• Thứ Tư, 20/07/2005 09:01 (GMT+7)

    Bảo mật với EFS trong Windows XP (phần 2)

    Trong bài viết kỳ trước, chúng tôi đã giới thiệu một cách khái quát về EFS, phương thức mã hóa và giải mã dữ liệu của EFS trong Windows XP. Kỳ này, mời các bạn tìm hiểu việc tạo bản sao dự phòng các khóa cần thiết trong trường hợp hệ thống gặp sự cố, phương thức để giải mã, lấy lại quyền truy cập dữ liệu khi bạn không có bản sao dự phòng và một số thông tin liên quan.

    Có thể nói, mã hóa dữ liệu là một hành động đầy mạo hiểm với người dùng. Vì một lý do nào đó, user profile (thông tin tài khoản người dùng) bị hư hỏng hoặc bị xóa đồng nghĩa với việc chìa khoá cần thiết cho quá trình giải mã cũng bị xóa. Những phương thức sau có thể giúp bạn thoát khỏi thảm họa “mất trắng” dữ liệu.

    Trước hết, chúng ta hãy làm quen với một số thuật ngữ được sử dụng trong bài:

    - Đại diện khôi phục dữ liệu (Data Recovery Agent hay Recovery Agent) là một tài khoản người dùng được chỉ định, cho phép giải mã dữ liệu của các tài khoản khác.

    - Bản chứng thực người dùng (Users Certificate) được EFS tạo ra trong quá trình mã hóa dữ liệu. Mỗi tài khoản người dùng đều có bản chứng thực riêng biệt.

    Data Recovery Agent (DRA)

    Như đã đề cập về cách thức EFS mã hóa và giải mã; dữ liệu được EFS mã hóa thường có thêm hai trường thông tin giải mã và khôi phục dữ liệu. Nói một cách đơn giản, ngoài chìa khóa chính, EFS còn cung cấp thêm một (hoặc nhiều) chìa khóa dự phòng - DRA hay RA (hình 1).

    Khác với HĐH Windows 2000, thiết lập mặc định của Windows XP cho phép người dùng sử dụng EFS không cần thiết lập DRA. Vì vậy, việc đầu tiên phải làm sau khi kích hoạt tính năng EFS là thiết lập DRA và sao lưu bảng chứng thực người dùng nếu có nhiều người sử dụng (máy tính dùng chung).

    Quá trình thiết lập DRA cần đến chứng thực người dùng (certificate) có chìa khoá (private key) để giải mã. Sử dụng lệnh cipher /R: trong DOS-Prompt để tạo tập tin .pfx (chứa certificate và private key), tập tin .cer (chứa certificate) với là tên tập tin được tạo.

    Để chứng thực Recovery Agent, đăng nhập vào tài khoản người dùng (thường là tài khoản thuộc nhóm Administrators) được sử dụng làm DRA.

    Chọn Start.Run, gõ dòng lệnh certmgr.msc để mở cửa sổ Certificates.

    Trong Certificates -> Current User, chọn Personal.Certificates, nhấn phải chuột trong khung hiển thị bên phải và chọn All Tasks.Import để hiển thị Certificate Import Wizard.

    Nhấn Next và Browse để đi đến thư mục chứa tập tin .pfx vừa tạo.

    Xác nhận password khi có yêu cầu và chọn Mark This Key As Exportable. Nhấn Next và chọn Automatically Select The Certificate Store Based On The Type Of Certificate.

    Nhấn Next và chọn Finish để kết thúc. (Hình 2)

    Để thiết lập Recovery Agent, chọn Start.Run, gõ dòng lệnh secpol.msc để mở cửa sổ Local Security Settings. Trong Security Settings, chọn Public Key Policies.Encrypting File System, nhấn phải chuột trong khung hiển thị bên phải chọn Add Data Recovery Agent.

    Nhấn Next và Browse để đi đến thư mục chứa tập tin .cer vừa tạo. Nhấn Next và chọn Finish để kết thúc. (Hình 3)

    Nếu thiết lập DRA, trong quá trình mã hóa EFS sẽ tự động gán private key (của DRA) vào trường thông tin khôi phục dữ liệu (tham khảo thông tin trong phần 1, mục Phương thức mã hóa dữ liệu của EFS). Vì vậy, bạn có thể giải mã những dữ liệu được mã hóa của bất kỳ tài khoản người dùng. Tuy nhiên, với những dữ liệu đã mã hóa trước khi DRA được thiết lập, DRA sẽ không thể giải mã vì thông tin khôi phục dữ liệu không chứa private key của DRA.

    Sao lưu bản chứng thực người dùng

    Chọn Start.Run, gõ dòng lệnh certmgr.msc để mở cửa sổ Certificates.

    Trong Certificates -> Current User chọn Personal.Certificates, nhấn phải chuột trên certificate muốn sao lưu và chọn All Tasks.Export để hiển thị Certificate Export Wizard.
    Lưu ý: chọn certificate chứa private key để mã hóa (Encrypting File System); có thể có một vài certificate trong mục này, vì vậy hãy cẩn thận khi chọn.

    Nhấn Next và chọn Yes, Export The Private Key. Thiết lập password khi có yêu cầu và nhấn Next.

    Xác định nơi lưu giữ và tên tập tin (.pfx), nhấn Next và chọn Finish để kết thúc. (Hình 4)

    Trường hợp cài lại hệ điều hành hoặc sử dụng “tạm” với máy tính khác, việc khôi phục bản chứng thực người dùng chứa private key này sẽ giúp bạn truy cập những dữ liệu đã mã hóa.

    Trong thư mục lưu trữ, nhấn phải chuột trên bản sao chứng thực và chọn Install PFX để hiển thị Certificate Import Wizard. Nhấn Next, nhập password bảo vệ khi có yêu cầu. Chọn tùy chọn Place All Certificates In The Following Store. Trong Certificate store chọn Browse và chọn Personal. Nhấn OK và chọn Finish để kết thúc.

    Sau khi khôi phục bản chứng thực, bạn đã có thể truy cập những tập tin mã hóa một cách dễ dàng.

    Sao lưu DRA

    Đăng nhập vào tài khoản người dùng DRA.

    Chọn Start.Run, gõ dòng lệnh secpol.msc để mở cửa sổ Local Security Settings. Trong Security Settings chọn Public Key Policies.Encrypting File System, nhấn phải chuột trên certificate muốn sao lưu và chọn All Tasks.Export để hiển thị Certificate Export Wizard.

    Nhấn Next, chọn DER Encoded Binary X.509 (.CER) và xác định nơi lưu giữ và tên tập tin (.pfx).

    Nhấn Next và chọn Finish để kết thúc.

    Trong các trường hợp trên, bạn sẽ dễ dàng khôi phục dữ liệu mã hóa nếu có sự sao lưu, chuẩn bị trước. Nếu “mất bò mới lo làm chuồng”, một trong những giải pháp đơn giản để khôi phục dữ liệu là sử dụng tiện ích Advanced EFS Data Recovery (http://www.elcomsoft.com/aefsdr.html) của Elcomsoft, tuy nhiên cái giá phải trả để “tìm lại bò” không rẻ chút nào (99USD).

    Vô hiệu EFS

    Việc sử dụng EFS có thể mang lại nhiều phiền toái. Vì vậy, nếu không cần sử dụng tính năng EFS, bạn có thể vô hiệu nó bằng việc chỉnh sửa registry (bạn còn có thể vô hiệu EFS bằng Group Policy, hình 5). Tuy nhiên, trước khi bắt đầu bạn cần đảm bảo có thể phục hồi registry trở lại trạng thái cũ nhằm đề phòng trường hợp xảy ra sai sót (tham khảo bài “Chăm sóc và bảo dưỡng Windows Registry” - TGVT A tháng 5/2002, T.90).

    Start.Run, gõ dòng lệnh regedit.exe.

    Tìm đến khóa EFS theo đường dẫn HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\EFS

    Trong Edit menu, chọn New.DWORD Value với EfsConfiguration là tên khóa, nhập giá trị value data là 1 (để kích hoạt EFS, đổi lại value data là 0).

    Khởi động lại máy tính để thay đổi có hiệu lực.

    Sau khi thay đổi, nếu người dùng cố sử dụng EFS sẽ xuất hiện thông báo lỗi “An error occurred applying attributes to the file: filename. The directory has been disabled for encryption”.


    Một số lưu ý khi sử dụng EFS và DRA
    Certificate chứa private key để mã hóa khác với certificate chứa private key để giải mã. Bạn không thể sử dụng certificate mã hóa để giải mã và ngược lại. Để nhận biết sự khác nhau, bạn nên tham khảo thông tin hiển thị trong mục Intended Purpose (hình 6).
    Để tăng cường tính bảo mật, nên thiết lập password “chắc chắn” cho certificate và lưu giữ ở một nơi an toàn.
    Để giữ nguyên thuộc tính của dữ liệu, sử dụng Backup Utility (System Tools.Backup) để sao chép, di chuyển những tập tin, thư mục đã mã hóa.


    System Restore và EFS
    System Restore giúp người dùng khôi phục hệ điều hành trở lại tình trạng ở thời điểm nào đó trong quá khứ, bạn có thể tận dụng tiện ích này để khôi phục dữ liệu đã mã hóa với EFS. Tuy nhiên có một số điểm cần lưu ý. (Để kích hoạt System Restore, chọn Start.Programs.Accessories.System Tools.System Restore).
    Nếu bạn khôi phục hệ thống vào thời điểm trước khi một tập tin được giải mã (trước đó tập tin đã được mã hoá), tập tin vẫn được giải mã; khi hủy bỏ thao tác khôi phục, tập tin vẫn ở trạng thái giải mã.
    Nếu mã hóa tập tin và khôi phục hệ thống vào thời điểm trước đó, tập tin khôi phục sẽ có thuộc tính không mã hóa; thậm chí khi hủy bỏ khôi phục, tập tin vẫn ở trạng thái không mã hóa.
    Khác với tập tin, nếu mã hóa thư mục và khôi phục hệ thống vào thời điểm trước đó, thư mục khôi phục vẫn giữ thuộc tính mã hóa. Các tập tin được tạo ra trong thư mục này sẽ bị xóa bỏ khi khôi phục hệ thống.

    Đông Quân
    ----------------------------------
    Tài liệu tham khảo
    Encrypting File System
    http://www.microsoft.com/resources/documentation/Windows/XP/all/reskit/en-us/Default.asp?url=/resources/documentation/Windows/XP/all/reskit/en-us/prnb_efs_qutx.asp
    Encrypting File System in Windows XP and Microsoft Windows Server 2003
    http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.mspx
    Triple DES
    http://en.wikipedia.org/wiki/Triple_DES
    ID: A0507_142