2015-05-15
761
Системы семейства Windows 2000/XP/2003 и более поздние позволяют шифровать данные, хранящиеся на томе с системой NTFS. Шифрование данные осуществляется так же легко, как и их сжатие. Шифрование является надежным средством предотвращения несанкционированного доступа к информации, даже если будет похищен компьютер с этой информацией или жесткий диск из компьютера. Если данные зашифрованы, то доступ к ним имеет (с небольшим исключением) только тот пользователь, который выполнил шифрование, независимо от установленных разрешений NTFS. Шифрование производится компонентой "Шифрованная файловая система" (EFS, Encrypted File System), являющейся составной частью файловой системой NTFS.
Процесс шифрования производится по следующей схеме:
· при назначении файлу атрибута "Зашифрованный" драйвер системы EFS генерирует "Ключ шифрования файла" (FEK, File Encryption Key);
· блоки данных файла последовательно шифруются по симметричной схеме (одним из алгоритмов симметричного шифрования, встроенных в систему);
|
|
|
· ключ шифрования файла (FEK) шифруется по асимметричной схеме открытым ключом агента восстановления (RA, Recovery Agent);
· зашифрованный ключ шифрования файла сохраняется в атрибуте файла, называемом "Поле восстановления данных" (DRF, Data Recovery Field).
Поле восстановления данных необходимо для защиты от потери доступа к зашифрованной информации в том случае, если будет удалена (вместе с ключом шифрования данных) учетная запись пользователя, зашифровавшего эти данные. Агент восстановления — это специальная учетная запись, для которой EFS создает т.н. "сертификат агента восстановления", в состав которого входят открытый и закрытый ключи этого агента. особенность асимметричного шифрования заключается в том, что для шифрования и дешифрования данных используются два ключа — одним ключом данные шифруются, другим дешифруются. Открытый ключ агента восстановления доступен любому пользователю, поэтому, если пользователь шифрует данные, то в зашифрованных файлах всегда присутствует поле восстановления данных. Закрытый ключ агента восстановления доступен только учетной записи этого агента. Если войти в систему с учетной записью агента восстановления зашифрованных данных, то при открытии зашифрованного файла сначала расшифровывается закрытым ключом агента восстановления хранящийся в DRF ключ шифрования данных, а затем уже извлеченным ключом шифрования дешифруются сами данные.
По умолчанию агентом восстановления на каждом отдельно взятом компьютере является локальная учетная запись Администратор данного компьютера. В масштабах домена можно установить службу сертификатов, сгенерировать для определенных доменных учетных записей соответствующие сертификаты, назначить эти учетные записи агентами восстановления (с помощью групповых политик) и установить эти сертификаты на тех файловых серверах, на которых необходимо шифровать данные. При использовании в масштабах корпоративной сети технологии шифрования данных следует предварительно спланировать все эти действия (развертывание служб сертификатов, выдача и хранение сертификатов, назначение агентов восстановления, процедуры восстановления данных в случае удаления учетной записи, с помощью которой данные были зашифрованы).
|
|
|
Кроме того, во многих ситуациях необходимо также учитывать требования законодательства РФ об использовании только разрешенных на территории России алгоритмов шифрования данных. В таких случаях может потребоваться приобрести соответствующие разрешенные модули шифрования и встроить их в систему.
Следует также помнить, что данные хранятся в зашифрованном виде только на жестком диске. При передаче по сети данные передаются с сервера на ПК пользователя в открытом виде (если не включены политики IPSec).
Квоты
Квоты — это механизм ограничения доступного пользователям пространства на файловом сервере. Если в файловых хранилищах отсутствует механизм квот, то пользователи очень быстро засоряют доступное дисковое пространство файлами, не имеющими отношения к работе, или различными версиями и копиями одних и тех же документов.
В системах Windows Server используется механизм квотирования "На том/На пользователя" (Per volume/Per user). Т.е нельзя установить квоты на отдельные папки тома или для групп пользователей. Размер использованного пользователем места на диске вычисляется по атрибуту "Владелец файла".
Механизм квот включается на закладке "Квота" Свойств тома. Если отметить галочкой поле ""Включить управление квотами", то включается самый "мягкий" режим управления квотами. В этом режиме не включается запрет на использование дискового пространства сверх установленной квоты, не устанавливаются сами размеры квот, не регистрируются события, связанные с превышением пользователями квот.
Если на этой закладке нажать кнопку "Записи квот", то можно получить информацию о том, какой объем дискового пространства использовал в данный момент каждый пользователь.
Если включить самый жесткий механизм квот, то будет установлен запрет на превышение установленной квоты, в системных журналах будут регистрироваться предупреждения о превышении определенного порога, а также события, отражающие достижение пользователем допустимого предела.
В этом режиме страница записей квот будет выглядеть следующим образом:
Если на этой странице щелкнуть двойным щелчком мыши на какой-либо записи квот, то для соответствующего пользователя можно установить индивидуальную квоту, отличную от общих установок.
Если пользователь в процессе сохранения информации на том, управляемый квотами, превысит допустимый размер, то ему будет выдано сообщение.
При этом в системном журнале данного сервера для источника данных "ntfs" и категории "Диск" появится соответствующая запись.
