ANTICHAT — форум по информационной безопасности, OSINT и технологиям

SpangeBoB
А если нет сертификата, то не сможет копировать или на FAT всеравно не будет читатся ? че то не очень понимаю.. в противном случае можно украсть и расшифровать переместив на FAT том.

и еще не ясно четко 4 и 5 пункт. допустим если пользователь грузит аккаунт с домена, то IPSec исключает перекват EFS ключа ?
А темп шифровывать надо для того, что туда кэщируется ключи EFS ?

Допустим удалось попасть за компьютер пользователя,но пользователь удалил сертификат,то доступ на копировании будет запрещен.Перемещение и дешифрование возможно только при наличии сертификата,в остальном файл будет также зашифрован не зависимо куда копируется.

Да IPSEC позволит шифровать данные между сервером и клиентом исключаю возможность перехвата данных(т.к сертификат пользователя хранится в профиле возможно перехватить ).Некоторые программы создают временные файлы в TEMP которые не будут шифроваться и можно получить к ним доступ.

Благодарю

Осталось это пользователю объяснить...

а сертификат и ключи - это разные вещи в EFS ? если шифровать файлы, и хочется переустановить систему, то место копирования профиля можно достать только ключи или сертификат и хранить в флешке? (если да, то где он находятся)
А еще мне интересно, передачи ключа по домену. если на файловом сервере шифровать данные и надо разрешить только авторизованным пользователям домена - как это будет? ..

1)Миграция сертификатов описанно сдесь:
http://technet.microsoft.com/en-us/library/cc722147.aspx

2)Про домен :
http://www.microsoft.com/windowsxp/using/security/expert/sharefilesefs.mspx
http://technet.microsoft.com/en-us/library/bb457065.aspx
http://technet.microsoft.com/en-us/library/cc781588(WS.10).aspx

http://winsecurity.ru/articles/detail.php?ID=2227&phrase_id=1094722

При копировании с EFS на ФС, не поддерживающую EFS шифрование теряется (можно самому за минуту проверить это).
А вообще не понятна сама задача.
Если надо супер безопасность: отключи все внешние носители и интернет и используй IPSEC и шифрование файлов на сервере.
У меня лично сделано на сервере luksfs (шифрованая ФС) на которой лежат данные и через ssh -X -C username@server program запускаю проги с этого же сервера. Не слишком хороший вариант, но на скорую руку получаю шифрование ssh с неким подобием терминал сервера и шифрование данных на всех уровнях (ФС и сеть). Самое уязвимое место наверное остаётся сам сервер.
С помощью RDP (поверх SSL)+EFS я думаю можно получить нечто подобное.

Только если есть сертификат в остальных случаях шифрование не теряется.

[QUOTE=SpangeBoB] Получается что шифрование будет не на уровне ФС, а просто файл зашифрованым останется (например для случая с FAT)?

Если я не ошибаюсь, EFS шифрует на уровне блоков ФС (NTFS), или я ошибаюсь?

Слегка ошибаешся =)

Файл при копировании в файловую систему не поддерживаюшую EFS будет предварительно расшифрован и скопирован - при условии что у тебя имеется соответствующий сертификат если у тебя нет сертификата то и возможности снять шифрование тоже нет а значит файл останется зашифрованным в независимости куда ты его скопируеш.

2B1t.exe

Читай внимательнее пост №4