Windows 7'deki EFS (Şifreleme Dosya Sistemi) Güvenlik Açığı


3

Windows 7'de dosya / klasör düzeyinde EFS'yi (Şifreleme Dosya Sistemi) kullanmayı düşünüyorum.

EFS'deki Wikipedia makalesini okudum ve Windows 2000 ve XP ile ilgili birkaç güvenlik açığından bahsediyor. Görünüşe göre sonraki işletim sistemi sürümlerinde düzeltildiler.

Sonra bu aracı buldum (Gelişmiş EFS Veri Kurtarma, AEFSDR): Bazı durumlarda EFS şifreli dosyaların şifresini çözmenize olanak sağlayan http://www.elcomsoft.com/aefsdr.html . Şimdi, bu araç kullanıldığında Windows 7'deki EFS'nin ne kadar savunmasız olduğunu anlamaya çalışıyorum.

AEFSDR ürün sayfasında, göz ardı edilebilecek Windows 2000 güvenlik açığı yer almaktadır. Bunun dışında çok fazla ayrıntı yok.

Daha fazla bilgi burada sunulmaktadır: http://www.elcomsoft.com/cases/tips_on_recovering_EFS-encrypted_data_when_it_gets_lost.pdf . Paragrafta "Çözüm" denilen diyor:

Gelişmiş EFS Veri Kurtarma, kullanıcı veritabanı SYSKEY ile korunsa bile dosyaların şifrelerinin çözülmesine izin verir. İlk olarak, AEFSDR tüm EFS anahtarlarını arar ve sabit sürücü sektörünü sektörlere göre tarar. Kullanıcı programa kullanıcı şifresini girdikten sonra, kullanıcının şifreli verilerinin şifresini çözmek için gerekli olan tuşların veya en az bir tuşun şifresini çözer. İkinci aşamada, AEFSDR, dosya sistemindeki EFS şifreli dosyaları arar ve bunları kurtarmaya çalışır. İyileşme oranı genellikle çok yüksektir,% 99 veya daha fazla.

Bu yüzden kullanıcı şifresi girilmek zorundaydı. Bunun Windows Kullanıcı hesabı için bir şifre olduğunu varsayıyorum.

Sorum şu: EFS şifreli dosya / klasörün çalındığını ve o sırada kapatıldığını düşünün (tamamen kapalı, uyku / hazırda beklet modunda değil). Davetsiz misafir için kullanıcı şifresi mevcut değildir, ancak sabit disk açıkça başka bir bilgisayar tarafından kaldırılabilir ve erişilebilir. Dosyalardan herhangi birinin şifresini çözmek mümkün olacak mı?


3
Evet ... hiç kimse EFS'nin özellikle güvenli olduğunu düşünmedi, ancak ısrar ettiler. Gerçekten disk şifrelemeye ihtiyacınız varsa, Microsoft'un kontrolünü elden alın ve TrueCrypt'u yükleyin.
digitxp

2
TrueCrupt için +1. Tamamen kapalı mı yoksa sadece hazırda bekletme modunda mı olduğundan emin olarak sağlam bir şekilde koruyan dizüstü bilgisayarımda kullanıyorum. Ve uyku modundan çıkmak için bir parola gerektirecek şekilde ayarlanmışsanız, bunu atlamak için tipik yaklaşım bilgisayarı kapatmak ve CD'den önyükleme yapmak veya sabit sürücüyü takmak ve erişmek için başka bir bilgisayara bağlamaktır. TrueCrypt tarafından imkansız hale getirilmiş olan bu özellik uyku modunu bile saldırıya karşı oldukça etkili kılıyor! (Bu, kapanma veya hazırda bekletme modunun hala çok daha güvenli olduğunu söyledi.)
Kromey

1
EFS, kullandığı şifreleme algoritmaları kadar güvenlidir. Dizüstü bilgisayarınızda şifreniz veya zayıf bir şifreniz yoksa, saldırganlar bunu kullanarak erişim kazanabilir. Bilgisayarınız TrueCrypt ile şifrelenmişse ve aynı şifreyi ele geçirdiğinde aynı şey geçerli olur. Ayrıca, TC'nin arkasındaki insanların bile güvenlik için kefil olmadıklarından bahsedebilirim. Microsoft, EFS için kefil olur. Elcomsoft ürününe gelince, nasıl çalıştığı konusunda çok şüpheliyim, muhtemelen sadece bir aldatmaca.
14'te

Yanıtlar:


2

EFS, dosyalarınızı şifrenizi temel alarak korumak için tasarlanmıştır. Bu nedenle şifreniz yeterince uzun ve karmaşıksa ve tabii ki sadece giriş yapmak için kullanılıyorsa güvenli olması gerekir.

Ancak genellikle Windows kullanıcı şifreleri çok kısadır. Ne yazık ki, Windows 7, onları özel karma şekilde (NTLMv2) depolar - daha güvenli olmayan NTLM sürümlerinde bile eski sürümler. Geçerli grafik kartlarını kod kırıcı olarak kullanmak, NTLMv2 şifresini bile bozabilir:

Çatlama NTLMv2 Kimlik Doğrulama (2002'den itibaren) İlginç kısım, yalnızca eski CPU'ları şifreyi kırmak için düşünüldüğünde bile ikinci son slayt.

AFAIK şu anda yalnızca 12 veya daha fazla karakter içeren karmaşık bir şifre kabul edilebilir.


EFS, Active Directory'deki sertifikalarda depolanan güçlü şifrelemeyi kullanarak dosyaları şifreler. Bununla birlikte, AD'de bile kötü şifreler kullanırsanız, güvenliği atlatmak nispeten kolaydır. Truecrypt artık şifreli olarak güvenli değildir.
14'te

1

TrueCrypt, EFS'den daha iyi güvenlik sağlamalıdır ve ayrıca BitLocker (tam disk şifrelemesi) ile aynı işlevi sunar.

TrueCrypt’in tek dezavantajı (EFS’ye kıyasla) sabit diskinizdeki tek tek dosyaları ve klasörleri şifrelemenize izin vermemesidir; bunun yerine, bir diskte veya sürücünüzdeki bir dosyada şifrelenmiş bir birim oluşturursunuz, daha sonra ayrı bir şifreli birim olarak bağlarsınız.

Ne yazık ki, bu Vault tarzı bir çözüm değildir; bu, giriş yaptığınızda (EFS gibi), dosyalarınızın güvensiz olduğu anlamına gelir. TrueCrypt, EFS ve BitLocker Kasa tarzı güvenlik sunmuyor.


1
Tamamen farklı sorunları çözdükleri için Truecrypt / Bitlocker'ı EFS ile gerçekten karşılaştıramazsınız. Başkalarının şifresini çözmeden dosyaları paylaşmak için iki farklı sisteme ihtiyaç duyduğunuzda tam disk şifrelemesi kullanılamaz. EFS özellikli klasörlerde şifrelemek için hizmet hesaplarını kullanırız ve yalnızca hizmet hesaplarının diğer sunucudaki şifresini çözebilir.
14'te

-5

Bu eski bir soru, ama yazmak üzere olduğum cevabı görmedim. Dizüstü bilgisayarınız birisinin eline geçerse, hesap şifrenizi kolayca sıfırlayabilir veya yeni bir hesap oluşturabilir ve sadece EFS'yi tamamen atlayabilir.

Bir Windows makinesinde bu konuda yapabileceğiniz pek bir şey yok. Biri canlı bir Linux usb oluşturabilir, Windows işletim sistemi bölümünüzü bağlayabilir ve yönetici olarak çalışan bazı işlemleri bir cmd ile değiştirebilir. Bu, elbette, onlara yönetici haklarına sahip bir konsol verecektir. Parolalarınızı parolalarınızı kilitleseniz bile, genellikle BIOS bataryasını çıkartarak kolayca sıfırlanabilir. Ve değiştirilebilecek süreçler çoktur, sadece giriş aşamasında hangisinin çalışabileceğini bilmek zorundasınız.

İyi şifreleme istiyorsanız ve ellerinizi kirletmekten korkmuyorsanız, kodu kendiniz kodlayabilirsiniz. Neredeyse tüm programlama dilleri için simetrik sifreler (AES / DES) veya asimetrik (ancak özel anahtarı çok iyi gizlemeniz gerekir) için çok sayıda uygulama vardır ve bir klasörü tekrarlı bir şekilde değiştirmek ve dosyaları bazı verilerle değiştirmek gerçekten kolaydır ( Bu durumda, kendi şifreli versiyonu). Ve bu basit şeyi zaten yapan programları bulabileceğinize eminim, ancak kendiniz kodlayarak başka şeyler yapmadığından% 100 emin olursunuz.


6
şifreyi sıfırladığınızda EFS şifreli verilerine
erişemezsiniz

şifreleme uygulamaları için "kendin kodla" korkunç bir tavsiyedir. Ticaret veya yılların tecrübesine göre bir kriptograf (kriptolog değil misiniz?) Olmadıkça, bu yolda ilerlemeyi düşünmeyin bile. Bunun yerine iyi test edilmiş, iyi tasarlanmış uygulamalar ve kütüphaneler kullanın. Denediğiniz tüm gizliliğin aşkı için.
ParanoidMike
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.