Ukradli vám už notebook? 3. Díl: opravdová bezpečnost souboru ve Windows

Jste-li našimi věrnými a pozornými čtenáři, jistě vám předchozí dva díly tohoto

miniseriálu poodhalily mnohá úskalí snahy zajistit opravdu bezpečné uložen

í dat v podobě souborů a adresářových struktur.

Minulé pojednání, jež objasňovalo především problematiku uložení

šifrovacích klíčů, bylo zaměřeno na nejprostší způsob implementace: naším cílem

bylo ochránit jediný počítač, který nedisponoval žádnou speciální výbavou pro

pokročilou správu a nebyl členem žádné pokročilejší, centrálně spravované síťové

struktury. Protože takový scénář je udržitelný ve firemním prostředí spíše

výjimečně, v tomto díle zvýšíme nároky a situaci si zkomplikujeme. Konečně se

tak dostaneme do situace administrátora, pod jehož kuratelu spadá mnoho desítek

či stovek počítačů a uživatelů a správa každého jednotlivého „kusu“ bez určité

míry centralizace není prakticky zvládnutelná. Cílem je představit řešení, jež

dovolí ochranu souborů povýšit na spolehlivý pracovní nástroj, používaný

hromadně, a zároveň nás nebude nutit k nasazení nejrobustnějších technologií,

před nimiž máme respekt. Pokud jste však vyhraněnými příznivci technologií,

označovaných všeobecně jako infrastruktury s veřejnými klíči, považujte dnešní

díl za drobnou mezihru.



Scénář druhý: centrálně bez PKI

S nástroji pro silné šifrování je to až nápadně podobné jako třeba s ohněm nebo

zemním plynem: pod dohledem poučeného jedince jsou to dobří sluhové, ale

vymknou-li se, objeví se onen špatný pán. V nejedné rozsáhlejší síti můžete po

letmé konzultaci se správci zjistit, že možnosti šifrování souborového systému

uživatelé nejen nevyužívají, ale jsou jim přímo odepřeny: obava z bezděčné

ztráty dat při chybném použití, ztrátě šifrovacích klíčů či pádu hardwaru je

natolik silná, že potlačila jinak legitimní požadavky na ochranu dat. Ty jsou

mimo veškerou pochybnost zásadní: skutečné fyzické zabezpečení desktopových

strojů či přenosných počítačů s firemními daty pravděpodobně nikdy nebude

dosahovat takových parametrů, abychom zcizení či útok mohli vyloučit, samotný

způsob využití firemní výpočetní techniky přináší další komplikace v podobě

sdílení zdrojů, střídaní uživatelů na různých pracovních místech či zajištění

dostupnosti šifrovacích prostředků pro více uživatelů na jediné stanici.

Dosud dobře zvladatelná situace se nám tedy výrazně zkomplikovala díky síťové

komunikaci, jež nyní vstupuje do hry. Potřebujeme nejen chránit souborové

systémy jednotlivých úložišť – na stanicích či souborových serverech – před

přímým útokem, ale v souvislosti s běžnými způsoby použití firemních sítí

vystavujeme citlivé informace riziku při přenosu mimo disky mezi počítači a

stejným hrozbám čelí samotné šifrovací klíče. Navíc se nám s rostoucím počtem

uživatelů zvyšuje administrativní zátěž: veškeré operace je nutno automatizovat,

zálohy je potřeba provádět centrálně a na individuální přístup k jednotlivým

počítačům nezbývá příliš prostoru.

Naším cílem je tedy vybudovat zázemí pro služby na první pohled naprosto

samozřejmé: uživatel chce mít svá pracovní data dostupná prakticky kdykoliv a na

kterémkoliv počítači, my je chceme důkladně chránit šifrou a při tom všem se

nesmí ztratit či prozradit klíče. Shrnuto: úkol o to těžší, oč snáze vypadá. V

tomto díle se navíc cíleně vyhneme spolupráci s robustními infrastrukturami PKI

– důvodem je snaha oprostit řešení od dodatečné administrace a značných nákladů

na vybudování podpůrné struktury, jejíž zavedení vyžaduje opravdu pokročilý

návrh a náročnější správu. Jak už bylo naznačeno, příznivci PKI si příjdou na

své v příštím pokračování.



Jak rozplétáme síť?

V prostředí rozsáhlejších sítí s velkým množstvím uživatelů naráží návrhář či

administrátor, řešící problémy ochrany dat, na řadu typických obtíží. Služby,

jež jsou bez potřeby šifrování provozovány často velmi jednoduše a jejichž

správa není nijak obtížná, se mohou stát tvrdým oříškem. Podívejme se tedy na

nejběžnější problémy, jejichž řešení naleznete v následujících odstavcích.

První z obtíží je spojená s tradičním způsobem práce s pracovními daty ve formě

dokumentů či jiných souborů, jež bývají v centralizovaném prostředí běžně

ukládány na souborových serverech. Než přistoupíme k jejich ochraně, jsou

některé výhody plynoucí z tohoto rozvržení celkem jasné: většinou je snazší

zálohovat centrální úložiště než spoléhat na důslednou zálohu disků všech

lokálních uživatelských stanic. Uživateli je ve firemní síti lhostejno, odkud ke

svým transparentně uloženým datům přistoupí.

Přistoupíme-li k zavedení ochrany takto ukládaných souborů šifrou, nastanou

následující komplikace. Data z centrálního úložiště, kde mají být v zašifrovaném

stavu, musí po síti ke klientovi doputovat, což lze udělat v zásadě dvěma

způsoby: buď jsou přenesena v chráněné formě a uživatel je dešifruje až lokálně

na svém stroji, u nějž fyzicky pracuje, nebo jsou dešifrována již na serveru a

posléze přenesena dodatečně chráněným síťovým kanálem uživateli, například s

využitím technologie VPN. A kde jsou naše šifrovací klíče? V prvním případě musí

administrace zajistit, že příslušný klíč bude uživateli dostupný na kterémkoliv

potřebném počítači, v situaci druhé pak naopak nutně musí na centrálním

souborovém serveru ležet klíče všech potenciálních uživatelů, kteří by měli

oprávnění data použít. A navíc musíme zajistit onen šifrovaný síťový kanál, což

je starost navíc. No vida, a jaká to je na první pohled samozřejmá síťová

služba!

Druhým, opět poměrně samozřejmým požadavkem je sdílení souborových zdrojů větším

počtem uživatelů a jeho řízení. Funkcionalita, jež v běžných situacích bývá s

uspokojivými výsledky zajištěno prostřednictvím uživatelských oprávnění na

jednotlivých složkách či souborech, přístupných i po síti díky tradičním

protokolům SMB/CIFS (tedy službě sdílení souborů a tiskáren…) nebo FTP, se při

snaze o ochranu šifrou proměňuje v zapeklitý problém. K výše popsaným požadavkům

na chráněný síťový přenos a distribuci klíčů se připojuje požadavek na sdílení

klíče pro potřebná data, a to podle specifických požadavků jednotlivých

uživatelů. Problém bývá řešen opět různými pohledy na věc. Jednou možností je

definovat jednotlivá šifrovaná úložiště, jež jsou přímo určena specifické

skupině, z čehož posléze vyplývá princip sdílení klíče oprávněnými uživateli.

Jiný přístup je založen na opačném myšlenkovém postupu: klíč je svázán s

jednotlivým uživatelem a sdílení je řešeno tak, že potřebné soubory jsou

opakovaně šifrovány pro všechny zamýšlené příjemce jejich vlastním šifrovacím

klíčem. A tím jsme samozřejmě možnosti nevyčerpali.

Třetí okolností, jíž bychom neměli podcenit, je samotný problém generování,

průběžné ochrany a zálohování šifrovacích klíčů všech uživatelů. Správa rozsáhlé

sítě by nikdy neměla dopustit, aby šifrovací klíče vznikaly neřízeně na

jednotlivých počítačích uživatelů a dostávaly se tak mimo dohled a především

mimo zálohovací procedury – výsledkem může být jak bezděčná ztráta důležitých

dat třeba po pádu pevného disku, tak třeba znepřístupnění klíčových dokumentů

díky zlé vůli zhrzeného zaměstnance, jenž cíleně své klíče po použití poškodí či

zničí. Možnost obnovy klíčů po případné ztrátě a jejich doručení na počítač, kde

probíhá záchrana dat ze zálohy, by měly být rychlé a snadno proveditelné. V

neposlední řadě je také potřeba podřídit centrální správě hardwarové nosiče

šifrovacích klíčů, pokud je v našem prostředí pro zvýšení bezpečnosti používáme:

zapomenutí kontrolního pinu či ukládání nových hesel patří mezi nejběžnější

situace.

Zdá se vám již teď, že problémů nám přibylo? A to chceme chránit ty nejběžnější

ze služeb, na jejichž komfort jsme zvyklí! Pojďme se podívat na konkrétní

řešení, jak toho skutečně dosáhnout.





Varianta 1:

Windows a Encrypted File System

Prvním prostředkem, jenž využijeme k uspokojení nastíněných požadavků, bude náš

tradiční výchozí mechanismus – služba šifrování souborového systému ve Windows.

Pro její použití především hovoří, jak již víme, dostupnost v rámci Windows bez

dalších nákladů za pořizování softwaru, takže jejími možnostmi začneme i

tentokráte.

Ačkoliv to tak na první pohled možná nevypadá, EFS lze za určitých podmínek

použít i pro řešení scénářů s centrálními souborovými servery či sdílení

šifrovaných dat. V každém případě je však dobré vědět, že v takových situacích

je EFS dotlačeno na úplnou hranici svých možností, pakliže nechceme nasazovat

robustní infrastrukturu PKI.

Začněme problematikou sdílení šifrovaných souborů více uživateli zároveň. Takový

postup je možný pouze v případě, že souborový sys-

tém je realizován na platformě Windows 2003 Server či Windows XP, neboť starší

Windows 2000 sdílení více uživateli vylučují. Další komplikací je fakt, že EFS

nedovoluje přiřadit více paralelních uživatelů s přístupem na společnou

šifrovanou složku – vždy se jedná o vlastnost jednotlivých souborů. A do třetice

dodejme, že technologie EFS vylučuje použití jakéhosi „skupinového“ klíče, jenž

by byl pro všechny oprávněné uživatele oním univerzálním přístupovým

prostředkem. Je patrné, že plošné a řízené nasazení je na hraně možností.

V případě snahy implementovat souborový server s možností vzdálené práce

jednotlivých uživatelů s vlastní šifrovanou složkou rovněž máme jisté varianty.

Systém EFS dovoluje šifrovat data na počítači, na němž není uživatel

interaktivně přihlášen – jedinou, ovšem dosti zásadní podmínkou je, že ve

chvíli, kdy se uživatel o toto pokusí, musí již být na serveru uložen příslušný

šifrovací klíč. Jednou z možností, jak toho dosáhnout, je přenést na souborový

server profily uživatelů a tam je udržovat funkční a aktuální. Bezpečné úložiště

klíčů pro EFS je totiž s profilem pevně svázáno a vytvoření jakési nezávislé

databáze nepřipadá v úvahu. Velkou nepříjemností je, že pokud na toto

zapomeneme, požadavek klienta nemusí být odmítnut, ale souborový server si

vytvoří nový (!) klíč pro šifrování a ten bude samozřejmě odlišný od

stávajícího, jenž leží ve funkčním profilu.

Na závěr zmiňme, že řešení EFS pracuje s oběma možnostmi jak přenášet data po

síti, tedy právě třeba na onen souborový server. Pokud chcete spoléhat na

dodatečný chráněný síťový kanál (preferován je třeba populární IPSec), lze

přistupovat na server běžnou službou CIFS/SMB, tedy jako na tradiční sdílenou

složku. Naopak chráněnou síťovou cestu poskytne služba WebDAV, neboť ta běží

nad protokolem HTTP a jako „náklad“ přenáší soubory v šifrované podobě – jejich

zpřístupnění probíhá až na lokálním klientském počítači.

Z důvodů, jež jsme v těchto odstavcích zmínili, je patrné, že při snaze

uspokojit naše požadavky jsme se službou EFS dospěli na samotnou hranici rozumné

spravovatelnosti.



Varianta 2:

SODATSW-Desktop Security System AreaGuard

Systém ochrany dat AreaGuard, s jehož základními možnostmi jsme se seznámili v

minulém díle při práci s jedním počítačem, nabízí pro řešení výše nastíněných

problémů řadu zajímavých možností.

Vedle vlastního šifrovacího engine AreaGuard Notes, který jsme minule využívali

jako samostatný soběstačný nástroj, zde vstupuje do hry další modul s názvem

AreaGuard AdminKit. Tento program je primárně určen právě k centrální

administraci a pokrytí potřeb větší sítě, přičemž zmíněný nástroj AreaGuard

Notes se stává pod jeho vedením výkonnou jednotkou na všech cílových počítačích,

kde je potřeba s šifrovanými daty pracovat či odkud se uživatelé o toto pokusí.

Ve srovnání třeba s variantou v podobě EFS je koncepční řešení v tomto případě

odlišné. Našim požadavkům mnohem lépe vyhovuje skutečnost, že AreaGuard AdminKit

dovoluje spravovat různé kategorie šifrovacích klíčů a nastavení: pro soukromou

ochranu dat jednotlivých uživatelů na lokálních discích je určen klíč osobní,

bez nároků na možnost sdílení, na druhé straně speciálně k provozování

souborových serverů je určen klíč skupinový, jenž je ze své podstaty poskytnut

všem definovaným uživatelům pro sdílené úložiště. Samozřejmostí je nezávislý

chráněný distribuční kanál, jehož pomocí jsou potřebné šifrovací klíče

doručovány uživatelům na koncové stanice.

Vedle zmíněné koncepce různých typů klíčů přichází administrátorům na pomoc

další prostředky. Důležitou možností je sestavení hierarchické struktury

uživatelů podle nároků na šifrování a sdílení chráněných dat, v níž samozřejmě

figurují především skupiny určené pro sdílení klíčů. V této fázi je možné

využití propojení s adresářovou službou Active Directory, případně obecnou

databází LDAP, takže jednotlivé uživatele není nutné paralelně vytvářet v

interní databázi AdminKitu, i když tato možnost zde zůstává dále k dispozici.

Účinným prostředkem pro samotné prosazení potřebných nastavení je systém

„šifrovacích politik“. Ty jsou, spolu s potřebnými klíči, distribuovány na

klientské počítače a následně zpracovány a prováděny „klientskou“ aplikací

AreaGuard Notes. Dosažitelné jsou tedy plošná, konzistentní nastavení potřebných

parametrů a důsledná kontrola nad šifrovacími klíči, které uživatelé mají k

dispozici pro svou rutinní práci – cílová aplikace předává na řídící server

záznamy o své činnosti a momentální konfiguraci, takže nejsou potřebné dodatečné

prostředky ke kontrole.

Již v předchozích dílech jsme upozornili na rizika, jež vyplývají z ukládání

klíčů či hesel na lokálních počítačích. Systém AreaGuard Notes tomu čelí

možností centrální správy bezpečných hardwarových nosičů, třeba v podobě tokenů

připojovaných přes rozhraní USB. Aplikace AreaGuard AdminKit pak dovoluje jednak

přímou administraci těchto zařízení, jednak specifikaci politik, jejichž

prostřednictvím je vynuceno korektní použití hardwarových zařízení pro žádoucí

operace. Právě srovnání „bezplatné“ varianty EFS a systému Desktop Security

System AreaGuard dobře ilustruje, jakou přidanou hodnotu uživatel získává, pokud

investuje do specializovaného řešení. Základní výbava Windows nedisponuje řadou

důležitých možností a její nasazení v rozsáhlé síti je víceméně vázáno na

použití robustní struktury PKI. Bez dodatečného softwaru je řada požadavků

řešitelná obtížněji, někdy za cenu náročnější administrace. Systém AreaGuard

Notes je na druhou stranu dobrou ukázkou předem jasně navrženého řešení, jehož

cílem je vystačit si i bez implementace PKI a přesto nabídnout vyhovující

centrální správu.

Kam zamíříme příště?

Jak již bylo v tomto dílu několikrát naznačeno, při příštím setkání povedou naše

kroky již přímo k pokročilým scénářům, využívajícím zázemí struktur PKI. Ukážeme

si opět, jaké výhody nám přinese navázání ochrany souborů na existující PKI a co

lze v takových případech očekávat za výhody pro centrální správu. A pokud jste

nabyli dojmu, že tím bude problém s ochranou souborů vyřešen, nenechte se zmást:

další díl bude pojednávat o situacích, kdy se uživatel pokouší data zneužít či

zcizit jako oprávněný uživatel, a to třeba pomocí hardwarového nosiče.

Koneckonců věděli jste, že více než dvě třetiny útoků na data ve firemních

sítích mají na svědomí „vnitřní“ uživatelé? 05s0054/jp o



Nejen pevné disky, ale též výměnná média se mohou stát předmětem důsledné

ochrany souborových zdrojů. Na výběr je několik šifrovacích algoritmů.



Spolupráce s databází Active Directory zajišťuje integraci stávajících

uživatelských účtů a skupin.



Použití různých typů šifrovacích klíčů pro individuální či skupinovou práci

dovoluje předem jednoznačně vymezit přístupnost datových zdrojů.



Veškeré administrátorské operace, včetně správy hardwaro-vých komponent

(tokeny), jsou soustředěny v AreaGuard AdminKitu.



Základní a jednou z mála metod zálohování klíčů pro šifrování EFS stále zůstává

export do formátu PKSC 12.



Windows XP přinesly novinku v podobě podrobnější správy šifrovaných souborů, což

umožňuje sdílení mezi více uživateli.



Zajímavou možností pro zajištění bezpečného přenosu šifrovaných souborů po síti

je využití protokolu WebDAV.



Šifrování EFS je možné uživatelům rovněž odepřít, čímž lze případně předcházet

neočekávaným kalamitám.