Безопасность файловых систем. 
Общие папки, NTFS и EFS

Разрешения (permissions) на доступ к файлам и папкам делятся на Общие папки и NTFS Общие папки: Предоставляют доступ к ресурсам других компьютеров в сети. Имея разрешение, пользователь может подключиться к общей папке и получить доступ к ее содержимому. В Windows Explorer (Проводник) под общей папкой изображена рука.

Характеристики разрешений доступа к общим папкам:

разрешения распространяются только на папки, но не на конкретные файлы, поэтому разрешения доступа к общим папкам — менее строгая мера защиты, чем разрешения NTFS;

разрешения не распространяются на локальных пользователей — только на тех, кто обращается к общей папке по сети;

назначение разрешений для общих папок — единственный способ защитить сетевые ресурсы в файловой системе FAT; разрешения NTFS недоступны на разделах FAT;

по умолчанию группа Everyone (Все) получает для общей папки разрешения Full Control (Полный доступ).

Виды разрешений:

Накопление разрешений для общего ресурса: Разрешения имеют свойство накапливаться. К примеру, если пользователь входит в группу с уровнем доступа Read (Чтение) и в тоже время является членом группы с уровнем доступа Change (Изменение), его итоговым уровнем доступа будет разрешение на чтение и изменение общего ресурса. Поскольку разрешение Change включает в себя разрешение Read, фактическим уровнем доступа пользователя будет уровень доступа Change.

Перемещение и копирование папок: При перемещении папки все связанные с ней ресурсы общего доступа удаляются, так что на новом месте папка уже не будет является общей. При копировании папки ее копия теряет свойства общего ресурса, а вот исходная папка по-прежнему остается доступной.

Право доступа: Предоставлять доступ к папке для совместной работы могут члены заранее определенных групп: Administrators (Администраторы), Server Operators (Операторы сервера) и Power Users (Опытные пользователи). На рядовом сервере домена члены групп Administrators и Server Operators могут предоставить общий доступ к любой папке в сети. На изолированном компьютере правом предоставления доступа к папке для совместной работы обладает только администратор, а также члены группы Power Users и локальной группы Administrators. Рабочие группы не имеют таких гибких возможностей. Только члены локальной группы Administrators и группы Power Users могут предоставить общий доступ к папке. (Если вы являетесь владельцем папки, то всегда можете сделать ее общим ресурсом. Помните, что администратор может стать владельцем любой папки.).

Скрытые ресурсы общего доступа: Одно из весьма полезных свойств операционной системы Windows заключается в возможности скрывать ресурсы общего доступа. Это в некоторой степени решает проблему видимости общих ресурсов даже теми пользователями, которые не имеют к ним доступа. Несмотря на то что технология частичного сокрытия общего ресурса достаточно сложна и, возможно, даже обременительна для операционной системы, она того стоит, так как позволяет предоставлять доступ к ценным сведениям только тем пользователям, которым это необходимо для выполнения своих непосредственных обязанностей. Для того чтобы скрыть общий ресурс, достаточно прибавить к его имени знак доллара ($). Вы сможете подключиться к данному ресурсу, однако его имя не будет отображаться в списке просмотра (так как в списке просмотра не отображаются общие ресурсы, чье имя заканчивается знаком доллара). Чтобы подключиться к скрытому общему ресурсу, следует воспользоваться диалоговым окном Run (Запуск программы).

Административные общие папки: С$, D$, E$… Корень каждого тома на жестком диске. Сетевым именем является буква диска со знаком доллара ($) на конце. Подключаясь к такой папке, Вы получаете доступ ко всему тому. Эти папки предназначены для выполнения административных задач, для чего группе Administrators предоставляются разрешения Full Control (Полный доступ). Съемные устройства, например CD-ROM, скрытыми общими папками не являются. Admin$ Системная папка, по умолчанию C: Winnt, предназначена для управления Windows с удаленного компьютера, при этом администратор может не знать, в какую папку установлена ОС. Доступ к этой папке могут получить только члены группы Administrators с разрешением Full Control. Print$ При установке первого сетевого принтера папка %systemroot%System32SpoolDrivers, где находятся драйверы принтеров, становится общей. Группы Administrators, Server Operators и Print Operators (Операторы печати) обладают разрешениями Full Control. Группа Everyone (Все) обладает разрешением Read.

Разрешения NTFS: Это стандартный набор прав, предоставляющих или запрещающих доступ к ресурсам. В NTFS можно назначать разрешения не только для папок, но и для отдельных файлов, а также указать вид самого доступа. Кроме того, разрешения NTFS эффективны при доступе как с удаленного, так и с локального компьютера.

Стандартные разрешения NTFS в Windows NT-2008:

разрешения доступа к папкам обеспечивают безопасность папок на томе NTFS;

разрешения доступа к файлам обеспечивают безопасность файлов на томе NTFS.

Защита файлов и папок с использованием разрешений: разрешения представляют собой средство контроля за доступом к сетевым объектам. После ресурсов общего доступа разрешения NTFS представляют собой вторую и третью линии обороны данных и сетевых ресурсов. Разрешения для файлов и папок контролируются файловой системой NTFS.

Разрешения вступают в силу сразу же после форматирования тома для файловой системы NTFS. Разрешения NTFS защищают тома точно так же, как они защищают папки и файлы. После того как вы отформатировали том для NTFS 5.0, запустите программу Windows Explorer (Проводник), щелкните правой кнопкой мыши на имени тома и выполните команду контекстного меню Properties (Свойства). Переключившись на вкладку Security (Безопасность) диалогового окна свойств тома, вы увидите список пользователей и групп, имеющих доступ к тому по умолчанию. Наибольшую угрозу безопасности представляет собой, конечно же, группа Everyone (Все).

Стандартные разрешения для папок:

Стандартные разрешения для файлов:

Разрешение Full Control: Предоставляет полный доступ к ресурсу. По умолчанию назначается так:

пользователь, создавший файл или папку, получает статус Creator Owner (Создатель-владелец) и разрешение Full Control (Полный доступ);

при форматировании тома под NTFS, группе Everyone предоставляется разрешение Full Control для корня этого тома;

при преобразовании разделов FAT в NTFS, группе Everyone предоставляется разрешение Full Control для всех ресурсов этого раздела.

Свойства разрешений:

Разрешения суммируются. Полномочия пользователя складываются из всех назначенных ему разрешений на использование объекта или доступ к нему. Например, если пользователю предоставлено разрешение Read (Чтение) на основании его принадлежности к группе Readers Group (Группа пользователей с правом чтения) и одновременно с этим разрешение Execute File (Выполнение файлов) для того же набора файлов на основании членства в группе Application Access Group (Группа доступа к приложению), то полное разрешение пользователя будет состоять из разрешений Read и Execute File.

Запрет разрешения отменяет все полномочия пользователя, касающиеся определенного объекта. Если пользователь имеет полный доступ к объекту (Full Control) на основании принадлежности к нескольким группам, запрет разрешения всего лишь в одной из них приведет к полной блокировке доступа пользователя к файлу или папке.

Разрешения для файлов не преобладают над разрешениями для папок. Любое разрешение для файла, данное пользователю, не отменяет (подавляет) разрешение, назначенное на уровне папки. Другими словами, если пользователь имеет полный доступ к файлу (Full Control) и не имеет доступа к папке, он не сможет обратиться к файлу. Данный механизм позволяет предотвратить подключение пользователя к файлу из командной строки путем указания UNC-пути.

Шифрованные файловые системы EFS: EFS интегрирована в NTFS. Полностью прозрачна для приложений. Работает на уровне файлов и каталогов. EFS использует криптографические сервисы, предоставляемые Windows 2000/2003 в пользовательском режиме. Состоит из драйвера устройства режима ядра, тесно интегрированного с NTFS и DLL-модулями пользовательского режима, которые взаимодействуют с подсистемой локальной аутентификации и криптографическими DLL. Доступ к зашифрованным файлам можно получить только с помощью закрытого ключа из криптографической пары EFS. Закрытые ключи защищены паролем учетной записи.

В EFS для шифрования и дешифрования информации используются два метода шифрования:

Данные зашифровываются с помощью симметричного алгоритма с применением ключа шифрования файла (File Encryption Key, FEK). FEK — это сгенерированный случайным образом ключ, имеющий определенную длину.

В свою очередь, FEK шифруется с помощью одного или нескольких открытых ключей, предназначенных для криптозащиты ключа. В этом случае создается список зашифрованных ключей FEK, что позволяет организовать доступ к файлу со стороны нескольких пользователей.

Для шифрования набора FEK используется открытая часть пары ключей каждого пользователя. Список зашифрованных ключей FEK хранится вместе с зашифрованным файлом в специальном атрибуте EFS, называемом полем дешифрования данных (Data Decryption Field, DDF).

Информация, требуемая для дешифрования, привязывается к самому файлу. Секретная часть ключа пользователя используется при дешифровании FEK. Она хранится в безопасном месте, например на смарт-карте или другом устройстве, обладающем высокой степенью защищенности. FEK применяется для создания ключей восстановления. Для этого FEK шифруется с помощью одного или нескольких открытых ключей восстановления. Список FЕК, зашифрованных для целей восстановления, хранится вместе с зашифрованным файлом в специальном атрибуте EFS, называемом полем восстановления данных (Data Recovery Field, DRF). Благодаря существованию набора зашифрованных FEK файл может восстановить несколько агентов восстановления данных.

Шифрование данных производится в следующем порядке:

• 1. Незашифрованный файл пользователя шифруется с помощью сгенерированного случайным образом ключа шифрования файла, FЕК.
• 2. FЕК шифруется с помощью открытой части пары ключей пользователя и помещается в поле дешифрования данных, DDF.
• 3. FЕК шифруется с помощью открытой части ключа восстановления и помещается в поле восстановления данных, DRF.

EFS: схема работы с ключами.

Генерируется случайный ключ шифрования файла (FEK).

FEK шифруется по RSA при помощи открытых ключей пользователей и агентов восстановления. Получаются DDF и DRF соответственно.

Файл шифруется на ключе FEK по алгоритму DESX.

EFS: метаинформация.

DDF хранит также пользовательский SID и хеш сертификата EFS, которые используются для поиска закрытого ключа пользователя.

Формат DRF похож на формат DDF (вместо пользователя — агент восстановления) Вычисляется MD5-хеш от всех элементов и сохраняется в заголовке. Он проверяется при распаковке файла, чтобы убедиться, что данные не повреждены.

Дешифрование данных производится следующим образом:

• 1. Из DDF извлекается зашифрованный FЕК и дешифруется с помощью секретной части ключа пользователя.
• 2. Зашифрованный файл пользователя дешифруется с помощью FЕК. При работе с большими файлами дешифруются только отдельные блоки, что значительно ускоряет выполнение операций чтения.

EFS: схема дешифрования Перебираются все DDF (или DRF) у файла и сохраненный хеш сертификата сравнивается с хешем сертификата пользователя. Если обнаружено совпадение, то для расшифровки используется соответствующий DDF (или DRF) и закрытый ключ пользователя.

Если совпадений не обнаружено, то доступ к файлу запрещается.

Процесс восстановления файла после утраты секретной части ключа: Для восстановления данных выполняются следующие операции:

• 1. Из DDF извлекается зашифрованный FЕК и дешифруется с помощью секретной части ключа восстановления.
• 2. Зашифрованный файл пользователя дешифруется с помощью FЕК

Описанная выше общая система криптозащиты позволяет применять максимально надежную технологию шифрования и дает возможность многим пользователям и агентам восстановления получать общий доступ к зашифрованным файлам. Она полностью независима от применяемого алгоритма шифрования, что очень важно, поскольку позволит в будущем легко перейти на новые, более эффективные алгоритмы.

EFS: ограничения: Системные файлы и папки не шифруются, Папки на самом деле не шифруются, просто помечаются. Помещенные потом в них файлы будут автоматически зашифрованы. DRF добавляется исходя из активной политики восстановления. Если изменились/добавились агенты восстановления, то DRF у файлов не обновляются автоматически. Пользователь, чей DDF добавили к файлу потом сможет управлять всеми DDF.

Требования к оборудованию и программному обеспечению:

Файловая система EFS не требует особого оборудования, за исключением компьютера, подходящего для установки версии операционной системы Windows, поддерживающей файловую систему EFS.

на всех компьютерах должна быть установлена система Windows 2000/2003/XP /Vista/08(?);

файлы и папки, которые требуется зашифровать, должны храниться на томах, отформатированных в системе NTFS;

пользователи, применяющие шифрование файлов, должны иметь разрешение NTFS на изменение для файла или папки;

приложения, открывающие и изменяющие файлы, защищенные файловой системой EFS, необходимо проверить на совместимость с файловой системой EFS. Как правило, любое приложение Microsoft Win32® совместимо с файловой системой EFS. Большинство проблем с совместимостью возникает с устаревшими 16-разрядными приложениями. Также особого внимания заслуживают приложения, получающие доступ к файловой системе особым образом (в том числе антивирусные пакеты, приложения для резервного копирования и программы дефрагментации).