Windows biztonsági problémák

Windows biztonsági problémák Miskolci Egyetem Általános Informatikai Tanszék

Miért a Windows? Mivel elterjedt, előszeretettel keresik a védelmi lyukakat könnyen lehet találni ezeket kihasználó programokat Ha biztonság kell, legyen inkább NT alapú (NT 4.0, Windows 2000, XP, Windows 2003)

Windows NTFS Problémák: kivett HDD ellopott notebook NTFS-t ismerő programok, driver-ek

Védelem kriptográfiával Tömörítő programok (zip, arj) nem transzparens használata közben hozzáférhető átmeneti állomány nem törölt átmeneti állományok nem kernel módú alkalmazás, a jelszó elcsíphető a pagefile-ban

Védelem kriptográfiával Alkalmazások (Word, Excel) nem transzparens nem kernel módú alkalmazás, a jelszó elcsíphető a pagefile-ban szintén hoznak létre átmeneti állományokat, amik szintén elolvashatók, de többnyire legalább törlődnek

Védelem kriptográfiával Encrypted File System-mel (EFS-sel) kibővített NTFS. Előnye: új attribútummal kezelhető Esetek: a WS, ill. a standalone server tagja-e a domainnak vagy sem, használ-e Certificate Authority-t vagy sem

Az EFS működése Új felhasználó: új SID Első EFS használatkor az OS létrehoz egy EFS bizonyítványt, amelyet a Registry-ben tárol (HKEY_CURRENT_USER). Ez tartalmaz egy aszimmetrikus kódoláshoz használható kulcspárt Minden egyes file titkosításakor az OS generál egy véletlenszerű, 128 bit hosszú File Encrypt Key-t (FEK)

Az EFS működése Ezzel a kulccsal egy tetszőleges szimmetrikus kódolással (most DESX) titkosítja a file-t a FEK-et egy aszimmetrikus kódolással (most RSA) a felhasználó public key-ével kódolja. Ez lesz a Data Decryption Field (DDF), és tárolja a file header-ében Ugyanezt a FEK-et kódolja a Data Recovery Agent public key-ével is. Ez lesz a Data Recover Field (DRF), és tárolja a file headerében

Az EFS működése A titkosított file-hoz való hozzáféréskor a bizonyítványban tárolt kulcspár private keyével dekódolja a DDF-et, és visszanyeri a FEKet a FEK segítségével dekódolja a file-t. Ha a személy elveszti private key-ét, vagy elmegy a cégtől, a Data Recovery Agent hasonló módon a saját private key-ével dekódolja a FEK-et, majd a file-t.

A titkosítás menete DDF DRF Öt török öt görögöt örökös örömök... Encryption (DESX) *#$jda ju539 5df/~$*((@ ght389e Public Key Private Key Data Decryption Field generálása (RSA) Date Recovery Field generálása (RSA) DDF DRF User Registry-je Véletlenszerű File Encryption Key FEK Recovery Agent public Key-e

Az EFS jellemzői Teljesen (?) transzparens használatához tisztában kell lenni alapjaival: nem működik a drag and drop csak a cut and paste csak NTFS partíción használható NTFS-sel tömörített (compresszált) file-t nem lehet titkosítani

Az EFS használata nem lehet rendszer file-t titkosítani nem lehet read only file-t titkosítani bárki, akinek olvasási és írási engedélye van egy file-ra, az titkosíthatja azt hálózaton való továbbítás közben nincs titkosítás (IPSec, PPTP, SSL) nem célszerű titkosított file-t megosztani

EFS architektúra Applications User Mode Win32 Layer CryptoAPI EFS Service Kernel Mode I/O Manager LPC Communication EFS Driver EFS RTL NTFS Callouts NTFS HDD

EFS használati javaslatok A TEMP a Windows 2000-ben minden user esetében lehet egyedi c:\documents and Settings\%username%\Local Settings\Temp Mindig katalógus kerüljön titkosításra, ne egyedi file a felhasználók saját anyagait tartalmazó katalógus kerüljön titkosításra %user profile%\my Documents

EFS hibák Read only file-ok elvben nem titkosíthatók, de az Exploreren keresztül egy esetben igen Replikációs folyamatban résztvevő file-ok attribútumai nem kerülnek replikálásra

A private key védelme Nem szabad egyszerű login jelszót választani L0phtcrack-kel brute force-szal jelszó visszafejtés, ha a behatolónak van local acount-ja, de: a SAM védve van a Syskey rendszer program segítségével. Annak azonban a default jelszava ismert lehet

A private key védelme Lehet exportálni a private key-t és floppy-n tárolni, majd az eredeti key-t törölni. A bootoláskor a rendszer kéri a floppy-t, vagy egyszerűen be lehet billentyűzni

EFS védelmi hiba A HDD-t ellopva újabb Windows 2000-et installálni arra az újat boot-olni törölni a SAM-et (sam.log) Security Account Manager Beboot-olni az eredeti Windows 2000-et az létrehozza a SAM-et üres administrátori jelszóval...