r14 07

[ Pobierz całość w formacie PDF ]
.Bezpośrednie sprawdzenie, że nowe założenia systemowe Agenta odzyskiwania (Recovery Agent) są aktywne, jest trudne.Pośrednią weryfikację na kontrolerze domeny, na którym certyfikat został utworzony, można wykonać w następujący sposób:Procedura 14.12.Sprawdzenie kolejnego agenta DRAlZaloguj się jako użytkownik, który jeszcze nie szyfrował plików na serwerze.Użytkownik musi mieć uprawnienia administratora do zalogowania się na konsoli kontrolera domeny.llZaszyfruj plik.Możesz utworzyć plik tekstowy lub wykorzystać istniejący plik.Sprawdź, czy użytkownik może otworzyć plik przed i po zaszyfrowaniu.Nie próbuj szyfrować plików systemowych lub skompresowanych.System odmówi wykonania polecenia.llWyloguj się, a następnie zaloguj, wykorzystując konto agenta DRA.llOtwórz plik zaszyfrowany.Agent DRA uzyskał dostęp do pliku.Zamknij plik, a następnie w oknie Właściwości (Properties) danego pliku wyłącz atrybut szyfrowania i dokonaj konwersji pliku z powrotem do postaci niezaszyfrowanej.Z punktu widzenia EFS stanowi to „odzyskiwanie” pliku.lZapisywanie plików zaszyfrowanych na serwerach zaufanychW domyślnej konfiguracji EFS serwer nie zezwala użytkownikom sieciowym na szyfrowanie plików.Jeśli użytkownik sieciowy próbuje zaszyfrować plik, system lokalny zwraca komunikat: Wystąpił błąd użycia atrybutu.Brak zestawu kluczy.(An error occured applying the attributes.Keyset does not exist).Zanim serwer zezwoli użytkownikom sieciowym na szyfrowanie plików, musi być skonfigurowany jako Trusted for Delegation.Powodem tego jest środowisko bezpieczeństwa (security context) usługi EFS.Kolejne trzy paragrafy opisują działanie środowiska bezpieczeństwa (security context).Lokalna sekwencja szyfrowania plikuPoniżej opisano działanie normalnej sekwencji szyfrowania:lEFS jest usługą pracującą w tle.Tak jak większość usług pracujących w tle, działa w środowisku bezpieczeństwa (security context) Local System.Konto Local System ma dobrze znany identyfikator bezpieczeństwa (SID) S - 1 - 5 - 18.Usługi pracujące w tle wykorzystują ten identyfikator bezpieczeństwa (SID) w swoich znacznikach dostępu (access tokens) do otwierania i modyfikowania swoich plików pomocniczych, kluczy Rejestru i atrybutów Directory.llKiedy użytkownik szyfruje (lub rozszyfrowuje) plik, usługa EFS uzyskuje klucz szyfru z certyfikatu EFS tego użytkownika.Dostęp do tego certyfikatu może mieć wyłącznie proces działający w środowisku bezpieczeństwa użytkownika, ponieważ jego część jest zakodowana za pomocą identyfikatora bezpieczeństwa SID użytkownika.Procesy pracujące w tle, takie jak usługa EFS, działając w imieniu użytkownika, mają zezwolenie na przedstawianie kopii żetonu dostępu (access token) użytkownika.W takiej sytuacji mówi się, że proces uosabia użytkownika.llUsługa EFS nie może bezpośrednio otrzymać kluczy użytkownika.Konieczna jest pomoc LSA.LSA jest właścicielem dostawców usług kryptograficznych (CSPs), którzy wiedzą, jak zlokalizować i interpretować certyfikaty użytkownika i pliki kluczowe.Dostawcą usług kryptograficznych (CSP), zastosowanym w przypadku usługi EFS, jest Microsoft Base Cryptographic Provider v 1.llDostawca usług kryptograficznych (CSP) przekazuje informacje o kluczu do lokalnego autorytetu bezpieczeństwa (LSA), który przekazuje je do usługi EFS, która wykorzystuje te informacje do szyfrowania lub odszyfrowania klucza FEK.Usługa EFS, uzbrojona w klucz FEK, szyfruje lub odzszyfrowuje pliki stosując algorytm DESX.lSzyfrowanie plików poprzez sieć i delegowanieKiedy użytkownik sieciowy próbuje zaszyfrować plik na serwerze poprzez sieć, proces ten przebiega trochę inaczej.lUsługa EFS, działając na serwerze, jest odpowiedzialna za szyfrowanie pliku.Szyfrowanie nie może być wykonane bezpośrednio przez sieć, ponieważ naraziłoby to plik na działanie podglądaczy sieciowych.llUsługa EFS na serwerze może uzyskać kopię znacznika dostępu użytkownika, ale to nie wystarczy.Usługa ta musi również uzyskać dostęp do klucza uniwersalnego użytkownika, który jest zaszyfrowany za pomocą funkcji skrótu (user's password hash).llUsługa EFS na serwerze nie zna funkcji skrótu (user's password hash).Musi uzyskać skrót (hash) od kontrolera domeny w imieniu użytkownika.llUsługa EFS nie może po prostu zażądać skrótu (password hash).Konieczna jest karta uwierzytelniająca protokołu Kerberos (Kerberos ticket) klienta, która jest oznaczona jako „przekaż dalej” (forwardable), więc może przekazać kartę uwierzytelniającą (ticket) do kontrolera domeny, aby uzyskać skrót (password hash).llTaki proces przekazywania karty uwierzytelniającej protokołu Kerberos (Kerberos ticket) w imieniu klienta jest nazywany delegowaniem (delegation).Klient Kerberos tylko znakuje kartę uwierzytelniającą (ticket) jako „przekaż dalej” (forwardable), jeśli serwer zatwierdzający (validating server) został wyznaczony jako Trusted for Delegation w Active Directory.lWzględy bezpieczeństwa dla delegowania (Delegation)Domyślnie opcja Trusted for Delegation jest wybrana tylko w kontrolerach domeny [ Pobierz całość w formacie PDF ]

�

Podobne