14wininout.pdf

(274 KB) Pobierz
12263518 UNPDF
Rozdzia³ 14
Szyfrowanie folderów i plików
447
Szyfrowanie
informacji
Tworzenie agenta odzyskiwania
danych
455
Tworzenie kopii zapasowych
certyfikatów
458
Przywracanie zaszyfrowanych
plików i folderów
462
Czêœæ III: Zarz¹dzanie plikami
Rozdzia³ 14: Szyfrowanie informacji
Wszystkie organizacje i przedsiêbiorstwa–ana-
wet indywidualni u¿ytkownicy komputerów –
najprawdopodobniej maj¹ w komputerze dane,
których woleliby nie ujawniaæ innym. Dane fi-
nansowe – informacje ksiêgowe w firmie, pliki
z osobistymi informacjami finansowymi itd. –
z pewnoœci¹ nale¿¹ do tej kategorii. Ale przecie¿
w twoim komputerze mog¹ byæ przechowywane
tak¿e plany marketingowe, tajemnice handlowe,
historie medyczne, pamiêtniki, ksi¹¿ki telefo-
niczne i inne podobne informacje. Dwie tenden-
cje, jakie obserwujemy w rozwoju komputerów –
³¹czenie komputerów ze sob¹ (poprzez sieci lo-
kalne lub Internet) oraz rozwój komputerów
przenoœnych – zwiêkszy³y zagro¿enie dla tych
danych. Osoba, której uda siê pobraæ plik z twoje-
go komputera lub te¿ po¿yczy (czy ukradnie)
komputer przenoœny, bêdzie mia³a dostêp do
wszystkich twoich tajemnic.
Microsoft Windows XP zawiera mechanizm po-
zwalaj¹cy zapobiec utracie poufnych danych.
System szyfrowania plików (EFS) umo¿liwia ta-
kie zaszyfrowanie pliku, ¿e nawet jeœli wpadnie
w niepowo³ane rêce, to nie bêdzie mo¿na go od-
czytaæ. Pliki mo¿na otworzyæ jedynie po zalogo-
waniu siê do komputera z konta u¿ytkownika,
który je utworzy³ (konto nale¿y zabezpieczyæ
trudnym has³em). Tak wiêc nawet osoba, która
zaloguje siê do tego samego komputera, ale z in-
nego konta, nie bêdzie mia³a dostêpu do twoich
zaszyfrowanych plików, co stanowi dobre zabez-
pieczenie w komputerach, z których korzysta
wiele osób.
W³¹czanie i wy³¹czanie systemu EFS
463
Zalecenia dotycz¹ce szyfrowania
plików
464
UWAGA
System EFS nie jest obs³ugiwany w Windows XP Home
Edition.
12263518.002.png
446
Czêœæ III: Zarz¹dzanie plikami
Pamiêtaj o zagro¿eniach zwi¹zanych z systemem EFS
System EFS zapewnia bezpieczeñstwo twoim najwa¿niejszym danym. Zabezpie-
czenie to jest tak pewne, ¿e gdy stracisz klucz umo¿liwiaj¹cy odszyfrowanie da-
nych, utracisz wszystkie chronione w ten sposób informacje. Domyœlnie Microsoft
Windows XP nie oferuje ¿adnego „wyjœcia awaryjnego” na wypadek utraty klucza
deszyfracji.
Klucz ten mo¿na straciæ przez nieuwagê na kilka sposobów, miêdzy innymi w na-
stêpuj¹cych sytuacjach:
Pracuj¹c w oknie dialogowym Certyfikaty lub z konsol¹ Certyfikaty (Cert-
mgr.msc), mo¿esz bezpowrotnie usun¹æ certyfikat szyfrowania, który zawiera
klucz.
Za³ó¿my, ¿e poufne dane przechowujesz w zaszyfrowanych folderach na in-
nym dysku (na przyk³ad D). Zauwa¿y³eœ, ¿e komputer dzia³a coraz wolniej i na
dysku zebra³o siê ju¿ wiele niepotrzebnych plików – postanawiasz wiêc ponow-
nie zainstalowaæ system Windows. Nie martwi¹c siê o pliki pozostaj¹ce w innej
partycji, formatujesz dysk C i ponownie instalujesz system Windows. Chocia¿
mo¿e nie wydawaæ siê to wcale takie oczywiste, podczas instalacji Windows dla
ka¿dego u¿ytkownika tworzone s¹ nowe identyfikatory zabezpieczeñ (SID),
nawet jeœli przeprowadzisz instalacjê dok³adnie w ten sam sposób, co poprzed-
nio. W rezultacie zmieni¹ siê certyfikaty szyfrowania dla wszystkich u¿ytkow-
ników i nie bêdziesz móg³ za ich pomoc¹ uzyskaæ dostêpu do zaszyfrowanych
danych na dysku D. Nawet korzystaj¹c z konta Administrator – które tak¿e ma
nowy SID – nie bêdziesz móg³ odszyfrowaæ plików zaszyfrowanych w innej in-
stalacji Windows.
Na szczêœcie, zachowuj¹c odrobinê uwagi, mo¿na nie dopuœciæ do realizacji tych
czarnych scenariuszy. Zanim zaczniesz u¿ywaæ systemu EFS do szyfrowania na-
prawdê wa¿nych dokumentów, powinieneœ siê go najpierw nauczyæ. Dlatego te¿
zalecamy podjêcie nastêpuj¹cych kroków:
1. Utwórz pusty folder i zaszyfruj go (szczegó³y znajdziesz w podrozdziale „Szy-
frowanie folderów i plików” na nastêpnej stronie).
2. W zaszyfrowanym folderze utwórz nowy plik (mo¿esz te¿ skopiowaæ jakiœ nie-
potrzebny plik do tego folderu) i upewnij siê, ¿e mo¿esz u¿ywaæ go tak jak ka¿-
dego innego pliku.
3. Jeœli twój komputer nie jest czêœci¹ domeny, utwórz agenta odzyskiwania da-
nych, który umo¿liwi odzyskanie danych z innego konta, w wypadku gdybyœ
utraci³ lub uszkodzi³ w³asny certyfikat szyfrowania (szczegó³y znajdziesz
w podrozdziale „Tworzenie agenta odzyskiwania danych” na stronie 455).
4. Wykonaj kopiê zapasow¹ certyfikatu agenta odzyskiwania danych i osobistego
certyfikatu szyfrowania (szczegó³y znajdziesz w podrozdziale „Tworzenie ko-
pii zapasowych certyfikatów” na stronie 458
Pamiêtaj, ¿e nie mo¿esz utworzyæ kopii zapasowej certyfikatu dopóki nie zaszy-
frujesz przynajmniej jednego folderu lub pliku. Certyfikaty szyfrowania two-
rzone s¹ dopiero podczas pierwszego szyfrowania.
12263518.003.png
Rozdzia³ 14: Szyfrowanie informacji
447
5. Teraz mo¿esz zacz¹æ u¿ywaæ systemu EFS do szyfrowania wa¿nych plików.
W skrócie: zanim zaszyfrujesz wa¿ne pliki, utwórz najpierw agenta przywracania.
Wykonaj kopie zapasowe osobistego certyfikatu oraz certyfikatu agenta przywra-
cania. Przejrzyj listê kontroln¹ umieszczon¹ na koñcu tego rozdzia³u, aby upewniæ
siê, ¿e nie pomin¹³eœ ¿adnej wa¿nej czynnoœci.
Szyfrowanie jest procesem kodowania poufnych danych za pomoc¹ specjalnego algo-
rytmu. Bez odpowiedniego klucza, nikt nie mo¿e ich odczytaæ. Microsoft Windows
XP wykorzystuje szyfrowanie do kilku celów:
szyfrowanie plików na dyskach NTFS (partycjach dyskowych sformatowanych
przy u¿yciu systemu plików NTFS) (patrz „Szyfrowanie folderów i plików”
poni¿ej).
szyfrowanie danych przesy³anych miêdzy przegl¹dark¹ a serwerami przy u¿yciu
protoko³u SSL (Secure Sockets Layer) (patrz „Uruchamianie bezpiecznego (szyfro-
wanego) po³¹czenia” na stronie 655)
szyfrowanie danych przesy³anych miêdzy komputerami w wirtualnych sieciach
prywatnych (VPN)
szyfrowanie lub podpisywanie wiadomoœci e-mail
Szyfrowanie folderów i plików
System EFS umo¿liwia szyfrowanie plików na lokalnym dysku NTFS w taki sposób,
aby otworzyæ je mog³a wy³¹cznie ta osoba, która utworzy³a zaszyfrowane pliki. Jest to
dodatkowe zabezpieczenie, wychodz¹ce poza system uprawnieñ NTFS, który
mo¿esz wykorzystaæ do ograniczania dostêpu do plików osobom loguj¹cym siê do
twojego komputera z innych kont. System uprawnieñ NTFS ma kilka dziur. Po pierw-
sze, wszystkie osoby o uprawnieniach administratorów mog¹ uzyskaæ dostêp (lub
umo¿liwiæ go innym) do twoich plików. Ponadto ka¿dy, kto uzyska fizyczny dostêp
do komputera, mo¿e za³adowaæ system z dyskietki rozruchowej (lub skorzystaæ z in-
nego systemu, jeœli twój komputer obs³uguje rozruch wielokrotny) i za pomoc¹ takie-
go narzêdzia jak NTFSDOS ( http://www.sysinternals.com ) odczytaæ dane znajduj¹ce siê
na dysku twardym komputera – bez koniecznoœci podawania nazwy u¿ytkownika
lub has³a. Na takie ryzyko nara¿one s¹ szczególnie komputery przenoœne, które
³atwiej skraœæ.
UWAGA
W wiêkszoœci komputerów mo¿esz zabezpieczyæ siê przed tak¹ sytuacj¹, u¿ywaj¹c BIOS-u lub innego prog-
ramu. W³¹cz w BIOS-ie ochronê has³em, które bêdzie wymagane przy uruchomieniu komputera oraz przy
wchodzeniu do BIOS-u i wy³¹cz mo¿liwoœæ ³adowania systemu z dyskietki. Niestety takie zabezpieczenia
równie¿ mo¿na obejœæ. Wystarczy na przyk³ad wymontowaæ dysk twardy i przenieœæ go do innego kompu-
tera.
System EFS zapewnia bezpieczeñstwo twoim poufnym danym. System u¿ywa pu-
blicznego klucza w celu utworzenia losowo wygenerowanego klucza szyfrowania
plików (FEK). Za pomoc¹ tego klucza Windows automatycznie i w sposób niewidocz-
12263518.004.png
448
Czêœæ III: Zarz¹dzanie plikami
Zabezpieczanie pliku stronicowania
Jeœli zagadnienia bezpieczeñstwa s¹ dla ciebie bardzo wa¿ne, powinieneœ pamiêtaæ
tak¿e o zabezpieczeniu pliku stronicowania. Domyœlnie podczas zamykania syste-
mu plik stronicowania pozostaje nienaruszony. Osoby, które uzyskaj¹ dostêp do
twojego komputera, mog¹ odczytaæ dane zapisane w niezaszyfrowanym pliku wy-
miany.
Mo¿esz temu zapobiec, zmieniaj¹c wpis w rejestrze systemu. Otwórz Edytor reje-
stru i przejdŸ do klucza HKLM\System\CurrentControlSet\Control\Session Ma-
nager\Memory Management i zmieñ wartoœæ ClearPageFileAtShutdown na 1. Od
tej pory Windows bêdzie wype³nia³ nieaktywne strony w pliku stronicowania zera-
mi. Poniewa¿ mo¿e to zwolniæ dzia³anie systemu, nie wprowadzaj tej zmiany, jeœli
nie wymagaj¹ tego wzglêdy bezpieczeñstwa.
ny dla u¿ytkownika szyfruje dane w trakcie zapisywania ich na dysku. Dane mo¿na
odszyfrowaæ wy³¹cznie przy u¿yciu certyfikatu i powi¹zanego z nim prywatnego
klucza, które s¹ dostêpne jedynie po zalogowaniu do konta przy u¿yciu okreœlonej
nazwy u¿ytkownika i w³aœciwego has³a. (Dane odszyfrowaæ mo¿na tak¿e za pomoc¹
specjalnie utworzonego w tym celu agenta). Inni u¿ytkownicy, którzy spróbuj¹ u¿yæ
zaszyfrowanych plików, otrzymaj¹ komunikat braku dostêpu.
Wiêcej informacji na temat agentów odzyskiwania znajdziesz w podrozdziale „Przywracanie zaszyfrowanych plików
i folderów” na stronie 462.
Mo¿liwe jest szyfrowanie zarówno pojedynczych plików, jak i folderów. My zaleca-
my szyfrowanie ca³ych folderów, a nie pojedynczych plików. Dziêki temu bêdziesz
mia³ pewnoœæ, ¿e zaszyfrowane s¹ nie tylko pliki istniej¹ce ju¿ w danym folderze, ale
tak¿e nowe pliki, które dopiero utworzysz w tym folderze. Dotyczy to równie¿ tym-
czasowych plików, które s¹ tworzone przez ró¿ne programy w tym folderze. (Na
przyk³ad Microsoft Word tworzy kopiê ka¿dego dokumentu otwieranego do edycji.
Jeœli folder, w którym znajduje siê dokument, nie jest zaszyfrowany, to niezaszyfro-
wana pozostanie równie¿ tymczasowa kopia – któr¹ osoby niepowo³ane mog³yby po-
dejrzeæ). Z tej przyczyny powinieneœ tak¿e zastanowiæ siê nad zaszyfrowaniem folde-
rów %Temp% i %Tmp%, w których wiele programów przechowuje tymczasowe ko-
pie otwartych dokumentów.
UWAGA
Zanim zaszyfrujesz wa¿ne dane, powinieneœ wykonaæ kopiê zapasow¹ osobistego certyfikatu szyfrowania
(wraz ze zwi¹zanym z nim kluczem prywatnym) oraz certyfikatu agenta odzyskiwania, zapisuj¹c je na dys-
kietce przechowywanej w bezpiecznym miejscu. Jeœli stracisz oryginalny certyfikat (na przyk³ad wskutek
uszkodzenia dysku twardego), bêdziesz móg³ przywróciæ go z kopii zapasowej i odzyskaæ dostêp do swo-
ich plików. Jeœli stracisz wszystkie kopie swojego certyfikatu (i nie utworzysz certyfikatów agenta odzyski-
wania), nie bêdziesz móg³ odzyskaæ zaszyfrowanych plików. Nie istnieje ¿aden sposób na odzyskanie tych
plików czy choæby podejrzenie ich zawartoœci. (Gdyby istnia³y jakieœ sposoby, to system EFS nie zapew-
nia³by tak dobrej ochrony). Wiêcej szczegó³ów znajdziesz w podrozdziale „Tworzenie kopii zapasowych
certyfikatów” na stronie 458).
12263518.005.png
Rozdzia³ 14: Szyfrowanie informacji
449
Aby zaszyfrowaæ folder, wykonaj nastêpuj¹ce czynnoœci:
1. Prawym przyciskiem myszy kliknij folder, wybierz polecenie W³aœciwoœci, wy-
bierz zak³adkê Ogólne i kliknij przycisk Zaawansowane. (Jeœli w oknie dialogo-
wym w³aœciwoœci folderu nie ma pliku Zaawansowane, to znaczy, ¿e folder ten nie
znajduje siê na dysku z systemem plików NTFS i nie mo¿esz skorzystaæ z szyfro-
wania systemem EFS).
WSKAZÓWKA
Twoje najwa¿niejsze dokumenty znajduj¹ siê najprawdopodobniej w folderze Moje dokumenty; a inne wa¿-
ne pliki w folderze Temp. Zazwyczaj oba te foldery znajduj¹ siê na partycji rozruchowej. Jeœli nie jest to par-
tycja sformatowana w systemie NTFS, nie bêdziesz móg³ zaszyfrowaæ tych folderów. Jeœli nie mo¿esz
dokonaæ konwersji partycji rozruchowej na system plików NTFS (na przyk³ad potrzebujesz systemu FAT,
aby mo¿liwy by³ podwójny rozruch), a w twoim komputerze znajduje siê kilka partycji, mo¿esz sformato-
waæ jedn¹ z nich w systemie NTFS i przenieœæ tam wa¿ne foldery. Poniewa¿ foldery Moje dokumenty
i Temp s¹ folderami specjalnymi, nie wystarczy zwyczajnie przenieœæ ich, na przyk³ad w Eksploratorze Win-
dows. (Mo¿esz w ten sposób spowodowaæ powa¿ne problemy, dlatego te¿ nawet nie próbuj). Oczywiœcie
s¹ jednak skuteczne sposoby na przeniesienie tych folderów. Wiêcej szczegó³ów znajdziesz w podrozdziale
„Przenoszenie folderów ze standardowego po³aczenia profili” na stronie 950).
2. Zaznacz pole wyboru Szyfruj zawartoœæ, aby zabezpieczyæ dane. (Pamiêtaj, ¿e nie
mo¿esz zaszyfrowaæ skompresowanych danych. Jeœli w wybranym folderze znaj-
duj¹ siê ju¿ jakieœ skompresowane pliki, Windows wyczyœci pole wyboru Kom-
presuj zawartoœæ. Poniewa¿ szyfrowanie i kompresja wzajemnie siê wykluczaj¹, ta
sekcja okna dialogowego powinna raczej zawieraæ przyciski opcji, a nie pola wy-
boru–itojeszcze z dodatkow¹ opcj¹ „Brak kompresji i szyfrowania”).
3. Kliknij przycisk OK w dwóch oknach dialogowych. Jeœli folder zawiera jakieœ pliki
lub podfoldery, Windows wyœwietli jeszcze jedno okno dialogowe z proœb¹ o po-
twierdzenie zmiany atrybutów.
12263518.001.png
Zgłoś jeśli naruszono regulamin