none
Encrypted File System (EFS) - вопрос надежности RRS feed

  • Вопрос

  • Уважаемые коллеги,

    Просветите пожалуйста на тему: при сбросе пароля доменной учетной записи пользователя (Win2003), что произойдет с файлами зашифроваными поользователем через EFS на локальной машине? Потеряются, останутся... другие варианты?  

    Для примера: человек работает с конфиденциальными данными c EFS на рабочем месте, местные админы не должны иметь доступ к его данным. Человек отлучился... машина залочена, пароль на доменной учетке сбрасывается, и доступ к системе открыт. Как в таком случае штатными средствами предотвратить утечку? 

     

    22 декабря 2006 г. 10:15

Ответы

  • Сертификат шифрования зашифрован паролем пользователя и лежит локально на машине пользователя.

    При смене пароля локального пользователя пароль на сертификат также меняется, т.е. сначала он расшифровывается старым паролем, а потом зашировывается новым. При сбросе пароля администратором эта процедура в XP не производится и данные остаются не доступными.

    А вот при смене пароля в домене невозможно сменить пароль на сертификат расположенный на удаленной машине! Поэтому действует обычная схема Windows 2000: доменный админитратор может получить доступ к защищенным данным после сброса пароля пользователя.

    Варианты решения:

    1. Не включать машину в домен. Использовать доступ к сетевым ресерсам по совпадению имен или вводом доменного имени ручками
    2. Использовать смарт-карту для доступа к компьютеру
    3. Приобрести аппаратное средство защиты компьютера

     

    22 декабря 2006 г. 12:17
    Модератор

Все ответы

  • Останутся так как учетная запись (сид) тот же самый.

    Предотвратить? Скорее всего только административно. Например вы пришли а у вас пароль другой. Соотвественно служебка руководителю если смена пароля необоснована

    22 декабря 2006 г. 11:31
  • Подобные действия можно предотвращать только с помощью разделения обязанностей администраторов и, в некоторых частных случаях, с помощью многофакторной аутентификации. Кроме того, нужно осуществлять аудит доступа к критически важным компонентам системы.
    22 декабря 2006 г. 11:34
    Модератор
  •  Pavel Dugaev написано:

    Останутся так как учетная запись (сид) тот же самый.

    Предотвратить? Скорее всего только административно. Например вы пришли а у вас пароль другой. Соотвественно служебка руководителю если смена пароля необоснована

    Дело даже не в SID, дело в сертификате EFS.

    22 декабря 2006 г. 11:35
    Модератор
  • В таком случае данные уже потеряны :)

    Я хочу рассмотреть безопасность средствами ОС. Может есть какие-то настройки которые влияют на EFS. ИМХО это неправильное поведение системы безопасности ОС. Ведь в случае сброса пароля локальной учетки данные становятся недоступными. Почему это не применяется к доменной учетной  записи ?

    PS: Пример 100% абстрактный! Пожалуйста не рассматривайте его как реальную ситуацию

    22 декабря 2006 г. 11:36
  • Понимаете, в корпоративной среде должны быть политики безопасности. Мало того, они должны соблюдаться. На самом деле безнадзорный админ имеет возможность просто извлечь данные, даже не меняя пароля. Для этого ему достаточно прописать себя в GPO как агента восстановления. Поэтому, если не разрабатывать структуру и политики безопасности, то Вас "уже ничто не спасёт" =)))
    22 декабря 2006 г. 11:52
    Модератор
  • Сертификат шифрования зашифрован паролем пользователя и лежит локально на машине пользователя.

    При смене пароля локального пользователя пароль на сертификат также меняется, т.е. сначала он расшифровывается старым паролем, а потом зашировывается новым. При сбросе пароля администратором эта процедура в XP не производится и данные остаются не доступными.

    А вот при смене пароля в домене невозможно сменить пароль на сертификат расположенный на удаленной машине! Поэтому действует обычная схема Windows 2000: доменный админитратор может получить доступ к защищенным данным после сброса пароля пользователя.

    Варианты решения:

    1. Не включать машину в домен. Использовать доступ к сетевым ресерсам по совпадению имен или вводом доменного имени ручками
    2. Использовать смарт-карту для доступа к компьютеру
    3. Приобрести аппаратное средство защиты компьютера

     

    22 декабря 2006 г. 12:17
    Модератор
  • http://support.microsoft.com/default.aspx?scid=kb;en-us;309408 (см. раздел "DPAPI and Password Changes")
    22 декабря 2006 г. 17:00