Main page На главную
Форум
Схема Починок
Фотогалерея

  Починковский форум

сайт ВПочинках.РФ
 
Текущее время: 13 ноя 2019, 13:33

Часовой пояс: UTC + 4 часа




Форум закрыт Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  [ 1 сообщение ] 
Автор Сообщение
 Заголовок сообщения: Защита данных в NTFS
СообщениеДобавлено: 11 сен 2007, 20:20 
Не в сети
Администратор
Администратор
Аватар пользователя

Зарегистрирован: 29 окт 2005, 01:30
Сообщений: 1285
Защита данных в NTFS

Как известно, файловая система NTFS оснащена функцией шифрования данных на диске, поэтому, если в свойствах файла поставить галочку на соответствующей опции, то он будет физически зашифрован. Кроме этого, пользователь может манипулировать правами доступа к тем или иным объектам

Однако при переустановке Windows или подключении жесткого диска к другому компьютеру все указанные ранее права доступа пропадут, и файл будет доступен абсолютно всем. Если же файл был зашифрован, то при сбросе прав доступа он все равно останется зашифрованным, и прочитать его с другой машины будет невозможно1. Теоретически все просто и надежно.

А практически сами файлы ключей не зашифрованы, так как по умолчанию пароль к ним хранится на том же системном диске. Как следствие, вскрыть информацию в таком случае - плевое дело. Добавьте сюда массу общедоступных хакерских утилит, в большинстве случаев позволяющих за разумное время "распотрошить" любой зашифрованный файл, достаточно только подключить винчестер к другому ПК (или загрузиться с компакт-диска Windows PE2).

В этой статье мы рассмотрим защиту информации от случая, когда в руки злоумышленников попал ваш выключенный компьютер (например, ноутбук в результате кражи). Постараемся максимально усложнить работу этим нехорошим дядям.

Пункт первый. Внимательно посмотрим, какие на нашем компьютере существуют аккаунты и удалим лишние. Для этого следуем в "Мой компьютер -> Управление".
Изображение

Далее - в меню "Управление компьютером -> Служебные программы -> Локальные пользователи и группы -> Пользователи".
Изображение
Сразу предупредим, что разные системные аккаунты трогать не следует, особенно если вы не знаете, зачем они нужны (однако можно их просто отключить и посмотреть результаты). Удалите явно ненужных пользователей.

Обратите внимание, что в Windows XP по умолчанию обычно получается два администраторских логина: один стандартный, а второй - первого из пользователей, вошедших в систему сразу после установки. И по невнимательности на одном из них может вообще не быть пароля. Дополнительно на всех существующих аккаунтах следует установить пароли не короче 16 символов! В противном случае их легко вскрыть в течение нескольких дней или даже часов3.

В пароле не следует использовать словарные слова и какие-либо осмысленные названия (существуют базы, в которых содержится порядка трех миллионов популярных парольных слов). Пароль также не должен состоять из одних только цифр. Помните, что менять пароль можно только в меню "Панель управления -> Учетные записи пользователей", иначе доступ к ранее зашифрованным файлам безвозвратно пропадет.

Пункт второй. Не используйте автоматический вход в Windows. Система должна всегда запрашивать имя и пароль. Если вход в операционную систему автоматический, это надо устранить. Идем в меню "Пуск -> Выполнить", вводим команду control userpasswords2
Изображение

В появившемся окне ставим галочку на опции "Требовать ввод имени пользователя и пароля".

Изображение

Пункт третий. В Windows можно задействовать дополнительное шифрование файла, хранящего все пароли. В принципе, его шифрование задействовано изначально, но пароль, естественно, хранится на этом же диске, и хакерские программы расшифровывают его "на раз". Гораздо безопаснее вводить пароль с клавиатуры либо с ключевой дискеты. В таких случаях взлом становится практически невозможен. Использовать ключевую дискету не рекомендуем из-за ненадежности носителя в силу и физических, и человеческих факторов. А вот использовать ввод с клавиатуры вполне можно.

Проходим в меню "Пуск -> Выполнить", вводим команду syskey. Должно появиться окно управления шифрованием базы данных паролей.

Изображение

Нажимаем кнопку "Обновить" для отображения настроек.

Изображение

Как видим, по умолчанию ключ шифрования паролей хранится в системе. Выбираем режим требования ввода пароля при запуске системы. Указываем пароль - тоже не словарный и длинный. Готово. Теперь ключевое слово будет запрашиваться при каждой загрузке Windows, еще задолго до появления привычного окна выбора пользователя.

Изображение

Этот пароль - общий для всех, его необходимо знать всем пользователям (что, кстати, снимает все преимущества такой дополнительной защиты в том случае, если ломать систему будет один из знающих пароль пользователей). Обычные персональные пользовательские логины и пароли никуда не денутся, они будут тоже запрашиваться как обычно, после ввода общего пароля.

Наконец, отметим еще одну потенциальную уязвимость зашифрованных данных. Большинство программ при работе создают временные файлы, в которых хранят обрабатываемые данные (или, к примеру, копию для возможности Undo), и эти временные файлы обычно не зашифрованы. Злоумышленник может, воспользовавшись любой из многочисленных Unerase-программ, восстановить эти файлы.

Для борьбы с этим следует после работы с зашифрованными файлами затирать пустое место на жестком диске при помощи Wipe-утилит (они входят, в частности, в ОС Windows и в состав Norton Utilities, Acronis, PGP Desktop и других подобных пакетов). В ряде случаев обход этой проблемы обеспечивается установкой шифрования временной папки (на которые ссылаются системные переменные %temp% и %tmp%), применяя шифрование не к отдельному файлу, а к целым директориям.

P.S. Следует трезво осознавать, что вышеперечисленные меры не дают стопроцентной гарантии безопасности. Если диск украден целенаправленно, и данные заведомо представляют коммерческий интерес, то злоумышленники, скорее всего, найдут возможность как-то обойти эти меры.

_________________
Изображение Изображение


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Форум закрыт Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  [ 1 сообщение ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Template made by DEVPPL Flash Games - Сборка создана CMSart Studio
Русская поддержка phpBB