и можно получить к ним доступ.
     
    #13 SpangeBoB, 21 Jun 2009
    Last edited: 21 Jun 2009
  14. clin

    clin Elder - Старейшина

    Joined:
    17 Nov 2008
    Messages:
    452
    Likes Received:
    24
    Reputations:
    3
    Благодарю :)

    Осталось это пользователю объяснить...:(
     
  15. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,022
    Likes Received:
    129
    Reputations:
    23
    а сертификат и ключи - это разные вещи в EFS ? если шифровать файлы, и хочется переустановить систему, то место копирования профиля можно достать только ключи или сертификат и хранить в флешке? (если да, то где он находятся)
    А еще мне интересно, передачи ключа по домену. если на файловом сервере шифровать данные и надо разрешить только авторизованным пользователям домена - как это будет? ..
     
    #15 B1t.exe, 21 Jun 2009
    Last edited by a moderator: 22 Jun 2009
  16. SpangeBoB

    SpangeBoB Elder - Старейшина

    Joined:
    12 Jul 2008
    Messages:
    1,680
    Likes Received:
    393
    Reputations:
    102
    1)Миграция сертификатов описанно сдесь:
    http://technet.microsoft.com/en-us/library/cc722147.aspx

    2)Про домен :
    http://www.microsoft.com/windowsxp/using/security/expert/sharefilesefs.mspx
    http://technet.microsoft.com/en-us/library/bb457065.aspx
    http://technet.microsoft.com/en-us/library/cc781588(WS.10).aspx

    http://winsecurity.ru/articles/detail.php?ID=2227&phrase_id=1094722
     
  17. isdennu

    isdennu New Member

    Joined:
    15 Aug 2008
    Messages:
    20
    Likes Received:
    3
    Reputations:
    1
    При копировании с EFS на ФС, не поддерживающую EFS шифрование теряется (можно самому за минуту проверить это).
    А вообще не понятна сама задача.
    Если надо супер безопасность: отключи все внешние носители и интернет и используй IPSEC и шифрование файлов на сервере.
    У меня лично сделано на сервере luksfs (шифрованая ФС) на которой лежат данные и через ssh -X -C username@server program запускаю проги с этого же сервера. Не слишком хороший вариант, но на скорую руку получаю шифрование ssh с неким подобием терминал сервера и шифрование данных на всех уровнях (ФС и сеть). Самое уязвимое место наверное остаётся сам сервер.
    С помощью RDP (поверх SSL)+EFS я думаю можно получить нечто подобное.
     
  18. SpangeBoB

    SpangeBoB Elder - Старейшина

    Joined:
    12 Jul 2008
    Messages:
    1,680
    Likes Received:
    393
    Reputations:
    102
    Только если есть сертификат в остальных случаях шифрование не теряется.
     
  19. isdennu

    isdennu New Member

    Joined:
    15 Aug 2008
    Messages:
    20
    Likes Received:
    3
    Reputations:
    1
     
  20. POS_troi

    POS_troi Elder - Старейшина

    Joined:
    1 Dec 2006
    Messages:
    1,574
    Likes Received:
    467
    Reputations:
    108
    Слегка ошибаешся =)

    Файл при копировании в файловую систему не поддерживаюшую EFS будет предварительно расшифрован и скопирован - при условии что у тебя имеется соответствующий сертификат если у тебя нет сертификата то и возможности снять шифрование тоже нет а значит файл останется зашифрованным в независимости куда ты его скопируеш.

    2B1t.exe

    Читай внимательнее пост №4

     
    #20 POS_troi, 22 Jun 2009
    Last edited: 22 Jun 2009