|
Руководство по безопасности Windows ® 7 Набор средств по управлению соответствием требованиям безопасности
|
| bet | 68/91 | | Sana | 18.02.2022 | | Hajmi | 1,32 Mb. | | #15622 | | Turi | Руководство |
Шифрованная файловая система (EFS) позволяет шифровать файлы и папки для защиты от несанкционированного доступа. Она полностью встроена в файловую систему NTFS и совершенно прозрачна для приложений. Когда пользователь или программа обращаются к зашифрованному файлу, операционная система автоматически пытается получить ключ расшифровки, после чего выполняет шифровку и расшифровку от имени пользователя. Пользователи, имеющие доступ к ключам, могут работать с зашифрованными файлами так, словно они не зашифрованы, в то время как остальным пользователям доступ будет запрещен.
В ОС Windows 7 в архитектуре EFS появилась полная поддержка эллиптической криптографии (ECC). Благодаря этому EFS отвечает требованиям к шифрованию, предъявляемым стандартом Suite B Агентства национальной безопасности США, и пригодна для защиты секретной информации в государственных учреждениях. Стандартом Suite B требуется использование для защиты данных алгоритмов AES, SHA и ECC.
Стандарт Suite B не допускает использования шифрования RSA, но файловая система EFS в Windows 7 поддерживает режим совместного использования алгоритмов ECC и RSA. Так обеспечивается обратная совместимость с файлами EFS, которые были зашифрованы алгоритмами из предыдущих версий Windows. Предприятия, использующие RSA и собирающиеся перейти на ECC для соответствия требованиям Suite B, могут воспользоваться ею.
Примечание Для максимальной защиты данных рекомендуется использовать и BitLocker, и EFS.
Оценка рисков
Несанкционированный доступ к данным может негативно отразиться на работе предприятия и его прибыли. Это особенно верно в ситуациях, когда за одним компьютером работает несколько пользователей или когда используются переносные ПК. Задача файловой системы EFS — предотвратить «вынос» конфиденциальных данных самими сотрудниками, а также защитить информацию, находящуюся на утерянных или украденных компьютерах. Общие компьютеры также входят в эту группу риска.
Получив физический доступ к компьютеру с незашифрованными данными, злоумышленник может предпринять следующее.
Перезапустить компьютер и повысить свои полномочия до локального администратора, в результате чего получить доступ к данным пользователей. Также возможно проведение с помощью специальных средств атаки по подбору пароля пользователя, что позволит войти от имени этого пользователя и получить доступ к его данным.
Попытаться войти в систему компьютера с ОС Windows 7, чтобы скопировать все доступные данные на съемный диск, после чего отправить их по электронной почте, скопировать по сети или передать по FTP на удаленный сервер.
Перезапустить компьютер под управлением другой ОС, чтобы напрямую скопировать файлы с жесткого диска.
Подключить компьютер к другой сети, запустить его и осуществить удаленный вход в систему.
Если использовалась функция кэширования сетевых файлов в виде автономных, можно, повысив свои привилегии до администратора или локальной системы, просмотреть содержимое кэша автономных файлов.
Перезапустить компьютер под управлением другой ОС и считать содержимое файла подкачки, где обнаружить открытый текст документов, с которыми велась работа.
Из простого любопытства сотрудник может просмотреть закрытые файлы, принадлежащие другим пользователям общего компьютера.
|
| |
