Учётные записи пользователей

Лабораторная работа № 4

«Управление правами пользователей в ОС Windows 7.
Локальная политика безопасности»

Цель работы: ознакомиться с процедурами создания учётных записей пользователей и управления их правами.

Задание: изучить процедуру создания учётных записей пользователей и научиться управлять их правами.

 

Учётные записи пользователей

Учётная запись пользователя – это запись, которая содержит сведения, необходимые для идентификации пользователя при подключении к системе, а также информацию для авторизации и учёта. Это имя пользователя и пароль (или другое аналогичное средство аутентификации – например, биометрические характеристики). Пароль или его аналог, как правило, хранится в зашифрованном или хэшированном виде (в целях его безопасности).

Для повышения надёжности могут быть, наряду с паролем, предусмотрены альтернативные средства аутентификации – например, специальный секретный вопрос (или несколько вопросов) такого содержания, что ответ может быть известен только пользователю. Такие вопросы и ответы также хранятся в учётной записи.

Учётная запись может содержать следующие дополнительные анкетные данные о пользователе:

− имя;

− фамилию;

− отчество;

− псевдоним (ник);

− пол;

− национальность;

− возраст;

− дату рождения;

− адрес электронной почты;

− домашний адрес;

− рабочий адрес;

− нетмейловый адрес;

− номер домашнего телефона;

− номер рабочего телефона;

− номер мобильного телефона;

− адрес домашней страницы и/или блога в Интернете или интранете;

− сведения о хобби;

− сведения о круге интересов;

− сведения о семье;

− сведения о перенесённых болезнях;

− сведения о политических предпочтениях;

− и многое другое.

Конкретные категории данных, которые могут быть внесены в такую анкету, определяются администраторами системы.

Учётная запись может также содержать одну или несколько фотографий или аватар пользователя. Учётная запись пользователя также может учитывать различные статистические характеристики поведения пользователя в системе: давность последнего входа в систему, продолжительность последнего пребывания в системе, адрес использованного при подключении компьютера, интенсивность использования системы, суммарное и (или) удельное количество определённых операций, произведённых в системе, и так далее.

Создание учётных записей пользователей

В операционной системе Windows 7 можно создавать несколькими способами как учётные записи пользователей для компьютеров, состоящих в рабочих группах, так и учётные записи пользователей для компьютеров, которые входят в состав домена. Домены, рабочие группы и домашние группы представляют разные методы организации компьютеров в сети. Основное их различие состоит в том, как осуществляется управление компьютерами и другими ресурсами.

Рабочая группа – это группа компьютеров, подключённых к сети, которые совместно используют ресурсы. При настройке сети операционная система Windows автоматически создаёт рабочую группу и присваивает ей имя по умолчанию.

Домен – это группа компьютеров одной сети, имеющих единый центр, использующий единую базу пользователей, единую групповую и локальную политики, единые параметры безопасности, ограничение времени работы учётной записи и прочие параметры, значительно упрощающие работу системного администратора организации, если в ней эксплуатируется большое число компьютеров.

Операции с учётными записями при помощи оснастки «Локальные пользователи и группы»

Как говорилось в первой части, использование оснастки «Локальные пользователи и группы» позволяет ограничить возможные действия пользователей и групп при помощи назначения им прав и разрешений. При помощи этой оснастки можно выполнять такие действия, как:

− сброс пароля пользователя;

− отключение учётной записи пользователя;

− удаление учётной записи;

− изменение имени;

− назначение сценариев входа;

− назначение домашней папки.

Далее подробно рассмотрена каждая из перечисленных операций.

Рисунок 2 – Оснастка «Локальные пользователи и группы»

Сброс пароля пользователя

Прежде всего, не стоит забывать, что сброс пароля для локальной учётной записи пользователя может привести к частичной потере данных этого пользователя в случае, если у него имелись зашифрованные данные или альтернативные пароли Интернета. Для того чтобы сбросить пароль пользователя, необходимо сделать следующее:

1. Открыть оснастку «Локальные пользователи и группы».

2. Открыть узел «Пользователи».

3. Нажать правой кнопкой мыши на учётной записи пользователя, для которого нужно сменить пароль, а потом выбрать из контекстного меню команду «Задать пароль».

4. В появившемся диалоге «Установка пароля для Имя_пользователя» прочитать сообщение, предупреждающее о последствиях сброса пароля и нажать на кнопку «Продолжить».

5. Далее, в диалоговом окне «Установка пароля для Имя_пользователя» ввести пароль для данной учётной записи, а затем продублировать его в поле «Подтверждение», после чего нажать на кнопку «ОК».

 

Отключение или активация

При отключении учётной записи, пользователю запрещается вход в систему. В области сведений оснастки «Локальные пользователи и группы» значок отключенной учётной записи отображается со значком стрелочки. При активации учётной записи, пользователь снова получает возможность обычного входа в систему. Для того чтобы отключить учётную запись пользователя необходимо выполнить следующие действия:

1. Открыть оснастку «Локальные пользователи и группы»;

2. Открыть узел «Пользователи»;

3. Нажать правой кнопкой мыши на учётной записи пользователя, которую нужно отключить, а потом выбрать из контекстного меню команду «Свойства»;

4. Для того чтобы отключить выбранную учётную запись пользователя, установить флажок на опции «Отключить учётную запись».

Для того чтобы заново активировать учётную запись, нужно снять флажок «Отключить учётную запись».

Удаление учётной записи

Если возникает необходимость в удалении учётной записи пользователя, то компания Майкрософт рекомендует сначала отключить эту учётную запись. В том случае, если при отключении не возникло никаких ошибок, то её можно безопасно удалять. После удаления учётную запись восстановить невозможно. Для того чтобы удалить учётную запись необходимо:

1. Открыть оснастку «Локальные пользователи и группы».

2. Открыть узел «Пользователи».

3. Нажать правой кнопкой мыши на учётной записи пользователя, которую нужно удалить, а потом выбрать из контекстного меню команду «Удалить».

Изменение имени

Можно не волноваться за целостность данных при изменении имени пользователя. Поскольку идентификаторы безопасности (SID) учётных записей сохраняются, переименованная учётная запись сохраняет все остальные свойства, в том числе описание, пароль, принадлежность к группам, профиль пользователя, данные учётной записи, а также все разрешения и права пользователя. Для того чтобы переименовать учётную запись пользователя нужно сделать следующее:

1. Открыть оснастку «Локальные пользователи и группы».

2. Открыть узел «Пользователи».

3. Нажать правой кнопкой мыши на учётной записи пользователя, которую нужно переименовать, а потом выбрать из контекстного меню команду «Переименовать».

Назначение сценария входа

Системные администраторы могут использовать сценарии входа для назначения задач, которые будут автоматически выполнены при входе пользователя на определённый компьютер в системе. Эти сценарии используют системные переменные среды и могут также вызывать другие сценарии или исполняемые программы. Сценарии входа часто используются для подключения системных дисков, запуска процессов в фоновом режиме и задания пользовательских переменных среды.

Сценарий входа исполняется автоматически при входе пользователя на компьютер, работающий под управлением операционной системы семейства Windows. Сценарий может содержать команды операционной системы, например команды подключения сетевых дисков или запуска программ. Сценарии входа также содержат переменные среды для указания сведений, таких как путь для поиска файлов и расположение каталога для временных файлов. Как правило, сценарий входа в систему представляет собой пакетный файл (с расширением.bat или.cmd), но допускается использование и любой исполняемой программы.

Сценарии входа являются необязательными. Их можно использовать для настройки рабочей среды посредством создания сетевых подключений и запуска программ. Сценарии входа применяются тогда, когда требуется повлиять на некоторые параметры рабочей среды пользователя, не управляя всеми её аспектами.

Сценарии входа, размещенные на локальном компьютере, применяются только к пользователям, входящим в систему с данного локального компьютера. Локальные сценарии входа должны размещаться в общей папке или в подпапке общей папки с именем Netlogon. Если этой папки по умолчанию не существует, необходимо её создать. Чтобы указать сценарий входа, размещенный в подпапке папки Netlogon, перед именем файла укажите относительный путь к этой папке. Например, чтобы назначить сценарий входа Start.bat, сохраненный в папке \\ИмяКомпьютера\Netlogon\ИмяПапки локального пользователя, в поле «Сценарий входа» введите ИмяПапки\Start.bat. Для того чтобы назначить сценарий входа для учётной записи пользователя, необходимо:

1. Открыть оснастку «Локальные пользователи и группы».

2. Открыть узел «Пользователи».

3. Нажать правой кнопкой мыши на учётной записи пользователя, которой нужно назначить сценарий входа, а потом выбрать из контекстного меню команду «Свойства».

4. Перейти на вкладку «Профиль» и там, в поле «Сценарий входа» нужно указать имя и относительный путь файла сценария.

 

Назначение домашней папки

Если домашняя папка не назначена, система назначает учётной записи пользователя локальную домашнюю папку по умолчанию (в корневой папке, где установлены файлы операционной системы). Чтобы указать для домашней папки сетевой путь, необходимо предварительно создать общий ресурс и задать разрешения позволяющие открыть доступ пользователям. Папка «Документы» представляет собой удобную альтернативу домашним папкам, но не заменяет их. На загрузочном томе создаются папки «Документы» для каждого пользователя. Для того чтобы указать домашнюю папку на локальном или сетевом ресурсе, нужно выполнить следующие действия:

1. Открыть оснастку «Локальные пользователи и группы».

2. Открыть узел «Пользователи».

3. Нажать правой кнопкой мыши на учётной записи пользователя, домашнюю папку которой нужно переназначить, а потом выбрать из контекстного меню команду «Свойства».

4. Перейти на вкладку «Профиль».

5. Указать домашнюю папку для пользователя:

− для того чтобы указать локальную домашнюю папку, в поле «Путь» ввести путь к папке на локальном компьютере;

− для того чтобы указать домашнюю папку на сетевом ресурсе, установить переключатель на опции «Подключить», указать букву диска и выбрать сетевой ресурс.

Локальные политики

Оснастка «Локальная политика безопасности» (рисунок 3) используется для изменения политики учётных записей и локальной политики на локальном компьютере, а политики учётных записей, привязанных к домену Active Directory можно настраивать при помощи оснастки «Редактор управления групповыми политиками».

 

Практическое задание №6

Запустить консоль можно несколькими способами:

1. Нажать на кнопку «Пуск» для открытия меню, в поле поиска ввести «Локальная политика безопасности» и открыть приложение в найденных результатах.

2. Воспользоваться комбинацией клавиш +R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» ввести secpol.msc и нажать на кнопку «ОК».

3. Открыть «Консоль управления MMC». Для этого нажать на кнопку «Пуск», в поле поиска ввести «mmc», а затем нажать на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выбрать команду «Добавить или удалить оснастку» или воспользоваться комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выбрать оснастку «Редактор локальной групповой политики» и нажать на кнопку «Добавить». В появившемся диалоге «Выбор объекта групповой политики» нажать на кнопку «Обзор» для выбора компьютера или нажать на кнопку «Готово» (по умолчанию установлен объект «Локальный компьютер»). В диалоге «Добавление или удаление оснасток» нажать на кнопку «ОК». В оснастке «Редактор локальной групповой политики» перейти в узел «Конфигурация компьютера», а затем открыть узел «Параметры безопасности».

 

Рисунок 3 – Консоль «локальная политика безопасности»

 

Консоль включает несколько интегрированных контейнеров:

− «Политики учётных записей»;

− «Локальные политики»;

− «Брандмауэр Windows в режиме повышенной безопасности»;

− «Политики диспетчера списка сетей»;

− «Политики открытого ключа»;

− «Политики ограниченного использования программ»;

− «Политики управления приложениями»;

− «Политики безопасности IP на «Локальный компьютер»;

− «Конфигурация расширенной политики аудита».

Каждый контейнер включает свои интегрированные компоненты.

 

Политика Kerberos

В доменах Active Directory для проверки подлинности учётных записей пользователей и компьютеров домена используется протокол Kerberos. Сразу после аутентификации пользователя или компьютера, этот протокол проверяет подлинность указанных реквизитов, а затем выдает особый пакет данных, который называется «Билет предоставления билета (TGT – Ticket Granting Ticket)». Перед подключением пользователя к серверу для запроса документа на контроллер домена пересылается запрос вместе с билетом TGT, который идентифицирует пользователя, прошедшего проверку подлинности Kerberos. После этого контроллер домена передает пользователю другой пакет данных, называемый билетом доступа к службе. Пользователь предоставляет билет на доступ службе на сервере, который принимает его как подтверждение прохождения проверки подлинности.

Данный узел можно обнаружить только на контроллерах домена. Доступны следующие пять политик безопасности:

Максимальная погрешность синхронизации часов компьютера. Для предотвращения «атак повторной передачи пакетов» существует текущая политика безопасности, которая определяет максимальную разность времени, допускающую Kerberos между временем клиента и временем на контроллере домена для обеспечения проверки подлинности. В случае установки данной политики, на обоих часах должны быть установлены одинаковые дата и время. Подлинной считается та отметка времени, которая используется на обоих компьютерах, если разница между часами клиентского компьютера и контроллера домена меньше максимальной разницы времени, определённой этой политикой.

Максимальный срок жизни билета пользователя. При помощи текущей политики можно указать максимальный интервал времени, в течение которого может быть использован билет представления билета (TGT). По истечении срока действия билета TGT необходимо возобновить существующий билет или запросить новый.

Максимальный срок жизни билета службы. Используя эту политику безопасности, сервер будет выдавать сообщение об ошибке в том случае, если клиент, запрашивающий подключение к серверу, предъявляет просроченный билет сеанса. Можно определить максимальное количество минут, в течение которого полученный билет сеанса разрешается использовать для доступа к конкретной службе. Билеты сеансов применяются только для проверки подлинности на новых подключениях к серверам. После того как подключение пройдет проверку подлинности, срок действия билета теряет смысл.

Максимальный срок жизни для возобновления билета пользователя. С помощью данной политики можно установить количество дней, в течение которых может быть восстановлен билет предоставления билета.

Принудительные ограничения входа пользователей. Эта политика позволяет определить, должен ли центр распределения ключей Kerberos проверять каждый запрос билета сеанса на соответствие политике прав, действующей для учётных записей пользователей.

Практическое задание №7

1. Запустить консоль «Локальные политика безопасности», перейти к настройке «Политике учётных записей».

2. Перейти к пункту «Пороговое значение блокировки» в «Политике блокировки учётной записи», установить параметр равный 3 попыткам.

3. Перейти к пункту «Минимальная длина пароля» в «Политике паролей», установить значение 10.

4. Перейти к пункту «Пароль должен отвечать требованиям сложности», поставить галочку.

Длина пароля может достигать 128 знаков. Маленький отрывок из поэмы А.С.Пушкина «Руслан и Людмила» со всеми знаками препинания, набранный русскими буквами в латинской раскладке и установленный в качестве пароля, может привести в замешательство любого взломщика: E kerjvjhmz le, ptktysq, Pkfnfz wtgm yf le,t njv, B lytv b yjxm. Rjn extysq, Dct [jlbn gj wtgb rheujv/. Этот пароль надежный, а запомнить его очень просто: «У лукоморья дуб зеленый, златая цепь на дубе том, и днём и ночью кот учёный, всё ходит по цепи кругом».

Кроме того, специалистами были разработаны рекомендации по созданию усиленных паролей, использование которых уменьшает вероятность успешной атаки взломщика:

− пароль должен содержать не менее 6 символов, и среди них должны быть символы по крайней мере трех типов из следующих четырех: заглавные буквы, строчные буквы, цифры и специальные символы (то есть,%,*,&,!)

− пароль не может включать учётное имя пользователя;

− если пользователь создаёт пароль, который не отвечает перечисленным требованиям, операционная система выдает сообщение об ошибке и не принимает пароль.

5. Проверить действие установленных настроек.

Политика аудита

В процессе аудита используются три средства управления: политика аудита, параметры аудита в объектах, а также журнал «Безопасность», куда заносятся события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам.

Политика аудита настраивает в системе определённого пользователя и группы аудит активности. Для того чтобы отконфигурировать политики аудита, в редакторе управления групповыми политиками необходимо открыть узел «Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Локальные политики /Политика аудита». Необходимо помнить, что по умолчанию параметр политики аудита, для рабочих станций установлен на «Не определено». В общей сложности, возможна настройка девяти политик аудита.

Так же, как и с остальными политиками безопасности, для настройки аудита нужно определить параметр политики. После двойного нажатия левой кнопкой мыши на любом из параметров, установите флажок на опции «Определить следующие параметры политики» и укажите параметры ведения аудита успеха, отказа или обоих типов событий.

После настройки политики аудита события будут заноситься в журнал безопасности. Просмотреть эти события можно в журнале безопасности.

Аудит входа в систему. Текущая политика определяет, будет ли операционная система пользователя, для компьютера которого применяется данная политика аудита, выполнять аудит каждой попытки входа пользователя в систему или выхода из неё. Например, при удачном входе пользователя на компьютер генерируется событие входа учётной записи. События выхода из системы создаются каждый раз, когда завершается сеанс вошедшей в систему учётной записи пользователя. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему.

Аудит доступа к объектам. Данная политика безопасности выполняет аудит попыток доступа пользователей к объектам, которые не имеют отношения к Active Directory. К таким объектам можно отнести файлы, папки, принтеры, разделы системного реестра, которые задаются собственными списками в системном списке управления доступом (SACL). Аудит создаётся только для объектов, для которых указаны списки управления доступом, при условии, что запрашиваемый тип доступа и учётная запись, выполняющая запрос, соответствуют параметрам в данных списках.

Аудит доступа к службе каталогов. При помощи этой политики безопасности можно определить, будет ли выполняться аудит событий, указанных в системном списке контроля доступа (SACL), который можно редактировать в диалоговом окне «Дополнительные параметры безопасности» свойств объекта Active Directory. Аудит создаётся только для объектов, для которых указан системный список управления доступом, при условии, что запрашиваемый тип доступа и учётная запись, выполняющая запрос, соответствуют параметрам в данном списке. Данная политика в какой-то степени похожа на политику «Аудит доступа к объектам». Аудит успехов означает создание записи аудита при каждом успешном доступе пользователя к объекту Active Directory, для которого определена таблица SACL. Аудит отказов означает создание записи аудита при каждой неудачной попытке доступа пользователя к объекту Active Directory, для которого определена таблица SACL.

Аудит изменения политики. Эта политика аудита указывает, будет ли операционная система выполнять аудит каждой попытки изменения политики назначения прав пользователям, аудита, учётной записи или доверия. Аудит успехов означает создание записи аудита при каждом успешном изменении политик назначения прав пользователей, политик аудита или политик доверительных отношений. Аудит отказов означает создание записи аудита при каждой неудачной попытке изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений.

Аудит изменения привилегий. Используя эту политику безопасности, можно определить, будет ли выполняться аудит использования привилегий и прав пользователей. Аудит успехов означает создание записи аудита для каждого успешного применения права пользователя. Аудит отказов означает создание записи аудита для каждого неудачного применения права пользователя.

Аудит отслеживания процессов. Текущая политика аудита определяет, будет ли операционная система выполнять аудит событий, связанных с процессами, такими как создание и завершение процессов, а также активация программ и непрямой доступ к объектам. Аудит успехов означает создание записи аудита для каждого успешного события, связанного с отслеживаемым процессом. Аудит отказов означает создание записи аудита для каждого неудачного события, связанного с отслеживаемым процессом.

Аудит системных событий. Данная политика безопасности имеет особую ценность, так как именно при помощи этой политики можно узнать, перегружался ли у пользователя компьютер, превысил ли размер журнала безопасности пороговое значение предупреждений, была ли потеря отслеженных событий из-за сбоя системы аудита и даже вносились ли изменения, которые могли повлиять на безопасность системы или журнала безопасности вплоть до изменения системного времени. Аудит успехов означает создание записи аудита для каждого успешного системного события. Аудит отказов означает создание записи аудита для каждого неудачного завершения системного события.

Аудит событий входа в систему. При помощи этой политики аудита можно указать, будет ли операционная система выполнять аудит каждый раз при проверке данным компьютером учётных данных. При использовании этой политики создаётся событие для локального и удаленного входа пользователя в систему. Члены домена и компьютеры, не входящие в домен, являются доверенными для своих локальных учётных записей. Когда пользователь пытается подключиться к общей папке на сервере, в журнал безопасности записывается событие удалённого входа (события выхода из системы не записываются). Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему.

Аудит управления учётными записями. Эта последняя политика тоже считается очень важной, так как именно при помощи неё можно определить, необходимо ли выполнять аудит каждого события управления учётными записями на компьютере. В журнал безопасности будут записываться такие действия как создание, перемещение и отключение учётных записей, а также изменение паролей и групп. Аудит успехов означает создание записи аудита для каждого успешного события управления учётными записями. Аудит отказов означает создание записи аудита для каждого неудачного события управления учётными записями

Параметры безопасности

Узел «Параметры безопасности» позволяет администратору безопасности вручную настраивать уровни безопасности, назначенные политике локального компьютера. Чтобы изменить любое из значений шаблона, необходимо дважды щёлкнуть его. Появится диалоговое окно, позволяющее модифицировать значение.

Таким образом контролировать включение или отключение настроек безопасности, таких как цифровая подпись данных, имена учётных записей администратора и гостя, доступ к дисководам гибких и компакт-дисков, установка драйверов и приглашения на вход в систему и все остальные доступные параметры политики безопасности. Далее будут рассмотрены подробнее, какие параметры рекомендуется устанавливать для повышения защиты компьютера от различного рода атак по сети Интернет.

Первое – напоминать пользователям об истечении срока действия пароля – 14 дней (по умолчанию).

Рекомендуется включать политику «Не отображать последнего имени пользователя в диалоге входа» (по умолчанию – отключен). Особенно полезно в случае, когда рядовой пользователь имеет пароль аналогичный своему имени, и тогда без труда можно с нескольких переборов пароля хакеру проникнуть на этот компьютер.

Рекомендуется включать политику «Запретить пользователям установку драйвера принтера» (по умолчанию – отключен). А также рекомендуется включить политику «Очистка страничного файла виртуальной памяти» (по умолчанию – отключен). После этого система всегда при выключении компьютера будет удалять файл подкачки. Но здесь есть свой недостаток – система будет долго выключатся.

Следующая политика безопасности относится к состоянию окна CTRL+ALT+DEL при входе в систему. Эта политика по умолчанию не установлена. После перезагрузки при входе в систему на экране будет отображаться окно CTRL+ALT+DEL, которое по умолчанию не отображается.

Кроме этого, в целях безопасности полезно настраивать следующие параметры:

- «Автоматически отключать сеансы пользователей по истечении разрешённого времени» (Включить);

- «Длительность простоя перед отключением сеанса» (примерно 10 мин);

- «Дополнительные ограничения для анонимных подключений» (установить в значение «Нет доступа, без явного разрешения анонимного доступа»);

- «Использовать цифровую подпись со стороны клиента (Всегда)» (Включить);

- «Использовать цифровую подпись со стороны клиента (по возможности)» (Включить);

- «Использовать цифровую подпись со стороны сервера (Всегда)» (Включить);

- «Использовать цифровую подпись со стороны сервера (по возможности)» (Включить);

- «Разрешить доступ к дисководам компакт-дисков только локальным пользователям» (Включить);

- «Разрешить доступ к НГМД только локальным пользователям» (Включить).

 

 

Процесс шифрования в EFS

Две основные криптографические системы. Наиболее простая – шифрование с использованием секретного (симметричного) ключа, т.е. для шифровки и расшифровки данных используется один и тот же ключ. Преимущества: высокая скорость шифрования; недостатки: проблема передачи секретного ключа, а именно возможность его перехвата. Представители: DES, 3DES, DESX, AES. Отличие шифрования с открытым ключом (асимметричное шифрование) заключается в том, что данные шифруются одним ключом, а расшифровываются другим, с помощью одного и того же ключа нельзя осуществить обратное преобразование. Эта технология шифрования предполагает, что каждый пользователь имеет в своем распоряжении пару ключей – открытый ключ (public key) и личный или закрытый ключ (private key). Таким образом, свободно распространяя открытый ключ, один пользователь предоставляет другим пользователям возможность шифровать свои сообщения, направленные этому пользователю, которые сможет расшифровать только он. Если открытый ключ и попадет в «плохие руки», то он не даст возможности определить секретный ключ и расшифровать данные. Отсюда и основное преимущество систем с открытым ключом: не нужно передавать секретный ключ, однако есть и недостаток – низкая скорость шифрования. Представители: RSA, алгоритм Эль-Гамаля, алгоритм Диффи-Хелмана.

В EFS для шифрования используются все преимущества вышеперечисленных систем. Данные шифруются с помощью симметричного алгоритма с применением ключа шифрования файла (File Encryption Key, FEK). FEK – сгенерированный EFS случайным образом ключ. На следующем этапе FEK шифруется с помощью открытого ключа пользователя и сохраняется в пределах атрибута, называемого полем расшифровки данных (Data Decryption Field, DDF) непосредственно внутри самого файла. Кроме того, EFS шифрует FEK, используя открытый ключ агента восстановления, и помещает его в атрибут Data Recovery Field – DRF. DRF может содержать данные для множества агентов восстановления.

Агент восстановления данных (Data Recovery Agent, DRA) – пользователь, который имеет доступ ко всем зашифрованным данным других пользователей. Это актуально в случае утраты пользователями ключей или других непредвиденных ситуациях. Агентом восстановления данных назначается обычно администратор. Для создания агента восстановления нужно сначала создать сертификат восстановления данных и определить политику восстановления, а затем назначить одного из пользователей таким агентом. Политика восстановления играет важную роль в системе шифрования, она определяет агентов восстановления, а их отсутствие или удаление политики вообще запрещает использование пользователями шифрования.

EFS и NTFS

Шифрованная файловая система (EFS) защищает конфиденциальные данные в файлах на томах NTFS. EFS – основная технология шифрования и расшифровки файлов на томах NTFS. Открывать файл и работать с ним может только пользователь, его зашифровавший. Это чрезвычайно важно для пользователей переносных компьютеров: даже если взломщик получит доступ к потерянному или украденному компьютеру, он не сможет открыть зашифрованные файлы. В Windows XP шифрованная файловая система также поддерживает автономные файлы и папки (Offline Files and Folders).

Зашифрованный файл останется недоступным для просмотра в исходном виде, даже если атакующий обойдет системную защиту, например, загрузив другую ОС. EFS обеспечивает устойчивое шифрование по стандартным алгоритмам и тесно интегрирована с NTFS. EFS в Windows XP предоставляет новые возможности совместного использования зашифрованных файлов или отключения агентов восстановления данных, а также облегчает управление посредством групповой политики и служебных программ командной строки.

Как работает EFS

EFS позволяет сохранить конфиденциальность информации на компьютере в условиях, когда люди, имеющие физический доступ к компьютеру, могут преднамеренно или неумышленно скомпрометировать её. EFS чрезвычайно удобна для обеспечения конфиденциальности данных на мобильных компьютерах или на компьютерах, на которых работают несколько пользователей, т. е. таких системах, которые могут подвергаться атакам, предусматривающим обход ограничений списков ACL.

В совместно используемой системе атакующий обычно получает несанкционированный доступ, загружая другую ОС. Злоумышленник также может захватить компьютер, вынуть жесткий диск, поместить его на другой компьютер и получить доступ к файлам. Однако если у него нет ключа расшифровки, зашифрованный средствами EFS файл будет выглядеть как бессмысленный набор символов.

Поскольку EFS тесно интегрирована с NTFS, шифрование и расшифровка выполняются незаметно («прозрачно») для пользователя. При открытии файла EFS автоматически расшифровывает его по мере чтения данных с диска, а при записи – шифрует данные при записи на диск.

В стандартной конфигурации EFS позволяет зашифровать файл прямо из Проводника Windows без какого-либо вмешательства администратора. С точки зрения пользователя шифрование файла или папки – это просто назначение ему определённого атрибута.

Конфигурирование EFS

По умолчанию система поддерживает работу EFS. Разрешается шифровать файлы, для которых имеется разрешение на изменение. Поскольку в EFS для шифрования файлов применяется открытый ключ, нужно создать пару ключей открытый/закрытый и сертификат с открытым ключом шифрования. В EFS разрешены сертификаты, подписанные самим владельцем, поэтому вмешательство администратора для нормальной работы не требуется.

Если применение EFS не соответствует требованиям организации или если есть файлы, которые нельзя шифровать, существует много способов отключить EFS или нужным образом конфигурировать её.

Для работы с EFS всем пользователям требуются сертификаты EFS. Если в организации нет инфраструктуры открытого ключа (Public Key Infrastructure, PKI), применяются подписанные самим владельцем сертификаты, которые автоматически создаются ОС. При наличии центров сертификации сертификаты EFS обычно выпускают именно они. Если используется EFS, необходимо предусмотреть план восстановления данных при сбое системы.

Что разрешается шифровать?

На томах NTFS атрибут шифрования разрешается назначать отдельным файлам и папкам с файлами (или подпапками). Хотя папку с атрибутом шифрования и называют «зашифрованной», сама по себе она не шифруется, и для установки атрибута пары ключей не требуется. При установленном атрибуте шифрования папки EFS автоматически шифрует:

− все новые файлы, создаваемые в папке;

− все незашифрованные файлы, скопированные или перемещённые в папку;

− все вложенные файлы и подпапки (по особому требованию);

− автономные файлы.

 

Варианты заданий

	1, 10, 20
	2, 9, 21
	3, 8, 19
	4, 7, 18
	5, 11, 17
	6, 12, 22
	7, 13, 16
	1, 8, 14
	6, 15, 21
	1, 6, 16

Задание 1. Создать учётную запись при помощи диалога «Управление учётными записями пользователей» (п.1.2.1).

Задание 2. Создать учётную запись при помощи диалога «Учётные записи пользователей» (п.1.2.2).

Задание 3. Создать учётную запись при помощи оснастки «Локальные пользоват