На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Локальная атака на файловую систему EFS

Описанные выше атаки на базы данных SAM можно применять и относительно зашифрованных файловых систем.
Чтение файлов, зашифрованных системой EFS, с помощью агента восстановления (recovery agent)
Популярность В

Простота
9

Опасность
10

Степень риска
9

Обнуление или перезапись пароля учетной записи Administrator открывает для хакера новые возможности, если вспомнить, что пользователь Administrator по умолчанию является агентам восстановления файловой системы EFS. После успешного подключения к сис­теме с использованием пустого пароля администратора файлы, зашифрованные файловой системой EFS, будут расшифрованы, поскольку администратор получает доступ к ключу шифрования файлов (File Encryption Key, FEK), используя свой ключ восстановлен ил.
Чтобы понять, как это работает, вспомним, как организована файловая система EFS (подробности см. в главе 16, "Возможности и средства зашиты в системах Windows"). Ключ шифрования файлов (с помощью которого можно расшифровать файл) генерируется автоматически и шифруется другими ключами, полученные зашифрованные значения сохраняются в виде атрибутов файла. Ключ FEK шифруется с помощью открытого ключа пользователя (каждый пользователь в Windows 2000 и следующих версиях получает пару ключей — открытый и секретный ключ) и сохраняется в атрибуте файла, который называется поле расшифровки данных (Data Decipher Filed, DDF). Когда пользователь обращается к файлу, его секретный ключ используется для расшифровки поля DDF И получения ключа FEK, который используется для расшифровки файла. Значение, получаемое при шифровании ключа FEK ключом
агента восстановления, сохраняется В атрибуте, который называется полем восстановления данных (Data Recovery Field, DRF). Таким образом, если роль агента восстановления выполняет локальный администратор (это настройка по умолчанию), то любой человек, получивший доступ к системе с правами учетной записи администратора, сможет расшифровать поле DRF с помощью своего секретного ключа, получит ключ FEK и сможет расшифровать любой локальный файл, защищенный системой EFS.
Отключение делегирования прав агента восстановления
Но что произойдет, если права агента восстановления переданы какому-либо другому пользователю, не администратору? Грейс и Бартлетт обошли это препятствие, установив службу, которая при загрузке системы переустанавливает пароль для любой учетной записи, назначенной агентом восстановления.
Конечно, хакер вовсе не обязан сосредотачивать все внимание исключительно на агенте восстановления, просто как оказалось, эта простейший путь получения доступа ко всем файлам на диске, зашифрованным системой EFS. Другой способ обойти назначенного агента восстановления — выдать себя за пользователя, который зашифровал файл. Используя программу chntpw (см. выше), можно переустановить пароль для любой учетной записи во время локальной атаки системы. Хакер может войти в систему под именем пользователя, расшифровать поле DDF с помощью секретного ключа, открыть ключ FEK и расшифровать файл. В таком случае вообще не требуется секретного ключа агента восстановления.
Для определения того, какой учетной записи принадлежит зашифрованный файл, можно использовать программу efsinfo из пакета Resource Kit. Для этой цели воспользуйтесь командой efsinfo /г /и {имя_фзЙЛа].
Чтение данных, зашифрованных файловой системой EFS, с использованием имени пользователя и пароля
Важно отметить, что атака с использованием агента восстановления, установленного по умолчанию (учетной записи локального администратора), - это всего лишь простейший способ атаки файловой системы EFS. Атака учетных записей пользователей всегда даст возможность расшифровать любой файл, зашифрованный этим пользователем через систему EFS. Помните, что ключ FEK шифруется секретным ключом пользователя и записывается В поле расшифровки данных (DDF) для каждого зашифрованного файла. Вход в систему от имени этого пользователя приводит к возможности расшифровки любого файла, зашифрованного раньше. Единственный способ защититься от атак с использованием учетной записи пользователя для получения доступа к зашифрованным файлам - запустить программу SYSKEY а режиме 2 или 3 (эти значения описаны ниже). Хотя режимы SYSKEY 2 или 3 можно отключить с помощью программы chntpw, но файлы, зашифрованные системой EFS, нельзя будет расшифровать, поскольку ключи EFS будут храниться в кэш-памяти службы 1-SA Secrets (см. главу S), для открытия которой потребуется ключ SY5KEY. Если программа SYSKEY отключена с помощью chntpw, то исходное значение этого ключа становится недоступным.
Меры противодействия локальным атакам

Бюллетень !Г;
Нет


BID
Нет


Исправлено в SP
Нет


Фишшяямвяюа
Ирм

:
Если хакер имеет неограниченный физический доступ к системе, то для блокирования его атак остаются считанные способы. _
Наиболее эффективным способом блокирования атак на локальные системы — физически обезопасить серверы: снять или отключить приводы, работающие со съемными носителями информации или установить пароль BIOS, который требуется вводить при каждой за­грузке системы (еще лучше было бы установить пароли на доступ к жестким дискам с использованием спецификаций АТА-3 или выше). Мы рекомендуем использовать все эти методы.
Единственный метод уровня операционной системы, который позволит частично сдержать атаку, — настроить Windows таким образом, чтобы при загрузке требовалось ввести пароль или вставить ключевую дискету (режимы использования syskey описаны в главе 2, "Архитектура системы безопасности Windows Server 2003").
Интересно отметить, что компания Microsoft в своем ответе Грейсу и Бартлетту утверждает, что проблему сброса пароля администратора путем удаления базы данных SAM можно решить использованием ключа syskey. Не дайте ввести себя в заблуждение -- мы уже продемонстрировали, что это не так, если только не выбран режим syskey, при котором требуется ввести пароль или вставить ключевую дискету для загрузки (в статье Microsoft об этом не упоминается).
Режим использования syskey 2 или 3 помогает предотвратить простые атаки, такие как удаление файла SAM для обнуления пароля администратора. Но это не остановит злоумышленника, который использует программу chntpw для отключения syskey, независимо от режима использования последней (хотя, если атакуемая система — Windows 2000 или более поздняя версия, то существует риск вывести ее из строя). В статье "Analysis of Alleged Vulnerability in Windows 2000 Syskey and the Encrypting Filesystem" (см. раздел "Дополнительная литература и ссылки" в конце главы) компания Microsoft отмечает, что даже если при отключении syskey В режимах 2 и 3 злоумышленник может войти в систему, он не сможет получить доступ к файлам зашифрованным системой EFS, поскольку ключ syskey не хранится в системе и поэтому недостаточно снятия блокировки для службы LSA Secrets, где хранятся ключи шифрования EFS. Использование syskey в режимах 2 и 3 Не позволяет заблокировать доступ в систему, но закрывает доступ к файлам, зашифрованным системой EFS. Поэтому мы рекомендуем использовать эти режимы мобильным пользователям, чьи ноутбуки могут быть украдены.
Экспортируйте ключи восстановления и храните их в безопасном месте
Еше один механизм уровня операционной системы, который снижает риск атаки с использованием агента восстановления, - экспорт ключа агента восстановления и его удаление из локальной системы.
К сожалению, компания Microsoft плохо документировала эту процедуру, потому мы опишем ее здесь подробно. Для экспортирования сертификатов агента восстановления в автономные системы откройте объект Local Policy (Локальные Политики, файл gpedit.insc), перейди­те в ветвь Computer ConfigurationsWindows Settings\Security Settings\Public Key Policies\Encrypted Data Recovery Agents (Конфигурация компьютера/ Конфигурация Windows/Параметры безопасноети/Политики открытого ключа/ Агенты восстановления шифрованных данных), щелкните правой кнопкой мыши на установленной учетной записи для агента восстановления на правой панели (как правило, это Administrator), выберите пункт меню All Tasks (Все задачи)1*Export (Экспорт).
В результате будет запущен мастер, который предложит ввести различные данные перед тем, как ключ будет экспортирован. Для резервного копирования ключа агента восстановления требуется экспортировать секретный ключ вместе с сертификатом. Мы рекомендуем включить защиту (для этого требуется пароль). И наконец, убедитесь в том, что выбран пункт Delete the Private Key if Export Is Successful (Удалить закрытый ключ, если экспорт завершился успешно). Последний шаг делает кражу ключа агента восстановления очень маловероятным событием (мы просто не любим слово "невозможный"...).
Напомним, что удаление сертификата агента восстановления перед экспортом отключит систему EF3. Система EFS не работает, если не определен агент восстановления!
Объекты, которые были зашифрованы до удаления агента восстановления, остаются зашифрованными, И, конечно, их сможет открыть только пользователь, который зашифровал данные, если только с резервной копии не будет переустановлен агент восстановления.
Реализация файловой системы EFS в контексте домена Windows
Для машин, которые подключены к домену, ситуация несколько иная: контроллер домена хранит ключ восстановления для всех систем домена. Когда машина под управлением Windows 2000 (или более поздней версии Windows) подключается к домену, автоматически включается политика восстановления для домена, принятая по умолчанию (Domain Default Recovery Policy). Агентом восстановления становится администратор домена (Domain Administrator), а не локальный администратор. Таким образом, зашифрованные данные и ключи восстановления оказываются разделены физически, что еще больше усложняет атаки с использованием ключа агента восстановления.
Мы рекомендуем организовать экспорт сертификата агента восстановления и на контроллерах домена. Если контроллер домена будет взломан и ключ восстановления будет доступен локально, то в опасности окажется каждая система домена.
Перед тем как рассматриваемая тема будет закрыта, напоминаем всем еще раз, что хотя можно осуществить защиту ключа агента восстановления с помощью экспортирования и последующего удаления с локальной машины или благодаря подключению к домену, ни одна из этих мер противодействия не защитит данные, зашифрованные системой EFS, от хакера, который взломал учетную запись пользователя, зашифровавшего информацию. Ключ FEK шифруется открытым ключом пользователя и хранится в поле DDF (Data Decipher Field, поле дешифровки данных), которое связывается с зашифрованным файлом. Вход в систему под именем пользователя приведет к возможности дешифровки всех файлов, зашифрованных этим пользователем. Таким образом, единственной реальной зашитой данных системы EFS является использование SYSKEY в режимах 2 или 3.
При запуске syskey в режиме 3, не храните дискету поблизости от защищаемой системы, в противном случае защита будет бесполезной.
Чтобы изучить этот вопрос подробнее, давайте рассмотрим кэш аутентификации систем семейства Windows NT. Все правильно, как мы и указывали в главе 2, "Архитектура системы безопасности Windows Server 2003", для всех систем семейства Windows NT аутентификаци­онные данные для входа в домен кэшируются на локальном компьютере для возможности аутентификации, даже когда контроллер домена будет недоступен. Вы когда-нибудь задумывались, каким образом вы входите в подключенную к домену систему на своем переносном компьютере, когда зы даже не подключены К сети? Дело в том, что по умолчанию десять последних наборов аутентификационных данных для входа в домен хранятся на локальном компьютере, по существу, аутентификация происходит с помощью взших собственных кэ-шированных имени пользователя и пароля.
Эта технология описана в статье базы знаний Microsoft (72931, в которой указаны параметры реестра для настройки этой возможности. Для Windows 2000 эти настройки доступны с помощью параметра политики безопасности (Security Poiicy) под названием "Interactive Logon: Number Of Previous Logons To Cache (In Case Domain Controller Is Not Available") — "Интерактивный вход в систему: количество предьщущих подключений к кэшу (в случае отсутствия доступа кконтроллсру домена). Значение этого параметра особенно важно для EFS, поскольку злоумышленник, получивший физический доступ к машине способен открыть кэш аутентификации, а значит, выдать себя за другого пользователя и отрыть зашифрованные пользователем файлы EFS. Тод Сабин (Todd Sabin) из исследовательской группы по проблемам безопасности Bindview Razor рассказал о методе проведения подобных атак в 2001 году на конференции Black Hat, а также отправил крат­кое описание своего метода атаки в список рассылки Bugtraq в начале 2003 года. Тод продемонстрировал использование средства, которое он назвал hashpipe, позволяющего скопировать аутентификационный кэш с системы семейства Windows NT, т.е. получить доступ к хешированный паролям,
которые использовались в сохраненных в кэше событиях входа в систему (обратите внимание, эта программа не была обнародована). Хота пароли еще придется взломать (см. главу 8, "Расширение сферы влияния"), но эта программа раскрыла потенциальную брешь в системе защиты EFS при работе в домене. Каково решение згой проблемы? Установите значение параметра для хранимых в кэше событий аутентификации равным кулю, как показано нэ 1.
ВНИМАНИЕ
Установка подобного значения для параметра "Количество предыдущих подключений к кэшу..." не позволит пользователям войти в систему при отсутствии доступа к контроллеру домена.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика