Windows Vista. Для профессионалов - Роман Клименко

• Для установки нового флага состояния работы функции диагностики на определенном томе нужно воспользоваться командой fsutil repair set <раздел диска> <флаг>. Описание всех возможных флагов отображается при вводе команды fsutil repair set /?. Вы можете складывать флаги, чтобы выполнялось сразу несколько действий при обнаружении ошибок.

• Чтобы попробовать восстановить содержимое файла определенного тома, можно воспользоваться командой fsutil repair initiate <раздел диска> <ссылка на файл>. Описание данной команды можно просмотреть, введя команду fsutil repair initiate /?.

• Можно также воспользоваться командой fsutil repair wait <раздел диска> <0 или 1> для ожидания завершения восстановления файлов. Если в команде указать 0, то будет ожидаться завершение всех восстановлений. А если указать 1, то только текущего восстановления.

7.4. Шифрование

В операционной системе Windows Vista также появились новые возможности по шифрованию файлов и папок, а также целых разделов жесткого диска. Поэтому нельзя не упомянуть об этих возможностях в книге, посвященной нововведениям операционной системы Windows Vista.

Работа с системой шифрования EFS

Как и раньше, в операционной системе присутствует дополнительная файловая система EFS, предназначенная для шифрования файлов и каталогов, находящихся на разделах NTFS жесткого диска. Вы можете выполнить шифрование как с помощью окна Свойства файла или каталога, так и с помощью программы командной строки cipher.exe.

Этапы шифрования EFS

Процесс шифрования файла с помощью EFS можно разделить на следующие этапы.

1. Загрузка профиля Если профиль пользователя еще не загружен (например, такое бывает, когда шифрование или дешифрование файла происходит с помощью программы командной строки runas.ехе), то он загружается.

2. Создание файла журнала Начинается процесс шифрования. На этом этапе создается файл журнала шифрования с именем формата efsX.log, где X определяет номер файла, который был зашифрован в текущий сеанс шифрования процессом Isasrv.ехе. Данный файл создается в каталоге System Volume Information.

3. Генерация FEK

Выполняется генерация случайного 128-битного числа, используемого в качестве FEK.

FEK используется операционной системой для шифрования содержимого файла по определенному алгоритму, после чего значение FEK добавляется к самому зашифрованному файлу. Однако перед тем как добавить FEK к файлу, операционная система выполняет шифрование FEK с помощью алгоритма RSA, используя при этом открытый пользовательский ключ. После выполнения всех этих операций файл считается зашифрованным. Чтобы просмотреть его, нужно расшифровать его с помощью FEK, a FEK расшифровывается только с применением ключей, которые можно получить лишь после загрузки учетной записи пользователя, зашифровавшего файл (или тех пользователей, которым разрешен доступ к зашифрованному файлу).

Как было сказано выше, FEK используется для шифрования содержимого файла по определенному алгоритму. Если вопрос защиты информации для вас не является праздным и вы постоянно выполняете шифрование с помощью EFS, то операционная система Windows позволяет вам изменить алгоритм, используемый при шифровании файла (на 3DES). Для этого нужно воспользоваться одним из двух приведенных ниже способов.

• Чтобы установить шифрование на основе 3DES для всех криптографических сервисов операционной системы Windows Vista, нужно запустить оснастку gpedit.msc и перейти к подразделу Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Параметры безопасности. В данном подразделе есть элемент Системная криптография: Использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания. Состояние данного элемента нужно установить в Отключен. Не забывайте, что использование алгоритма 3DES может замедлить процесс шифрования.

• Можно также установить использование алгоритма 3DES только службой EFS. Для этого нужно параметру REG_DWORD-типа AlgorithmID, расположенному в ветви реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionEFS, присвоить значение ОхббОЗ.

Однако это все произойдет на следующих этапах шифрования файла.

4. Получение открытого и закрытого пользовательского ключа

Если раньше пользователь никогда не выполнял шифрование файлов, то генерируется пара пользовательских ключей (закрытый и открытый пользовательские ключи).

В противном случае открытый пользовательский ключ берется из параметра типа REG_BINARY Certif icateHash, расположенного в ветви системного реестра HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersion EFSCurrentKeys. На основе данных этой ветви реестра создается сигнатура открытого ключа пользователя.

Закрытые же ключи находятся в каталоге %userprof ile%AppDataRoaming MicrosoftCryptoRSA. Содержимое этого каталога зашифровано на основе симметричного ключа, который называется мастер-ключом пользователя.

Мастер-ключ содержится в каталоге %userprof ile%AppDataRoaming Microsof tProtect. Он также зашифрован – с помощью алгоритма 3DES и пароля пользователя.

5. Создание DDF Для шифруемого файла создается связка ключей DDF (совокупность нескольких DDF, определяющих пользователей, которые могут расшифровать данный файл). DDF хранит информацию о пользователе, который может открыть данный файл, а также о его правах доступа к файлу. В эту информацию входит SID-пользователя, имя контейнера, имя провайдера, зашифровавшего файл, хэш сертификата EFS, используемый при расшифровке, а также зашифрованный FEK.

6. Создание DRF

Для шифруемого файла создается связка ключей DRF. Связка DRF содержит информацию обо всех агентах восстановления, которые могут открыть данный зашифрованный файл. Информация, помещаемая в DRF, аналогична информации, помещаемой в DDF.

Агенты восстановления представляют собой учетные записи пользователей, которые могут открыть зашифрованный файл, даже если они не входят в группу пользователей, которым разрешен доступ к файлу. Как правило, агентом восстановления является администратор. Это сделано для того, чтобы можно было открыть зашифрованные файлы при потере пароля от основного профиля пользователя, который зашифровал файл, или при его повреждении.

Описание работы с агентами восстановления будет приведено далее в этом разделе книги.

7. Шифрование

Создается резервная копия шифруемого файла с именем ef sO. tmp. В дальнейшем шифрование будет применяться именно к резервному файлу, после чего его содержимое будет скопировано в исходный файл. И в самом конце произойдет удаление резервного файла, а также файла журнала шифрования.

Окно Дополнительные атрибуты

Использование окна Свойства файла или каталога является очень простой задачей. Для шифрования в этом случае достаточно нажать кнопку Другие, после чего в появившемся окне Дополнительные атрибуты установить переключатель Атрибуты сжатия и шифрования в положение Шифровать содержимое для защиты данных. После этого, как только вы нажмете кнопку ОК, попытавшись тем самым закрыть окно Свойства, перед вами отобразится еще одно окно, название которого зависит от того, шифруете вы файл или каталог. Независимо от названия, данное окно имеет одну и ту же цель. С помощью его переключателей вы можете определить, будет ли шифроваться только выбранный вами файл или каталог или также родительский каталог (при шифровании файла) либо вложенные в папку файлы и каталоги (при шифровании папки).

Обратите внимание на кнопку Подробно окна Дополнительные атрибуты. По умолчанию она неактивна, но если вы зашифруете файл и опять откроете это окно, то сможете воспользоваться этой кнопкой, чтобы отобразить окно Пользовательский доступ к. С помощью этого окна можно добавить пользователей, которые смогут открывать данный зашифрованный файл. По умолчанию его можете открывать только вы (так как в атрибутах файла присутствуют сведения о ключе только для вашей учетной записи). Однако если вы нажмете кнопку Добавить данного окна, то сможете выбрать файл сертификата других пользователей, которые смогут открывать этот зашифрованный файл. А с помощью кнопки Удалить можно удалить добавленных ранее пользователей.

Обратите также внимание на кнопку Архивация ключей, которая активируется при выборе из списка одного из пользователей. С ее помощью можно отобразить окно Мастер экспорта сертификатов, позволяющее экспортировать сертификат выбранного пользователя в файл.

Программа cipher.exe

Если же вы захотите использовать программу командной строки cipher.ехе, то заметите, что ее возможности несколько расширились, а параметры изменились.

Как и раньше, основной синтаксис программы следующий: cipher [/Е | /В /С] /S:<путь к каталогу> – <дополнительные параметры> <файл, каталог или шаблон>. С помощью данного синтаксиса можно выполнить шифрование (параметр /Е), дешифровку (/D) или просмотреть состояние объектов (/С), удовлетворяющих шаблону и расположенных в каталоге, указанном в параметре /S. Дополнительных параметров теперь всего два (раньше было пять): /В и /Н. Если указан параметр /В, то при ошибке в процессе шифрования файлов программа прекратит свою работу (по умолчанию она продолжает шифрование, просто пропуская проблемный файл). А с помощью параметра /Н можно определить, будут ли отображаться скрытые и системные файлы.