In che modo i servizi Windows accedono alle cartelle crittografate con NTFS EFS

10

Se ho capito bene, quando abilito la crittografia NTFS (EFS) per una cartella specifica in Windows, utilizza il nome utente / password dell'account specifico (salato) per creare chiavi asimmetriche per la crittografia e la decrittografia dei dati. Se abilito la crittografia per una determinata cartella, presumo che ciò significhi che altri account di sistema (come LocalSystem o NetworkService ) non saranno in grado di accedere ai contenuti di questa cartella.

Come funziona se abiliti la crittografia per l'intera unità? Cioè in che modo i servizi di Windows sono in grado di utilizzare il disco in questo caso?

Il motivo per cui chiedo è che vorrei abilitare la crittografia su una determinata cartella contenente eseguibili distribuiti per diverse applicazioni (un servizio, una console gui, alcuni strumenti da riga di comando, ecc.), quindi mi piacerebbe capire esattamente come avrò bisogno di configurare tutto questo per funzionare.

(Update)

Per chiarire, abbiamo un server situato in una posizione remota, e vorremmo proteggere il nostro software installato dalla copia o dal disassemblaggio. Il server sta eseguendo alcuni servizi che ricevono dati dai dispositivi e li memorizzano, e ha un'app Web per la visualizzazione. L'accesso è protetto da una password piuttosto complessa, ma ciò non impedisce a nessuno di estrarre i dischi e fare una copia.

Se EFS è adatto a questo? O dovremmo adottare un approccio diverso?

    
posta Groo 02.11.2015 - 12:07
fonte

4 risposte

5

Forse BitLocker invece di EFS?

we have a server located at a remote location [...] stop anyone from pulling out the disks and making a copy.

Bene, è possibile utilizzare BitLocker Full-Disk-Encryption e memorizzare la chiave di decrittografia all'interno del chip TPM della scheda madre. E imposta BitLocker per sbloccare automaticamente il volume all'avvio.

Ciò significherebbe che un ladro dovrebbe rubare il SERVER INTERO e non solo estrarre un disco.

Questa modalità di sblocco del volume di BitLocker è chiamata TPM solo .

Ecco un articolo del blog in cui sono elencate le diverse modalità:

Luis Rocha, blog Count Upon Security , 24-06-2014, BitLocker con TPM in 10 passaggi. (Archiviato qui .):

  • TPM Only: No authentication required for the boot sequence but protects against offline attacks and is the most transparent method to the user.

Questo almeno farebbe qualsiasi tentativo di ottenere la chiave molto più facile da prevenire / rilevare.

    
risposta data 02.11.2015 - 15:43
fonte
2

Nessun EFS per le cartelle di sistema.

La documentazione dice: non puoi farlo. (Non ho provato, ma i documenti sono piuttosto chiari al riguardo.)

La voce MSDN Crittografia file (archiviata qui ) dice:

Note that the following items cannot be encrypted:

  • Compressed files
  • System files
  • System directories
  • Root directories
  • Transactions
    
risposta data 02.11.2015 - 13:22
fonte
2

Prima o poi il tuo eseguibile dovrà essere nella memoria del server che lo ospita. Quindi sarà comunque disponibile per l'analisi.

Per poter essere caricato in memoria, deve essere decrittografato se prima era stato crittografato.

In altre parole, una volta controllato il server remoto, i dati che verranno eseguiti saranno disponibili per l'analisi.

    
risposta data 02.11.2015 - 14:08
fonte
-1

Per rispondere alla domanda: Se EFS è adatto a questo?

Penso che EFS sia adatto:

  • Cifra con EFS protetto nel caso in cui il disco rigido venga inserito in un altro computer. I file non possono essere letti senza certificato di sicurezza
  • Per proteggere il codice sorgente nel server in esecuzione, crittografare il codice sorgente di tutte le cartelle con un utente appena gestito. In questo modo, né un amministratore né un account di sistema possono leggere o accedere al tuo codice sorgente. Ma Apache non può leggere il file. È necessario eseguire il servizio Apache con lo stesso account utente che ha crittografato la cartella. Assicurati di disabilitare l'elenco dei file nella configurazione del tuo server Apache.
  • se un utente malintenzionato reimposta la password dell'utente, i file crittografati non saranno disponibili per nessuno, è necessario fornire un certificato di sicurezza.

Modifica:

  • Naturalmente, è necessario avere accesso al server Web che si sta distribuendo il sito ed essere in grado di creare e gestire un utente.

qualcuno rileva qualcosa che manca a questo approccio?

    
risposta data 04.06.2018 - 03:36
fonte

Leggi altre domande sui tag