[ Pobierz całość w formacie PDF ]
.BezpoÅ›rednie sprawdzenie, że nowe zaÅ‚ożenia systemowe Agenta odzyskiwania (Recovery Agent) sÄ… aktywne, jest trudne.PoÅ›redniÄ… weryfikacjÄ™ na kontrolerze domeny, na którym certyfikat zostaÅ‚ utworzony, można wykonać w nastÄ™pujÄ…cy sposób:Procedura 14.12.Sprawdzenie kolejnego agenta DRAlZaloguj siÄ™ jako użytkownik, który jeszcze nie szyfrowaÅ‚ plików na serwerze.Użytkownik musi mieć uprawnienia administratora do zalogowania siÄ™ na konsoli kontrolera domeny.llZaszyfruj plik.Możesz utworzyć plik tekstowy lub wykorzystać istniejÄ…cy plik.Sprawdź, czy użytkownik może otworzyć plik przed i po zaszyfrowaniu.Nie próbuj szyfrować plików systemowych lub skompresowanych.System odmówi wykonania polecenia.llWyloguj siÄ™, a nastÄ™pnie zaloguj, wykorzystujÄ…c konto agenta DRA.llOtwórz plik zaszyfrowany.Agent DRA uzyskaÅ‚ dostÄ™p do pliku.Zamknij plik, a nastÄ™pnie w oknie WÅ‚aÅ›ciwoÅ›ci (Properties) danego pliku wyÅ‚Ä…cz atrybut szyfrowania i dokonaj konwersji pliku z powrotem do postaci niezaszyfrowanej.Z punktu widzenia EFS stanowi to „odzyskiwanie” pliku.lZapisywanie plików zaszyfrowanych na serwerach zaufanychW domyÅ›lnej konfiguracji EFS serwer nie zezwala użytkownikom sieciowym na szyfrowanie plików.JeÅ›li użytkownik sieciowy próbuje zaszyfrować plik, system lokalny zwraca komunikat: WystÄ…piÅ‚ bÅ‚Ä…d użycia atrybutu.Brak zestawu kluczy.(An error occured applying the attributes.Keyset does not exist).Zanim serwer zezwoli użytkownikom sieciowym na szyfrowanie plików, musi być skonfigurowany jako Trusted for Delegation.Powodem tego jest Å›rodowisko bezpieczeÅ„stwa (security context) usÅ‚ugi EFS.Kolejne trzy paragrafy opisujÄ… dziaÅ‚anie Å›rodowiska bezpieczeÅ„stwa (security context).Lokalna sekwencja szyfrowania plikuPoniżej opisano dziaÅ‚anie normalnej sekwencji szyfrowania:lEFS jest usÅ‚ugÄ… pracujÄ…cÄ… w tle.Tak jak wiÄ™kszość usÅ‚ug pracujÄ…cych w tle, dziaÅ‚a w Å›rodowisku bezpieczeÅ„stwa (security context) Local System.Konto Local System ma dobrze znany identyfikator bezpieczeÅ„stwa (SID) S - 1 - 5 - 18.UsÅ‚ugi pracujÄ…ce w tle wykorzystujÄ… ten identyfikator bezpieczeÅ„stwa (SID) w swoich znacznikach dostÄ™pu (access tokens) do otwierania i modyfikowania swoich plików pomocniczych, kluczy Rejestru i atrybutów Directory.llKiedy użytkownik szyfruje (lub rozszyfrowuje) plik, usÅ‚uga EFS uzyskuje klucz szyfru z certyfikatu EFS tego użytkownika.DostÄ™p do tego certyfikatu może mieć wyÅ‚Ä…cznie proces dziaÅ‚ajÄ…cy w Å›rodowisku bezpieczeÅ„stwa użytkownika, ponieważ jego część jest zakodowana za pomocÄ… identyfikatora bezpieczeÅ„stwa SID użytkownika.Procesy pracujÄ…ce w tle, takie jak usÅ‚uga EFS, dziaÅ‚ajÄ…c w imieniu użytkownika, majÄ… zezwolenie na przedstawianie kopii żetonu dostÄ™pu (access token) użytkownika.W takiej sytuacji mówi siÄ™, że proces uosabia użytkownika.llUsÅ‚uga EFS nie może bezpoÅ›rednio otrzymać kluczy użytkownika.Konieczna jest pomoc LSA.LSA jest wÅ‚aÅ›cicielem dostawców usÅ‚ug kryptograficznych (CSPs), którzy wiedzÄ…, jak zlokalizować i interpretować certyfikaty użytkownika i pliki kluczowe.DostawcÄ… usÅ‚ug kryptograficznych (CSP), zastosowanym w przypadku usÅ‚ugi EFS, jest Microsoft Base Cryptographic Provider v 1.llDostawca usÅ‚ug kryptograficznych (CSP) przekazuje informacje o kluczu do lokalnego autorytetu bezpieczeÅ„stwa (LSA), który przekazuje je do usÅ‚ugi EFS, która wykorzystuje te informacje do szyfrowania lub odszyfrowania klucza FEK.UsÅ‚uga EFS, uzbrojona w klucz FEK, szyfruje lub odzszyfrowuje pliki stosujÄ…c algorytm DESX.lSzyfrowanie plików poprzez sieć i delegowanieKiedy użytkownik sieciowy próbuje zaszyfrować plik na serwerze poprzez sieć, proces ten przebiega trochÄ™ inaczej.lUsÅ‚uga EFS, dziaÅ‚ajÄ…c na serwerze, jest odpowiedzialna za szyfrowanie pliku.Szyfrowanie nie może być wykonane bezpoÅ›rednio przez sieć, ponieważ naraziÅ‚oby to plik na dziaÅ‚anie podglÄ…daczy sieciowych.llUsÅ‚uga EFS na serwerze może uzyskać kopiÄ™ znacznika dostÄ™pu użytkownika, ale to nie wystarczy.UsÅ‚uga ta musi również uzyskać dostÄ™p do klucza uniwersalnego użytkownika, który jest zaszyfrowany za pomocÄ… funkcji skrótu (user's password hash).llUsÅ‚uga EFS na serwerze nie zna funkcji skrótu (user's password hash).Musi uzyskać skrót (hash) od kontrolera domeny w imieniu użytkownika.llUsÅ‚uga EFS nie może po prostu zażądać skrótu (password hash).Konieczna jest karta uwierzytelniajÄ…ca protokoÅ‚u Kerberos (Kerberos ticket) klienta, która jest oznaczona jako „przekaż dalej” (forwardable), wiÄ™c może przekazać kartÄ™ uwierzytelniajÄ…cÄ… (ticket) do kontrolera domeny, aby uzyskać skrót (password hash).llTaki proces przekazywania karty uwierzytelniajÄ…cej protokoÅ‚u Kerberos (Kerberos ticket) w imieniu klienta jest nazywany delegowaniem (delegation).Klient Kerberos tylko znakuje kartÄ™ uwierzytelniajÄ…cÄ… (ticket) jako „przekaż dalej” (forwardable), jeÅ›li serwer zatwierdzajÄ…cy (validating server) zostaÅ‚ wyznaczony jako Trusted for Delegation w Active Directory.lWzglÄ™dy bezpieczeÅ„stwa dla delegowania (Delegation)DomyÅ›lnie opcja Trusted for Delegation jest wybrana tylko w kontrolerach domeny
[ Pobierz całość w formacie PDF ]