Защита данных в NTFS

 

Зарегистрировано «___»_____20___г.

________ __________________________

Подпись       (расшифровка подписи)

ФЕДЕРАЛЬНОЕ Государственное АВТОНОМНОЕ образовательное  учреждение высшего профессионального  образования

БЕЛГОРОДСКИЙ  ГОСУДАРСТВЕННЫЙ НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ  УНИВЕРСИТЕТ

(НИУ «БелГУ»)

 

ФАКУЛЬТЕТ КОМПЬЮТЕРНЫХ НАУК И ТЕЛЕКОММУНИКАЦИЙ

КАФЕДРА ПРИКЛАДНОЙ ИНФОРМАТИКИ

 

Тема работы:  «Защита данных в NTFS»

 

 

Курсовая работы студентки

очного отделения 3 курса 141004 группы

Плясова Виктория Юрьевна

Научный руководитель

к.т.н. доц. кафедры прикладной информатики Маматов Е.М.

 

 

 

БЕЛГОРОД  2012

 

Содержание

 

Введение 3

1. Файловая  система  NTFS 5

1.1 Структура  NTFS на диске 5

1.2 Главная  таблица файлов 6

2. Защита  и шифрование 8

2.1 Механизм EFS 9

2.2 Первое  шифрование файла 11

2.3 Создание  связок ключей 12

2.4 Шифрование  файловых данных 13

2.5 Процесс  расшифровки 14

3. Реализация  защиты данных в NTFS 16

3.1 Защита  данных в NTFS 16

3.2 Безопасное  шифрование данных в NTFS 19

3.3 Экспорт  сертификатов 20

3.4  Восстановление  данных 22

Заключение 24

Список использованной литературы 25

 

Введение

 

 

Курсовая работа посвящена  изучению методов защиты данных в  файловой системе NTFS. Актуальность темы выражена огромной  популярности данной файловой системы для семейства операционных систем Microsoft Windows NT. Формат файловых систем определяют принципы хранения данных на носителе и влияют на характеристики файловой системы. Формат файловой системы может налагать ограничения на размеры файлов и емкости поддерживаемых устройств внешней памяти. NTFS – встроенная файловая система Windows 2000. NTFS использует 64-разрядные индексы кластеров.

Структура работы включает теоретическую и практическую часть, заключение и список использованных источников информации.

В теоретической части  представляются общие понятия о  файловой системе, краткие сведения защите, шифровании и расшифровки данных. Защита в NTFS построена на модели объектов Windows 2000. Файлы и каталоги защищены от доступа пользователей, не имеющих соответствующих прав. NTFS имеет специальный интерфейс для преобразования файла из незашифрованной в зашифрованную форму, но этот процесс протекает в основном под управлением компонентов пользовательского режима.

Практическая часть содержит примеры и способы защиты данных, наглядно представленные в виде иллюстраций и их описаний, выполненных в виде твёрдых копий экрана. Файловая система NTFS оснащена функцией шифрования данных на диске, поэтому, если в свойствах файла поставить галочку на соответствующей опции, то он будет физически зашифрован. Кроме этого, пользователь может манипулировать правами доступа к тем или иным объектам

Цели и задачи курсовой работы:

1. закрепление практических навыков работы с файловой системой;
2. ознакомление с фундаментальными определениями файловой системы;

3. изучение и приобретение  практических навыков защиты данных в NTFS;

4.  получение навыков  самостоятельного сбора и анализа  информации, а также работы со  справочными материалами, подсобной литературой и лекционным материалом;

5. приобретение навыков  оформления проектной документации.

Курсовая работа содержит 25 страниц и 11 рисунков.

 

 

 

 

 

 

 

 

 

1. Файловая система  NTFS

 

 

Формат файловых систем определяют принципы хранения данных на носителе и влияют на характеристики файловой системы. Формат файловой системы может  налагать ограничения на размеры  файлов и емкости поддерживаемых устройств внешней памяти. Некоторые  форматы файловых систем эффективно реализуют поддержку либо больших, либо малых файлов и дисков. 
         NTFS – встроенная файловая система Windows 2000. NTFS использует 64-разрядные индексы кластеров. Это позволяет ей адресовать тома размером до 16 миллиардов Гб. Однако Windows 2000 ограничивает размеры томов NTFS до значений, при которых возможна адресация 32-разрядными кластерами, т. е. до 128 Тб (с использованием кластеров по 64 Кб). 
         С самого начала разработка NTFS велась с учетом требований, предъявляемых к файловой системе корпоративного класса. Чтобы свести к минимуму потери данных в случае неожиданного выхода системы из строя или её краха, файловая система должна гарантировать целостность своих метаданных. Для защиты конфиденциальных данных от несанкционированного доступа файловая система должна быть построена на интегрированной модели защиты. Наконец, файловая система должна поддерживать защиту пользовательских данных за счет программной избыточности данных. [1] 

 1.1 Структура NTFS на диске

Структура NTFS начинается с  тома. Том соответствует логическому  разделу на диске и создается  при форматировании диска или  его части под NTFS. На диске может  быть один или несколько томов. NTFS обрабатывает каждый том независимо от других. Том состоит из набора файлов и свободного пространства, оставшегося в данном разделе диска. В томе NTFS все данные файловой системы вроде битовых карт, каталогов и начального загрузочного кода хранятся как обычные файлы. 
        Размер кластера на томе NTFS, или кластерный множитель, устанавливается при форматировании тома командой format. Размер кластера по умолчанию определяется размером тома, но всегда содержит целое число физических секторов с дискретностью N². Кластерный множитель выражается числом байт в кластере, например 512 байт, 1Кб или 2Кб. 
         Внутренне NTFS работает только с кластерами. Однако NTFS инициирует низкоуровневые операции ввода-вывода на томе, выравнивая передаваемые данные по размеру сектора и подгоняя их объем под значение, кратное размеру секторов. NTFS использует кластер как единицу выделения пространства для поддержания независимости от размера физического сектора. Это позволяет NTFS эффективно работать с очень большими дисками, используя кластеры большего размера, и поддерживать нестандартные диски с размером секторов отличным от 512 байт. Применение больших кластеров на больших томах уменьшает фрагментацию и ускоряет выделение свободного пространства за счет небольшого проигрыша в эффективности использования дискового пространства. 
         NTFS адресуется к конкретным местам на диске, используя логические номера кластеров ( logical cluster numbers, LCN¹⁰) для этого все кластеры на томе просто номеруются по порядку – от начала до конца.

1.2 Главная таблица файлов

В NTFS все данные, хранящиеся на томе, содержатся в файлах. Хранение всех видов данных в файлах позволяет  файловой системе легко находить и поддерживать данные, а каждый файл может быть защищен дескриптором защиты. Кроме того, при появлении  плохих секторов на диске, NTFS может  переместить файлы метаданных. 
         Метаданные – это данные, хранящиеся на томе и необходимые для поддержки управления файловой системой. Как правило, они не доступны приложениям. К метаданным NTFS относятся структуры данных, используемые для поиска и выборки файлов, начальный загрузочный код и битовая карта, в которой регистрируется состояние пространства всего тома. 
         Главная таблица файлов (MFT¹⁴) занимает центральное место в структуре NTFS-тома. MFT реализована как массив записей о файлах. Размер каждой записи фиксирован и равен 1 Кб. Логически MFT содержит по одной строке на каждый файл тома, включая строку для самой MFT. Кроме MFT на каждом томе NTFS имеется набор файлов метаданных с информацией, необходимой для реализации структуры файловой системы. 
         Имена всех файлов метаданных NTFS начинаются со знака $, хотя эти знаки скрыты. Так имя файла MFT - $Mft. Остальные файлы NTFS-тома являются обычными файлами и каталогами. 
        Обычно каждая запись MFT соответствует отдельному файлу, но если у файла много атрибутов или он сильно фрагментирован, для него может понадобиться более одной записи. Тогда первая запись MFT, хранящая адреса других записей, называется базовой. 
        При первом обращении к тому NTFS должна считать с диска метаданные и сформировать внутренние структуры данных, необходимые для обработки обращений к файловой системе. Для этого NTFS ищет в загрузочном секторе физический адрес MFT на диске. Запись о самой MFT является первым элементом в этой таблице, вторая запись указывает на файл в середине диска ($MftMirr ), который называется зеркальной копией MFT и содержит копию первых нескольких строк MFT. Если по каким-либо причинам считать часть MFT не удастся, для поиска файлов метаданных будет использована именно эта копия MFT. 
        Найдя запись для MFT, NTFS получает из ее атрибута данных информацию о сопоставлении VCN и LCN и сохраняет ее в памяти.

2. Защита и шифрование

 

 

Защита в NTFS построена  на модели объектов Windows 2000. Файлы и  каталоги защищены от доступа пользователей, не имеющих соответствующих прав. Открытый файл реализуется в виде объекта «файл» с дескриптором защиты, хранящимся на диске как часть файла. Прежде чем процесс сможет открыть описатель какого-либо объекта, в том числе и объекта «файл», система защиты Windows 2000 должна убедится, что у этого процесса есть соответствующие полномочия. Дескриптор защиты в сочетании с требованием регистрации пользователя при входе в систему гарантирует, что ни один процесс не получит доступа к файлу без разрешения системного администратора или владельца файла. 
        Пользователи часто хранят на своих компьютерах конфиденциальную информацию. Хотя данные на серверах компаний обычно надежно защищены, информация, хранящаяся на портативном компьютере, может попасть в чужие руки в случае потери или кражи компьютера. Права доступа к файлам NTFS в таком случае не защитят данные, поскольку полный доступ к томам NTFS можно получить независимо от их защиты – достаточно воспользоваться программами, умеющими читать файлы NTFS вне среды Windows 2000. Кроме этого, права доступа к файлам NTFS становятся бесполезны при использовании другой системы Windows 2000 и учетной записи администратора, т. к. учетная запись администратора обладает привилегиями захвата во владение и резервного копирования, любая из которых позволяет получить доступ к любому защищенному объекту в обход его параметров защиты. 
        NTFS поддерживает механизм Encrypting File System (EFS), с помощью которого пользователи могут шифровать конфиденциальные данные. EFS полностью прозрачен для приложений. Это означает, что данные автоматически расшифровываются при чтении их приложением, работающим под учетной записью пользователя, который имеет права на просмотр этих данных, и автоматически шифруются при изменении их авторизованным приложением. 
         NTFS не допускает шифрования файлов, расположенных в корневом каталоге системного тома или в каталоге \Winnt, поскольку многие находящиеся там файлы нужны в процессе загрузки, когда EFS ещё не активна. 
         EFS использует криптографические сервисы, предоставляемые Windows 2000 в пользовательском режиме, и состоит из драйвера устройства режима ядра, тесно интегрированного с NTFS и DLL 5 - модулями пользовательского режима, которые взаимодействуют с подсистемой локальной аутентификации и криптографическими DLL. 
         Доступ к зашифрованным файлам можно получить только с помощью закрытого ключа из криптографической пары EFS (которая состоит из закрытого и открытого ключей), а закрытые ключи защищены паролем учетной записи. Таким образом, без пароля учетной записи, авторизированной для просмотра данных, доступ к зашифрованным EFS файлам на потерянных или краденных портативных компьютерах нельзя получить никакими средствами, кроме грубого перебора паролей.[2] 

2.1 Механизм EFS

EFS использует средства  поддержки шифрования, введенные  Microsoft ещё в Windows NT 4. При первом  шифровании файла EFS назначает  учетной записи пользователя, шифрующего  этот файл, криптографическую пару  – закрытый и открытый ключи.  Пользователи могут шифровать  файлы с помощью Windows Explorer; для  этого нужно открыть диалоговое  окно Свойстваприменительно к нужному файлу, щелкнуть кнопку Другие и установить флажок Шифровать содержимое для защиты данных. Пользователи также могут шифровать файлы с помощью утилиты командной строки cipber. Windows 2000 автоматически шифрует файлы в каталогах, помеченных зашифрованными. При шифровании файла EFS генерирует случайное число, называемое шифровальным ключом файла (file encryption key, FEK⁸). EFS использует FEK для шифрования содержимого файла по более стойкому варианту DES³ (Data Encryption Standard) –DESX⁴. EFS сохраняет FEK вместе с самим файлом, но FEK шифруется по алгоритму RSA-шифрования на основе открытого ключа. После выполнения EFS этих действий файл защищен: другие пользователи не смогут расшифровать данные без расшифрованного FEK файла, а FEK они не смогут расшифровать без закрытого ключа пользователя – владельца файла. 
        Для шифрования FEK используется алгоритм криптографической пары, а для шифрования файловых данных – DESX , алгоритм симметричного шифрования (в нем применяется один и тот же ключ для шифрования и дешифрования). Как правило, алгоритмы симметричного шифрования работают очень быстро, что делает их подходящими для шифрования больших объемов данных, в частности файловых. Однако у алгоритмов симметричного шифрования есть одна слабая сторона: зашифрованный ими файл можно вскрыть, получив ключ. 
         Функциональность EFS опирается на несколько компонентов, как видно на схеме архитектуры EFS (Рисунок 1).

Рисунок 1 Компоненты EFS

EFS реализована в виде  драйвера устройства, работающего  в режиме ядра и тесно связанного  с драйвером файловой системы  NTFS. Всякий раз, когда NTFS встречает  зашифрованный файл, она вызывает  функции из драйвера EFS, зарегистрированные  им в NTFS при инициализации EFS. Функции EFS осуществляют шифрование  и расшифровку файловых данных  по мере обращения приложений  к шифрованным файлам. Хотя EFS хранит FEK вместе с данными файла, FEK шифруется  с помощью открытого ключа  индивидуального пользователя. Для  шифрования или расшифровки файловых  данных EFS должна расшифровать FEK файла,  обращаясь к криптографическим  сервисам пользовательского режима. [3]

2.2 Первое шифрование файла

Обнаружив шифрованный файл, драйвер NTFS вызывает функции, зарегистрированные EFS. О состоянии шифрования файла  сообщают его атрибуты. NTFS и EFS имеют  специальные интерфейсы для преобразования файла из незашифрованной в зашифрованную  форму, но этот процесс протекает  в основном под управлением компонентов  пользовательского режима. Windows 2000 позволяет  шифровать файлы двумя способами: утилитой командной строки cipber или  с помощью Windows Explorer. Windows Explorer и cipber используют Win32 - функцию EncryptFile экспортируемую Advapi32.dll (Advance Win32 API DLL). Чтобы получить доступ к API, который нужен для LPC -вызова интерфейсов EFS в Lsasrv, Advapi32 загружает другую DLL, Feclient.dll (File Encryption Client DLL). 
         Получив LPC - сообщение c запросом на шифрование файла от Feclient, Lsasrv использует механизм олицетворения Windows 2000 для подмены собой пользователя, запустившего программу, шифрующую файл (cipber или Windows Explorer). Это заставляет Windows 2000 воспринимать файловые операции, выполняемые Lsasrv, как операции, выполняемые пользователем, желающим зашифровать файл. Lsasrv обычно работает под учетной записью System. Если бы Lsasrv не олицетворял пользователя, то не получил бы прав на доступ к шифруемому файлу.

2.3 Создание связок ключей

К этому моменту Lsasrv уже  получил FEK и может сгенерировать  информацию EFS, сохраняемую вместе с  файлом, включая зашифрованную версию FEK. Lsasrv считывает из параметра реестра HKE _CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\EFS\CurrentKeys\CertificateHash значение, присвоенное пользователю, который затребовал операцию шифрования, и получает сигнатуру открытого  ключа этого пользователя. Этот раздел не появляется в реестре, если ни один файл или каталог не зашифрован. Lsasrv использует эту сигнатуру для  доступа к открытому ключу  пользователя и для шифрования FEK. 
        Теперь Lsasrv может создать информацию, которую EFS сохранит вместе с файлом. EFS хранит в зашифрованном файле только один блок информации, в котором содержаться записи для всех пользователей этого файла. Данные записи называются элементами ключей (key entries); они хранятся в области сопоставленных с файлом данных EFS, которая называется Data Decryption Field (DDF²).  
         Формат данных EFS, сопоставленных с файлом, и формат элемента ключа показан на рисунке 2. В первой части элемента ключа EFS хранит информацию, достаточную для точного описания открытого ключа пользователя. В нее входит пользовательский идентификатор защиты (SID), имя контейнера, в котором хранится ключ, имя компонента доступа к криптографическим сервисам и хеш сертификата криптографической пары. Во второй части элемента ключа содержится шифрованная версия FEK. Lsasrv шифрует FEK через CryptoAPI по алгоритму RSA с применением открытого ключа данного пользователя.