Algebra computationala

Encrypted File System Windows Introducere Pe lnga utilizarea strategiilor pentru recuperarea si protectia datelor n Windows XP, voi prezenta si cateva exemple pas-cu-pas care vor exemplifica trasaturile si setarile disponibile n recuperarea si protectia datelor, o abordare n Windows XP. n Windows 2000, Microsoft a introdus Encrypted File System (EFS) o noua caracteristica integrata n sistemul de operare, item ce usureaza protectia datelor utilizatorului si totodata o ntareste, un plus de securitate oferit anterior de sistemul de fisiere NTFS. Motivul pentru care s-a adus aceasta mbunatatire este dezavantajul ca securitatea oferita de NTFS poate fi usor evitata o data ce un atacator reuseste sa obtina acces fizic la calculator. Exista o varietate larga de programe utilitare care pot accesa un disk protejat de NTFS prin simpla pornire a calculatorului de pe o discheta. Deasemenea, cu toate ca accesul la calculator se poate proteja prin parolare, aceasta parola nu mpiedica pe nimeni sa scoata hard-diskul si sa acceseze datele de pe el, folosind un alt calculator cu Windows 2000/Xp/2003. Din fericire, n astfel de scenarii, EFS poate oferi siguranta datelor. Privire de ansamblu EFS foloseste o combinatie de cheie de criptare simetrica si publica/privata pentru a securiza continutul fisierelor aflate pe o partitie NTFS. Cheia simetrica (generata dinamic la momentul criptarii si diferita pentru fiecare fisier) este folosita pentru a executa procesul de criptare si este salvata mpreuna cu fisierul criptat. Cheia privata, necesara pentru decriptare, este rezidenta profilului utilizatorului, astfel datele existente pe disk vor fi afisate ntr-un format indescifrabil si inutile fara cheia privata, cu toate ca pot fi accesate de alte utilitare. Totusi exista anumite probleme posibile de securitate cu EFS pe care un utilizator ar trebui sa le cunoasca si anume: Fisierele criptate sunt disponibile oricarei persoane care detine cheia privata. Aceasta cheie este folosita pentru a recupera cheia simetrica criptata cu o cheie publica (din acelasi set de chei din care face parte cheia privata). Cheia privata se aplica utilizatorului care a criptat fisierele si altui utilizator, un cont de Windows, denumit Data Recovery Agent (DRA). n lipsa unei setari specifice, n Windows 2000, acest DRA este userul Administrator (administratorul local, pe sistemele care nu fac parte dintrun domeniu si respectiv administratorul de domeniu pentru sistemele care fac parte dintr-un domeniu). Deoarece este posibila utilizarea anumitor utilitare pentru a reseta parola de administrator local sau oricare parola a unui utilizator local (data de posibilitatea accesarii fizice a calculatorului) sistemele care nu fac parte dintr-un domeniu sunt nesigure. Dealtfel ntr-un mediu bazat pe Windows 2000, resetarea parolei de administrator nu va avea nici un impact asupra fisierelor protejate cu EFS pe acel sistem. Totusi, cheia privata a utilizatorului poate fi compromisa atata timp cat se afla salvata pe sistemul local. Deoarece mediile pe care se implementeaza EFS, tipic se bazeaza pe profile roaming (profilele sunt salvate pe serverul domeniului, aceasta asigura ca aceeasi cheie privata sa fie folosita pentru toate fisierele criptate ale acelui utilizator), profilul utilizatorului este copiat pe sistemul local de fiecare data cnd se logheaza in sistem. Pentru a se asigura ca atacatorul nu se va putea folosi de cheia privata copiata pe sistemul local, trebuie folosit Group Policy pentru a forta stergerea profilului roaming de pe sistemul local o data cu delogarea utilizatorului. De asemenea trebuie folosit un cont dedicat pentru Disaster Recovery Agent si realizat n asa fel nct cheia privata sa fie pastrata intr-un loc sigur. Ambele probleme descrise anterior au fost eliminate n Windows XP Professional datorita urmatoarelor doua schimbari n implementarea EFS: Nu mai exista un Data Recovery Agent (DRA) setat n prealabil. Deasemenea, contrar Windows 2000, DRA nu mai este necesar pentru ca EFS sa functioneze. Administratorii mediilor Windows 2000 ar trebui sa retina urmatorul lucru: era posibil sa se previna

http://copiatac.3x.ro/Proiecte_AC/CristianLucian.htm[1/5/2014 10:13:59 PM]

Algebra computationala

criptarea mediului Windows 2000 la nivel de domeniu prin initializarea unei reguli goale (Empty Policy) pentru Encripted Data Recovery Agents. Setarea Empty Policy se realiza prin lansarea Group Policy, selectarea regulilor legate de domeniul respectiv si parcurgerea urmatoarele meniuri: Computer Configuration -> Windows Settings -> Security Settings -> Public Key Policies -> Encrypted Data Recovery Agents, apoi click dreapta pe ultimul director numit Encrypted Data Recovery Agents si selectarea Initialize Empty Policy din meniul afisat. Acest lucru era suficient pentru a se indeparta capacitatile utilizarii EFS de utilizatori n orice sistem Windows 2000 care este membru al unui domeniu. Cu Windows Xp acest lucru nu mai este posibil. Pentru a dezactiva EFS la nivel de domeniu ntr-un mediu n care sunt folosite sisteme Windows XP trebuie sa pornim Microsoft Management Console de pe un sistem Windows XP Professional, care era un membru al domeniului respectiv, se ruleaza Group Policy Editor si se selecteaza obiectul Group Policy al domeniului respectiv si se parcurg urmatoarele meniuri: Computer Configuration -> Windows Settings -> Security Settings -> Public Key Policies -> Encrypting File System, se da click dreapta si se alege Properties iar din meniul Allow users to encrypt files using Encripting File Szstem (EFS) se debifeaza casuta asociata acestei optiuni (optiune este selectata implicit). EFS introduce un nivel aditional de criptare care foloseste parola utilizatorului pentru a pastra cheia privata n profilul utilizatorului. Pe de o parte, aceasta previne situatiile in care un atacator reseteaza parola oricarui utilizator local pentru a ncerca sa acceseze fisierele criptate EFS (deoarece o data cu resetarea parolei, cheia privata pastrata in profilul utilizatorului devine inutila), pe de alta parte se creaza o problema daca utilizatorul uita parola (de aici vine si nevoia de a se recupera parola utiliznd discheta Password Recovery). Arhitectura EFS EFS se bazeaza pe criptare cu chie publica si are avantajele arhitecturei CryptoAPI in Windows XP. Configurarea implicita a EFS nu are nevoie de efort administrativ, se poate ncepe criptarea fisierelor imediat dupa ce s-a ncheiat instalarea Windows XP. Procesele de criptare si decriptare sunt transparente utilizatorului. Setarile pentru EFS: Imaginea 1 EFS poate folosi ca algoritmi de criptare att expanded Data Encryption Standard (DESX) ct si Triple-DES (3DES). Att softul RSA de baza ct si softul RSA avansat inclus n sistemul de operare pot fi folositi pentru certificatul EFS si pentru criptarea cheii simetrice. Principalele teme prezentate sunt urmatoarele: EFS, nbunatatirile n Windows XP si Windows Server 2003 Recuperarea Datelor, privire de ansamblu Recuperarea Datelor, folosind EFS Protectia Datelor, cele mai bune metode Depanare

Nota: EFS nu este disponibil in Windows XP Home Edition. EFS, mbunatatirile n Windows XP si Windows Server 2003 Suport complet pentru verificarea anularii certificatelor cand se distribuie fisierele criptate Suportul EFS n clusterele Windows Server 2003

http://copiatac.3x.ro/Proiecte_AC/CristianLucian.htm[1/5/2014 10:13:59 PM]

Algebra computationala

Afisarea n culori (verde) a fisierelor criptate pentru a se localiza mai repede fisierele protejate Criptarea fisierelor offline n Windows XP Suport pentru folosirea fisierelor criptate de alti utilizatori n interfata cu utilizatorul (UI) Suport pentru Microsoft Enhanced and Strong cryptographic service providers (CSPs) Suport aditional pentru optiuni ce mbunatatesc si ntaresc algoritmul de criptare Politica de recuperare mbunatatita Cresterea performantei si a sigurantei Recuperarea Datelor, privire de ansamblu Recuperarea Datelor (Data Recovery) este un proces prin care elemente individuale de date, precum fisiere sau directoare, sunt criptate pentru mai mult de o persoana sau pentru o entitate. Prin criptarea pentru mai mult de o persoana se fac disponibile mai multe cai de decriptare, o entitate poate fi desemnata ca si administrator ce are doar drepturi de recuperare a datelor. Recuperarea datelor nu implica neaparat ca o recuperare a cheii private a avut loc, totusi, recuperarea cheii private poate fi o metoda pentru a realiza recuperarea datelor. n Windows XP recuperarea datelor se poate realiza fara o recuperare a cheii private. Atat Secure Multi-purose Internet Mail Extension (S/MIME) cat si EFS folosesc blocuri de date criptate simetric, cheia simetrica fiind protejata de una sau mai multe chei publice, realizate dintr-o pereche de chei plublice/private. In acest scenariu, cheia simetrica poate fi protejata (criptata) n profilul unui sau mai multor utilizatori asadar din mai mult de o cheie publica. Recuperarea datelor poate avea loc printr-un alt utilizator ce decripteaza datele, n cazul EFS, fisierele pot fi deschise si datele recuperate prin utilizarea DRA dupa cum este prezentat n Imaginea 2: Imaginea 2 n Windows 2000, administratorul unui domeniu Windows 2000 este mputernicit implicit DRA, dar Windows XP elimina acest neajuns. Recuperarea Datelor si EFS EFS are ncorporata recuperarea datelor prin fortarea setarii unei politici de recuperare, dar nainte sa aiba loc criptarea, Windows 2000 cerea ca o politica de recuperare sa fie setata. Politica de recuperare este un tip de cheie publica ce nzestreaza unul sau mai multi utilizatori cu drepturi de DRA, si este implicit asociata administratorului de domeniu. Windows XP si Windows Server 2003 nu mai cer setarea unei politici de recuperare pentru a putea cripta fisiere. Regula de recuperare este configurata local, automat, pentru sistemele ce nu fac parte dintr-un domeniu, aceasta regula asociata administratorului local expira dupa 100 de ani. ntr-un mediu cu retea, administratorul domeniului controleaza cum este implementata politica de recuperare a EFS pentru toti utilizatorii si sistemele aflate n influenta politicii de recuperare. ntr-o instalare standard a Windows 2000 sau Windows Server 2003, cnd primul controler de domeniu este setat, administratorul de domeniu este setat ca si agentul de recuperare pentru domeniul respectiv. ntr-un domeniu regula de recuperare asociata administratorului de domeniu expira

http://copiatac.3x.ro/Proiecte_AC/CristianLucian.htm[1/5/2014 10:13:59 PM]

Algebra computationala

dupa 3 ani. Administratorii pot defini una din cele trei politici: Recovery agent policy - Cnd administratorul adauga unul sau mai multi agenti de recuperare, o politica recovery-agent intra in actiune. Acesti agenti sunt responsabili pentru orice recuperare de date ce intra n atributiile lor de administrare. Aceasta este politica de recuperare cel mai des ntlnita. Empty recovery policy - Cnd un administrator sterge toti agentii de recuperare si certificatele cheilor publice, o politica empty recovery intra n actiune. O astfel de politica nseamna ca nici un agent de recuperare nu mai exista si daca sistemul client este un sitem Windows 2000 EFS va fi dezactivat, nsa sistemul client Windows XP permite utilizarea EFS sa functioneze cu o politica DRA goala. No recovery policy - Cnd un administrator sterge o cheie privata asociata cu o politica de recuperare data, o politica no recovery intra n actiune. Deoarece cheia privata nu este disponibila nu exista nici o posibilitate ca sa se foloseasca un agent de recuperare iar recuperare nu va fi posibila. Astfel de politica ar fi utila n organizatii cu sisteme client mixte Windows 2000 si Windows XP unde recuperarea datelor nu este dorita. Cu toate ca administratorul de domeniu este implicit DRA, ntr-un mediu bazat pe Active Directory, aceste drepturi pot fi delegate sau atribuite unuia sau mai multor utilizatori, acst lucru va fi discutat mai tarziu n detaliu. Recuperarea Datelor pe sisteme ce nu fac parte dintr-un domeniu Dupa instalarea Windows XP, DRA nu mai este creat implicit pe sistemele ce apartin unui domeniu sau al unui grup de retea, acest lucru previne posibilitatea atacului asupra contului de administrator, anterior posibil. Daca un sistem este adaugat unui domeniu, toti utilizatorii, inclusiv utilizatorii locali, vor mosteni politica de recuperare a domeniului. Pentru sistemele ce fac parte dintr-un grup de retea , un DRA trebuie creat si instalat manual de utilizator. Pentru a crea un DRA se foloseste utilitarul cipher.exe. Comanda va genera un fisier .PFX (pentru recuperarea datelor) si un fisier .CER (pentru a fi folosit n politica de recuperare). Certificatul este generat n memorie si sters o data cu generarea celor doua fisiere. Odata ce cheile au fost generate certificatul ar trebui sa fie importat n politica de recuperare si cheile private pastrate ntr-un loc sigur. Recuperare Datelor utilizand EFS Urmatoarea portiune va prezenta pasi necesari pentru a folosi partajarea fisierelor EFS Partajarea fisierelor EFS Suportul de a fi folosite fisiere criptate n grupuri de retea nu este prevazut EFS, de asemenea, suportul pentru mai multi utilizatori nu este prevazut nici n Windows 2000 nici n Windows XP. Totusi, n Windows XP, EFS suporta partajarea fisierelor ntre mai multi utilizatori, dar a unui singur fisier la un moment dat. Partajarea fisierelor EFS n Windows XP furnizeaza o alta oportunitate de recuperare a datelor, prin adaugarea altor utilizatori fisierului criptat. Cu toate ca integrarea altor utilizatori nu se poate forta printr-o politica de criptare sau alta metoda, este util si usor sa activam recuperarea datelor, fisierelor criptate, prin activarea mai multor utilizatori nefiind obligatorie utilizarea grupurilor si partajarea cheilor private ntre utilizatori.

http://copiatac.3x.ro/Proiecte_AC/CristianLucian.htm[1/5/2014 10:13:59 PM]

Algebra computationala

Odata cu criptarea fisierelor, partajarea fisierelor este activata printr-o noua optiune ce apare n interfata cu utilizatorul. Fisierul trebuie nti sa fie criptat si salvat pentru a i se putea adauga utilizatori aditionali. Dupa selectarea Advanced Properties a unui fisier criptat, un nou utilizator poate fi adaugat prin selectarea Details, alti utilizatori individuali pot adauga alti utilizatori fisierului criptat, atta timp cat au un certificat valid pentru EFS. Activarea partajarii de fisiere EFS Partajarea fisierelor criptate folosind EFS a fost suportata nca din Windows 2000 prin API (Aplication Program Interface) dar EFS nu a fost prezent n Windows Explorer dect dupa aparitia Windows XP Professional. Pentru a cripta fisiere cu suport multi-utilizator 1. Se deschide Windows Explorer si se selecteaza fisierul care se doreste sa fie criptat 2. Click dreapta pe fisierul respectiv si se selecteaza Properties 3. Se selecteaza Advanced pentru a activa EFS 4. Se cripteaza fisierul prin selectarea casutei Encrypt contents to secure data dupa cum este prezentat in Imaginea 3 si se selecteaza OK Imaginea 3 Nota: Un fisier nu poate fi simultan att compresat ct si criptat. Daca aceasta este prima data cnd un fisier sau director este criptat, o casuta de confirmare va aparea cernd daca se doreste sa fie criptate fisierele ori directorul. 5. Se selecteaza optiunea dorita si se va reveni la meniul initial Nota: Acest fisier nu este criptat pana nu se selecteaza OK. De asemenea nici alti utilizatori nu pot fi adaugati nainte ca fisierul sa fie criptat pentru primul utilizator. 6. Se selecteaza OK pentru a cripta fisierele 7. Se acceseaza din nou proprietatile fisierului prin butonul Advanced, se selecteaza Details si se adauga utilizatori suplimentari. Pentru a adauga alti utilizatori: 1. Se selecteaza optiunea Add. Imaginea 4 Va aparea un nou meniu ce contine utilizatorii existenti si certificatele de autentificare. Nota: Un utilizator trebuie sa aiba un certificat EFS valid pentru a putea fi adaugat fisierului criptat 2. Se selecteaza optiunea Find User pentru a adauga utilizatori din domeniu. Imaginea 5 Daca utilizatorul nu are un certificat valid EFS urmatoarea eroare va aparea: Imaginea 6 3. Se selecteaza OK pentru a adauga utilizatorul: Imaginea 7 Nota: Un utilizator ce are drept de decriptare a fisierului poate sa elimine drepturile unui alt utilizator daca are drept de scriere asupra fisierului respectiv. EFS are o limita de 256k pentru informatii pentru fiecare fisier, iar limta de utilizatori pentru un fisier criptat fiind 800. Schimbari aduse Windows Server 2003

http://copiatac.3x.ro/Proiecte_AC/CristianLucian.htm[1/5/2014 10:13:59 PM]

Algebra computationala

Anumite mbunatatiri au fost integrate n Windows Server 2003, mbunatatiri ce nu pot fi vazute n Windows XP sau Windows 2000 si anume: cheile EFS pot fi salvate pe un alt suport folosind linia de comanda sau din proprietatile fisierului, dupa cum este prezentat n Imaginea 8, selectnd optiunea Backup Keys: Imaginea 8 Pentru a salva cheile EFS folosind lina de comanda se foloseste utilitarul chiper.exe folosind urmatoarele optiuni Copierea, mutarea si salvarea fisierelor criptate Datorita caracteristicilor unice ale fisierelor criptate, cnd se copiaza sau muta acest tip de fisiere, pot aparea rezultate diferite. De exemplu: cnd se copiaza un fisier criptat de pe un sistem client pe un sistem server folosind reteaua, pot aparea diferente ntre cele doua fisiere daca sistemul server are un alt sistem de operare. In general o copiere va mosteni toate proprietatile EFS ale fisierului respectiv, pe cnd o mutare nu. Cnd copiem un fisier criptat: Daca folosim un sistem Windows 2000 iar sistemul destinatie este Windows NT 4.0, fisierul va fi decriptat transparent si copiat pe server. Daca sistemul sursa este Windows XP sau Windows 2003 utilizatorului i se va cere confirmarea copierii totodata fiind nstiintat ca fisierul urmeaza sa fie decriptat. Daca sistemul destinatie este Windows 2000 sau Windows Server 2003 si daca utilizatorul are drepturi de decriptare pe sistemul destinatie, fisierul va fi decriptat, copiat, iar pe server va fi criptat din nou, folosind cheia privata prezenta n sistemul destinatie Nota: Fisierul este transmis prin retea ntr-un format neprotejat ! Daca sistemul destinatie este Windows 2000 sau Windows Server 2003 si utilitatorul nu are drepturi de decriptare pe sitemul destinatie, va aparea un mesaj de eroare acces interzis . Windows XP contine cteva mbunatatiri n copierea fisierelor criptate. Att modul grafic, ct si linia de comanda au optiunea de a permite sau nu decriptarea fisierelor pentru a putea fi copiate. Cnd un fisier este copiat pe un sistem ce nu suporta criptarea fisierelor, utilizatorul va fi ntrebat daca fisierele sa fie decriptate sau nu. Utilitarele COPY si XCOPY se comporta la fel prin folosirea unei optiuni pentru a decripta fisierul n operatia de copiere. C:\>copy /? (copiaza unul sau mai multe fisiere n alt loc) /D (fisierele destinatie vor fi decriptate) C:\>xcopy (copiaza fisiere sau directoarele, inclusiv structura lor) /G (permite copierea fisierelor criptate spre o destinatie ce nu suporta fisiere criptate) Proceduri de recuperare a politicii EFS Vor fi prezentate cteva dintre cele mai utilizate metode legate de EFS si recuperarea datelor. nlaturarea unei politici de recuperare deja existente Se ntmpla ca o politica de recuperare configurata anterior sa trebuiesca sa fie nlaturata. Cnd aceasta politica de recuperare a datelor este nlaturata, din domeniu, nici un alt fisier nu va mai putea fi criptat, pe sisteme Windows 2000, pana cand

http://copiatac.3x.ro/Proiecte_AC/CristianLucian.htm[1/5/2014 10:13:59 PM]

Algebra computationala

politica nlaturata va fi nlocuita de alta politica de recuperare. Sistemele Windows XP si Windows Server 2003 vor fi neafectate de aceste schimbari, utilizatorii vor putea folosi fisierele criptate, vor putea crea alte fisiere criptate, dar nu vor putea edita fisierele criptate anterior, fisierele criptate vor putea fi editate doar dupa ce un utilizator va folosi o cheie privata valida pentru a deschide fisierul. Important: nainte de a se schimba politica de recuperare, este puternic indicat sa se salveze cheia privata pe o discheta ! Utilizarea recuperarii datelor Recuperarea datelor se realizeaza n acelasi mod ca si criptarea fisierelor. Singura diferenta consta n faptul ca persoana care realizeaza acest lucru este alta dect posesorul fisierului respectiv. Deoarece toate fisierele ar trebui sa aiba un utilizator si un DRA care sa poata decripta fisierele, nu trebuie sa folosim un alt proces pentru a decripta fisierele criptate de un alt utilizator, DRA avnd acces deplin asupra orarui fisier din aria sa de administrare. Fisierului ii poate fii nlaturata criptarea daca DRA are drept de scriere asupra acelui fisier. Importarea si Exportarea Cheilor DRA Exportarea cheilor DRA 1. Utilizatorul trebuie sa fie administratorul domeniului 2. Se executa mmc.exe n linia de comanda 3. Se selecteaza Console menu, dupa aceea se selecteaza Add/Remove Snap-in. 4. Se selecteaza optiunea Add, de aici se face dublu click pe Certificates, se selecteaza My User Acount, si se apasa Finish 5. Se navigheaza prin Certificates, Current User, Personal, si mai apoi Certificates, ca si n Imaginea 9: Imaginea 9 6. Click dreapta pe certificatul pe care este destinat recuperarii datelor, standard, certificatul DRA ar trebui sa aiba o valabilitate de 3 ani. 7. Se selecteaza All Tasks iar dupa aceea Export. Important Este imperativ sa se selecteze certificatul corect, deoarece odata cu exportarea certificatul va fi sters de pe sistem, daca certificatul nu va putea fi restaurat pe sitem, recuperarea fisierului nu va putea fi facuta cu certificatul DRA 8. Selectati Yes, export the private key si apasati Next Imaginea 10 Cea mai buna metoda este sa stergem cheia privata din sistem o data ce exportul s-a ncheiat cu success. Imaginea 11 Fisierul salvat va fi de tipul *.PFX si permite securizarea cu parola (este recomandat sa folosim o parola complexa). Ulimul pas este sa indicam calea unde acest fisier urmeaza sa fie salvat. Importarea Cheilor Importarea cheilor este un proces mai simplu decat cel de exportare. Exista doua posibilitati de a importa o cheie salvata in formatul *.PFX, si anume: se face dublu click pe fisier, cheia fiind importata automat sau se parcurg urmatorii pasi: 1. Utilizatorul trebuie sa fie administratorul domeniului 2. Se executa mmc.exe n linia de comanda

http://copiatac.3x.ro/Proiecte_AC/CristianLucian.htm[1/5/2014 10:13:59 PM]

Algebra computationala

3. Se selecteaza Console menu, dupa aceea se selecteaza Add/Remove Snap-in. 4. Se selecteaza optiunea Add, de aici se face dublu click pe Certificates, se selecteaza My User Acount, si se apasa Finish 5. Se navigheaza prin Certificates, Current User, Personal, si mai apoi Certificates, ca si n Imaginea 12: Imaginea 12 6. Click dreapta pe certificatul pe care este destinat recuperarii datelor, standard certificatul DRA ar trebui sa aiba o valabilitate de 3 ani. 7. Se selecteaza All Tasks iar dupa aceea Import. 8. Se indica calea spre fisierul ce contine cheia si se introduce parola Imaginea 13 9. Pentru a ne asigura ca certificatul va fi importat n profilul personal se selecteaza optiunea Place all certificates in the following store 10. Se selecteaza optiunea Personal si se selecteaza Next iar dupa aceea Finish. Imaginea 14 Protectia Datelor - cele mai bune metode Voi prezenta cele mai bune metode de protectie pentru organizatiile care sunt interesate sa asigure protectia datelor: Protectia fizica este lucrul suprem si trebuie considerata ca standard, glumind, nu exista nici o protectie software care sa mpiedice furtul unei componente hardware! ntotdeauna sistemul trebuie sa fie un client al unui domeniu. Cheile private trebuie salvate independent de sistem si importate doar n caz de necesitate. Pentru stocarea de rutina, directorul My Documents si directorul cu fisiere temporare trebuiesc sa fie setate pentru a cripta fisiere n asa fel ncat toate fisierele nou create sa fie criptate. Este imperativ ca de fiecare data cnd se lucreaza cu fisiere ce contin date confidentiale sa se lucreze in directoare criptate. Folosirea SYSKEY n mod 2 sau mod 3 (pornirea sistemului de pe disketa sau activarea parolei la pronirea calculatorului), pentru a se peveni ca sistemul sa fie folosit de utilizatori rau intentionati Nota: SYSKEY mod 1 este activat automat n Windows 2000 si Windows XP Important: Trebuie luat n considerare faptul ca prin criptarea directorului TEMP performanta sistemului poate avea de suferit. Stergerea fisierului pagefile.sys o data cu oprirea sistemului Pentru a ne asigura ca nu vor exista parti din memorie ce contin informatii importante pe disc, o data cu oprirea sistemului fisierul pagefile.sys trebuie sa fie sters. 1. Se executa comanda gpedit.msc 2. Se parcurge urmatoarea cale: Computer configuration - Windows settings - Security settings - Local Policies - Security Options 3. Se deschide Shutdown: Clear virtual memory pagefile si se selecteaza Enabled Imaginea 15 Algoritmi de criptare Toate versiunile exterioare USA de Windows 2000 folosesc chei de criptare pe 56 de biti, nsa se poat actualza la 128 de biti folosind un utilitar Microsoft ce trebuie rulat ulterior. Sistemele ce folosesc chei de criptare pe 128 de biti vor putea deschide fisierele criptate pe 56 de biti si le pot salva cu chei pe 128 biti, dar sistemele ce folosesc chei de criptare pe 56 biti nu vor putea deschide fisierele criptate pe 128 de biti.

http://copiatac.3x.ro/Proiecte_AC/CristianLucian.htm[1/5/2014 10:13:59 PM]

Algebra computationala

Windows XP suporta un algoritm mai puternic de criptare dect algoritmul DESX, algoritm inclus n Windows 2000. Algortimul standard pentru Windows 2000 si Windows XP este DESX, n schimb algoritmul standard pentru Windows XP cu Service Pack 1 si Windows Server 2003 este AES (Advanced Encryption Standard) si foloseste chei de criptare pe 256 de biti. Pentru ulilizatorii ce au nevoie de un algoritm mai puternic se poate folosi algoritmul 3DES. Pentru a activa algoritmul 3DES se parcurg urmatorii pasi: 1. Se executa comanda gpedit.msc 2. Se parcurge urmatoarea cale: Computer configuration - Windows settings - Security settings - Local Policies - Security Options 3. Se alege System cryptography: Use FIPS compliant algorithms for encryption si se selecteaza Enabled 4. Imaginea 16 Nota: AES si 3DES nu este comatibil cu versiunile anterioare Windows XP Service Pack 1 si Windows Server 2003 Depanare Problema principala care apare cand se foloseste EFS este asocierea fisierului cu certificatul de securitate. Daca utilizatorul sau DRA nu are cheia privata asociata certificatului de securitate descoperit in fisierul criptat, nu va putea accesa fisierul! Eroarea cel mai des ntalinta este acces interzis probabil datorita lipsei de asociere a cheii private cu certificatul de securitate prezent n fisier. Acest lucru se intampla frecvent cnd utilizatorul uita sa salveze certificatele si cheile din sistem si face o reinstalare a sistemului de operare. Pentru a se determina care sunt certificatele necesare decriptarii se acceseaza proprietatile fisierului si n meniul Advanced Details se va afisa att utilizatorul ce poate accesa fisierul ct si certificatul de care este nevoie. Imaginea 17 A doua problema poate aparea daca un server nu are activata optiunea Delegation, n acest caz va aparea urmatoarea eroare: Imaginea 18 n concluzie Windows XP si Windows Server 2003 ofera avantaje seminificative n protejarea si recuperarea datelor, dar atentie si la aspectele legate de securitate specificate anterior.

http://copiatac.3x.ro/Proiecte_AC/CristianLucian.htm[1/5/2014 10:13:59 PM]