|
注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 251|回复: 0

[网络安全] 针对Windows数据的攻防

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
46715
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   638 小时
   最后登录
   2020-9-25
发表于 2020-9-15 07:29:38 来自手机 | 显示全部楼层 |阅读模式
     针对Windows操作系统的数据安全主要包括数据本身的安全、数据存储安全和数据处理安全三部分,主要面对的安全威胁包括电源故障、存储器故障、人为误操作、网络入侵、病毒、信息窃取和自然灾害等方面。
2.2.1 数据本身的安全
数据本身的安全主要通过数据加密技术来实现,包括可靠的加密算法和安全体系。常用的加密算法主要有对称加密算法和非对称加密算法(公开密钥密码体系)两种。本节重点介绍Windows提供的EFS加密和BitLocker加密方法。
1. EFS加密方法
EFS(Encrypting File System,加密文件系统)是Windows操作系统中基于NTFS(New Technology File System,新技术文件系统)实现对文件进行加密与解密服务的一项技术。EFS采用核心文件加密技术,当文件或文件夹被加密之后,对于合法Windows用户来说不会改变其使用习惯。当操作经EFS加密后的文件时与操作普通文件没有任何区别,所有的用户身份认证和解密操作由系统在后台自动完成。而对于非法Windows用户来说,则无法打开经EFS加密的文件或文件夹。在多用户Windows操作系统中,不同的用户,可通过EFS加密自己的文件或文件夹,实现对重要数据的安全保护。
(1)EFS的加密过程。在Windows操作系统中,选取位于NTFS分区中的待加密的文件夹后,依次选择“属性→常规→高级”选项,在打开如图2-3所示的对话框中选中“加密内容以便保护数据”复选框后,就可以对指定的文件夹或文件进行EFS加密操作。下面主要介绍EFS加密的实现原理。当一个文件或文件夹被加密时,EFS调用Windows Crypto API,使用基于口令的密钥派生功能,采用Microsoft Base Cryptographic Provider随机生成一个用于加密和解密文件的对称密钥FEK(File Encryption Key,文件加密密钥)。
②在第一次使用EFS时,如果用户还没有非对称密钥(公钥和私钥对),系统会根据该用户(加密者)的SID(Security Identifier,安全标识符)生成一个1024位的RSA非对称密钥,其中公钥保存在该账户的证书文件中。
需要说明的是,SID是标识用户、组和计算机账户的唯一标识符,第一次创建该账户时,系统会给该账户生成一个唯一的SID。当用户登录系统并通过验证后,Windows的内部进程将调用该账户的SID而不是账户的用户名或组名。也就是说,创建了一个账户并将其删除后,如果再创建一个同名的账户,则新创建的账户与被删除的账户的SID是不一样的。
③EFS从用户证书中获取公钥,用来加密FEK。具体会在文件头中创建一个DDF(Data Decryption Field,数据加密域)字段,用来保存用公钥加密的FEK。接着,EFS使用每一个DRA(Data Recovery Agent,数据恢复代理)证书中的公钥分别加密FEK,然后将这些经DRA加密的FEK组合起来,共同保存在加密文件头部的DRF(Data Recovery Field,数据恢复域)字段中。
需要说明的是,当利用EFS加密数据时,一旦密钥数据丢失就会为数据的恢复带来困难,为解决这些问题,可以通过创建数据恢复代理(DRA)。DRA可以透明地访问其他用户加密的文件,并通过执行解密操作恢复经EFS加密的文件或文件夹,是EFS策略的一个重要部分。DRA访问加密文件的过程和加密用户访问加密文件的过程类似,也是通过公钥/私钥对来实现的。针对一个EFS加密用户,可以同时存在多个DRA,所以可能存在多个经不同DRA公钥加密的FEK。经EFS加密后的文件结构,④系统并没有将密钥保存在Windows操作系统的SAM或其他的文件夹中,而是经重新加密后保存在受保护的密钥存储区域中。为了安全保存私钥,EFS调用数据保护API(Data Protection API)一个256位的被称为用户主密钥(Master Key)的对称密钥,用该密钥加密私钥。被加密的私钥保存在“%UserProfile%\ApplicationData\Microsoft\Crypto\RSA\SID”文件夹中。
⑤为了安全保存用户主密钥,EFS再次调用数据保护API,通过计算该EFS用户凭据(包括该Windows登录账户的用户名和口令)的Hash值生成一个对称密钥,再用该密钥加密用户主密钥。被加密的用户主密钥保存在“%UserProfile%\ApplicationData\Microsoft\Protect\SID”文件夹中。
(2)EFS的解密过程。EFS的解密是其加密操作的逆过程,主要操作步骤如下。
①当Windows合法用户需要打开经EFS加密的文件时,EFS调用数据保护API,根据该登录账户的用户名和口令的Hash值生成一个对称密钥,再利用该密钥得到用户主密钥(Master Key)。
②通过用户主密钥,取回用户的私钥。
③通过用户的私钥,解密存放在文件头DDF(数据加密域)字段中的FEK。
④用FEK解密被加密文件,得到明文数据。
除以上的EFS加密用户外,其他被指派的数据恢复代理也可以通过类似的操作来解密被EFS加密的文件。
(3)EFS的特点。在谈到EFS的特点前,首先有两个基本的概念需要强调:一是传统的加密技术可分为对称加密和非对称加密(公钥密钥)两类,其中对称加密的效率要比非对称加密高,但对称加密的密钥管理较为困难,而EFS综合运用了对称加密和非对称加密两种技术,充分利用了对称加密的高效和非对称加密的安全性优势;二是身份认证技术是资源受保护系统对访问者身份的合法性进行验证的基础,而身份认证的关键技术是数据加密,即对数据访问者身份进行审核,只有符合条件的访问者才能对数据进行读取、写入、修改等操作。
EFS技术的特点主要体现在以下几个方面。
①对于用户来说,EFS技术采用了透明加密操作方式,即所有的加密和解密过程对用户来说是感觉不到的。这是因为EFS运行在操作系统的内核模式下,通过操作文件系统,向整个系统提供实时、透明、动态的数据加密和解密服务。当合法用户操作经EFS加密的数据时,系统将自动进行解密操作。
②由于FEK和用户主密钥的生成都与登录账户的用户名和口令相关,所以用户登录操作系统的同时已经完成了身份验证。在用户访问经EFS技术加密的文件时,用户身份的合法性已经得到验证,无须再次输入其认证信息。
③EFS允许文件的原加密者指派其他的合法用户以数据恢复代理的身份来解密经加密的数据,同一个加密文件可以根据需要由多个合法用户访问。
④EFS技术可以与Windows操作系统的权限管理机制结合,实现对数据的安全管理。
当然,EFS技术也存在一些设计上的缺陷和应用中的不足,主要表现为以下几方面。
①EFS技术中密钥的生成基于登录账户的用户名和口令,但并不完全依赖于登录账户的用户名和口令,如FEK由用户的SID生成。当重新安装了操作系统后,虽然创建了与之前完全相同的用户名和口令,但此账户非彼账户,导致原来加密的文件无法访问。为解决此问题,EFS提供了密钥导出或备份功能,但此操作仅取决于用户的安全意识。
②由于EFS将所有的密钥都保存在Windows分区中,攻击者可以通过破解登录账户进一步获取所需要的密钥,以解密并得到加密文件。
③EFS技术可以防止非法用户访问受保护的数据,但是具有删除权限的用户可以删除经EFS加密的文件或文件夹,安全性受到威胁。
2. BitLocker加密方法BitLocker全称为Bitlocker Driver Encryption(BitLocker驱动器加密),是从Windows Vista开始新增的一种数据保护功能,以防止计算机中存储的数据因硬盘等硬件设备丢失而造成的数据失窃或重要信息泄露等安全问题。
(1)Windows不同版本对BitLocker功能的支持。Windows Vista中的BitLocker程序只能实现对操作系统驱动器的加密,从Windows Vista SP1和Windows Server 2008开始增加了对固定数据驱动器的加密,从Windows Server 2008和Windows 7开始增加了BitLocker to Go功能,可以对外部硬盘驱动器和USB闪存驱动器(U盘)等可移动数据驱动器进行加密。从Windows Server 2012和Windows 8开始,BitLocker程序引入了网络解锁功能,在域环境下通过自动解锁可以在重新启动系统时加入到域环境中,同时还提供了仅加密已用磁盘空间的加密方式,以加速加密过程。从Windows Server 2012 R2和Windows 8.1开始,BitLocker程序开始支持TPM(Trusted Platform Module,可信平台模块),可以对安装有TPM芯片的基于x86和x64的计算机上的数据实现从操作系统启动开始到应用程序运行全过程的安全保护。同时,恢复密码保护程序使用符合FIPS(Federal Information Processing Standards,美国联邦信息处理标准)的算法。
(2)BitLocker的加密原理。BitLocker采用128~256位的AES(Advanced Encryption Standard,高级加密标准算法)对指定的每个扇区单独进行加密,加密密钥的一部分源自于扇区编号。为此,两个存储状态完全相同的扇区也会产生不同的加密密钥。使用AES加密数据前,BitLocker还会使用一种称为扩散器(diffuser)的算法,确保即使是对明文的细微改变都会导致整个扇区的加密密文发生变化,这使得攻击者发现密钥或数据的难度大大增加。
BitLocker使用FVEK(Full Volume Encrypt Key,全卷加密密钥)对整个系统卷进行加密,FVEK又被VMK(Volume Master Key,主卷密钥)加密。因此,如果VMK被攻击者破解,那么系统可以通过更换新的VMK来重新加密FVEK,而不需要对磁盘数据解密后再重新进行加密。
使用BitLocker加密系统磁盘时,系统生成一个启动密钥和一个恢复密钥(recovery key)。恢复密钥是一个以文件方式存在的密码文件,为48位明文密码,该48位的密码分为8组,每组由6个数字组成,可以查看和打印保存。BitLocker保存的是恢复密钥,与之对应的是启动密钥。需要的时候,可以使用恢复密钥解密出被加密的磁盘副本。如果将BitLocker保护的磁盘转移到其他计算机上,可以使用恢复密钥打开被加密的文件。系统启动密钥和恢复密钥都可以备份保存。
(3)BitLocker支持的两种工作模式。根据独立设备的不同,BitLocker主要包含TPM(Trusted Platform Module,可信平台模块)和U盘两种工作模式。如果要使BitLocker工作在TPM模式下,计算机最低需要支持TPM v1.2。TPM芯片一般集成在计算机主板上,BitLocker会将其密钥保存在TPM指定的存储区域中。经BitLocker加密的系统引导磁盘启动时,先由TPM解密SRK(Storage Root Key,存储根密钥),再由SRK解密VMK,然后由VMK解密FVEK,最后由FVEK解密磁盘数据完成系统启动,启动过程如图2-5所示。如果计算机没有TPM芯片,可以使用U盘等USB设备来保存加密密钥和解密密钥,这时BitLocker需要工作在U盘模式下,此时用户必须输入正确的PIN(Personal Identification Number,个人识别码)或插入USB密钥并输入正确的启动口令(startup password);否则系统无法正常启动。
    TPM是可信计算(Trusted Computing,TC)实现的基础,它为可信计算平台中实现数据的真实性、数据的机密性、数据保护,以及代码的真实性、代码的机密性和代码的保护提供密钥生成与管理、证书管理等安全保障。基于TPM的可信计算技术,用于保护指定的数据存储区,防止攻击者实施特定类型的物理访问,同时赋予所有在计算平台上执行的代码以证明它在一个未被篡改环境中运行的能力。BitLocker便是可信计算技术在Windows环境下的具体应用。
(4)BitLocker的启用。对于存有重要数据的磁盘分区,可以利用BitLocker程序对其直接进行加密,这样只有合法用户才能访问加密的数据内容,其他用户在尝试访问被加密的数据分区时,系统会弹出类似“拒绝访问”的提示。在对某一数据分区执行“启用BitLocker”项目后,在弹出的如图2-6所示的对话框中选中“使用密码解锁驱动器”或“使用智能卡解锁驱动器”复选框,如果本地计算机没有集成TPM芯片,就只能选择“使用密码解锁驱动器”方式。之后,在访问加密分区中的文件时,需要输入事先设置的密码。如果在本地计算机中同时安装了两个操作系统,当切换到另一个系统后试图访问加密磁盘分区中的文件时,系统会弹出类似“驱动器不可用”的提示。如果用户将加密分区所在的硬盘移动到其他计算机上,该加密分区中的内容也不能被直接访问。要能够访问,必须要使用加密该分区时创建的备份密钥,从而大大提升了硬盘数据的安全性。不过,当加密数据从NTFS加密驱动器复制到其他文件系统上时会自动解密。

发表回复

您需要登录后才可以回帖 登录 | 注册会员 |

本版积分规则

快速回复 返回顶部 返回列表