Bezpečnost klientských dat operačního systému Microsoft Windows

Bankovní institut vysoká škola Praha Katedra informačních technologií

Bezpečnost klientských dat operačního systému Microsoft Windows Bakalářská práce

Autor:

Jiří Herout Informační technologie, specializace

Vedoucí práce:

Praha

Ing. Vladimír Beneš

duben 2009

Prohlášení:

Prohlašuji, že jsem bakalářskou práci zpracoval samostatně a s použitím uvedené literatury.

V Praze, dne 9. 4. 2009

Jiří Herout

2

Anotace práce: Bakalářská práce je zaměřena na zabezpečení koncových stanic uživatelů v oblastech zálohování a šifrování. Zaměřuje se na operační systémy Microsoft Windows XP a Vista, jež patří v dnešní době k nejpoužívanějším ve světě. Z jedné části se práce konkrétně zabývá šifrováním s využitím intergrovaných prostředků operačního systému, placenými produkty a open-source technologií. Z druhé části popisuje a vysvětluje, jak a proč je potřebné zálohovat klientská i systémová data. Práce ukazuje jednotlivé funkce, výhody a nevýhody jednotlivých programů a porovnává je mezi sebou. Práce věnuje pozornost teoretické a praktické části, ukazuje základní metody použití a charakterizuje význam jednotlivých možností. Při implementaci řešení se předpokládá základní uživatelská znalost operačních systému Microsoft Windows.

My study essey is concentred how to secure the final users´ PC by means of backuping and coding (by means - pomocí). It´s aimed to the operation system of Microsof Windows XP and Vista, which are the most used systems around the word in these days. One part of the work is dedicated to the coding, which uses integrated instruments of operating system, paid products and open-source technologies. In the second part it describes and explain how and why it´s so necessary to backup the clients´ and systems´ datas. The essey shows severals functions, possitive and negative parts of each program and does the comparision among them. It gives a place not only to the theoritical part but even to the practical one, showes how to utilize basic methodes and define the importance of particular possibilities. For implementing solutions is needed the basic knowledge of Microsoft Windows operation system.

3

Obsah 1. Úvod do problematiky ................................................................. Chyba! Záložka není definována. 1.1 Historie operačního systému Microsoft Windows ................................................................... 7 1.1.1 MS-DOS ............................................................................................................................. 7 1.1.2 Windows 3.0 a 3.1 ............................................................................................................. 8 1.1.3 Windows 3.11 for Workgroups ......................................................................................... 8 1.1.4 Windows NT 3.1 a 3.5 ....................................................................................................... 8 1.1.5 Windows 95 ....................................................................................................................... 9 1.1.6 Windows NT 4.0 ................................................................................................................ 9 1.1.7 Windows 98 ..................................................................................................................... 10 1.1.8 Windows Millenium Edition ............................................................................................ 10 1.1.9 Windows 2000................................................................................................................. 10 1.1.10 Windows Server 2000 a 2003........................................................................................ 11 1.2 Otázka bezpečnosti ................................................................................................................ 11 1.3 Výběr technologií ................................................................................................................... 12 1.3.1 Windows XP..................................................................................................................... 13 1.3.2 Windows Vista ................................................................................................................. 13 2. Teorie šifrování ............................................................................................................................. 15 2.1 Historie šifrování .................................................................................................................... 15 2.2 Symetrická kryptografie ......................................................................................................... 15 2.2.1 Blokové šifry .................................................................................................................... 16 2.2.2 Proudové šifrování .......................................................................................................... 17 2.3 Asymetrická kryptografie ....................................................................................................... 18 2.4 Certifikát ................................................................................................................................. 20 2.5 Výhody a nevýhody diskového šifrování ................................................................................ 20 2.6 Dešifrovací techniky ............................................................................................................... 21 2.7 Potřeba jít s dobou ................................................................................................................. 21 3. Teorie zálohování ......................................................................................................................... 22 3.1 Typy problémů ....................................................................................................................... 22 3.2 Co zálohovat ........................................................................................................................... 23 3.3 Typy zálohování ...................................................................................................................... 23 3.3.1 Normální plné zálohování (Full backup) .......................................................................... 23 3.3.2 Normální a přírůstkové zálohování ................................................................................. 24 4

3.3.3 Kombinace normálního a rozdílové zálohování .............................................................. 25 3.4 Kam zálohovat data ................................................................................................................ 26 3.5 Zrcadlení dat ........................................................................................................................... 26 3.6 Závěr ....................................................................................................................................... 28 4. Analýza možných řešení ............................................................................................................... 29 4.1 Bezpečnost produktů společnosti Microsoft ......................................................................... 29 4.2 Porovnání šifrovacích systémů ............................................................................................... 30 4.2.1 Encrypted File System – EFS ............................................................................................ 30 4.2.2 BitLocker .......................................................................................................................... 31 4.2.3 TrueCrypt......................................................................................................................... 32 4.2.4 PGP Desktop Proffesional................................................................................................ 34 4.3 Porovnání zálohovacích systémů ........................................................................................... 35 4.3.1 Windows Backup Utility .................................................................................................. 36 4.3.2 Paragon Exact Image ....................................................................................................... 37 4.3.3 Norton Ghost ................................................................................................................... 38 4.3.4 Závěr ................................................................................................................................ 39 5. Implementace řešení.................................................................................................................... 40 5.1 Implementace v prostředí Windows XP ................................................................................. 40 5.1.1 Nastavení EFS .................................................................................................................. 42 5.1.2 Instalace a nastavení TrueCrypt ...................................................................................... 44 5.1.3 Nastavení zálohováni s Windows Backup ....................................................................... 45 5.2 Implementace řešení BitLocker .............................................................................................. 48 6. Závěr ............................................................................................................................................. 50 6.1 Závěr práce ............................................................................................................................. 50 6.2 Seznam použité literatury ...................................................................................................... 50

5

1. Úvod do problematiky V dnešní době elektronického zpracování většiny informací je zabezpečení pracovních stanic klíčovým technickým opatřením informační bezpečnosti každé společnosti. Je třeba zjistit slabiny v zabezpečení a aplikovat odborná doporučení na jejich odstranění. Jednou z největších slabin začíná u lidí a končí u kvality operačního systému. Je třeba už v zárodku omezit potenciální útoky z vnitřní i vnější sítě a zabránit tak nechtěné činnosti, které by společnost mohly záměrně nebo nevědomě poškozovat. V této bakalářské práci se zaměřím na zabezpečení asi nejvíce používaného operačního systému Microsoft Windows XP a Vista, které jsou považovány za nejvíce rozšířené mezi běžnými uživateli. Obrázek 1 - Podíl operačních systémů

Zdroj: http://technet.idnes.cz/uplynuly-tyden-v-it-podil-operacnich-systemu-windows-klesa-brzy-pryjiz-pod-90-1hn-/foto.asp?foto1=JZA243e21_grafik.jpg, 11. 12. 2008

Je třeba od sebe oddělit jednotlivé typy rizik, jež běžného uživatele mohou potkat od zapnutí počítače, přihlášení do systému, práce s programy a hlavně pohybu na internetu. Hrozbou nejsou jen hackeři, útok může přijít zevnitř firmy v podobě nespokojených, podplacených nebo nezodpovědných zaměstnanců nedodržujících bezpečnostní pravidla. Dnešní moderní informační technologie zvyšují efektivitu práce, na druhou stranu však také zvyšují pravděpodobnost, že se citlivé informace dostanou do nepovolaných rukou nebo prostě zmizí při nějaké poruše či nehodě. Optimální bezpečnostní řešení je tak třeba navrhnout individuálně pro skupinu uživatelů a dle konkrétních podmínek a požadavků. Dále by tato zabezpečení měla být navržena tak, aby výrazně a nepříjemně nebránila běžné práci a chodu podniku a zároveň aktivně předcházela potenciálnímu nebezpečí. 6

1.1 Historie operačního systému Microsoft Windows Operační systém je základní programové vybavení počítače, které zprostředkovává komunikaci mezi uživatelem a hardwarem a řídí činnost jednotlivých částí počítače. V dřívějších dobách operační systémy jako takové neexistovaly a programátor musel komunikovat s počítačem pomocí strojového kódu. Postupem času se však tento postup stal neúnosným, bylo třeba najít jednodušší řešení a tak pomoci i „neodborníkům“ pracovat s počítačem. Počátkem 60. let tak pomalu začaly vznikat operační systémy a v polovině 60. let (s příchodem minipočítačů) již vyvstává potřeba takových operačních systémů, jaké známe dnes. Významným a velmi potřebným prvkem bylo vytvoření GUI – Graphics user interface, jež by maximálně zpříjemňovalo a zjednodušovalo práci.

1.1.1 MS-DOS Historie operačního systému Windows sahá do roku 1981, kdy firma IBM uvedla na trh první PC spolu se 16bitovým operačním systémem MS-DOS (Microsoft Disk Operating System). Obrázek 2 - příkazová řádka MS-DOS 3.30

Zdroj: http://www.kernelthread.com/mac/vpc/images/dos4x.gif, 9. 12. 2008

Už v době svého vzniku však programátoři viděli omezenost tohoto produktu, neboť podporoval pouze jednoho připojeného uživatele jež mohl současně pracovat jen s jedním programem. Následující verze Windows 1.xx a Windows 2.xx byly pouze nadstavbou MS-DOS. Aplikací bylo velmi málo a přímé aplikace pro DOS byly v té době více kvalitní. 7

1.1.2 Windows 3.0 a 3.1 Ve Windows 3.0, které byly uvedeny na trh 22. května 1990, Microsoft konečně nastartoval vlnu přechodu z prostředí MS-DOS na Windows. Nové Windows díky plné podpoře instrukcí 80386 uměly adresovat více paměti pro jednotlivé aplikace. V roce 1991 byly tyto Windows aktualizovány o multimediální funkce. Obrázek 3 - GUI Windows 3.1

Zdroj: http://www.kernelthread.com/mac/vpc/images/win31.gif, 9. 12. 2008

Co Windows 3.0 začala verze 3.1 dokončila uvedením v dubnu 1992. Pro zajímavost instalaci tvořilo sedm 3,5 palcových disket o kapacitě 1,4 MB, na disku instalace zabrala 4,5 MB. Tyto Windows již byly lokalizovány také do češtiny.

1.1.3 Windows 3.11 for Workgroups Verze 3.1 for Workgroups z října 1992 byla první verzí Windows s integrovanou podporou peer-to-peer sítě. Verze 3.11 z listopadu 1993 ale dosáhla většího rozšíření a stala se synonymem pro snadné sdílení souborů v síti. Jako první umožňovaly první sdílení souborů a tiskáren mezi různými počítači a daly se díky nim vytvářet jednoduché počítačové sítě bez nutných velkých serverů. Znamenaly skutečný průlom a otevření Windows prosíťovanému prostředí.

1.1.4 Windows NT 3.1 a 3.5 V roce 1993 přichází také první plně 32bitový systém. Je to první systém, který byl určen jak pro pracovní stanice (verze Workstation), tak pro servery (Advanced Server). Zde byl 8

poprvé uveden i souborový systém NTFS, jež je i dnes synonymem zabezpečeného diskového oddílu. Ještě v roce 1993 přišla verze Windows NT 3.5, která přidala do systému podporu OpenGL a vylepšení 32 bitových aplikací.

1.1.5 Windows 95 V srpnu 1995 je Windows 95 dalším velkým skokem nejen v grafickém rozhraní, který využíváme až do dnešních dní. Vylepšil se souborový systém, multitasking, objevuje se „plug-and-play“ podpora či připojování k síti přes modem. V rámci balíčku Plus! bylo možné doinstalovat i první verzi populárního internetového prohlížeče „Internet explorer“. Po roce vyšla novější verze Windows 95 OSR 2 jež přidala zejména podporu FAT32. Obrázek 4 - Windows 95

Zdroj: http://www.harding.edu/fmccown/gui/win95.gif, 9. 12. 2008

Lze jej označit za povedenou, klíčovou a přelomovou verzi Windows s hybridním 16/32 bitovým jádrem.

1.1.6 Windows NT 4.0 V roce 1996 převedl Microsoft grafické rozhraní Windows 95 i na NT platformu, přičemž výsledkem byla verze Windows NT 4.0. Tento systém se mimořádně prosadil v podnikovém prostředí, kde je ještě dnes někdy k vidění. Neobsahoval multimediální výbavu Windows 95, ale nabízel větší robustnost a lepší vlastnosti pro síťové prostředí. Jednalo se o první uživatelský operační systém jež se dal v dané době považovat za

9

bezpečný a stal se synonymem pro vyšší stabilitu. Poprvé zde můžeme najít systém zapínání a vypínaní služeb – services.

1.1.7 Windows 98 V červnu 1998 pak přichází Windows 98, aktualizovaná verze 95, která navíc přidala podporu DVD mechanik, plnou podporu USB zařízení a dále dnes také samozřejmé standardy jako AGP a FireWire. Za zmínku stojí, že přímo v systému byl také Internet Explorer 4.0. O rok později vyšla aktualizovaná verze Windows 98 SE, která aktualizovala Internet Explorer na verzi 5.0 a do systému začlenila DirectX 6.1. přibylo sdílení připojení k internetu a umožnila využívání ovladačů pro systém NT 4.0. Tento systém je stále vnímám jako poslední kvalitní 9x produkt a je i dnes stále používán na méně výkonných počítačích.

1.1.8 Windows Millenium Edition Poslední 9x a ne příliš povedený operační systém vydaný v roce 2000. Přibyla zde sice podpora System Restore pro obnovu poškozených systémových souborů a pár dalších multimediálních vylepšení, avšak byl velmi kritizován pro svou nestabilitu. Proto se obecně doporučuje využití spíše verze Windows 98 SE.

1.1.9 Windows 2000 Windows 2000 byly uvedeny v únoru 2000. Microsoft se rozhodl, že opustí uvedení NT v názvu a že přejde na číslování dle roku.

10

Obrázek 5 - Windows 2000

Zdroj: http://cybernetnews.com/wp-content/uploads/2008/04/windows-2000.jpg, 11. 12. 2008

Cílem této 2000 bylo nahradit platformu NT a 9X ve firemním a domácím prostředí jediným společným základem, jež by představoval společnou stabilitu a uživatelskou přívětivost. Systém nabízí lepší integraci do podnikových sítí, vzdálenou plochu, podporu VPN a řadu dalších vylepšení. Mnozí pokládají Windows 2000 za nejlepší operační systém, co zatím Microsoft vyvinul a dávají mu přednost před Windows XP, které jsou pro ně příliš a zbytečně graficky upravené.

1.1.10 Windows Server 2000 a 2003 Ačkoliv se zde zabývám hlavně uživatelskými operačními systémy, nemohu nezmínit Windows Server 2000 a 2003. Jedná se čistě o serverové produkty a k jejich vlastnostem patří zejména propracovanější bezpečnost, lepší robustnost a správa systémů. Revoluční změna přišla v podobě „Active Directory“ jež umožňuje komplexní správu domény a jejích prostředků. Je základem pro další celou rodinu serverových produktů Microsoftu. I zde je možné si poprvé vybrat mezi 32 a 64 bitovou architekturou.

1.2 Otázka bezpečnosti Již s prvními operačními systémy DOS a Windows 3.x vznikaly první prvky zabezpečení. Jednalo se o jednoduché utility pro zálohování obsahu disku až k antivirovým programům, jež se šířili hlavně formou nakažených přenosných médií. Existovaly i techniky pro zabezpečení dat šifrováním, ale vzhledem k náročnosti na prostředky systému a ceně byly používané minimálně mezi uživateli. 11

Největším problémem bezpečnosti operačních systémů Windows 9x je chybějící oprávnění a uživatelská práva, která by určovala činnosti, které může uživatel v systému Windows provádět. Uživatel systému tak může prakticky vše to, co administrátor. Existují zde ale vylepšené grafické utility pro zálohování pevných disků, ochrana dat před viry s možností častějších aktualizačních balíčků, firewally třetích stran a dokonce i jednoduché šifrování. Operační systém nelze do budoucnosti označit za bezpečný, pokud nesplňuje tyto podmínky: •

Aktualizace od výrobce.

•

Antivirový systém s webovým štítem.

•

Firewall.

•

Zálohovací systém chránící před ztrátou dat.

•

Šifrovací software.

•

Rozumě nastavená přístupová práva.

Systém by měl být také přizpůsobivý pro produkty třetích stran, neboť zdaleka ne vše, co výrobce propaguje, bývá nejlepší.

1.3 Výběr technologií V současné době jsou celosvětově nejvíce používané operační systému Microsoft Windows XP, Vista a MacIntel. Obrázek 6 - podíl operačních systémů na trhu 12/2008

Zdroj: http://marketshare.hitslink.com/chartfx62/temp/CFT1211_09393618D4B.png, 11. 12. 2008

12

I když podíl Microsoft produktů na trhu klesá, zřejmě ještě budou po několik příštích let její systémy nejpoužívanější ve světě. Z tohoto důvodu se zaměřuji hlavně na tyto operační systémy.

1.3.1 Windows XP V říjnu 2001 představené Windows XP jsou završením spojení stability a robustnosti NT systémů s multimediální využitelností Windows 9x systémů. Na základě kódu Windows 2000 doplňují nové uživatelské prostředí orientované na úkoly. Systém si však před příchodem prvních opravných „balíčků“ vysloužil oprávněně přezdívku nestabilní. Až od verze Service Pack 2 je definitivně uznáván jako nejlepší nástupce platformy 98 a 2000 po stránce výkonnostní, multimediální ale hlavně bezpečnostní. V současnosti jsou Windows XP nejpoužívanějším operačním systémem pro stolní počítače. Zde se poprvé objevuje rozdělení na verze Home a Professional, kde verze Home neumí spolupracovat s doménou ve firemním prostředí a je tak určena pro domácnosti. Obrázek 7 - Windows XP

Zdroj: http://www.extrawindows.cz/files/obrazky/2008/07Jul/windows-xp-1.png, 11. 12. 2008

U Windows XP je možné se poprvé rozhodnout mezi 32 a 64 bitovými architekturami.

1.3.2 Windows Vista Windows Vista přišli na trh v roce 2006, představují převratné zlepšení uživatelských vlastností, pomocí kterých uživatel získá jistotu při zobrazování, vyhledávání a uspořádání informací a při práci s počítačem. Uživatelské rozhraní Windows Vista umožňuje zefektivnit práci s počítačem prostřednictvím vylepšených vizuálních prvků oken. 13

Prostředí pracovní stanice je informativnější a intuitivnější. Nové nástroje přinášejí lepší přehled o informacích v počítači, takže můžete zjistit, co soubory obsahují, aniž byste je museli otevřít. Větší komfort a mnoho vylepšení po stránce zabezpečení a multimédií se však podepsalo na stránce výkonu. Obrázek 8 - Windows Vista

Zdroj: http://www.futura-sciences.com/uploads/tx_oxcsfutura/img/windows_vista_aero_3D.jpg, 11. 12. 2008

Vista má všeobecně vyšší požadavky na paměť, procesor i disk a uživatelům, jež byli spokojeni s výkonem u Windows XP, toto Vista nabídne jen s upgrade hardware. Je zde k dispozici 5 verzí: •

Home Basic – ideální pro základní požadavky práce s domácím počítačem.

•

Home Premium – Basic + obsahuje navíc Windows Media Center.

•

Business – je určen pro potřebu malých firem.

•

Enterprise – Business + vyšší úroveň ochrany dat pomocí technologie šifrování založené na hardwaru novou technologií Windows BitLocker a podpora více jazyků uživatelského prostředí.

• Ultimate – Enterprise + Home Premium, neboli vše dohromady co může Windows Vista nabídnout uživatelům.

14

2. Teorie šifrování Šifrování neboli kryptografie je věda, která se zabývá utajením skutečného obsahu zprávy nebo dat před možným odcizením. Jde o využití kryptografického algoritmu, jež převádí zprávu nebo data, z původního textu nebo obsahu, na její nečitelnou podobu neboli zašifrovaná data. Z těchto zašifrovaných dat pak lze získat původní pouze pomocí klíče.

2.1 Historie šifrování Šifrování je věda téměř stejně jako umění písma. Už v prvopočátcích písemnictví, někdy před 4000 lety, se objevovaly tajné znaky, které byly určeny pouze pro určitou skupinu zasvěcených. První známou šifrou se setkáváme již v 5. století před naším letopočtem ve Spartě. Princip je velmi jednoduchý. Na hůlku o určitém průměru se namotal proužek kůže a na něj byla napsána zpráva. Poté se proužek odmotal a takto byl odesílán kurýrem. Kdo neznal princip, nedokázal zprávu přečíst. Šifrování korespondence mezi Juliem Césarem a královnou Kleopatrou spočívalo v posunutí celé abecedy o 3 místa doprava, velmi prosté ale účinné. Ovšem již na počátku tohoto století došlo k prudkému rozvoji kryptografie, který byl spjat s vynálezem telegrafu, a do konce padesátých let existovalo již velké množství mechanických šifrovacích strojů. Asi nejslavnější šifrovací stroj v historii lidstva nese název Enigma z období druhé světové války. S rozvojem počítačů se stává šifrování veřejně používanou službou pro zajištění důvěrnosti a integrity informací. Koncem šedesátých let Thomas Watson sestavil tým ve společnosti IBM, jež vyvinula šifrovací systém Lucifer. Zdokonalená verze tohoto algoritmu se pak ve své 56-bitové verzi stala standardem pro potřeby amerických občanů a vlády. Je ovšem velmi pravděpodobné, že ihned od začátku mohly tajné služby významných mocností světa, rozluštit tuto šifru okamžitě.

2.2 Symetrická kryptografie Hlavním aktérem v symetrickém šifrování je klíč, který spolu s holým textem vstupují do procesu šifrování, jehož výstupem je zašifrovaný text. Pro rozšifrování zprávy je třeba zašifrovaný text a ten samý klíč. Hlavní výhodou tohoto šifrování je jeho rychlost a snadná 15

použitelnost pro velký objem dat. Hlavní nevýhodou je ale použití stejného klíče, komunikují-li tedy mezi sebou dvě strany pomocí symetrického šifrování, je třeba aby si tento klíč předali jinou důvěryhodnou cestou a zabezpečili jej proti ukradení. Obrázek 9 - Symetrické šifrování

Zdroj: http://upload.wikimedia.org/wikipedia/commons/thumb/5/5c/Symetrick%C3%A1_%C5%A1ifra.png /400px-Symetrick%C3%A1_%C5%A1ifra.png, 12. 12. 2008

Symetrické šifry najdou své uplatnění při šifrování disků, kde tento klíč nesdílíme s žádným dalším uživatelem. Tyto šifry se dělí do dvou skupin, proudové a blokové. Obvykle se používá blok 128 bitový, může být však větší i menší.

2.2.1 Blokové šifry Blokové šifrování rozdělí data, která chceme šifrovat, do bloků stejné velikosti a doplní vhodným způsobem poslední blok na stejnou velikost. Každý blok se pak šifruje přímo za použití stejného klíče. Mezi nejznámější blokové šifry patří: • DES (Data Encryption system) – byla vyvinuta 70. letech a v roce 1977 byla schválena jako šifrovací standart pro ochranu citlivých, ale ne utajovaných informací v USA. Pracuje s délkou klíče 56-bitů a již od začátku byla kritizována za později odhalené slabé vlastnosti. Tuto šifru se 17.6.1997 podařilo prolomit. Asi rok poté vznikl nástroj DES-Cracker, jež dokázal prolomit šifru hrubou silou. • AES (Advanced Encryption Standard) - bloková šifra s délkou bloku 128 bitů, podporuje 128, 196 a 256 délky klíčů. AES je nástupcem šifry DES a není zatím známo, že by byl tento algoritmus prolomen. V současné době není v moci tuto 16

šifru prolomit hrubým útokem, to ovšem neznamená, že to nejde a že se to jednou nepodaří. Je celkem už nyní jisté, že AES se stane nejpoužívanější šifrou ještě na desítky let dopředu. Obrázek 10 - AES

Zdroj: http://islab.oregonstate.edu/koc/ece575/03Project/Vu-Hong/aes.gif, 12. 12. 2008

•

Blowfish – šifra zveřejněná v roce 1994 a používá velikost bloku 64 bitů s délkou klíče nejvýše 448 bitů. Současnými prostředky kryptoanalýzy nebyla tato šifra

dosud prolomena. Základ šifry je v používání velkého množství paklíčů jež jsou vypočítány ze zdrojového klíče. •

Twofisch –má délku bloku 128 bitů a podporuje 128, 192 a 256 délku klíče. Využívá různorodé operace jako násobení prvků v Galoisově tělese nebo aritmetické sčítání.

•

RC6 – uveřejnila společnost RSA. Vychází z několika lety prověřené šifry RC5, ale používá 128 bitovou délku bloku. Jsou to vlastně dvě vedle sebe použité RC5 a propojili je. Šifra využívá datově závislé rotace známou již u RC5.

Existuje celá řada dalších blokových šifer, jež používají různé typy algoritmů a které se pokoušeli získat standart AES.

2.2.2 Proudové šifrování Proudové zpracovávají určený text nebo data po jednotlivých bitech, čili znak po znaku. Rozdíl od blokové šifry je ten, že z klíče se vygeneruje posloupnost, kterou se na každý znak aplikuje jiná transformace.

17

•

RC4 – jedna z nejvíce používaných proudových šifer používaná v komerční i internetové kryptografii od firmy RSA na kterou se vztahovalo obchodní tajemství. V roce 1994 byl však po 7 letech existence zveřejněn její krátký zdrojový kód anonymním hackerem. Je považována za zajímavou a velmi neobvyklou šifru která je používána produkty Microsoft Office, Oracle Secure SQL nebo Windows 2000. Zajímavé je že je zhruba 10x rychlejší než DES. Využívá se zde volitelně dlouhý klíč o maximální délce 256 znaků, který inicializuje automat generující posloupnost bajtů hesla. Principem šifrování lze přirovnat k míchání karet, jež míchá šifrovací klíč. Po první veřejné výzvě v roce 1995 o prolomení 40bitového klíče RC4 v SSL protokolu trvalo jen 8 dní, po druhé výzvě pouhých 32 hodin k rozluštění obsahu zprávy. Byl použit útok hrubou silou testováním jednoho klíče po druhém. Společnost Microsoft použila pro operační systém Windows 2000 bezpečnostní protokol Kerberos, jež právě využívá 56-bitový RC4, pro USA 128-bitovou verzi.

2.3 Asymetrická kryptografie Hlavní výhodou asymetrického šifrování je použití dvou různých klíčů k zašifrování a dešifrování dat. Tyto klíče je třeba vygenerovat pomocí nějakého softwaru, vznikne tak privátní a veřejný klíč.

Primární klíč si uživatel bezpečně uschová na nedosažitelném

místě pro ostatní a veřejný klíč rozdá všem, se kterými chce šifrovat. Odesílatel zprávy tak při poslání zprávy zašifruje její obsah pomocí veřejného klíče a odešle cílenému vlastníkovi. Ten ji pak muže rozluštit jen s pomocí privátního klíče. Tím je zajištěn přenos zprávy zašifrovaně (zabezpečeně), ale nikoliv podepsané. Obrázek 11 - bezpečně zašifrovaná zpráva

Zdroj: http://st.vse.cz/~XRENP01/asym_soubory/image002.jpg, 15. 12. 2008 18

Pro podepsání zprávy je nutné, aby odesílatel zašifroval svou zprávu pomocí svého privátního klíče a příjemce zprávy ji rozšifruje pomocí veřejného klíče. Tímto je zaručena autenticita a že zpráva opravdu pochází od vlastníka. Zpráva tak je podepsaná, nikoliv zašifrovaná. Obrázek 12 - podepsaná zpráva

Zdroj: http://st.vse.cz/~XRENP01/asym_soubory/image003.gif, 15. 12. 2008

Sloučením obou dvou variant vznikne podepsaná a zašifrovaná zpráva. Odesílatel nejdříve podepíše zprávu svým privátním klíčem a poté veřejným klíčem příjemce a zprávu odešle. Příjemce pak nejdříve musí rozšifrovat zprávu svým privátním klíčem (aby se ke zprávě vůbec dostal) a poté použije veřejný klíč odesílatele, aby ověřil autentičnost zprávy. Tento typ šifrování je vhodný zvláště pro elektronickou výměnu dat. Obrázek 13 - zpráva důvěryhodná a zašifrovaná

Zdroj: http://st.vse.cz/~XRENP01/asym_soubory/image004.gif, 15. 12. 2008

19

Výhody asymetrického šifrování jsou především v možnosti přenášet veřejné klíče i nezabezpečenou cestou, neboť jejich odcizení není bezpečnostním rizikem. Tyto algoritmy jsou bohužel pomalejší a výpočetně náročné pro větší objem dat. Počet uložených veřejných klíčů se lineárně zvyšuje s počtem komunikujících dvojic. Tento typ šifrování je vhodný zvláště pro elektronickou výměnu dat.

2.4 Certifikát V souvislosti s použitím dvojice klíčů pro asymetrické šifrování se zcela jistě setkáte s pojmem certifikát. V předchozí kapitole jsem popisoval, jak probíhá výměna veřejného klíče mezi odesílatelem a příjemcem. Zde je třeba se zastavit a trochu zapřemýšlet. Vzhledem k tomu, že se pokoušíme s druhou stranou vyměnit si navzájem své veřejné klíče, měli bychom si být jisti, že veřejný klíč, který jsme obdrželi, je opravdu ten, který patří té správné osobě. Je tedy nutné ověřit, zdali získaný veřejný klíč skutečně pochází od příjemce, se kterým si chceme vyměňovat informace. Abychom tedy měli jistotu, je třeba si veřejný klíč nechat podepsat od důvěryhodné osoby, které se říká certifikační úřad (Certification autority, CA). Tento úřad odpovídá za to, že podepisuje veřejný klíč toho, kdo je v klíči uveden. U nás je důvěryhodným certifikačním úřadem I. CA. Jde tedy o to, že certifikát není nic jiného, než podepsaný veřejný klíč.

2.5 Výhody a nevýhody diskového šifrování Výhody diskového šifrování jsou nepopiratelné. Pokud chceme zajistit dokumenty a data před jejich odcizením nebo změněním, je jejich dobré zašifrování nejlepší cestou. Při dnešním výkonu počítačů je zpomalení přenosu dat nebo vyšší zatížení procesoru téměř zanedbatelné. Je třeba si uvědomit, že zašifrovaná data na disku nejsou chráněna proti poruše pevného disku. Záchrana dat je pak možná, pouze pokud známe přesnou specifikaci použité techniky šifrování. Pokud dojde k většímu poškození disku nebo dat, které nejsme schopni rekonstruovat, je ve výsledku lepší nešifrovat, neboť tak přijdeme o úplně všechna data. V případě víceúrovňového šifrování se pro zašifrování dat na disku použije náhodně vygenerovaný klíč, který je možné zálohovat a v případě poškození hlavičky oddílu ji opravit. 20

2.6 Dešifrovací techniky Dnešní dešifrovací techniky jsou poměrně jednoduché. Většinou jich využívá třetí osoba, aby se tak dostal k zajímavým datům, ale může je použít i uživatel, třeba když zapomene heslo. Běžně jsou známé 3 techniky rozšifrování dat: •

Slovníkový útok – na zašifrovaný blok dat se uplatňuje jedno heslo za druhým ze slovníku slov. Pokud tedy je použito k zašifrování jednoduché slovo, například „work“ nebo „phone“, je velmi snadné na toto heslo přijít.

•

Hrubý útok – na zašifrovaný blok dat se zkouší sada znaků v různém pořadí. Pokud máme tedy heslo dostatečně silné (20 znaků, velká a malá písmena, číslici a speciální znak) je výpočetně téměř nemožné na toto heslo přijít. Při výše uvedeném silném heslu by touto metodou trvalo samotný algoritmus AES dešifrovat desítky až stovky let.

•

Duhové tabulky – pokud útočník odchytne „hash“ šifry a pokud je heslo slabší (cca do 14 znaků), je možné jej rovnou porovnat s tabulkami již spočítaných „hash“ algoritmů a heslo tak získat v krátkém času. Takové tabulky jsou k jednotlivým algoritmům na internetu ke stažení, mají však velikost desítky giga bajtů.

Falešný pocit bezpečí tak může navodit nesprávně použité šifrování nebo slabé heslo. Doporučení je proto šifrovací algoritmy kombinovat mezi sebou a použít heslo s dostatečným počtem znaků. Zůstává ovšem otázkou, šifrujeme-li data aby si je nepřečetl zvídavý soused anebo hacker, jež se chce dostat k číslům bankovních kont.

2.7 Potřeba jít s dobou Současným trendem v moderní kryptografii je používání veřejných šifer, neboť ty mohou být veřejností posuzovány a vylepšovány. Takových šifer je sice méně, ale o to více se používají. Utajené šifry se používají hlavně v ozbrojených silách (tajné služby, policie, armáda, …) nebo finančních sektorech a to ne z důvodu jejich silnější stavby, ale jde o bezpečnostní opatření, jež znepříjemňuje práci případným útočníkům. Z logiky věci plyne, že neveřejné šifry by tedy mohly být slabší, ale třeba RC4 je opak pravdou. Jestli jsou neveřejné šifry silnější nebo slabší nežli ty veřejné, se dá velmi pochybovat a diskutovat, neboť jejich sílu se asi nikdy nedovíme.

21

3. Teorie zálohování Jestliže se má zítra počítač porouchat, jsme na tom ještě docela dobře. Máme relativně hodně času dobře se na to připravit. Problém je, že nikdo nikdy neví, kdy tato událost nastane a většina uživatelů na ni není dobře připravena. O tom jak zálohovat by jsme měli řešit jako jednu z prvních věcí po instalaci operačního systému. Zálohovat bychom neměli jen pro případ ztráty dat, ale i například při větším update nebo přechodu na vyšší verzi systému. Obecně se jedná o oblast, která může v případě podcenění přivodit nepříjemné a nemilé následky. To že k problému nedojde se vyloučit nikdy nedá.

3.1 Typy problémů Jaké potíže nás mohou čekat? Abychom měli jistotu, že jsme na nic nezapomněli, je třeba vědět něco málo o typech problémů, kde vznikají a co s nimi. •

Chyby softwaru – existují vždy a všude a vycházejí již z dílny tvůrců softwaru. Pokud je například chyba v souboru, která tvoří důležitou součást systému, jen těžko s tím něco uděláme. Pokud je chyba v ovladači tiskárny, použijeme novější nebo jinou verzi tohoto ovladače a problém je vyřešen.

•

Chyby hardwaru – dá se říci, že hardware je vlastně jen kus železa podobně jako auto, a i on se může porouchat. Problémy tak mohou potkat jakoukoliv část počítače a většinou ji nejsme schopni ovlivnit. Je ovšem rozdíl porouchá-li se nám pevný disk v počítači nebo myš.

•

Omyly uživatelů – běžný uživatel nemá vždy v počítači administrátorská práva, takže má jen málo možností nějakým způsobem více poškodit operační systém. Omylům uživatelů se však občas vyhnout nemá, proto je třeba tuto hrozbu minimalizovat již při návrhu oprávnění a zabezpečení.

•

Úmyslné poškození – pokud máme štěstí, je takový útok neúspěšný a nenapáchá žádné škody. Pokud se však povede, je ztráta citelnější o to více, že útočník ví naprosto přesně co poškodit.

•

Vyšší moc – jsou věci, jež nedokážeme předpovědět ani ovlivnit. Něco nefunguje jak má, i když je vše v pořádku a nikde není jediná chyba…asi nejhorší typ problému.

22

3.2 Co zálohovat Každý uživatel asi tuší, že cílem zálohování je v případě potřeby data úspěšně obnovit. Někdy potřebujeme obnovit pouze pár souborů, jindy funkčnost částí nebo celého operačního systému. Uživatel, který si myslí, že je třeba zálohovat pouze servery a data na nich asi netuší, jak bude litovat, až přijde o svá lokální data, resp. ještě o data nepřišel. •

Zálohování souborů – jedná se o ten nejjednodušší přístup k zálohování, kdy výsledkem je pouze uložení datových souborů do souboru zálohy.

•

Zálohování nastavení – jedná se o zálohování nastavení systému, které má vliv na správnou konfiguraci a funkčnost všech softwarovým i hardwarových částí systému. V operačních systémech Windows XP a Vista zálohuje tedy „Stav systému“ (System state).

3.3 Typy zálohování Při zálohování lze rozlišit pět typů záloh, běžně se však setkáme pouze se třemi z nich. Hlavní otázkou je, jak aktuální data bude možné při jejich ztrátě obnovit. Zřejmě nebude v moci zálohovacího systému obnovit dokument jež jsme vytvořili před 10 minutami a před 5 ho omylem smazali. Naproti tomu však zálohovat 1x měsíčně, týdně, někdy i 1x denně je prostě málo. Žijeme v náročné době a proto je třeba být i náročný. Vše je jen otázkou priorit kolik času jsme ochotni zálohování věnovat a jak si svých dat ceníme.

3.3.1 Normální plné zálohování (Full backup) Jedná se o nejjednodušší ale i o nejpomalejší zálohování. Systém vezme vždy všechna data a zálohuje je kompletně. Záleží vždy na počtu dat a rychlosti média, na které zálohujeme. Obnova takovéto zálohy je však relativně nejjednodušší při obnově. Jednoduše řeknete zálohovacímu softwaru z jakého data a času chcete zálohu obnovit a on ji velmi rychle provede. Z hlediska obnovy dat je tedy vše rychlé a jednoduché, jsou zde však kladeny nemalé požadavky na kapacitu zálohovacího média.

23

3.3.2 Normální a přírůstkové zálohování Můžeme si zvolit, že všechna data budeme plně zálohovat jednou týdně a každý den pak budeme dělat přírůstkové zálohy. Cílem je, aby denní přírůstkové zálohování bylo rychlé a minimálně zatěžovalo systém, zálohujeme tedy pouze nové nebo změněné soubory. Jak celá věc funguje? Každý soubor má atribut nazvaný „Archivace“, který jej označuje pro zálohování. Po provedení normální zálohy se tento atribut u všech zálohovaných souborů zruší (nebude zaškrtnut, hodnota FALSE). Poté je na řadě každodenní přírůstková záloha. Ta má za úkol zjistit a zálohovat všechny soubory, jež byly vytvořeny nebo změněny a automaticky jim byl zaškrtnut atribut pro zálohování (hodnota TRUE). Po zálohování daného objektu nastaví atribut zálohování opět na FALSE. Přírůstková záloha tedy zálohuje pouze nové nebo změněné objekty od poslední plné nebo přírůstkové zálohy. Obrázek 14 - Příklad přírůstkového zálohování

Zdroj: http://open-systems.ufl.edu/services/NSAM/images/prog-backup.png, 2. 1. 2009

Pokud tedy budou data plně zálohována každou neděli a přírůstkové zálohy každý všední den v noci, při obnově nejaktuálnějších dat v pátek budeme potřebovat tyto zálohy: •

Obnovení normální zálohy z neděle.

•

Obnovení přírůstkové zálohy z pondělí.

•

Obnovení přírůstkové zálohy z úterý.

•

Obnovení přírůstkové zálohy ze středy.

•

Obnovení přírůstkové zálohy ze čtvrtka.

24

Obrázek 15 - Příklad obnovení z přírůstkové zálohy

http://open-systems.ufl.edu/services/NSAM/images/prog-restore.png, 2.1.2009

Pokud by byl soubor se zálohou ze středy poškozený, pak soubory, jež jsme v úterý vytvořili a již ho do konce týden neměnili, bude ztracen. Výhody tohoto zálohování jsou jasné – přírůstkové zálohování je ze všech typů zálohování nejrychlejší a nejméně náročný. Nevýhodou je, že při kompletní obnově potřebujeme všechny zálohy a proces obnovy trvá delší dobu, navíc nás nechrání při poškození přírůstkové zálohy.

3.3.3 Kombinace normálního a rozdílové zálohování Tento typ zálohování zajistí, že se všechna data budou kompletně zálohovat například jednou týdně a každý den se pak provede rozdílová záloha od té z víkendu. Rozdíl od přírůstkového zálohování je v tom, že po rozdílovém zálohování se nemaže atribut „Archivace“. Každý den nám tak narůstá velikost rozdílové zálohy o všechna data vytvořená nebo změněná od plné zálohy. Obrázek 16 - Příklad rozdílového zálohování

Zdroj: http://open-systems.ufl.edu/services/NSAM/images/diff-backup.png, 2. 1. 2009

25

Pokud budeme tedy chtít obnovit poslední možnou zálohovanou verzi objektu v pátek, budeme potřebovat: •

Obnovení normální zálohy z neděle.

•

Obnovení rozdílové zálohy ze čtvrtka. Obrázek 17 - Příklad obnovení z rozdílové zálohy

Zdroj: http://open-systems.ufl.edu/services/NSAM/images/diff-restore.png, 2. 1. 2009

Výhodou tedy je jednodušší systém obnovy kdy nepotřebujeme zálohy z každého dne. Nevýhodou se stává úměrně se zvyšující doba zálohování závislá na počtu všech změněných dat od plné zálohy.

3.4 Kam zálohovat data Se zálohováním přichází i otázka kam zálohovat. Pokud je k dispozici jen jeden disk, doporučuje se vytvořit speciální oddíl, kam se zálohy dávají a kde jsou relativně v bezpečí před případným napadením hackerem, virem nebo i pouhým pádem operačního systému nebo oddílu. Tato funkce však není nic platná při fyzickém poškození disku, hodí se tedy pouze pro datové poškození. S rostoucí kapacitou CD, DVD a Blue-ray disků je efektivnější vytvořit startovací médium, jež bude ideálně obsahovat i data potřebná k obnově systému. Touto cestou s kombinací image startovacího oddílu je možno se chránit i před fyzickým poškozením disku nebo jeho výměně.

3.5 Zrcadlení dat Z hardwaru se můžeme připravit na výpadky pevných disků jako nositelů většiny dat. Mnoho uživatelů již také ví, jakou cenu měla jejich data, která navždy odešla spolu s diskem, na kterém byla uložena. Pokud máme k dispozici více pevných disků v počítači, 26

není problém nakonfigurovat takové svazky, jež přežijí výpadek jednoho fyzického disku. U stolních počítačů je možné dnes bez větších problémů připojit více disků do diskového pole, u přenosných počítačů bývá většinou pouze jeden disk, druhý je možný připojit například místo mechaniky pro optická média, což nebývá příliš populární řešení. Zde je třeba vědět, že existuje rozdíl mezi softwarovým a hardwarovým zrcadlením. U softwarového zrcadlení se o celý proces stará operační systém nebo software třetí strany – Windows XP a Vista neumí od výrobce softwarově zrcadlit disky. Mnohem více upřednostňované a také všeobecně doporučovanější je hardwarové zrcadlení, které není závislé na typu operačního systému. Systém pak nevyužívá prostředků a nezdržuje se při zrcadlení dat, o vše se stará hardwarový řadič. Systémy Windows pracují všeobecně se dvěma druhy disků – běžnými a dynamickými. Zatímco při práci s běžnými disky nelze očekávat žádné velké možnosti, s dynamickými disky je možné konfigurovat tyto svazky: •

Jednoduché.

•

Prokládané.

•

Rozložené.

•

Zrcadlené.

•

RAID 5.

První tři typy svazků jsou dostupné ve všech operačních systémech, další dva pouze v serverových systémech. Pro běžného uživatele je použitelný vlastně jen RAID 1 neboli zrcadlení. Princip zrcadleného svazku je velmi jednoduchý – data uložená na jednom datovém úložišti se zároveň ukládají i na jiné datové úložiště. Pokud se jedná o hardwarové zrcadlení disků, pak tyto disky by měli být stejné velikosti, nejlépe však i od stejného výrobce.

27

Obrázek 18 - RAID 1

Zdroj: http://img.tomshardware.com/us/2007/07/02/raid_scaling_charts/diagram-raid1.gif, 2. 1. 2009

Pro běžného uživatele je toto asi nejrychlejší a nejbezpečnější volba pole RAID. Výhodou je zachování rychlosti přenosu dat. Nevýhodou zmenšení kapacity možného úložiště na polovinu – namísto dvou disků, jež bychom mohli použít pro uložení dat, využijeme jen jeden a druhý použijeme pro zálohu. Ostatními typy RAID polí a jejich architekturou se zde nebudu zabývat, neboť jsou spíše určené pro zvýšení výkonu počítače nebo serverové operační systémy.

3.6 Závěr Na chvíli, kdy se něco stane s daty, bychom měli být dobře připraveni. Pokud se vyskytnou potíže po spuštění počítače, můžeme vyzkoušet spuštění systému v nouzovém režimu nebo poslední známou platnou konfiguraci. Pokud žádný z těchto způsobů nepomáhá, může být problém v některém poškozeném nebo chybějícím klíčovém souboru systému. Na řadu pak přijde konzole pro zotavení a pak už jen možnost obnovy systému ze zálohy. V horším případě reinstalace operačního systému.

28

4. Analýza možných řešení Slova „zabezpečení“ nebo „bezpečnost“ se poslední dobou opakují v oblasti IT stále dokola. Prakticky všechny obory, které pracují s daty, přešli v posledním desetiletí na elektronickou formu a data tak dostávají vyšší a vyšší cenu. Každý, kdo dnes vlastní citlivá data si musí dobře rozmyslet, jak je bude ukládat nebo přenášet na jiná místa. V této kapitole bychom se měli zabývat možnými prostředky, jež je možné použít k dosažení maximální bezpečnosti a zálohování z pohledu běžného uživatele za použití integrovaných prostředků Windows nebo freewaru od třetího dodavatele.

4.1 Bezpečnost produktů společnosti Microsoft Abychom mohli na toto téma jednoznačně odpovědět, je třeba se zamyslet, co vlastně používáme. Je jasné, že pokud máme nainstalovaný operační systém Windows 95, na který již léta neexistují žádné opravné balíčky a který je z pohledu hostie zastaralý, je tato volba nedostačující a vaše data v bezpečí nejsou. Pokud používáme systémy Windows XP nebo Vista, odpověď zní ano, tyto systémy jsou bezpečné. Je třeba však dodat, že nikoliv ve své původní konfiguraci, ale po menších nebo i větších množství změn. Na celou věc je třeba se dívat z pohledu, co vlastně potřebujeme. Uživatel, který používá počítač k občasné práci a na napsání několika emailů přátelům asi nebude požadovat denní zálohování s šifrováním dokumentů a citlivých zpráv. Finanční ředitel však zcela jistě bude chtít svá data mít v bezpečí a komunikovat s maximálním utajením se zbytkem světa. Můžeme mít nainstalovaný super bezpečný systém pro správu dat v oblasti šifrování a zálohování, co je nám to však platné, pokud na počítači má útočník spuštěný software pro odchytávání hesel nebo si může změnit práva dle libosti. Nakonec můžete zjistit, že data nejen že zmizela z vašeho disku, ale již několik dní se ani nezálohují. Asi nejhorší případ nastane ve chvíli, kdy zjistíte, že vaše data používá někdo jiný v klidu dále. Je třeba tedy nejen chránit data, se kterými pracujete, ale i operační systém, na kterém pracujete. Aktuálnost zabezpečení operačního systému formou záplavových balíčku je tedy velmi důležitá, stejně jako používat aktuální verze softwaru pro zabezpečení a zálohování. I zde platí poučka, že není nic stoprocentní, je třeba však dbát na to, abychom se jim co nejvíce přiblížili správným zabezpečením a soudným chováním k datům. 29

4.2 Porovnání šifrovacích systémů Pokud chceme data bezpečně šifrovat, je třeba si rozmyslet, co používáme a co všechno chceme šifrovat. Pokud data šifrujeme, musíme vědět, že práce s takovými soubory je pomalejší, neboť systém je na pozadí musí online šifrovat i dešifrovat. Chceme maximální zabezpečení i v rámci operačního systému? Pak dozajista budeme chtít šifrovat také systémový svazek, ze kterého se systém nahrává. Existují tři stupně jak šifrovat data: •

Šifrovaný soubor – asi nejjednodušší je vytvořit si potřebně velký soubor, do kterého budeme dokumenty šifrovat, vhodná maximální velikost je 100 MB.

•

Šifrovaný svazek – možnost šifrovat celý svazek nebo dokonce disk a pak k němu přistupovat se hodí pro větší množství dat.

•

Šifrovaný „boot“ svazek – možnost zabezpečení, kdy se útočník nedostane ani k datům, jež slouží pro běh operačního systému. Ideální pokud vlastníte přenosný počítač s jedním diskem pro systém i data.

4.2.1 Encrypted File System – EFS EFS je systém šifrování souborů, jež je od Windows 2000 součástí operačního systému. Jeho hlavní výhodou je dostupnost a jednoduchost pro většinu uživatelů. Z pohledu uživatelů lze šifrovat jednotlivé soubory nebo celé složky. Rozdíl je v tom, že pokud dáte zašifrovat celou složky, systém na pozadí šifruje jednotlivé soubory. Hlavní výhodou je tedy snadné použití, uživatel se nezajímá o to co se děje na pozadí, pro něj je rozhodující pocit bezpečí, že jsou data zašifrována. Systém šifrování a dešifrování je navíc transparentní, uživatel tedy skoro nepozná, pracuje-li s daty, jež se šifrují od práce s daty, jež nejsou takto zabezpečena. Systém EFS používá kombinaci symetrického a asymetrického šifrování. Se symetrickým klíčem nejsou problémy, neboť jej systém vygeneruje náhodně sám a uživatel jej tedy nepotřebuje vůbec znát. S asymetrickým šifrováním je to trochu složitější. Systém vytvoří vlastně veřejný i soukromý klíč, který je ale neověřený žádnou certifikační autoritou. Pokud budete používat šifrování lokálně, není třeba žádat o vydání certifikátu (podepsání klíče), neboť systém komunikuje sám se sebou, čili příjemce je vlastně i odesílatelem. 30

Nyní může být uživatel klidný, neboť klíče se staly součástí uživatelského profilu a nikdo jiný kromě něj se k datům nedostane. Pokud se však uživatel rozhodne, že přejde na jiný počítač nebo reinstalaci systému, je třeba, aby si svůj soukromý klíč zálohoval před smazáním profilu.

4.2.2 BitLocker BitLocker je novinka, jež pro nás společnost Microsoft připravila v systémech Windows Vista Enterprise a Ultimate Edition. Jedná se o kompletní šifrování disků vestavěné přímo do operačního systému. BitLocker je první pokus výrobce o rozšířené šifrování a z mého pohledu se jedná o velmi zdařilý pokus. Je snadný na používání a jeho rychlost příliš nezpomaluje výkon počítače. Umí šifrovat nejen základní oddíly disků, ale i dynamické a startovací oddíly. BitLocker používá šifru AES 128 nebo AES 256, jež nazýváme FVEK (Full Volume Encryption Key). FVEK je uložen na samotném oddílu a je ještě zašifrován pomocí VMK (Volume Master Key). Také tento klíč se dále šifruje, nyní ale už dešifrovací informací, jež u sebe musí mít uživatel. Tato informace může být •

48 znakové heslo;

•

.bek soubor uložený na USB nebo floppy disku;

•

klíč uložený v TPM (Trusted Platform Module);

•

kombinace TPM a PINu.

TPM je čipový modul zabudovaný na základní desce, jež kontroluje, nedošlo-li ke změně hardware. Pokud ano, vyžádá si heslo. Princip instalace je jednoduchý. Součástí šifrovacího systému je utilita „BitLocker Drive Preparation Tool“, jež nefragmentuje startovací disk, zmenší jej o 1,5 GB. Z tohoto místa vytvoří nový disk, kam nakopíruje soubory potřebné pro zadání dešifrovací informace. Budeme tak tedy mít 2 oddíly, první původní zašifrovaný a druhý nešifrovaný. Proč to tak je – operační systém musí načíst soubor BOOTMGR pro start, aby vyvolal obrazovku pro zadání dešifrovací informace. Jak by jej ale mohl načíst, kdyby byl zašifrovaný.

31

Výhodou šifrování celého disku oproti EFS, jež je integrován již ve Windows XP, je zašifrování celého disku bez možnosti čtení struktury disku externími nástroji. Šifrovaná je také MFT tabulka, registry, odkládací soubory. BitLocker je známý hlavně svou grafickým rozhraním pro běžné uživatele, existuje však i ve verzi příkazové řádky, která nabízí více podrobností a informací. Nevýhodou je přeci jen malé zpomalení rychlosti disku, asi o 5-15 % a celkem dlouhé heslo pro rozšifrování. Jsou to ale zcela zanedbatelné nevýhody oproti bezpečí, jež systém nabízí.

4.2.3 TrueCrypt Asi nejvíce rozšířená šifrovací utilita v open-source provedení – jedná se o freeware. Co umí tento na první pohled jednoduchý, ale velmi výkonný program, který je volně ke stažení na adrese http://www.truecrypt.org/downloads.php - téměř vše. Poskytuje výhody EFS a BitLockeru dohromady a navíc si zde můžeme vybrat šifrovací algoritmus dle libosti. TrueCrypt také není závislý na typu operačního systému, pro naše účely však stačí, že funguje pod Windows XP i Vista. Obrázek 19 - Základní okno utility TrueCrypt

Zdroj: http://4sysops.com/wp-content/uploads/2006/04/TrueCrypt.gif, 6. 1. 2009

32

Nástroj umožňuje vytvářet virtuální disky ze zašifrovaného souboru nebo zašifruje rovnou celý diskový oddíl, a to normální i startovací. Tento zašifrovaný soubor nebo oddíl se pak připojí pomocí hesla jako virtuální disk a uživatel s ním může libovolně pracovat. Program nabízí celou řadu šifrovacích technik, v četně testu rychlosti: Tabulka 1 - Porovnání šifrovacích algoritmů a jejich rychlostí Šifra

Délka klíče v bitech

Zašifrování

Odšifrování

AES

256

175 MB/s

173 MB/s

Twofish

256

150 MB/s

156 MB/s

AES+Twofish

256+256

81 MB/s

83 MB/s

Serpent

256

78 MB/s

80 MB/s

Serpent+AES

256+256

54 MB/s

55 MB/s

Twofish+Serpent

256+256

46 MB/s

45 MB/s

AES+Twofish+Serpent

256+256+256

40 MB/s

41 MB/s

Serpent+Twofish+AES

256+256+256

40 MB/s

40 MB/s

Testováno na Dell D630, Core 2 Duo 2,4 GHz, 2 GB RAM

Neboť použití blokové šifry je dostatečně kvalitní a dlouhé, případný útočník se nejspíše zaměří na zjištění hesla běžnou metodou hrubé síly. Dále nabízí 3 hashovací algoritmy: RIPEMD-160, SHA-512 a Whirlpool. Doporučuje se používat Whirlpool. Pro tvorbu nového šifrovaného disku je zde nezávislý průvodce, ve kterém je možno si postupně vybrat co a čím chceme šifrovat. Nejdelší čas zabere určitě samotné šifrování, jež se podle velikosti disku a obtížnosti šifry může protáhnout na desítky hodin. Další přístup k zašifrovanému disku je pak celkem rychlý a bezproblémový. Tento nástroj používá nejmodernější kryptografické techniky, je uživatelsky přívětivý a je zcela zdarma. Z nezávislých analýz také vyplývá, že neobsahuje žádná zadní vrátka, proto bych jej doporučil jako primární prostředek pro ochranu dat.

33

4.2.4 PGP Desktop Proffesional Jedná se o ucelený balíček, který poskytuje kompletní ochranu počítače. Dříve se tento software zaměřoval hlavně na šifrování emailů, dnes však dosáhl podstatných změn a můžeme si s ním zašifrovat normální nebo bootovací disk pomocí AES 256, vytvořit zašifrovaný soubor nebo samorozbalovací ZIP archiv. Výhodou tohoto SW je komplexnost řešení, prostě vše v jednom a vše vypadá velmi profesionálně. K dispozici jsou i zdrojové kódy, čili si může každý ověřit, zdali neobsahuje „backdoor“. Software funguje pro Windows XP i Vista, na problémy s kompatibilitou bychom tedy narazit neměli. Po instalaci a restartu počítače se spustí konfigurační agent, který provádí základním nastavením – vložení sériového čísla, vygeneruje veřejný a soukromý klíč, zadání passphrase a zvolením, zdali se má šifrovat také pošta a komunikace přes instant messeging například ICQ. Pokud jde o šifrování startovacího oddílu, nevytváří se zde pomocný svazek jako u BitLockeru. Po zapnutí počítače a před startem operačního systému vás PGP vyzve k zadání vstupního hesla nebo vložení USB klíče. Obrázek 20 - Startovací obrazovka po zapnutí počítače

Zdroj: http://myego.cz/img/security/pgp-wde.jpg, 9. 1. 2009

Po startu operačního systému je ještě třeba zadat heslo pro privátní klíč (passphrase). Od této doby se o vše PGP stará naprosto samo na pozadí a data na disku šifruje a dešifruje dle potřeby.

34

Šifrování pošty funguje na principu posílání veřejných klíčů lidem, s nimiž se bude komunikovat. Dešifrování pak pomocí soukromého klíče, který je chráněn passphrase zadaným při instalaci. Bez jeho zadání je vidět zhruba toto: Obrázek 21 - Příklad zašifrovaného emailu

Zdroj: http://www.articsoft.com/Images/pgp_secure_email.gif, 9. 1. 2009

PGP Desktop Proffesional ve verzi 9 je velmi vyvedený produkt, jež nabízí komplexní ochranu počítače a komunikace. Kdyby neexistoval Bitlocker a TrueCrypt verze 6, byl by PGP jasnou volbou pro zabezpečení nejen stolních, ale hlavně přenosných počítačů. Nevýhodou je cena, která není rozhodně malá – za roční licenci zaplatíte asi 110 Euro, za časově neomezenou okolo 320 Euro.

4.3 Porovnání zálohovacích systémů Pokud chceme zálohovat, musíme si dobře rozmyslet, co chceme zálohovat a jak často. Zde je možné rozdělit zálohování podle typu zálohy: •

Zálohujeme data.

•

Zálohujeme systém.

•

Zálohujeme kompletní oddíl nebo celý disk.

35

4.3.1 Windows Backup Utility Systém Windows v sobě již obsahuje nástroj pro zálohování. Jedná se prakticky o nejjednodušší a nejrychlejší nástroj pro zálohování, jež je běžně dostupný každému a který umí zálohovat data i stav systému (System state). Pro oboje zálohování v systémech Windows XP/Vista existuje integrovaný nástroj, Windows Backup Utility. Obrázek 22 - Windows Backup Utility

Zdroj: http://www.windowsdevcenter.com/windows/2006/06/27/graphics/fig1.png, 2. 1. 2009 Pro zálohování souborů je možné vybrat přesně složky se soubory, jež chceme mít uchované. Většinou to bývají složky s dokumenty. Stav systému se musí zálohovat vždy jako celek, nejde z něj vyjmout pouze jednotlivé součásti (například registr). Windows Backup Utility lze použít pro jednorázové zálohování nebo jde nastavit i pro pravidelné zálohování v určený čas. Obrázek 23 - Windows Backup Utility - plánování zálohování

Zdroj: vlastní zdroje, 2. 1. 2009 36

Výsledkem zálohování je jeden nebo více souborů, jež obsahují zálohovaná data. Tato integrovaná utilita je pro svou intuitivnost a jednoduchost asi nejvhodnější pro běžné uživatele.

4.3.2 Paragon Exact Image Tento program dokáže velmi výkonně zálohovat celý disk nebo vybraný oddíl. Data jsou tak zálohována tím nejlepším možným způsobem – kompletní záloha systému i dat. Po prvním spuštění vypadá spíše jako program pro správu disků a jeho oddílů, jedná se však pouze o zálohování a obnovu. Oproti klasickému zálohovacímu systému má však tento malé rozdíly a zlepšení. Lze si například nastavit sílu komprese nebo velikost souborů se zálohami. Obrázek 24 - Paragon Exact Image

Zdroj: http://www.newfreedownloads.com/imgs/3308-w520.jpg, 19. 1. 2009

Program nabízí zajímavou myšlenku zálohování při poškození hackerem – ten se v případě nepovoleného vniknutí do operačního systému dostane ke všem datům na disku, zálohovat tedy do souboru, ke kterému se také dostane je zbytečné. Program umí vytvořit na disku oddíl, kam se ukládají data, ale kam se útočník nedostane. Při fyzickém poškození disku jsou samozřejmě i tato data ztracena. Průvodci pro zálohu a obnovu dat jsou intuitivní a jednodušší. I zde je možnost zálohovat data na vybrané úložiště nebo si nastavit automatický zálohovací kalendář. Novinkou je třeba zálohování počítače po startu.

37

Velkou výhodou oproti integrovanému Windows Backup je vytvoření startovacího média v případě poškození disku. V kombinaci s DVD diskem, jež má slušnou kapacitu, lze tak vytvořit záchranný disk pro případ kompletního poškození oddílu nebo výměně disku. Program je zdarma na vyzkoušení, pak se musí kupovat, jde ale sehnat na internetu i jeho neomezené free verze volně ke stažení.

4.3.3 Norton Ghost Velmi vydařený a řadu let používaný je produkt firmy Symantec – Norton Ghost. Nejedná se o klasické zálohování pro masu uživatelů za běhu operačního systému, ale je vhodný pro ucelenou zálohu a obnovu dat z celého oddílu nebo disku pro zkušenější uživatele. Obrázek 25 - Symantec Norton Ghost, klonovací prostředí

Zdroj: http://upload.wikimedia.org/wikipedia/en/0/06/Ghost-screenshot.png, 9. 1. 2009

V operačním systému je třeba si vytvořit sadu bootovacích disket, které umožní pod DOSem z příkazové řádky spustit Ghosta. V menu si pak lze vybrat, zdali chcete oddíl nebo disk zálohovat, obnovit, klonovat nebo přenést na jiný počítač v síti. V nastavení je pak možné navolit, jak se má program zachovat, narazí-li například na vadné sektory. Výsledkem zálohování bývá jeden nebo více souborů, uložené na jiném oddílu nebo disku, než který jsme zálohovali. Nástroj je velmi výkonný, umí pracovat po síti a je velmi spolehlivý. I když se nejedná o klasické zálohování, pro některé uživatele je neocenitelné, pokud po instalaci operačního systému si mohou udělat jeho kompletní zálohu. 38

Nevýhodou je cena – někdy se nástroj dodává při koupi počítače, většinou je však třeba si jej koupit.

4.3.4 Závěr Existuje spousta dalších nástrojů od jiných výrobců pro zálohování systému. Před jeho použitím je třeba si vždy zjistit, co umí navíc oproti standardnímu Windows Backup Utility. Viděl jsem již pár systémů, které přinesli vlastně jen jiné uživatelské rozhraní, ale z hlediska funkčnosti byly stejné nebo horší. Mezi hlavní měřené parametry bych zařadil cenu, kvalitu, speciální funkce, příjemnost a ovladatelnost uživatelského rozhraní. Pro někoho je postačující jedno řešení, pro jiného jiné. Ve většině případů stačí Windows Backup Utility, jež je v ceně operačního systému, pokud však chcete něco navíc, je třeba si připlatit.

39

5. Implementace řešení Pro implementaci řešení jsem zvolil operační systémy: •

Windows XP Proffesional EN SP3.

•

Windows Vista Enterprise Edition EN SP1.

V dnešní době se jedná zřejmě o nejvíce rozšířené operační systémy pro běžné uživatele. Anglickou verzi operačních systému jsem zvolil z důvodu lepší kompatibility. Kromě Windows Backup Utility, který je jako jeden z mála lokalizován, je většina testovaných utilit v anglickém jazyce. Implementace řešení je prováděna na přenosném počítači Dell Latitude D630, Intel Core 2 Duo T8300, 120 GB pevný disk, CD/DVD vypalovací mechanika, 2 GB RAM. Operační systémy jsou plně aktualizované, a obsahují doinstalované programy: •

Microsoft Office 2007 CZ.

•

AVG Antivirus 8.5.

•

Total Commander, Adobe Acrobat Reader, Power Archiver, Ahead Nero Burning 6.

Je vhodné mít také nainstalovány aktuální verze ovladačů na všechny komponenty. Pokud například operační systém obsahuje neaktuální verzi ovladačů na řadič pevných disků, práce se souborovým systémem při šifrování nebo zálohování bude pomalejší.

5.1 Implementace v prostředí Windows XP Při implementaci je vhodné mít nainstalovanou poslední aktuální verzi opravných balíčků Service Pack 3 a všechny doprovodné z adresy http://update.microsoft.com – zde je možné stáhnout a nainstalovat i opravné balíčky pro většinu aplikací Microsoft. Před instalací většiny programů je třeba ověřit, je-li uživatel zároveň i administrátor. Většina programů vyžaduje zápis do registrů a některé i do adresáře Windows. Ke zjištění potřebných oprávnění je třeba spustit třeba Computer Management – „Start“ > “Settings” > “Control Panel” > “Administartive Tools” > “Computer Management”. Ve stromové struktuře je třeba „System Tools“ > „Local Users and Groups“ > „Groups“ 40

otevřít skupinu „Administrators“ a zkontrolovat je-li potřebný uživatelský účet v této skupině. Obrázek 26 - Computer Management - Správce uživatelů a skupin

Zdroj: Vlastní zdroje, 19. 1. 2009

Dále je třeba mít dostatečný prostor na disku pro instalaci nebo zálohování. Potřebné informace zjistíte také v „Computer Management“ > „Stogare“ > „Disk Management“. Obrázek 27 - Computer Management - Správce disků


Zde je možné mazat a vytvářet nové oddíly, ne však měnit jejich velikosti.

41

5.1.1 Nastavení EFS Jak bylo probráno v teoretické části, vestavěný systém šifrování pro Windows XP funguje na velmi jednoduchém principu, kde pomocí vlastností na souboru nebo adresáři můžeme určit, co bude zašifrováno. Většinou chceme šifrovat námi vytvořená data, která ukládáme do dokumentů, ne však úplně všechny dokumenty. Vytvoříme tedy 1 složku v dokumentech, jež se bude šifrovat s celým obsahem: 1. Otevřeme složku dokumenty a vytvoříme nový adresář jménem „Crypted“. 2. Pravým tlačítkem myši vybereme složku „Crypted“, zvolíme „Properties“. 3. Na první kartě „General“ klikneme na tlačítko „Advanced“. 4. Zaškrtneme volbu „Encrypt contens to secure data“. 5. Tlačítky „OK“ potvrdíme volbu a zavřeme tak obě okna. 6. V adresáři „Crypted“ vytvořme textový dokument „test.txt“. Tímto jsme nastavili, že veškeré soubory a adresáře, které budou uloženy do této složky, budou nyní i šifrovány. Pokud tedy nyní přesunete nebo vytvoříme v této složce nový soubor či adresář, bude jeho název barevně změněný do zelené – tím systém zvýrazňuje, že se jedná o šifrovaná data. Zároveň s povolením šifrováním složky „Crypted“ systém automaticky vytvořil na pozadí certifikát. Jestli tomu tak opravdu je zjistíme: 1. Start > Run > do otevřeného okna napíšeme „certmgr.msc“ - spustí se konsole se správou certifikátů uložených v počítači. 2. V první složce „Personal“ je podložka „Certifikates“ kde jsou obvykle uloženy certifikáty vytvořeny pro aktuálního uživatele. 3. V pravé části okna je pak seznam certifikátů s detaily, komu a od koho je certifikát přiřazen, jeho platnost a k čemu je určen.

42

Obrázek 28 - Správce sertifikátů


4. Tímto způsoben ověříme, že certifikát je platný a že patří nám. Okno zavřeme. Pokud zkusí soubor ve složce „Crypted“ otevřít jiný uživatel, který k němu bude mít přístupová práva, ale bude v jiném profilu, kde není uložen tento soukromý klíč, budou pro něj data uvnitř souboru nečitelná. Pokud však budeme přecházet na jiný počítač nebo měnit profil, je třeba si tento certifikát zálohovat: 1. Start > Run > do otevřeného okna napíšeme „certmgr.msc“. 2. Ve složce „Personal“ > „Certifikates“ najdeme náš certifikát. 3. Pravým kliknutím na certifikátu zvolíme „All Tasks“ > „Export…“. 4. Spustí se průvodce exportem certifikátu, klikneme na „Další“. 5. Vybereme možnost „Yes, export the private key“, „Další“. 6. Pokud chceme rovnou i soukromý klíč z počítače vymazat, zaškrtněte možnost „Delete the private key if the export is successful“, „Další“. 7. Zvolte heslo, kterým bude klíč zabezpečen proti neoprávněné instalaci, „Další“. 8. Zvolte cestu, kam má být klíč vyexportován. 9. Zvolte „Finish“. Nyní jsme úspěšně vyexportovali soukromý klíč a můžeme jej přenést na jiné místo, kde během jeho instalace budete vyzváni k zadání hesla, se kterým jsme jej nyní uložili. Pokud přenesete zašifrované soubory a nebudete k nim mít příslušný certifikát, bude jejich obsah ztracen. 43

5.1.2 Instalace a nastavení TrueCrypt Pomocí TrueCryptu budeme šifrovat startovací oddíl operačního systému. Je vhodné mít staženou a nainstalovanou poslední verzi z http://www.truecrypt.org/downloads.php, v mém případě je to verze 6.1. Instalace samotná je jednoduchá, stačí přijmout podmínky, zvolit že chcete produkt nainstalovat a cestu k instalačnímu adresáři. Po úspěšné instalaci se objeví na ploše ikona TrueCrypt. 1. Spusťte program TrueCrypt. 2. Kliknutím na „Create Volume“ se otevře průvodce pro vytvoření nového šifrovaného svazku. 3. Vyberte možnost „Encrypt the systém partition or entire systém drive“. 4. Typ zašifrování zvolte „Normal“. 5. Nyní vyberte oblast šifrování – pro naše účely je posatčující zašifrovat pouze startovací oddíl, čili vyberte „Encrypt the Windows systém partition“. 6. V nabídce „Encryption of Host Protected Area“ zvolte „Yes“. 7. Systém zkontroluje skryté sektory a nabídne možnost startu jednoho nebo více operačních systému. Pro náš účel, kdy je nainstalován pouze 1 systém zvolte „Single-boot“. 8. Nyní je třeba vybrat šifrovací algoritmus. Použijme například AES, hash algoritmus nechme na RIPEMD-160. 9. Nyní zadejte heslo potřebné pro rozšifrování – doporučuji použít kombinaci velkých a malých znaků, číslice a speciální znak, například tečku. Doporučená minimální délka hesla je 20 znaků. 10. V následujícím okně program generuje náhodnou sadu znaků, jež pomůže zvýšit sílu hesla, klikněte na „Next“ a uvidíte vybrané náhodné klíče pro šifrování. Pokud jste spokojeni, klikněte na „Next“. 11. Průvodce nabízí vytvoření pomocného záchranného disku v případě poškození startovacího sektoru, primárního klíče nebo jiných kritických poškození dat. 12. Vytvořený ISO image vypalte například na CD médium, a nechte jej v mechanice. Bez tohoto kroku vytvoření záchranného disku by průvodce nedovolil pokračovat. 44

13. Po úspěšné verifikaci vypáleného disku máte možnost zvolit, kolikrát chcete přepisovat data po jejich změně. Je totiž možné, i po několika násobném přepisu starých dat na disku, pomocí velmi jemných technik i tato data obnovit. Doporučuji vybrat možnost „None (fastest)“. 14. Nyní je třeba, aby systém otestoval, bude-li vše fungovat v pořádku. Klikněte tedy na „Test“ a „OK“. Budete vyzvání k restartu – „Yes“ – systém se restartuje. 15. Před startem operačního systému budete vyzváni k zadání hesla. 16. Pokud testy dopadly úspěšně, objeví se průvodce jež nyní nabídne možnost zašifrování disku. Klikněte na „Encrypt“ a „OK“. Pokud necháte systém v klidu pracovat, bude trvat zašifrování 120GB disku asi 90minut. Po úspěšném zašifrování je vše hotovo. Tímto jste spolehlivě zabezpečili operační systém a všechna data na systémovém disku proti hackerům při odcizení notebooku. Doporučuji vypálený záchranný disk dobře uchovat pro případné potíže nebo poškození. Celková rychlost disku zřejmě trochu poklesne, ale nejedná se o dramatické zpomalení systému. Šifrovaný startovací oddíl nyní chrání data proti odcizení hardware, je však třeba jej kombinovat s EFS i proti online útokům. Jak zabezpečit data při poškození hardware, neboli jak zálohovat, se týká následující kapitola.

5.1.3 Nastavení zálohováni s Windows Backup Windows Backup Utility je nedílnou součástí instalace Windows. Najdete jej v nabídce „Start“ > „Programs“ > „Accessories“ > „System Tool“ > „Backup“ nebo pomocí „Start“ > „Run“ kde do okna napíšete „ntbackup.exe“. Spuštěný program nabízí na úvodní obrazovce tři standartní průvodce: •

Backup Wizard – průvodce zálohování dat a systému.

•

Restore Wizard – průvodce obnovení dat a systému.

•

Automated System Recovery Wizard (ASR) – agent pro rozšířenou obnovu při pádu operačního systému. Vytvoří dvojici médií, jež je možno v kombinaci s instalačním médiem použít pro obnovení systému.

Abychom nezálohovali úplně všechna data, vytvoříme 2 typy záloh – stav systému a zálohu dat. Zkusíme nyní nastavit zálohování systémových dat: 45

1. Klikněte na „Backup Wizard“ na úvodní obrazovce. 2. Spustí se uvítací obrazovka průvodce pro zálohování dat, klikněte na „Next“. 3. Vyberte „Only back up the System State data“, klikněte na „Next“. 4. Nyní zvolte místo kam se má soubor uložit. Doporučuji na disku C vytvořit adresář „Backup“ a soubor nazveme třeba „SystemStateBackup“, klikněte na „Next“. 5. Nyní můžete pomocí tlačítka „Advanced“ nastavit dodatečné možnosti zálohování, klikněte na něj. 6. Jako typ zálohy zvolíme „Normal“, klikněte na „Next“. 7. Zaškrtněte „Verify data after backup“ a tím necháte ověřit data po zálohování, klikněte na „Next“. 8. Zde zaškrtněte „Replace the existing backups“. Protože budeme zálohu dělat jednou týdně a systémové nastavení se nemění příliš často, není tolik potřeba na uživatelské stanici zálohovat pomocí přírůstkové zálohy. Klikněte na „Next“. 9. Nyní nastavíme, kdy se má záloha vykonávat. Označte volbu „Later“, zálohu pojmenujte například „System State“ a klikněte na „Set Schedule…“. 10. Na kartě „Schedule“ vyberte z nabídky „Schedule Task“ volbu „Weekly“ a nastavte „Start time“ na 12:00. Nechme označené pondělí „Mon“. Klikněte na „OK“. Obrázek 29 - Job Schedule

Zdroj: Vlastní droje, 20. 1. 2009

11. Nyní systém vyzve k zadání uživatelského jména a hesla. Práva tohoto účtu se použijí k zálohování. Kliknutím na „OK“ a „Finish“ ukončíme průvodce.

46

Nyní máme bezpečně zajištěno zálohování stavu systému každé pondělí v 12:00. Pokud se nyní podíváte na kartu „Schedule Jobs“, uvidíte zde u každého pondělí naplánovanou zálohu. Záloha bude každé pondělí jednorázová a přepíše poslední. Nyní nastavíme zálohování pro uživatelská data ve složce dokumenty. Zde zvolíme cestu pravidelného týdenního zálohování a každý den přírůstkového, čili budeme nastavovat dvoje zálohování. Nejdříve nastavíme první fázi plné zálohování jednou týdně: 1. Klikněte na „Backup Wizard“ na úvodní obrazovce. 2. Spustí se uvítací obrazovka průvodce pro zálohování dat, klikněte na „Next“. 3. Vyberte „Back up selected files, drives, or network data“, klikněte na „Next“. 4. Nyní vyberte složky „My Documents“ a „Desktop“, klikněte na „Next“. 5. Měla by zůstat dříve vybraná volba „C:\Backup“, jen změňte název zálohy na „FullDataBackup“, klikněte na „Next“. 6. Tím by byla jednorázová záloha hotová, my však chceme nastavit pravidelnou, klikněte tedy na „Advanced“. 7. Typ zálohy ponechte „Normal“, klikněte na „Next“. 8. Nechte označené „Verify data after backup“, klikněte na „Next“. 9. Vyberte možnost „Replace the existings backup“, klikněte na „Next“. 10. Klikněte na „Later“ a „Set Schedule“. Podobně jako při zálohování nastavení systému vyberte možnost „Weekly“, čas 12:30 a nechte označené pondělí. 11. Klikněte na „OK“ a vyplňte ověřovací údaje lokálního účtu s dostatečnými právy. 12. Pojmenujte zálohu „FullDataBackup“ a klikněte na „Next“. Tím jsme dokončili kroky pro pravidelné týdenní zálohování všech dokumentů na ploše a ve složce „My Documents“ každé pondělí v 12:30. Nyní nastavíme k této záloze každodenní přírůstkové zálohy: 1. Klikněte na „Backup Wizard“ na úvodní obrazovce. 2. Spustí se uvítací obrazovka průvodce pro zálohování dat, klikněte na „Next“. 3. Vyberte „Back up selected files, drives, or network data“, klikněte na „Next“. 4. Nyní vyberte složky „My Documents“ a „Desktop“, klikněte na „Next“.

47

5. Měla by zůstat dříve vybraná volba „C:\Backup“, jen změňte název zálohy na „FullDataBackup“, klikněte na „Next“. 6. Tím by byla jednorázová záloha hotová, my však chceme nastavit pravidelnou, klikněte tedy na „Advanced“. 7. Typ zálohy ponechte „Incremental“, klikněte na „Next“. 8. Nechte označené „Verify data after backup“, klikněte na „Next“. 9. Vyberte možnost „Append this backup to the existing backups“, klikněte na „Next“. 10. Klikněte na „Later“ a „Set Schedule“. Podobně jako při zálohování nastavení systému vyberte možnost „Weekly“, čas 12:30 a označte dny úterý a pátek včetně. 11. Klikněte na „OK“ a vyplňte ověřovací údaje lokálního účtu s dostatečnými právy. 12. Pojmenujte zálohu „IncrementalDataBackup“ a klikněte na „Next“. Když se nyní podíváte na kartu „Schedule Jobs“, uvidíte nastavení jednotlivých záloh – každé pondělí plné zálohování stavu systému a všech dat, všechny ostatní pracovní dny rozdílové zálohy jen pro data. Nyní máme zálohy, jež nás chrání před ztrátou nebo nechtěnou změnou dat. Je třeba však pamatovat že přijdeme i o tyto zálohy, dojde-li k výpadku disku nebo jeho smazání. Doporučuji tak tyto zálohy ukládat na externí pevný disk nebo vypalovat na média.

5.2 Implementace řešení BitLocker Systém BitLocker je součástí edice Windows Vista Ultimate a Enterprise. Je potřebné mít počítač s podporou TPM (Trusted Platform Module). Tento modul musí být zapnutý v BIOSu, někteří výrobci jej mají v základním nastavení vypnut. Dále musí být disk C naformátován souborovým systémem NTFS. Pro ulehčení celé práce si z adresy http://www.microsoft.com/downloads/details.aspx?familyid=320b9aa9-47e8-44f9-b8d04d7d6a75add0&displaylang=en

stáhneme

„BitLocker

Drive

preparation

tool“

a

nainstalujeme. Nainstalovaný program spustíme: 1. „Start“ > do okna “Start Search” napište “Bitlocker” a vyberte “BitLocker Drive Preparation Tool”.

48

2. Spustí se průvodce, který automaticky rozdělí disk na 2 díly a na nově vytvořeném místě vytvoří disk S, který připraví pro oddíl k šifrování. 3. Po skončení klikněte na „Finish“, systém si vyžádá restart. Restartujte jej. 4. Po spuštění systému a přihlášení do něj se objeví „Bitlocker Drive Encryption“ – klikněte na „Turn On BitLocker“. Systém inicializuje TPM module. 5. Nyní si zvolte „Save the password in a folder“ a uložte jej například na USB disk. Uloží se soubor, který obsahuje informace k případné obnově – „recovery password“. Tento soubor nelze uložit na šifrovaný disk C. klikněte na „Next“. 6. Zvolte „Run BitLocker systém check“ a klikněte na „Continue“. Systém si vyžádá restart, proveďte. 7. Po restartu a přihlášení systém začne šifrovat disk C. Cela procedura je zásvislá na počtu dat a velikosti disku, měla by však trvat 1-3 hodiny. Výhoda oproti systému šifrování TrueCrypt je velmi jednoduchá instalace a automatizace. Nyní je zajištěno, že pokud se dostane pevný disk do nepovolaných rukou, data jsou chráněna proti přečtení. Nyní se po startu počítače ověří, zda-li se jedná o stejný hardware a pokud ano, načte se heslo z TPM modulu. Pokud chcete docílit vyžádání hesla podobně jako u TrueCryptu, vyhrajte si zálohovaný obnovovací soubor na USB disk, v BIOSu vypněte TPM a budete před startem operačního systému vyzvání k vložení USB disku. Další možností je zadat v systému 48 znakové heslo, které by se vkládalo místo USB disku.

49

6. Závěr 6.1 Závěr práce Z teoretického hlediska splnila práce své očekávání, seznámit a ukázat nutnost šifrovat a zálohovat data a systém. V dnešní době vysoké použitelnosti internetu a osobních počítačů stoupá úměrně k tomu také riziko zneužití a poškození informací jinou osobou, cílenou i náhodnou. V práci se zabývám jen uživatelskými operačními systémy Windows XP a Vista, které patří k nejvíce používaným na trhu. Velmi hojné jsou však i operační systémy, jejichž podstatou je systém Linux a open-source technologie – například distribuce Ubundu, Red Hat nebo Suse Linux. I pro tyto systémy existují velmi podobné a stejně dobře propracované utility pro šifrování a zálohování, avšak uživatelská přívětivost produktů Microsoft bude ještě dozajista několik let hlavním důvodem proč nepoužívat Linux pro běžné uživatele. Je třeba kriticky poznamenat, že práce se nezabývá celkovou bezpečností počítače, ale jen dvěma tématy – zálohováním a šifrováním. Mohlo by se tedy zdát, že pokud uživatel splní obě tyto podmínky, může být klidný. Opak je pravdou, mezi základní bezpečnostní prvky patří využití dobrého antiviru, firewallu, pravidelná aktualizace systému bezpečnostními balíčky, spam filtr a omezení potřebných uživatelských práv na potřebné minimum. Práce se detailně nezabývá, jak jednotlivé programy fungují v detailním měřítku, jakým způsobem probíhají jejich specifické funkce nebo proč dělají určité kroky vlastním způsobem. Jde zde čistě o možnost ukázat teoretický základ a případ využití.

6.2 Seznam použité literatury 1. ŠETKA, Petr. Mistrovství v Microsoft Windows Server 2003. Praha: Computer Press, 2003. ISBN 80-251-0036-7. 2. HULÁN, Radek. BitLocker – snadné šifrování disků ve Windows Vista [online]. 2008 [cit 2009-01-11]. Dostupný z WWW: . 3. HULÁN, Radek. TrueCrypt – šifrování dat na disku [online]. 2005 [cit 2009-0111]. Dostupný z WWW: . 50

4. Vse.cz: Úvod do teorie šifrování [online]. 2005 [cit 2009-01-11]. Dostupný z WWW: 5. KLÍMA, Vlastimil. Základy moderní kryptografie – Symetrická kryptografie I. [online].

2005

[cit

2009-01-11].

Dostupný

z

WWW:

6. KLÍMA, Vlastimil. Základy moderní kryptografie – Symetrická kryptografie II. [online].

2005

[cit

2009-01-11].

Dostupný

z

WWW:

7. KLÍMA, Vlastimil. Základy moderní kryptografie – Symetrická kryptografie III. [online].

2005

[cit

2009-01-11].

Dostupný

z

WWW:

8. JANČOVIČ, Jakub. Šifrování na internetu a PGP [online]. [cit 2009-01-11]. Dostupný z WWW: 9. Wikipedia.org: Kryptografie [online]. 2009 [cit 2009-01-11]. Dostupný z WWW: 10. Wikipedia.org: Symetrická kryptografie [online]. 2009 [cit 2009-01-11]. Dostupný z WWW: < http://cs.wikipedia.org/wiki/Symetrick%C3%A1_kryptografie> 11. Wikipedia.org: Asymetrická kryptografie [online]. 2009 [cit 2009-01-11]. Dostupný z WWW: 12. Wikipedia.org: Hashovací funkce [online]. 2009 [cit 2009-01-11]. Dostupný z WWW: < http://cs.wikipedia.org/wiki/Hashovac%C3%AD_funkce> 13. PINKAVA, Jaroslav. Základy kryptografie I. [online]. 1998 [cit 2009-01-10]. Dostupný z WWW: . 14. PINKAVA, Jaroslav. Základy kryptografie II. [online]. 1998 [cit 2009-01-10]. Dostupný z WWW: . 15. PINKAVA, Jaroslav. Základy kryptografie III. [online]. 1998 [cit 2009-01-10]. Dostupný z WWW: . 16. PINKAVA, Jaroslav. Základy kryptografie IV. [online]. 1998 [cit 2009-01-10]. Dostupný z WWW: .

51

Bezpečnost klientských dat operačního systému Microsoft Windows

Recommend Documents