Lucrarea nr.

ADMINISTRAREA SECURITĂŢII SISTEMULUI WINDOWS (2)

3.1 Sistemul de fişiere NTFS

Implementarea securităţii la nivel de fişier, în cadrul sistemului Windows este în legătură directă
cu existenţa tipului de sistem de fişiere NTFS (NT File System). Acesta, spre deosebire de sistemele
anterioare (FAT şi FAT32), asigură o serie de avantaje, şi anume: permite volume cu dimensiunea de până
la 16 exabytes, utilizarea de nume de fişier lungi, este tolerant la erori. Oferă, de asemenea, o mai bună
securitate prin intermediul permisiunilor (drepturilor) de acces şi a criptării.
Informaţii despre starea actuală a harddisc-ului precum şi tipul sistemului de fişiere folosit se obţin
accesând Control Panel, Administrative Tools, Computer Management, Disk
Management (figura 3.1).
Folosind comanda convert C:\fs:ntfs se poate realiza conversia de la tipul de sistem de
fişiere FAT32 la NTFS a discului (partiţiei) C:. Din motive de siguranţă a datelor, înainte de conversie se
recomandă salvarea datelor importante.

Fig. 3.1 Informaţii despre sistemul de fişiere

După instalarea sistemului de fişiere NTFS, se vor trece în revistă folderele partajate existente.
Pentru a vedea o listă a acestora, se va selecta Control Panel, Administrative Tools,
Computer Management, Shared Folders, Shares (figura 3.2):

1
 Fig. 3.2 Foldere partajate în consola de administrare a computerului, Microsoft Management
Console (MMC)

Din exemplul ilustrat în figura anterioară se observă că există multe partajări administrative, pentru
utilizatorii din grupul Administrators. Partajările IPC$ şi ADMIN$ sunt partajări system-level,
esenţiale pentru comunicarea între procese şi pentru administrarea la distanţă. Ele nu periclitează
securitatea staţiei de lucru, ca urmare nu vor fi şterse.

3.2 Utilizatori, grupuri de utilizatori, parole de acces

Unul dintre elementele esenţiale ale securităţii sistemului Windows îl reprezintă alocarea de
drepturi de acces (permisiuni) pe utilizator sau grup de utilizatori şi evident, că pentru ca aceasta să fie
eficientă, trebuie ca fiecărui utilizator să-i fie asignate un nume (username) şi o parolă (password).
Aceasta se poate face accesând: Control Panel, System and Security, Administrative
Tools, Computer Management , Local Users and Groups (figura 3.3).
În mod implicit, un utilizator nou creat este introdus în grupul Users, care are drepturi suficiente
pentru a putea rula aplicaţiile instalate pe calculator. Dacă un anumit utilizator are nevoie de drepturi
suplimentare, acestea i se pot aloca separat, sau utilizatorul poate fi declarat ca membru al unui grup
privilegiat.

Fig. 3.3 Fereastra Computer Management(1)

2
 Sistemul de operare menţine o bază de date în care sunt păstrate caracteristicile tuturor conturilor
de utilizator definite pe calculator. În funcţie de drepturile de acces pe care le au, utilizatorii se împart în
două mari categorii implicite:
1. Administrator - este primul cont care apare după instalarea sistemului de operare.
Administratorul se ocupă de toarte configurările de pe calculator. Acest cont nu poate fi şters,
dar poate fi redenumit.
2. Guest - este un cont implicit, fără parolă, apărut tot la instalarea sistemului, ce poate fi utilizat
de către utilizatorii ce nu au cont personalizat definit pe calculator.
Alte conturi, de tip administrator sau utilizator obişnuit, se vor putea crea ulterior.
În funcţie de tipul activităţii care se desfăşoară pe calculatorul respectiv, utilizatorii pot fi organizaţi
în grupuri cu caracteristici şi drepturi specifice. Această grupare face ca gestiunea utilizării calculatorului să
fie mai eficientă.
Cel mai simplu mod de administrare a conturilor de utilizatori se face din Control Panel,
User Accounts, care oferă posibilitatea creării de conturi, respectiv modificării caracteristicilor
conturilor existente. Grupurile de utilizatori nu sunt accesibile în acest loc, iar configurările care se fac sunt
simple. În acest mediu se poate crea un cont de utilizator cu drepturi de administrator sau cu drepturi
limitate, prin comanda Create a New Account.
După crearea contului utilizatorului, acestuia i se poate adăuga o parolă de acces, cu comanda
Change an Account şi, după alegerea contului care se modifică, prin comanda Create a Password.
Aceasta deschide o fereastră în care se scrie parola, se confirmă şi se defineşte o expresie prin care
utilizatorul să îşi poată reaminti parola în cazul în care o uită. Parola serveşte la protejarea accesului în
contul respectiv. Utilizatorii care nu o cunosc, nu vor putea accesa anumite informaţii care sunt de uz
privat.
Cu aceasta, contul respectiv devine accesibil la deschiderea unei sesiuni în Windows, iar utilizatorul
proprietar îl va accesa prin introducerea parolei. Schimbarea utilizatorului fără ieşirea din sesiunea curentă
de lucru se face prin secvenţa de comenzi: Start, Switch User. Prin aceasta se readuce pe ecran
fereastra iniţială de intrare în Windows, iar noul utilizator va putea să lucreze fără să restarteze
calculatorul.
Un utilizator nou creat poate avea drepturi de administrare în sistem sau drepturi limitate, pe care
sistemul le descrie în momentul definirii contului. Administratorul de sistem este utilizatorul care poate să
instaleze/dezinstaleze aplicaţii sau componente hardware pe calculator, cel care configurează reţeaua şi
legătura la Internet şi cel care acordă diferite drepturi celorlalaţi utilizatori. Este indicat ca utilizatorii ce
lucrează doar ocazional pe calculator şi care au ca activitate mai mult consultarea decât crearea, respectiv
modificarea de fişiere pe calculator, să nu aibă drepturi prea extinse. Ei pot fi utilizatori de tip Guest fără
parolă, sau Limited (cu acces limitat) cu parolă, în cazul în care li se permite lucrul şi stocarea de fişiere
pe calculator. În funcţie de destinaţia calculatorului respectiv, administratorul de sistem va stabili drepturile
utilizatorilor în sistem şi modul de grupare al acestora.
Pentru o administrare complexă a conturilor şi grupurilor de utilizatori se deschide fereastra
Computer Management prin parcurgerea următoarei secvenţe de comenzi: Start, Control Panel,
System and Security, Administrative Tools, Computer Management, Local Users and
Groups (figura 3.4).

3
 Fig. 3.4 Fereastra Computer Management(2)

Fereastra dispune de meniuri utilitare specifice şi de liste de comenzi ce pot fi accesate efectuând
clic cu butonul din dreapta al mouse-ului.
Selectarea cu butonul din dreapta al mouse-ului a directorului Users şi apoi a opţiunii New
User... aduce pe ecran caseta de dialog a funcţiei de creare a unui utilizator nou. Aici se introduc
indicativul şi numele utilizatorului, informaţii care să îl identifice (descriere) şi parola pe care o va utiliza
pentru intrarea în contul său. Se observă că s-a bifat o căsuţă (figura 3.5), şi anume User must change
password at next logon, ceea ce înseamnă că parola dată iniţial de către administratorul de sistem
utilizatorului pentru care s-a creat contul, va trebui schimbată.
Utilizatorul va introduce parola pe care o doreşte la prima sa logare prin intermediul contului
respectiv.

Fig. 3.5 Fereastra New User

Prin efectuarea unui clic pe butonul Create, acest utilizator se adaugă celor deja existenţi în
directorul Users. Selectarea fişierului corespunzător acestui indicativ cu butonul dreapta al mouse-ului şi
apoi a opţiunii Properties din lista apărută, va deschide o fereastră în care se pot modifica date
(numele, descrierea) şi setări referitoare la parolă.

4
 Criteriul de apartenenţă la un grup este dat de drepturile pe care utilizatorul respectiv le are în
sistem. Este mai uşor de lucrat cu utilizatori grupaţi şi cu drepturile setate pe grupuri decât cu
particularizarea fiecărui utilizator în parte, atât din punct de vedere al gestiunii, cât şi din motive de
securitate în sistem. Nu orice utilizator poate să intervină şi să creeze conturi şi grupuri în sistem. Acest
drept este specific numai administratorilor de sistem, care stabilesc structura de utilizare a sistemului în
funcţie de politicile de securitate şi regulile de acces adoptate în organizaţie.
Selectarea cu butonul dreapta al mouse-ului a directorului Groups şi apoi a opţiunii New
Group... permite crearea unui grup nou. Aici se introduc numele grupului, informaţii care să îl identifice
(descriere) şi utilizatorii care îi aparţin. Grupul astfel creat este local. În Windows există următoarele grupuri
predefinite (figura 3.6):

Fig. 3.6 Grupuri de utilizatori, predefinite

Securizarea bazei de date Security Accounts Management Database (SAM)

Această bază de date stochează copii rezumat (hashed) ale parolelor aferente conturilor
utilizatorilor unui sistem Windows. Ea poate fi protejată prin intermediul criptării. Se vor efectua paşii:
1. Se face clic pe Start şi apoi Run;
2. Se tastează comanda syskey şi apoi Enter. Va apărea caseta de dialog din figura 3.7;

Fig. 3.7 Utilizarea criptării pentru a securiza SAM

Atenţionare: odată ce a fost activată criptarea, aceasta nu mai poate fi dezactivată !

5
 3. Se face clic pe butonul Update. Va apărea caseta de dialog din figura 3.8;

Fig. 3.8 Implicit cheia de startup este stocată local

4. Se selectează Password Startup;

5. Se introduce parola pe care dorim să o utilizăm al momentul startup-ului;
6. Se introduce aceeaşi parolă în caseta Confirm;
7. Clic pe Ok;
8. Clic pe Ok în caseta de dialog care ne anunţă că cheia bazei SAM a fost modificată;
9. Se restartează sistemul. Va trebui să furnizăm o parolă pentru ca startup-ul sistemului Windows
să se finalizeze.

Conceptul de proprietar (owner) al unui fişier sau folder

Proprietarul unui obiect controlează care sunt permisiunile (drepturile) stabilite pe un obiect şi cine
are dreptul să exercite acele permisiuni. Dacă dintr-un motiv oarecare, nu ne este permis accesul la un fişier
sau un folder şi avem nevoie de a reseta permisiunile, putem prelua dreptul de proprietate asupra acelui
fişier sau folder şi apoi să modificăm permisiunile. Toţi administratorii, în mod automat, au permisiunea de
preluare a dreptului de proprietate (Take Ownership)pentru toate obiectele NTFS.

Preluarea dreptului de proprietate asupra unui fişier sau folder

Se vor parcurge paşii:
1. Se deschide Windows Explorer şi se localizează un fişier sau un folder asupra căruia se doreşte
preluarea dreptului de proprietate;
2. Se efectuează clic dreapta pe fişier sau folder, clic pe Properties şi apoi clic pe tab-ul
Security;
3. Se face clic pe Advanced, şi apoi clic pe tab-ul Owner (figura 3.9);

6
 Fig. 3.9 Tab-ul Owner

4. Clic pe Edit şi apoi se efectuează una dintre următoarele:

a. Pentru a schimba proprietarul cu un utilizator sau un grup care nu este afişat, se face clic pe
Other users and groups şi, în Enter the object name to select
(examples), tastaţi numele utilizatorului sau grupului. Apoi clic pe Ok;
b. Pentru a schimba proprietarul cu un utilizator sau un grup care este afişat, se face clic pe
numele noului proprietar în caseta Change Owner;
5. Pentru a schimba proprietarul pentru toate subcontainerele şi obiectele din cadrul unui arbore,
selectaţi caseta de validare Replace owner on subcontainers and objects.

3.3 Permisiunile NTFS

Permisiunile NTFS ne permit să controlăm care sunt utilizatorii şi grupurile de utilizatori care au
acces la fişiere şi foldere în cadrul unui volum NTFS. Avantajul permisiunilor NTFS este acela că ele se aplică
atât utilizatorilor locali cât şi utilizatorilor din reţea.
Permisiunile NTFS, standard, sunt:
 Full Control – permite citirea, scrierea, modificarea şi execuţia fişierelor dintr-un folder;
modificarea atributelor şi permisiunilor; preluarea dreptului de proprietate asupra unui folder sau a
fişierelor din cadrul acestuia;
 Modify – permite citirea, scrierea, modificarea şi execuţia fişierelor dintr-un folder, precum şi
modificarea atributelor unui folder sau a fişierelor din cadrul acestuia
 Read and Execute – permite afişarea conţinutului unui folder; afişarea datelor, atributelor,
proprietarului şi permisiunilor asupra (pentru) fişierelor dintr-un folder; şi execuţia fişierelor dintr-
un folder
 List Folder Contents – permite afişarea conţinutului unui folder; afişarea datelor,
atributelor, proprietarului şi permisiunilor asupra fişierelor dintr-un folder
 Read – permite afişarea datelor, atributelor, proprietarului şi permisiunilor asupra unui fişier
 Write – permite scrierea într-un fişier, adăugarea la conţinutului unui fişier, şi citirea sau
modificarea atributelor fişierului

7
 Pentru a gestiona permisiunile NTFS, se face clic dreapta pe numele unităţii de disc, folderului sau
fişierului, se selectează Properties şi apoi tab-ul Security. Se vor observa grupurile şi utilizatorii
cărora le-au fost acordate permisiuni şi care sunt acele permisiuni (figura 3.10). Pentru modificarea
permisiunilor se face clic pe butonul Edit.

Fig. 3.10 Permisiuni NTFS

La instalarea unui sistem Windows pe o partiţie NTFS, se asignează un set de drepturi minimal
bine precizat pentru ca toţi utilizatorii să aibă accesul necesar.

Există două tipuri de permisiuni utilizate de către sistemul de fişiere NTFS:

 Permisiuni explicite – sunt cele acordate direct pe un fişier sau un folder;
 Permisiuni moştenite – sunt cele acordate pe un folder şi care se transmit şi subfolderelor sau
fişierelor pe care acesta le conţine.
Atunci când permisiunile sunt asignate pe folder, implicit, ele se aplică atât folder-ului cât şi oricărui
subfolder sau fişier din cadrul acelui folder. Pentru a stopa ca permisiunile să fie moştenite în acest fel, se
poate selecta opţiunea Replace all existing inheritable permissions on all
descendants with inheritable permissions from this object din cadrul casetei de
dialog Advanced Security Settings. De asemenea, se poate debifa caseta de validare Allow
inheritable permissions from parent to propagate to this object. Când se
debifează caseta respectivă, sistemul Windows va răspunde cu o casetă de dialog Security. Când se face
clic pe butonul Copy, permisiunea explicită va fi copiată din folderul părinte în subfolder sau în fişier.
Putem apoi modifica permisiunile explicite ale subfolderului sau fişierului. Dacă efectuăm clic pe butonul
Remove, se va elimina permisiunea moştenită.
Implicit, toate obiectele din cadrul unui folder moştenesc permisiunile de la acel folder, atunci când
ele sunt create.
Deci dacă acordăm permisiuni diferite la un nivel inferior, permisiunile de la nivelul inferior vor
avea prioritate.
De exemplu, presupunem că avem un folder numit Data. În acest folder avem folderul Folder1, şi în
acesta avem folderul Folder2. Dacă acordăm permisiunea Allow Full Control unui cont utilizator,
această permisiune se va propaga în jos către toate subfolderele şi fişierele din folderul Data.

8
 Obiect Permisiuni NTFS
Data Grant Allow Full Control (Explicit)
Folder 1 Allow Full Control (Moştenit)
Folder 2 Allow Full Control (Moştenit)
File 1 Allow Full Control (Moştenit)

Deci, dacă acordăm Allow Full Control pe folderul Data unui cont utilizator, această
permisiune se va propaga în jos către folderul Folder1. Dacă acordăm permisiunea Allow Read aceluiaşi
cont utilizator, permisiunea respectivă va suprascrie permisiunea moştenită şi se va propaga, de asemenea,
în jos către folderul Folder2 şi către fişierul File1.

Obiect Permisiuni NTFS

Data Grant Allow Full Control (Explicit)
Folder 1 Allow Read (Explicit)
Folder 2 Allow Read (Inherited)
File 1 Allow Read (Inherited)

Dacă un utilizator are acces la un fişier, el va avea în continuare acces la fişierul respectiv chiar dacă
nu mai are acces la folderul ce conţine acel fişier. Deoarece utilizatorul nu mai are acces la folder, evident
că nu va mai putea să vizualizeze conţinutul acelui folder. Prin urmare pentru a putea deschide fişierul va
trebui să specifice explicit (utilizând calea)localizarea acestuia.
Când vizualizăm permisiunile asupra unui obiect, este posibilă una dintre următoarele situaţii:
 Bifat – permisiunile au fost acordate explicit;
 Nebifat – nu există permisiuni acordate;
 Partajat – permisiunile sunt acordate prin intermediul moştenirii de la folderul părinte.
În afară de acordarea de permisiuni Allow, se pot acorda şi permisiuni Deny (restricţie de
permisiuni). Întotdeauna permisiunile Deny rescriu celelalte permisiuni care au fost acordate, incluzând şi
situaţiile în care unui utilizator sau unui grup i-a fost acordat Full Control.
De exemplu, dacă unui grup i-a fost acordat permisiunile Read şi Write iar unui membru al
grupului i-a fost luată permisiunea Write, atunci drepturile efective ale utilizatorului vor include numai
permisiunea Read.
Când combinăm aplicarea permisiunilor Deny cu Allow şi permisiunile explicite cu cele
moştenite, ierarhia precedenţei este următoarea:
1. Explicit Deny;
2. Explicit Allow,
3. Moştenit Deny;
4. Moştenit Allow.

Deoarece utilizatorii pot fi membri ai mai multor grupuri, este posibil ca ei să posede câteva seturi
de permisiuni explicite pe un folder sau un fişier. În acesată situaţie, permisiunile sunt combinate pentru a
forma permisiunile efective, adică acele permisiuni care pot fi exercitate efectiv asupra unui folder sau
fişier. Ele constau din permisiunile explicite plus oricare permisiuni moştenite. Când calculăm permisiunile
efective, trebuie ca mai întâi să calculăm permisiunile explicite şi moştenite pentru un utilizator sau un grup
şi apoi să le combinăm. Când combinăm permisiunile unui utilizator şi cele ale unui grup, permisiunile
efective sunt permisiunile cumulate. Singura excepţie o reprezintă permisiunile Deny,care au prioritate
întotdeauna.

9
 De exemplu, să presupune că avem un folder numit Data. În cadrul său avem Folder1 iar în cadrul
acestuia avem Folder2. Presupunem că utilizatorul User1 este membru al Group1 şi Group2. Dacă acordăm
permisiunea Allow Write pe folderul Data utilizatorului User1, şi permisiunea Allow Read pe folderul
Folder1 grupului Group1, şi permisiunea Allow Modify pe Folder2 grupului Group2, atunci permisiunile
efective ale utilizatorului vor fi următoarele:

Permisiuni Premisiuni Permisiuni Permisiuni

O BIECT NTFS U SER 1 G ROUP 1 G ROUP 2 E FECTIVE
Data Allow Write (Explicit) Allow Write
Allow Write
Folder 1 (Moştenit) Allow Read Allow Read and Write
(Explicit)
Allow Write
Folder 2 (Moştenit) Allow Read Allow Modify * Allow Modify
(Moştenit) (Explicit) *
Allow Write
File 1 (Moştenit) Allow Read Allow Modify * Allow Modify
(Moştenit) (Moştenit) *

* Permisiunea Modify include permisiunile Read şi Write

Să presupunem că avem un folder numit Data. În cadrul său avem Folder1 şi în Folder1 avem
Folder2. Utilizatorul User1 este membru al grupurilor Group1 şi Group2. Acordăm permisiunea Allow
Write pe folderul Data utilizatorului User1, permisiunea Allow Read pe Folder1 grupului Group1, şi
pemisiunea Deny Modify pe Folder2 grupului Group2. Permisiunile efective ale utilizatorului vor fi
următoarele:

Permisiuni Permisiuni Permisiuni Permisiuni

O BIECT NTFS U SER 1 G ROUP 1 G ROUP 2 E FECTIVE
Data Allow Write (Explicit) Allow Write

Folder 1 Allow Write Allow Read Allow Read and Write

(Moştenit) (Explicit)
Folder 2 Allow Write Allow Read Deny Modify Deny Modif
(Moştenit) (Moştenit) (Explicit)
File 1 Allow Write Allow Read Deny Modify Deny Modify
(Moştenit) (Moştenit) (Moştenit)

Vizualizarea permisiunilor efective

Pentru a vizualiza permisiunile NTFS efective pe care un utilizator le are pe un fişier sau un folder
(figura 3.11), se vor parcurge paşii;
1. Se efectuează clic dreapta pe fişier sau folder şi se selectează Properties;
2. Se selectează tab-ul Security;
3. Clic pe butonul Advanced;
4. Clic pe tab-ul Effective Permissions;
5. Clic pe butonul Select şi se introduce numele utilizatorului sau grupului pentru care se doreşte
vizualizarea permisiunilor;
6. Clic pe Ok.

10
 Fig. 3.11 Permisiunile NTFS efective

Copierea şi mutarea fişierelor

Atunci când copiem sau mutăm fişiere dintr-o locaţie în alta, permisiunile NTFS asociate acestora se
pot modifica după cum urmează:
 Dacă copiem un fişier sau un folder, noul fişier sau folder va căpăta automat aceleaşi permisiuni ca
şi driver-ul sau folder-ul în care se copiază;
 Dacă un fişier sau un folder este mutat în cadrul aceluiaşi volum, acel fişier sau folder va păstra
aceleaşi permisiuni ca cele ce i-au fost asignate deja;
 Dacă un fişier sau un folder este mutat dintr-un volum pe un alt volum, fişierul sau folderul vor
căpăta automat permisiunile driver-ului sau folderului în care se copiază.

3.4 Criptarea

Dacă un harddisc ale cărui fişiere şi foldere sunt protejate de către permisiunile NTFS este instalat
într-un alt sistem în care utilizatorul respectiv este administrator, acesta va putea accesa fişierele şi
folderele respective. Prin urmare, pentru a proteja cu adevărat informaţiile de pe un harddisc (chiar dacă
acesta este furat sau accesat ilegal), acestea vor fi criptate. Sistemul Windows oferă două tehnologii de
criptare, şi anume: Encrypting File System (EFS) şi BitLocker Drive Encryption. EFS
protejează fişierele şi folderele individuale în timp ce BitLocker protejează întregul harddisc.

Criptarea fişierelor cu EFS

EFS poate să cripteze fişiere pe un volum NTFS astfel încât acestea nu vor putea fi utilizate până
când utilizatorul nu are acces la cheile necesare pentru a decripta informaţia. După ce un fişier a fost
criptat, nu trebuie efectuată decriptarea manual înainte ca fişierul respectiv să poată fi utilizat. Odată ce aţi
criptat un fişier sau un folder, veţi lucra cu fişierul sau folderul respectiv la fel cum se lucrează cu oricare alt
fişier sau folder.
EFS este asociat unui cont de utilizator specific, utilizând chei publice şi private care reprezintă baza
(fundamentul) infrastructurii de chei publice (PKI) a Windows-ului. Utilizatorul care a creat un fişier este
singura persoană care poate să-l citească. Pe măsură ce utilizatorul lucrează, EFS criptează fişierele pe care
acesta le-a creat utilizând o cheie generată din cheia publică a utilizatorului. Datele criptate cu această
11
cheie pot fi decriptate numai de către certificatul personal de criptare al utilizatorului, care este generat
utilizând cheia sa privată.
Pentru a cripta un fişier sau un folder utilizând EFS se vor parcurge paşii:
1. Se efectuează clic dreapta pe fişierul sau folderul ce se doreşte a fi criptat, şi apoi clic pe
Properties;
2. Se face clic pe tab-ul General şi apoi clic pe Advanced;
3. Se selectează caseta de validare Encrypt contents to secure data, clic pe Ok şi iarăşi clic
pe Ok (figura 3.12).

Fig. 3.12 Criptarea datelor utilizând EFS

Criptarea unui folder utilizând comanda cipher

Folderele pot fi criptate şi din lina de comandă utilizând comanda chiper. Se vor efectua
urmărorii paşi:
1. Se selectează Start şi apoi Run;
2. Se introduce comanda cmd şi Enter. Această acţiune va deschide fereastra de linie de comandă.
3. Se tastează comanda cipher /e numele_folderului, unde numele_folderului
reprezintă folderul ce se doreşte a fi criptat. Se apasă Enter;
4. Va apărea un mesaj prin care se confirmă că acum acel folder este criptat. Pentru a se vizualiza
starea unui folder se tastează comanda cipher numele_folderului. Va apărea un mesaj
care anunţă că toate noile fişierele adăugate în acest folder vor fi criptate;
5. Creaţi unui fişier în acest folder (de exemplu, cu ajutorul comenzii echo hello > test.txt,
care va crea un fişier text ce conţine cuvântul hello);
6. În cadrul directorului, tastaţi comanda cipher. În lista de fişiere ce apare, vom vedea litera U în
stânga numelui fişierelor care erau iniţial acolo şi litera E în stânga fişierelor nou create, şi care
indică faptul că acestea sunt criptate;
7. Se tasteată Exit pentru a închide fereastra linie de comandă.

12
 Decriptarea unui folder sau a unui fişier
Se vor parcurge paşii:
1. Se efectuează clic dreapta pe folderul sau fişierul ce se doreşte a fi decriptat, şi apoi clic pe
Properties;
2. Se face clic pe tabul General, şi apoi clic pe Advanced;
3. Se debifează caseta de validare Encrypt contents to secure data şi apoi se face clic pe Ok,
şi iarăşi clic pe Ok.
La momentul la care se criptează pentru prima dată un folder sau un fişier, se creează automat un
certificat de criptare. Dacă certificatul utilizatorului şi cheia sunt pierdute sau alterate şi nu există o copie
de siguranţă a acestora, utilizatorul nu va putea să folosească fişierele pe care le-a criptat. Prin urmare va
trebui efectuată o copie de siguranţă a certificatului de criptare.

Efectuarea unei copii a certificatului EFS

Se vor parcurge paşii:
1. Se execută certmgr.msc. Dacă ne este solicitată parola de administrator sau o confirmare,
vom introduce parola sau vom furniza confirmarea;

2. În partea stângă a ferestrei ce apare se face dublu clic pe Personal;

3. Clic apoi pe Certificates;
4. În secţiunea principal se face clic pe certificatul care afişează Encrypting System sub
Intended Purposes. Dacă există mai mult de un certificate EFS, va trebui efectuată o copie
de siguranţă pentru toate acestea;
5. Se face clic în meniul Action. Se selectează All Tasks, şi apoi clic pe Export;
6. În Certificat Export se face clic pe Next, clic pe Yes, export the private key şi
apoi clic iarăşi pe Next;
7. Clic pe Personal Information Exchange, şi apoi clic pe Next;
8. Se introduce parola pe care dorim să o utilizăm, confirmăm parola şi apoi clic pe Next.
Procesul de export va crea un fişier pentru a stoca certificatul.
9. Introduceţi numele fişierului şi locaţia (se va introduce întreaga cale către acesta) sau se face
clic pe Browse, se navigheză la locaţia fişierului, se introduce numele acestuia şi apoi se face
clic pe Save;
10. Clic pe Next şi apoi clic pe Finish.
Va trebui ca apoi ca certificatul să fie păstrat într-un loc sigur.

13
 Criptarea discurilor în Windows
Spre deosebire de EFS, BitLocker permite criptarea în întregime a discurilor. Deci, dacă un harddisc
sau un laptop sunt furate, datele vor rămâne criptate, chiar dacă harddiscul este instalat într-un alt sistem
unde se poate accesa contul de administrator.
BitLocker Drive Encryption este o facilitate existentă în Windows, ediţiile Ultimate şi Enterprise,
care face posibilă utilizarea modulului Trusted Platform Module (TPM). TPM este un microcip existent într-
un calculator ce este utilizat pentru a stoca informaţie criptografică, cum sunt cheile de criptare. Informaţia
stocată în TPM poate fi mult mai bine protejată împotriva atacurilor software externe şi împotriva furtului
fizic.
Cerinţele sistem ale BitLocker sunt următoarele:
 Deoarece BitLocker stochează propria sa cheie de criptare şi decriptare într-un dispozitiv hardware
care este separat de harddisc, trebuie să posedăm una dintre următoarele:
o Un calculator cu TPM. Dacă calculatorul a fost fabricat cu un modul TPM versiunea 1.2 sau
superioară, inclus , BitLocker va stoca cheile sale în TPM;
o Un dispozitiv de memorare USB amovibil, cum ar fi un stick de memorie. Dacă calculatorul
nu posedă un modul TPM versiunea 1.2 sau superioară, BitLocker va stoca cheile pe stick-ul
de memorie;
 Calculatorul trebuie să posede cel puţin două partiţii: o partiţie sistem (care conţine fişierele
necesare pentru a starta calculatorul şi care să aibă dimensiunea de cel puţin 200 MB) şi o partiţie
sistem de operare (care conţine Windows-ul). Partiţia ce conţine sistemul de operare va fi criptată
iar partiţia sistem va rămâne necriptată pentru ca startarea calculatorului să fie posibilă. Dacă
calculatorul nu are două partiţii, BitLocker le va crea. Ambele partiţii trebuie formatate cu sistemul
de fişiere NTFS;
 În plus, calculatorul trebuie să posede un BIOS care este compatibil cu TPM şi care să suporte
dispozitive USB pe durata startup-ului calculatorului. Dacă această condiţie nu este îndeplinită, va
trebui updatat BIOS-ul înainte de a utiliza BitLocker.

BitLocker posedă cinci moduri operaţionale, care definesc paşii implicaţi în procesul de boot al
sistemului. Aceste moduri, în ordine descrescătoare de la cel mai sigur la cel mai puţin sigur, sunt:
 TPM_startup PIN_startup key: sistemul stochează cheia BitLocker de criptare volum, în cip-ul TPM,
dar administratorul trebuie să furnizeze un număr de identificare personal (PIN) şi să insereze un
dispozitiv USB flash ce conţine o cheie de startup, înainte ca sistemul să poată debloca volumul
BitLocker şi să finalizeze secvenţa de bootare sistem;
 TPM_startup key: sistemul stochează cheia BitLocker de criptare volum, în cip-ul TPM, dar
administratorul trebuie să insereze un dispozitiv USB flash ce conţine o cheie de startup, înainte ca
sistemul să poată debloca volumul BitLocker şi să finalizeze secvenţa de bootare sistem;
 TPM_startup PIN: sistemul stochează cheia BitLocker de criptare volum, în cip-ul TPM, dar
administratorul trebuie să furnizeze un număr de identificare personal (PIN), înainte ca sistemul să
poată debloca volumul BitLocker şi să finalizeze secvenţa de bootare sistem;
 Startup key only: procesul de configurare BitLocker stochează o cheie de startup pe un dispozitiv
flash USB, pe care administratorul trebuie să-l insereze de fiecare data când sistemul bootează.
Acest mod nu necesită ca server-ul să aibă cip TPM, dar trebuie să aibă un BIOS care să permită
accesul la un dispozitiv flash USB înainte ca sistemul de operare să se încarce;
 TPM only: sistemul stochează cheia BitLocker de criptare volum pe cip-ul TPM, şi o acceseză
automat atunci când cip-ul a determinat că mediul de bootare este nemodificat. Aceasta
deblochează volumul protejat iar calculatorul îşi continuă secvenţa de boot. Ca urmare, nu este
necesară o interacţiune administrativă pe durata secvenţei de boot a sistemului.
La momentul la care activăm BitLocker utilizând panoul de control BitLocker Drive Encryption,
putem selecta următoarele moduri operaţionale: TPM _ startup key, TPM _ startup PIN, sau TPM only.
Pentru a utiliza modul TPM _ startup PIN _ startup key, este necesară mai întâi configurarea setării
Require additional authentication at startup Group Policy, ce se găseşte în
containerul Computer Configuration, Policies, Administrative Templates,
Windows Components, BitLocker Drive Encryption, Operating System Drives.

14
 Activarea BitLocker
BitLocker nu este activat implicit. Dacă nu ştim că sistemul nostru are instalat modulul hardware de
securitate Trusted Platform Module (TPM), va trebui, mai întâi, să verificăm acest lucru. Apoi vom activa
BitLocker pentru volumul pe care dorim să-l criptăm.
Verificarea existenţei modulului TPM se face parcurgând paşii:
1. Se deschide Control Panel, se face clic pe System and Security şi api clic pe
BitLocker Drive Encryption;
2. În partea stângă a ferestrei ce apare se face clic pe TPM Administration. Dacă ne este
solicitată parola de administrator sau o confirmare, vom introduce parola sau vom furniza
confirmarea. TPM Management sau Local Computer snap-in ne spune dacă calculatorul
nostru posedă hardware-ul de securitate TPM (figura 3.13). Dacă calculatorul nu posedă acest
hardware, vom avea nevoie de un stick de memorie USB pentru a seta BitLocker pe on şi pentru
a stoca cheia de startare BitLocker, cheie de care vom avea nevoie ori de câte ori pornim
calculatorul.

Fig. 3.13 Consola de management TMP

Setarea pe on a BitLocker
Presupunând că suntem conectaţi ca administrator pe un system Windows, se vor parcurge paşii:
1. Clic pe Start, Control Panel, System and Security, BitLocker Drive
Encryption. Va apărea panoul de control BitLocker Drive Encryption;
2. Se face clic pe Turn on BitLocker pentru unităţile de harddisc existente. Va apărea pagina
Set BitLocker startup preferences (figura 3.14);

15
 Fig. 3.14 Setarea pe on a BitLocker

3. Se face clic pe Require a Startup key at every startup. Va apărea o pagină Save your
Startup key;
4. Se inserează un stick de memorie USB şi se face clic pe Save. Va apărea pagina How do you
want to store your recovery key?
5. Se selectează una dintre opţiunile pentru a salva cheia de recuperare şi apoi clic pe Next.
Apare pagina Are you ready to encrypt this drive?
6. Se efectuează clic pe Continue. Se face o verificare a sistemului şi apoi se restartează
calculatorul;
7. Ne conectăm în sistem. Windows va începe criptarea harddiscului.
După finalizarea procesului de criptare, putem deschide panoul de control BitLocker Drive
Encryption pentru a ne asigura că volumul este criptat sau pentru a seta pe off BitLocker atunci când se
efectuează o upgradare a BIOS-ului sau alte operaţii de întreţinere a sistemului.
Applet-ul din panoul de control BitLocker ne permite să recuperăm cheia de criptare şi parola de
recuperare atunci când dorim. Trebuie acordată atenţia necesară stocării acestor informaţii deoarece ele
ne vor permite accesul la datele criptate.

Utilizarea BitLocker To Go
BitLocker To Go este o nouă facilitate oferită de Windows care permite utilizatorilor să cripteze
dispozitivele USB amovibile, cum sunt stick-urile şi cardurile de memorie precum şi harddiscurile externe.
Deşi BitLocker a permis din totdeauna criptarea dispozitivelor amovibile, BitLocker To Go ne
permite să utilizăm dispozitive criptate pe alte calculatoare fără a fi nevoie să efectuăm un proces de
recuperare implicit. Deoarece sistemul nu utilizează dispozitivul amovibil ca un dispozitiv de bootare, nu
este necesară prezenţa unui cip TPM.
Pentru a utiliza BitLocker To Go, se inserează dispozitivul amovibil şi se deschide panoul de control
BitLocker Drive Encryption. Dispozitivul apare în intefaţă, cu o legătură Turn on BitLocker la fel ca şi
harddiscul calculatorului.

16
 Exerciţii

1. Să se creeze un grup de utilizatori cu drepturi limitate, care să poată efectua operaţiile de backup
şi restore a fişierelor.
2. Să se creeze un grup de utilizatori în care să fie incluşi toţi utilizatorii din sistem, mai puţin
adminsitratorul acestuia.
3. Care sunt permisiunile ce pot fi asignate unui utilizator pe un folder sau fişier? Care este
semnificaţia acestora?
4. Ce sunt permisiunile efective şi cum se determină acestea?
5. Cum se poate seta pentru un grup de utilizatori un set de permisiuni, diferit de cel implicit?
6. Să se verifce tipul partiţiilor existente pe calculatorul respect (FAT32 sau NTFS), şi să se activeze
opţiunea de criptare pentru un folder ce este într-o partiţie NTFS. Se va verifica pentru ce utilizatori este
permis accesul la folderul respectiv.
7. Ce este BitLocker?
8. Cum se activează BitLocker?

Exerciţiu:
1. Conectaţi-vă ca administrator pe un calculator pe care rulează sistemul Windows;
2. Creaţi un grup numit Manageri;
3. Creaţi un cont de utilizator numit Mihai şi făceţi-l membru al grupului Manageri;
4. Creaţi un alt cont utilizator, numit George;
5. Creaţi un folder numit TestFolder şi creaţi în acest folder un fişier numit test.txt;
6. Partajaţi folderul TestFolder;
7. Asignaţi grupului Everyone permisiunea Allow Full Control;
8. Asignaţi permisiunea Read and Execute grupului Manageri;
9. Conectaţi-vă cu numele de utilizator George şi încercaţi să accesaţi folderul
\\localhost\TestFolder;
10. Apoi conectaţi-vă cu numele de utilizator Mihai şi încercaţi să accesaţi folderul
\\localhost\TestFolder.
Ce se constată şi ce concluzii se pot trage?

11. Adăugaţi utilizatorul George grupului Manageri;

12. Conectaţi-vă cu numele de utilizator Mihai şi criptaţi fişierul test.txt cu EFS;
13. Conectaţi-vă cu numele de utilizator George şi încercaţi să accesaţi fişierul test.txt.
Ce se constată şi ce concluzii se pot trage?

17