В первой части статьи я рассказывал о восстановлении паролей учетной записи пользователя при работе с операционными системами Windows XP/Vista/7 и восстановлении паролей к почте и интернет-сайтам. Следующей задачей, которой часто приходится заниматься при расследовании инцидентов, является восстановление паролей к архивам, почтовым клиентам и EFS (Encrypting File System). Об этом и пойдет речь в данной статье.
Восстановление паролей к EFS
Очень часто мы с вами при исследовании компьютеров можем наблюдать ситуацию, когда по той или иной причине утрачен доступ к папкам или файлам, зашифрованным с помощью EFS (Encrypting File System). Причем зачастую пользователь сам забывает сделать сертификат для восстановления или переустанавливает систему, не расшифровав предварительно соответствующие файлы и папки или не экспортировав сертификат. Как быть в этом случае?
Служба EFS (Encrypting File System) тесно интегрирована с NTFS. Появилась она в Windows 2000. Файловые системы по состоянию на сегодня не обеспечивают необходимый уровень защиты данных от несанкционированного доступа. Ведь, несмотря на то что в NTFS существует разграничение доступа, можно получить доступ, загрузившись из-под сторонней операционной системы. Единственным средством защиты от прочтения является шифрование файлов. Рассмотрим подробнее, как работает EFS.
EFS использует архитектуру Windows CryptoAPI. В ее основе лежит шифрование с открытым ключом. Для шифрования каждого файла случайным образом генерируется ключ шифрования файла. При этом сам файл будет шифроваться с помощью любого симметричного алгоритма шифрования. В данный момент для этого используется алгоритм DESX, который является специальной модификацией DES.
Операции шифрования и дешифрования поддерживаются для файлов и каталогов. В том случае, если шифруется каталог, автоматически шифруются все файлы и подкаталоги этого каталога. Необходимо отметить, что если зашифрованный файл перемещается или переименовывается из зашифрованного каталога в незашифрованный, то он все равно остается зашифрованным. Операции шифрования/дешифрования можно выполнить двумя различными способами - с помощью Windows Explorer или консольной утилиты Cipher.
Зашифрованные файлы хранятся на диске в зашифрованном виде. При чтении файла данные автоматически расшифровываются, а при записи - автоматически шифруются.
Для шифрования в EFS используется схема с общим ключом. При этом данные шифруются симметричным алгоритмом при помощи сгенерированного случайным образом ключа FEK определенной длины. FEK шифруется одним или несколькими общими ключами шифрования, в результате чего получается список зашифрованных ключей FEK. Список зашифрованных ключей FEK хранится в специальном атрибуте EFS, который называется DDF (data decryption field - поле дешифрования данных). Информация, при помощи которой производится шифрование данных, жестко связана с этим файлом. Общие ключи выделяются из пар пользовательских ключей сертификата X509 с дополнительной возможностью использования File encryption. Личные ключи из этих пар применяются при дешифровании данных и FEK.
FEK также шифруется при помощи одного или нескольких ключей восстановления (полученных из сертификатов X509, записанных в политике восстановления зашифрованных данных для данного компьютера, с дополнительной возможностью File recovery).
Восстановление ключей EFS
На самом деле, правильнее всего в этой ситуации восстановить пароль пользователя. Тогда расшифровать EFS будет значительно проще, мы к этому еще вернемся. Однако необходимо понимать, что даже если у вас нет пароля, все равно можно попробовать расшифровать соответствующие файлы и папки. Для этого предназначено программное обеспечение Advanced EFS Data Recovery.
В данном программном обеспечении для удобства пользователя создан соответствующий мастер Advanced EFS Data Recovery, с помощью которого вы сможете пошагово пройти весь процесс расшифровки. Или можно воспользоваться "Режимом эксперта" для того, чтобы выполнять действия самому.
На мой взгляд, если человек, использующий Advanced EFS Data Recovery, не чувствует себя уверенно, гораздо удобнее задействовать Мастер Advanced EFS Data Recovery. Рассмотрим этот режим более подробно.
На первом этапе работы мастера Advanced EFS Data Recovery система запросит персональный сертификат, использовавшийся для EFS.
Предположим, у вас есть такой сертификат (ситуация крайне редкая, ведь пользователи почему-то либо пренебрегают экспортом сертификатов, либо просто забывают, куда же его экспортировали). В этом случае все достаточно просто. От вас требуется выбрать файл сертификата и ввести пароль сертификата. Далее производится поиск всех зашифрованных с его помощью папок и файлов на локальных разделах. Вы получаете список зашифрованных данным сертификатом файлов, которые можете расшифровать. Естественно, в случае исследования компьютера расшифровывать придется на другой жесткий диск или внешний носитель, дабы ничего не повредить.
Но как быть, если у вас нет сертификата? В этом случае мастер Advanced EFS Data Recovery предложит поискать его на жестком диске. Учтите, что вы сможете искать сертификат не только среди существующих файлов, но и среди удаленных. Но для этого необходимо включить флажок "Сканировать посекторно". Рекомендуется включать данный режим при повторном сканировании, если на первом проходе вы не обнаружили искомые сертификаты.
Далее некоторое время у вас займет сам поиск ключей. В результате поиска будет выведено окно мастера. Если ключи не найдены, необходимо ввести имя пользователя (владельца EFS) и его пароль или в крайнем случае HEX-код. Как получить пароль пользователя, было описано в предыдущей статье.
Если вам известен пароль пользователя, вы вводите имя соответствующей учетной записи и ее пароль и нажимаете кнопку "Вперед". Далее происходит дешифрование найденных папок и файлов, зашифрованных с помощью EFS. Как видите, даже если вы переустановили операционную систему, это не означает, что вы потеряли данные, зашифрованные с помощью EFS.
Не забудьте, что если вы знаете имя и пароль учетной записи, под которой осуществлялось шифрование, процесс расшифровывания займет куда меньше времени. В противном случае можно попытаться осуществить дешифрование с помощью режима эксперта. Хотя надо признать, что вероятность положительного результата в данном случае заметно ниже. Вам будет предложено добавить пароль из словаря. Естественно, считается, что файлы словарей у вас есть.
Хотелось бы отметить следующее. Как мы видим, сегодня существуют достаточно мощные средства восстановления (взлома) паролей. Следовательно, для обеспечения их стойкости у нас есть три пути:
- Дальнейшее наращивание длины и сложности (на мой взгляд, путь тупиковый, потому что рано или поздно пользователи начинают путаться, забывать пароли, применять один и тот же на все случаи жизни и т. д.).
- Использование биометрических средств аутентификации.
- Использование многофакторной аутентификации и сертификатов. Данный путь опять-таки, на мой взгляд, значительно перспективнее, однако стоит учесть, что предлагаемые решения, конечно же, стоят денег, и порой немалых.
Выбор, естественно, за вами.
Владимир БЕЗМАЛЫЙ
Горячие темы