Šifrování ve Windows
EFS IPSec SSL PPTP
18.11.2003
- Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol
vjj
1
Bezpečnost ?
co chci chránit ?
systém data přístup k Internetu
proti komu ?
co chci chránit ?
pro koho ?
hacker konkurence neoprávněný uživatel pirát
vjj
jeden odborník "velký" počet laiků
kdo to zařídí ?
18.11.2003
svůj počítač podnikovou síť, servery, komunikaci, . . .
samotný uživatel administrátor 2
Geneze
Windows 3.0, 3.1, 3.11 – pro individuální uživatele
Bezpečnost informačních systémů?
Windows NT Server 3.1, 3.5, 3.51, 4.0
Bezpečnost (hračka pro administrátory ?)
Windows 95, 98, Me
co to je? a proč?
sólo x doména Intranet x Internet neúplná a nesourodá směs (navzájem si i odporujících) pravidel pro nastavení (nejen bezpečnosti)
Windows 2000, XP, 2003, Longhorn 18.11.2003
vjj
3
EFS
NTFS Windows Explorer vybrat složku nebo soubor Properties General Advanced... Encrypt contents to secure data
18.11.2003
vjj
4
18.11.2003
vjj
5
18.11.2003
vjj
6
EFS certifikát
Pokud nemá uživatel nainstalován certifikát pro šifrování souborů, způsobí první šifrování vygenerování takového certifikátu
s certifikátem jsou svázány dva šifrovací klíče - veřejný - soukromý
18.11.2003
(je publikován přímo v certifikátu) (je uložen na "bezpečném" místě)
vjj
7
EFS šifrování
DESX
Microsoft expanded DES
3DES
klíč, kterým je soubor zašifrován, je uložen v MFT (DDF – Data Decryption Field) a zašifrován veřejným klíčem uživatele algoritmem RSA
uživatelův soukromý klíč se pak používá při dešifrování souboru 18.11.2003
vjj
8
EFS šifrování
18.11.2003
vjj
9
EFS - dešifrování
18.11.2003
vjj
10
EFS a příkazový řádek
> Cipher /e pathname
> Cipher /d pathname
18.11.2003
vjj
11
programování EFS
EncryptFile (FileName)
DecryptFile (FileName)
18.11.2003
vjj
12
programování EFS
SetUserFileEncryptionKey (ptrCertificate)
AddUsersToEncryptedFile (FileName, ptrCertificates)
QueryUsersOnEncryptedFile
18.11.2003
vjj
13
EFS a příkazový řádek
> Cipher.exe
vygeneruje nový cerifikát (a klíče) pro EFS
> Cipher.exe
/u
přešifruje soubory novým klíčem
> Cipher.exe
/k
/u /n
vypíše všechny zašifrované soubory
18.11.2003
vjj
14
EFS a příkazový řádek
> EFSInfo.exe vypíše informace o
pathname /s:dir
aktuální složce uvedeném souboru uvedené složce
/u /r
kdo má přístup jestli existuje recovery agent
18.11.2003
vjj
15
EFS - Recovery Agent
certifikát pro recovery agenta vygenerovaný Certifikační autoritou lze použít pro nastavení v Group Policy lze nainstalovat na počítači a použít k záchraně souborů
18.11.2003
vjj
16
EFS - Recovery Agent
> Cipher.exe /r:PfxCerFilesname
vygeneruje certifikát pro recovery agenta
*.PFX - certifikát + privátní klíč
- uložit na bezpečné místo
*.CER - certifikát
18.11.2003
- lze použít pro nastavení v Group Policy
vjj
17
18.11.2003
vjj
18
správa certifikátů
MMC snap-in Certificates Current user certifikát Encrypting File System nelze jednoduše přepínat mezi více certifikáty se stejným účelem
18.11.2003
vjj
19
EFS a síť
přenos po síti v rozšifrovaném tvaru
šifrování komunikace
WebDAV - v zašifrovaném tvaru
IPSec SSL PPTP
kdo s kým
oboustranná autentizace
18.11.2003
vjj
20
Autentizace
doména Windows NTLM Kerberos certifikáty ...
18.11.2003
vjj
21
Autentizace
LANMan all clients, 3.x, 9x – odposlech NTLM 4.0, W2K, ... NTLM v.24.0 SP4, W2K, ... Kerberos W2K, XP, W2K3 Group Policy : Computer Configuration / Windows Settings / Security Settings / Local Policies / Security Options / “LAN Manager Authentication Level”
18.11.2003
vjj
22
challenge/response authentication
server issues a random value to the client client performs a cryptographic hashing function on this value using the hash of the user’s password client sends hashed value back to the server server takes its copy of the users hash from the local SAM (Security Accounts Manager) or AD (Active Directory Access databáze) server hashes the random value server compares this value to the client response
18.11.2003
vjj
23
Kerberos
18.11.2003
vjj
24
IPSec
service IPSec
Group Policy IPSec Policy
MMC Snap-in
18.11.2003
vjj
25
IPSec
Různé možnosti nastavení bezpečnosti
vypnuto (pokud není nastavena žádná z následujících možností) Client Server (Request Security) Secure Server (Require Security) vlastní nastavení
18.11.2003
vjj
26
IPSec
Client
Communicate normally (unsecured). Use the default response rule to negotiate with servers that request security. Only the requested protocol and port traffic with that server is secured.
18.11.2003
vjj
27
IPSec
Server (Request Security)
For all IP traffic, always request security using Kerberos trust. Allow unsecured communication with clients that do not respond to request.
18.11.2003
vjj
28
IPSec
Secure Server (Require Security)
For all IP traffic, always require security using Kerberos trust. Do NOT allow unsecured communication with untrusted clients.
18.11.2003
vjj
29
IPSec - filtr
18.11.2003
vjj
30
IPSec - filtr
18.11.2003
vjj
31
IPSec - filtr
18.11.2003
vjj
32
IPSec - Authentication
Kerberos (default) – ne pro Internet certificate string (preshared key)
IKE Internet Key Exchange (MS+Cisco)
18.11.2003
vjj
33
IPSec - Authentication
18.11.2003
vjj
34
IPSec
Connection Type All network connections LAN RAS Integrity x Encryption & Integrity
nový klíč každých xxx kB / vteřin MD5 DES SHA1 3DES
18.11.2003
vjj
35
IPSec
18.11.2003
vjj
36
IPSec
18.11.2003
vjj
37
IPSec
IP Security Monitor MMC snap-in lze sledovat autentizaci a počty paketů pro obě fáze IPSec
18.11.2003
vjj
38
SSL
https
IIS, vlastnosti webu, Certificate Request Wizard, CA certifikát, web, 128-bit SSL
SLDAP
computer certificate for Server Authentication nainstalovat MMC snap-in Certificates, Local Computer, Personal
18.11.2003
vjj
39
