Самое прекрасное — это когда нужна поддержка сайта, а ты сидишь с телефоном
в руке и ЗНАЕШЬ, чей номер набрать! т. +7 831 4637611 моб. +7 910 3820622
WhatsApp +7 953 5571863 Skype aitishnik
Айтишник РУ Нижний Новгород, Симферопольская, 21 ПН-ПТ 08 - 18
Описание программ и работа в Windows

Защита данных в NTFS

ntfs securityКак известно, файловая система NTFS оснащена функцией шифрования данных на диске, поэтому, если в свойствах файла поставить галочку на соответствующей опции, то он будет физически зашифрован. Кроме этого, пользователь может манипулировать правами доступа к тем или иным объектам (см. скриншоты)
Однако при переустановке Windows или подключении жесткого диска к другому компьютеру все указанные ранее права доступа пропадут, и файл будет доступен абсолютно всем. Если же файл был зашифрован, то при сбросе прав доступа он все равно останется зашифрованным, и прочитать его с другой машины будет невозможно (если туда не были предварительно экспортированы соответствующие сертификаты шифрования). Теоретически все просто и надёжно.

Как известно, файловая система NTFS оснащена функцией шифрования данных на диске, поэтому, если в свойствах файла поставить галочку на соответствующей опции, то он будет физически зашифрован. Кроме этого, пользователь может манипулировать правами доступа к тем или иным объектам (см. скриншоты)
Однако при переустановке Windows или подключении жесткого диска к другому компьютеру все указанные ранее права доступа пропадут, и файл будет доступен абсолютно всем. Если же файл был зашифрован, то при сбросе прав доступа он все равно останется зашифрованным, и прочитать его с другой машины будет невозможно (если туда не были предварительно экспортированы соответствующие сертификаты шифрования). Теоретически все просто и надёжно.

ntfs_nt_01

ntfs_nt_02 А практически сами файлы ключей не зашифрованы, так как по умолчанию пароль к ним хранится на том же системном диске. Как следствие, вскрыть информацию в таком случае - плевое дело. Добавьте сюда массу общедоступных хакерских утилит, в большинстве случаев позволяющих за разумное время "распотрошить" любой зашифрованный файл, достаточно только подключить винчестер к другому ПК (или загрузиться с компакт-диска Windows PE (версии Windows, которые запускаются и работают непосредственно с компакт-диска. Используются для восстановления системы или данных).

В этой статье мы рассмотрим защиту информации от случая, когда в руки злоумышленников попал ваш выключенный компьютер (например, ноутбук в результате кражи). Постараемся максимально усложнить работу этим нехорошим дядям.
Пункт первый. Внимательно посмотрим, какие на нашем компьютере существуют аккаунты и удалим лишние. Для этого следуем в "Мой компьютер -> Управление".

ntfs_nt_03

Далее - в меню "Управление компьютером -> Служебные программы -> Локальные пользователи и группы -> Пользователи".

ntfs_nt_04

Сразу предупредим, что разные системные аккаунты трогать не следует, особенно если вы не знаете, зачем они нужны (однако можно их просто отключить и посмотреть результаты). Удалите явно ненужных пользователей.
Обратите внимание, что в Windows XP по умолчанию обычно получается два администраторских логина: один стандартный, а второй - первого из пользователей, вошедших в систему сразу после установки. И по невнимательности на одном из них может вообще не быть пароля. Дополнительно на всех существующих аккаунтах следует установить пароли не короче 16 символов! В противном случае их легко вскрыть в течение нескольких дней или даже часов (На то две причины. Во-первых, пароли короче 14 знаков можно быстрее подбирать по старому упрощенному алгоритму. Во-вторых, каждый дополнительный знак увеличивает общее время перебора примерно в 140 раз.)
В пароле не следует использовать словарные слова и какие-либо осмысленные названия (существуют базы, в которых содержится порядка трех миллионов популярных парольных слов). Пароль также не должен состоять из одних только цифр. Помните, что менять пароль можно только в меню "Панель управления -> Учетные записи пользователей", иначе доступ к ранее зашифрованным файлам безвозвратно пропадет.
Пункт второй. Не используйте автоматический вход в Windows. Система должна всегда запрашивать имя и пароль. Если вход в операционную систему автоматический, это надо устранить. Идем в меню "Пуск -> Выполнить", вводим команду control userpasswords2.

ntfs_nt_05

В появившемся окне ставим галочку на опции "Требовать ввод имени пользователя и пароля".

ntfs_nt_06

Пункт третий. В Windows можно задействовать дополнительное шифрование файла, хранящего все пароли. В принципе, его шифрование задействовано изначально, но пароль, естественно, хранится на этом же диске, и хакерские программы расшифровывают его "на раз". Гораздо безопаснее вводить пароль с клавиатуры либо с ключевой дискеты. В таких случаях взлом становится практически невозможен. Использовать ключевую дискету не рекомендуем из-за ненадежности носителя в силу и физических, и человеческих факторов. А вот использовать ввод с клавиатуры вполне можно.


Проходим в меню "Пуск -> Выполнить", вводим команду syskey. Должно появиться окно управления шифрованием базы данных паролей.

ntfs_nt_07

Нажимаем кнопку "Обновить" для отображения настроек.

ntfs_nt_08

Как видим, по умолчанию ключ шифрования паролей хранится в системе. Выбираем режим требования ввода пароля при запуске системы. Указываем пароль - тоже не словарный и длинный. Готово. Теперь ключевое слово будет запрашиваться при каждой загрузке Windows, еще задолго до появления привычного окна выбора пользователя.

ntfs_nt_09

Этот пароль - общий для всех, его необходимо знать всем пользователям (что, кстати, снимает все преимущества такой дополнительной защиты в том случае, если ломать систему будет один из знающих пароль пользователей). Обычные персональные пользовательские логины и пароли никуда не денутся, они будут тоже запрашиваться как обычно, после ввода общего пароля.
Наконец, отметим еще одну потенциальную уязвимость зашифрованных данных. Большинство программ при работе создают временные файлы, в которых хранят обрабатываемые данные (или, к примеру, копию для возможности Undo), и эти временные файлы обычно не зашифрованы. Злоумышленник может, воспользовавшись любой из многочисленных Unerase-программ, восстановить эти файлы.
Для борьбы с этим следует после работы с зашифрованными файлами затирать пустое место на жестком диске при помощи Wipe-утилит (они входят, в частности, в ОС Windows и в состав Norton Utilities, Acronis, PGP Desktop и других подобных пакетов). В ряде случаев обход этой проблемы обеспечивается установкой шифрования временной папки (на которые ссылаются системные переменные %temp% и %tmp%), применяя шифрование не к отдельному файлу, а к целым директориям.
P.S. Следует трезво осознавать, что вышеперечисленные меры не дают стопроцентной гарантии безопасности. Если диск украден целенаправленно, и данные заведомо представляют коммерческий интерес, то злоумышленники, скорее всего, найдут возможность как-то обойти эти меры.

Помните, что у нас вы можете не только купить готовый сайт или заказать его разработку, но и подобрать подходящий тариф поддержки сайта, заказать продвижение сайта в поисковых системах, а так же зарегистрировать домен в одной из двухсот доменных зон и выбрать недорогой тариф хостинга! Айтишник РУ

Об авторе:

ZolkinМеня зовут Андрей Золкин. Из более, чем пятнадцати лет работы в сфере информационных технологий, десять лет работаю с системами, базирующимися на открытом исходном коде. На страницах сайта Aitishnik.Ru веду блоги по CMC Joomla и Debian GNU/Linux.

 

Ещё статьи о Windows

    • Трюки с реестром Windows часть 2

      Трюки с реестром Windows часть 2С легкой руки компании Microsoft последние версии ОС Windows, помимо пресловутой папки "Мои документы", научились создавать еще ряд спорной нужности директорий - "Мои рисунки", "Мои видеозаписи", "Моя музыка" и пр. Более того, спустя...

    • Полезные советы по MS Office

      Полезные советы по MS OfficeПолезные советы по MS Office Большая часть офисных задач решается на компьютере в среде MS Office, прежде всего в Word, Excel, Outlook и PowerPoint. Для работы с этими приложениями достаточно минимальных знаний. Тем не менее во многих...

    • Основные правила выбора принтера этикеток для магазина...

      Основные правила выбора принтера этикеток для магазина Ни один серьезный супермаркет или магазин не может обойтись без этикеток на реализуемых товарах. Самым же эффективным способом их изготовления является применение специального...

    • SQL сервер для 1С: восстановление базы данных из архива...

      SQL сервер для 1С: восстановление базы данных из архива...SQL сервер для 1С: восстановление базы данных из архива Какая бы ни была причина для восстановления, Вы как специалист должны уметь оперативно привести базу в рабочее состояние. В рассматриваемом примере имитируется удаление файла базы...

    • Для чего нужно контролировать трафик в сети?...

      Для чего нужно контролировать трафик в сети? На сегодняшний день каждый современный человек сидит в Интернете. Кто-то зарабатывает деньги с помощью систем копирайта и рерайта, кто-то создает сайты, другие люди просто играют в игры и...

    • Настройка резервного копирования рабочей станции...

      Настройка резервного копирования рабочей станции...Резервную копию делать надо! Вряд ли кто-нибудь будет возражать против этого. Осталость определиться как делать. В этой статье я опишу простейшее создание резервной копии. Конечно это не догма, но в большинстве случаев этого будет...