Dnia Sun, 20 Jul 2008 13:04:24 +0200, Paweł Goleń napisał(a):
> Michal Kawecki wrote:
>
>> W takim razie zadam pytanie - a czym te kontenery różnią się od EFS?
>> Czy jesteś absolutnie pewien, że obejmują one *wszystkie* foldery,
>> do których mogą pisać uruchomione przez Ciebie aplikacje?
>
> Nie muszą. Te dane i tak są zaszyfrowane. A programy, które działają bez
> praw administratora i tak nie dostaną się w trybie RAW do dysku, więc
> odzyskiwanie usuniętych plików nie bardzo zadziała. Uruchomienie innego
> systemu/livecd z kolei nic nie da, bo się natkniesz na szyfrowanie dysku.
Zwróć uwagę, że nie opierasz się tutaj na skuteczności szyfrowania
danych w kontenerach, tylko na skuteczności szyfrowania całego dysku.
Innymi słowy, odpowiadasz, ale nie na moje pytanie. Same kontenery nie
rozwiązują problemu, bo mają te same wady co EFS.
> Już nawet nie chce mi się udowadniać, że mając fizyczny dostęp do
> komputera, na którym jest EFS, można próbować:
> - wyciągnąć bazę SAM (co jest trywialne, jeśli syskey nie jest
> skonfigurowany z hasłem bądź kluczem na dysku zewnętrznym),
> - złamać hasło użytkownika (co jest trywialne, jeśli istnieje w bazie
> SAM hash LM),
> - uzyskać dostęp do zaszyfrowanych danych,
Tych zagrożeń można uniknąć stosując się do zaleceń znajdujących się na
liście "EFS Best Practices". Do tej listy dodałbym jeszcze tylko
regularne czyszczenie przestrzeni partycji niezajętej już przez pliki
poleceniem cipher -W.
> Nawet jeśli nie ma hasha LM to złamanie hasha NTLM jest (obliczeniowo)
> łatwiejsze w stosunku do złamania tego samego hasła przy PKCS#5 z 512
> bitowym saltem i 1000 - 2000 iteracji.
A jak to się przekłada na czas łamania? Powiedzmy dla ułatwienia, dla
10-znakowego hasła. Mierzymy go w miesiącach czy w latach? A ponadto,
abstrahując już od teorii, nie jestem pewien czy w trakcie łamania
hasła bez zapisanego w rejestrze hasha nie trzeba czasem zapuszczać
jakiejś procedury testującej poprawność każdej sprawdzanej kombinacji,
co znacznie wydłuża czas łamania. Ale ja się na łamaniu SAM-a nie znam,
więc tylko strzelam.
>> Czy zabezpieczą one dane przed wyciekaniem poprzez sieć (EFS - tak)?
>
> Doprawdy??? A niby w jaki magiczny sposób? No chyba, że aktualnie nie
> jest zalogowany użytkownik, który ma do (rozszyfrowania) tych plików, co
> jest analogiczne do stanu, kiedy kontener TC nie jest zamontowany.
W bardzo prosty. Pliki zaszyfrowane można udostępnić poprzez sieć
wyłącznie temu kontu, którego certyfikat został dodany w naszym systemie
do listy uprawnionych użytkowników danego pliku. Innej drogi nie ma.
Polecam lekturę
http://www.microsoft.com/poland/technet/article/art018.mspx .
Innymi słowy, zaszyfrowane EFS-em pliki użytkownika są bezpieczne i nie
wyciekną przypadkowo podczas pracy w cudzej sieci lokalnej, będąc na
przykład w delegacji. Jeden problem mamy z głowy.
[...]
Niepotrzebnie wdałem się w dyskusję dotyczącą porównania kontenerów TC z
EFS-em. W sumie, w tym przypadku miałem zastrzeżenia jedynie wobec
względnej łatwości utraty wszystkich danych w przypadku uszkodzenia
kontenera, samą ideę akceptuję i uważam za dobre zabezpieczenie.
Protestowałem zaś jedynie wobec porównywania skuteczności EFS z
szyfrowaniem na poziomie dysku, wykazując, że EFS ma takie zalety,
których "dyskowy" TC nie posiada.
Na dzień dzisiejszy uważam, że dla przeciętnego użytkownika
wystarczające zabezpieczenie jego danych stanowi, mimo wszystko
bezpieczniejszy - i prostszy w użyciu - EFS. Ale może poczytam jeszcze
trochę takich dyskusji jak ta, potestuję TC i zmienię zdanie, kto wie.
Byle było w nich nieco więcej konkretów zamiast zaklęć.
W przypadku komputerów przenośnych dodatkowo należałoby zastosować jakąś
formę zabezpieczenia samego dysku, na przykład poprzez nałożenie nań
sprzętowego hasła użytkownika, z tym że koniecznie trzeba też ustawić
hasło Master. Nowsze napędy wcale nie jest tak prosto odblokować jak
kiedyś, a zresztą to już jest temat na inną bajkę. Bardzo skuteczne
będzie też oczywiście zaszyfrowanie całego dysku, na przykład przy
pomocy TC bądź BitLockera, ale spowalnia pracę, utrudnia odzysk danych w
razie awarii i nie wydaje mi się do końca bezpieczne. Natomiast dla
naprawdę krytycznych zastosowań kupuje się napędy z wbudowanym
szyfrowaniem sprzętowym.
-- M. [Windows - Shell/User MVP] /odpowiadając na priv zmień px na pl/ https://mvp.support.microsoft.com/profile/Michal.KaweckiReceived on Sun Jul 20 22:00:08 2008
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Sun 20 Jul 2008 - 22:42:01 MET DST