Documente Academic
Documente Profesional
Documente Cultură
Implementarea securităţii la nivel de fişier, în cadrul sistemului Windows este în legătură directă
cu existenţa tipului de sistem de fişiere NTFS (NT File System). Acesta, spre deosebire de sistemele
anterioare (FAT şi FAT32), asigură o serie de avantaje, şi anume: permite volume cu dimensiunea de până
la 16 exabytes, utilizarea de nume de fişier lungi, este tolerant la erori. Oferă, de asemenea, o mai bună
securitate prin intermediul permisiunilor (drepturilor) de acces şi a criptării.
Informaţii despre starea actuală a harddisc-ului precum şi tipul sistemului de fişiere folosit se obţin
accesând Control Panel, Administrative Tools, Computer Management, Disk
Management (figura 3.1).
Folosind comanda convert C:\fs:ntfs se poate realiza conversia de la tipul de sistem de
fişiere FAT32 la NTFS a discului (partiţiei) C:. Din motive de siguranţă a datelor, înainte de conversie se
recomandă salvarea datelor importante.
După instalarea sistemului de fişiere NTFS, se vor trece în revistă folderele partajate existente.
Pentru a vedea o listă a acestora, se va selecta Control Panel, Administrative Tools,
Computer Management, Shared Folders, Shares (figura 3.2):
1
Fig. 3.2 Foldere partajate în consola de administrare a computerului, Microsoft Management
Console (MMC)
Din exemplul ilustrat în figura anterioară se observă că există multe partajări administrative, pentru
utilizatorii din grupul Administrators. Partajările IPC$ şi ADMIN$ sunt partajări system-level,
esenţiale pentru comunicarea între procese şi pentru administrarea la distanţă. Ele nu periclitează
securitatea staţiei de lucru, ca urmare nu vor fi şterse.
Unul dintre elementele esenţiale ale securităţii sistemului Windows îl reprezintă alocarea de
drepturi de acces (permisiuni) pe utilizator sau grup de utilizatori şi evident, că pentru ca aceasta să fie
eficientă, trebuie ca fiecărui utilizator să-i fie asignate un nume (username) şi o parolă (password).
Aceasta se poate face accesând: Control Panel, System and Security, Administrative
Tools, Computer Management , Local Users and Groups (figura 3.3).
În mod implicit, un utilizator nou creat este introdus în grupul Users, care are drepturi suficiente
pentru a putea rula aplicaţiile instalate pe calculator. Dacă un anumit utilizator are nevoie de drepturi
suplimentare, acestea i se pot aloca separat, sau utilizatorul poate fi declarat ca membru al unui grup
privilegiat.
3
Fig. 3.4 Fereastra Computer Management(2)
Fereastra dispune de meniuri utilitare specifice şi de liste de comenzi ce pot fi accesate efectuând
clic cu butonul din dreapta al mouse-ului.
Selectarea cu butonul din dreapta al mouse-ului a directorului Users şi apoi a opţiunii New
User... aduce pe ecran caseta de dialog a funcţiei de creare a unui utilizator nou. Aici se introduc
indicativul şi numele utilizatorului, informaţii care să îl identifice (descriere) şi parola pe care o va utiliza
pentru intrarea în contul său. Se observă că s-a bifat o căsuţă (figura 3.5), şi anume User must change
password at next logon, ceea ce înseamnă că parola dată iniţial de către administratorul de sistem
utilizatorului pentru care s-a creat contul, va trebui schimbată.
Utilizatorul va introduce parola pe care o doreşte la prima sa logare prin intermediul contului
respectiv.
Prin efectuarea unui clic pe butonul Create, acest utilizator se adaugă celor deja existenţi în
directorul Users. Selectarea fişierului corespunzător acestui indicativ cu butonul dreapta al mouse-ului şi
apoi a opţiunii Properties din lista apărută, va deschide o fereastră în care se pot modifica date
(numele, descrierea) şi setări referitoare la parolă.
4
Criteriul de apartenenţă la un grup este dat de drepturile pe care utilizatorul respectiv le are în
sistem. Este mai uşor de lucrat cu utilizatori grupaţi şi cu drepturile setate pe grupuri decât cu
particularizarea fiecărui utilizator în parte, atât din punct de vedere al gestiunii, cât şi din motive de
securitate în sistem. Nu orice utilizator poate să intervină şi să creeze conturi şi grupuri în sistem. Acest
drept este specific numai administratorilor de sistem, care stabilesc structura de utilizare a sistemului în
funcţie de politicile de securitate şi regulile de acces adoptate în organizaţie.
Selectarea cu butonul dreapta al mouse-ului a directorului Groups şi apoi a opţiunii New
Group... permite crearea unui grup nou. Aici se introduc numele grupului, informaţii care să îl identifice
(descriere) şi utilizatorii care îi aparţin. Grupul astfel creat este local. În Windows există următoarele grupuri
predefinite (figura 3.6):
5
3. Se face clic pe butonul Update. Va apărea caseta de dialog din figura 3.8;
6
Fig. 3.9 Tab-ul Owner
Permisiunile NTFS ne permit să controlăm care sunt utilizatorii şi grupurile de utilizatori care au
acces la fişiere şi foldere în cadrul unui volum NTFS. Avantajul permisiunilor NTFS este acela că ele se aplică
atât utilizatorilor locali cât şi utilizatorilor din reţea.
Permisiunile NTFS, standard, sunt:
Full Control – permite citirea, scrierea, modificarea şi execuţia fişierelor dintr-un folder;
modificarea atributelor şi permisiunilor; preluarea dreptului de proprietate asupra unui folder sau a
fişierelor din cadrul acestuia;
Modify – permite citirea, scrierea, modificarea şi execuţia fişierelor dintr-un folder, precum şi
modificarea atributelor unui folder sau a fişierelor din cadrul acestuia
Read and Execute – permite afişarea conţinutului unui folder; afişarea datelor, atributelor,
proprietarului şi permisiunilor asupra (pentru) fişierelor dintr-un folder; şi execuţia fişierelor dintr-
un folder
List Folder Contents – permite afişarea conţinutului unui folder; afişarea datelor,
atributelor, proprietarului şi permisiunilor asupra fişierelor dintr-un folder
Read – permite afişarea datelor, atributelor, proprietarului şi permisiunilor asupra unui fişier
Write – permite scrierea într-un fişier, adăugarea la conţinutului unui fişier, şi citirea sau
modificarea atributelor fişierului
7
Pentru a gestiona permisiunile NTFS, se face clic dreapta pe numele unităţii de disc, folderului sau
fişierului, se selectează Properties şi apoi tab-ul Security. Se vor observa grupurile şi utilizatorii
cărora le-au fost acordate permisiuni şi care sunt acele permisiuni (figura 3.10). Pentru modificarea
permisiunilor se face clic pe butonul Edit.
La instalarea unui sistem Windows pe o partiţie NTFS, se asignează un set de drepturi minimal
bine precizat pentru ca toţi utilizatorii să aibă accesul necesar.
8
Obiect Permisiuni NTFS
Data Grant Allow Full Control (Explicit)
Folder 1 Allow Full Control (Moştenit)
Folder 2 Allow Full Control (Moştenit)
File 1 Allow Full Control (Moştenit)
Deci, dacă acordăm Allow Full Control pe folderul Data unui cont utilizator, această
permisiune se va propaga în jos către folderul Folder1. Dacă acordăm permisiunea Allow Read aceluiaşi
cont utilizator, permisiunea respectivă va suprascrie permisiunea moştenită şi se va propaga, de asemenea,
în jos către folderul Folder2 şi către fişierul File1.
Dacă un utilizator are acces la un fişier, el va avea în continuare acces la fişierul respectiv chiar dacă
nu mai are acces la folderul ce conţine acel fişier. Deoarece utilizatorul nu mai are acces la folder, evident
că nu va mai putea să vizualizeze conţinutul acelui folder. Prin urmare pentru a putea deschide fişierul va
trebui să specifice explicit (utilizând calea)localizarea acestuia.
Când vizualizăm permisiunile asupra unui obiect, este posibilă una dintre următoarele situaţii:
Bifat – permisiunile au fost acordate explicit;
Nebifat – nu există permisiuni acordate;
Partajat – permisiunile sunt acordate prin intermediul moştenirii de la folderul părinte.
În afară de acordarea de permisiuni Allow, se pot acorda şi permisiuni Deny (restricţie de
permisiuni). Întotdeauna permisiunile Deny rescriu celelalte permisiuni care au fost acordate, incluzând şi
situaţiile în care unui utilizator sau unui grup i-a fost acordat Full Control.
De exemplu, dacă unui grup i-a fost acordat permisiunile Read şi Write iar unui membru al
grupului i-a fost luată permisiunea Write, atunci drepturile efective ale utilizatorului vor include numai
permisiunea Read.
Când combinăm aplicarea permisiunilor Deny cu Allow şi permisiunile explicite cu cele
moştenite, ierarhia precedenţei este următoarea:
1. Explicit Deny;
2. Explicit Allow,
3. Moştenit Deny;
4. Moştenit Allow.
Deoarece utilizatorii pot fi membri ai mai multor grupuri, este posibil ca ei să posede câteva seturi
de permisiuni explicite pe un folder sau un fişier. În acesată situaţie, permisiunile sunt combinate pentru a
forma permisiunile efective, adică acele permisiuni care pot fi exercitate efectiv asupra unui folder sau
fişier. Ele constau din permisiunile explicite plus oricare permisiuni moştenite. Când calculăm permisiunile
efective, trebuie ca mai întâi să calculăm permisiunile explicite şi moştenite pentru un utilizator sau un grup
şi apoi să le combinăm. Când combinăm permisiunile unui utilizator şi cele ale unui grup, permisiunile
efective sunt permisiunile cumulate. Singura excepţie o reprezintă permisiunile Deny,care au prioritate
întotdeauna.
9
De exemplu, să presupune că avem un folder numit Data. În cadrul său avem Folder1 iar în cadrul
acestuia avem Folder2. Presupunem că utilizatorul User1 este membru al Group1 şi Group2. Dacă acordăm
permisiunea Allow Write pe folderul Data utilizatorului User1, şi permisiunea Allow Read pe folderul
Folder1 grupului Group1, şi permisiunea Allow Modify pe Folder2 grupului Group2, atunci permisiunile
efective ale utilizatorului vor fi următoarele:
Să presupunem că avem un folder numit Data. În cadrul său avem Folder1 şi în Folder1 avem
Folder2. Utilizatorul User1 este membru al grupurilor Group1 şi Group2. Acordăm permisiunea Allow
Write pe folderul Data utilizatorului User1, permisiunea Allow Read pe Folder1 grupului Group1, şi
pemisiunea Deny Modify pe Folder2 grupului Group2. Permisiunile efective ale utilizatorului vor fi
următoarele:
10
Fig. 3.11 Permisiunile NTFS efective
3.4 Criptarea
Dacă un harddisc ale cărui fişiere şi foldere sunt protejate de către permisiunile NTFS este instalat
într-un alt sistem în care utilizatorul respectiv este administrator, acesta va putea accesa fişierele şi
folderele respective. Prin urmare, pentru a proteja cu adevărat informaţiile de pe un harddisc (chiar dacă
acesta este furat sau accesat ilegal), acestea vor fi criptate. Sistemul Windows oferă două tehnologii de
criptare, şi anume: Encrypting File System (EFS) şi BitLocker Drive Encryption. EFS
protejează fişierele şi folderele individuale în timp ce BitLocker protejează întregul harddisc.
12
Decriptarea unui folder sau a unui fişier
Se vor parcurge paşii:
1. Se efectuează clic dreapta pe folderul sau fişierul ce se doreşte a fi decriptat, şi apoi clic pe
Properties;
2. Se face clic pe tabul General, şi apoi clic pe Advanced;
3. Se debifează caseta de validare Encrypt contents to secure data şi apoi se face clic pe Ok,
şi iarăşi clic pe Ok.
La momentul la care se criptează pentru prima dată un folder sau un fişier, se creează automat un
certificat de criptare. Dacă certificatul utilizatorului şi cheia sunt pierdute sau alterate şi nu există o copie
de siguranţă a acestora, utilizatorul nu va putea să folosească fişierele pe care le-a criptat. Prin urmare va
trebui efectuată o copie de siguranţă a certificatului de criptare.
13
Criptarea discurilor în Windows
Spre deosebire de EFS, BitLocker permite criptarea în întregime a discurilor. Deci, dacă un harddisc
sau un laptop sunt furate, datele vor rămâne criptate, chiar dacă harddiscul este instalat într-un alt sistem
unde se poate accesa contul de administrator.
BitLocker Drive Encryption este o facilitate existentă în Windows, ediţiile Ultimate şi Enterprise,
care face posibilă utilizarea modulului Trusted Platform Module (TPM). TPM este un microcip existent într-
un calculator ce este utilizat pentru a stoca informaţie criptografică, cum sunt cheile de criptare. Informaţia
stocată în TPM poate fi mult mai bine protejată împotriva atacurilor software externe şi împotriva furtului
fizic.
Cerinţele sistem ale BitLocker sunt următoarele:
Deoarece BitLocker stochează propria sa cheie de criptare şi decriptare într-un dispozitiv hardware
care este separat de harddisc, trebuie să posedăm una dintre următoarele:
o Un calculator cu TPM. Dacă calculatorul a fost fabricat cu un modul TPM versiunea 1.2 sau
superioară, inclus , BitLocker va stoca cheile sale în TPM;
o Un dispozitiv de memorare USB amovibil, cum ar fi un stick de memorie. Dacă calculatorul
nu posedă un modul TPM versiunea 1.2 sau superioară, BitLocker va stoca cheile pe stick-ul
de memorie;
Calculatorul trebuie să posede cel puţin două partiţii: o partiţie sistem (care conţine fişierele
necesare pentru a starta calculatorul şi care să aibă dimensiunea de cel puţin 200 MB) şi o partiţie
sistem de operare (care conţine Windows-ul). Partiţia ce conţine sistemul de operare va fi criptată
iar partiţia sistem va rămâne necriptată pentru ca startarea calculatorului să fie posibilă. Dacă
calculatorul nu are două partiţii, BitLocker le va crea. Ambele partiţii trebuie formatate cu sistemul
de fişiere NTFS;
În plus, calculatorul trebuie să posede un BIOS care este compatibil cu TPM şi care să suporte
dispozitive USB pe durata startup-ului calculatorului. Dacă această condiţie nu este îndeplinită, va
trebui updatat BIOS-ul înainte de a utiliza BitLocker.
BitLocker posedă cinci moduri operaţionale, care definesc paşii implicaţi în procesul de boot al
sistemului. Aceste moduri, în ordine descrescătoare de la cel mai sigur la cel mai puţin sigur, sunt:
TPM_startup PIN_startup key: sistemul stochează cheia BitLocker de criptare volum, în cip-ul TPM,
dar administratorul trebuie să furnizeze un număr de identificare personal (PIN) şi să insereze un
dispozitiv USB flash ce conţine o cheie de startup, înainte ca sistemul să poată debloca volumul
BitLocker şi să finalizeze secvenţa de bootare sistem;
TPM_startup key: sistemul stochează cheia BitLocker de criptare volum, în cip-ul TPM, dar
administratorul trebuie să insereze un dispozitiv USB flash ce conţine o cheie de startup, înainte ca
sistemul să poată debloca volumul BitLocker şi să finalizeze secvenţa de bootare sistem;
TPM_startup PIN: sistemul stochează cheia BitLocker de criptare volum, în cip-ul TPM, dar
administratorul trebuie să furnizeze un număr de identificare personal (PIN), înainte ca sistemul să
poată debloca volumul BitLocker şi să finalizeze secvenţa de bootare sistem;
Startup key only: procesul de configurare BitLocker stochează o cheie de startup pe un dispozitiv
flash USB, pe care administratorul trebuie să-l insereze de fiecare data când sistemul bootează.
Acest mod nu necesită ca server-ul să aibă cip TPM, dar trebuie să aibă un BIOS care să permită
accesul la un dispozitiv flash USB înainte ca sistemul de operare să se încarce;
TPM only: sistemul stochează cheia BitLocker de criptare volum pe cip-ul TPM, şi o acceseză
automat atunci când cip-ul a determinat că mediul de bootare este nemodificat. Aceasta
deblochează volumul protejat iar calculatorul îşi continuă secvenţa de boot. Ca urmare, nu este
necesară o interacţiune administrativă pe durata secvenţei de boot a sistemului.
La momentul la care activăm BitLocker utilizând panoul de control BitLocker Drive Encryption,
putem selecta următoarele moduri operaţionale: TPM _ startup key, TPM _ startup PIN, sau TPM only.
Pentru a utiliza modul TPM _ startup PIN _ startup key, este necesară mai întâi configurarea setării
Require additional authentication at startup Group Policy, ce se găseşte în
containerul Computer Configuration, Policies, Administrative Templates,
Windows Components, BitLocker Drive Encryption, Operating System Drives.
14
Activarea BitLocker
BitLocker nu este activat implicit. Dacă nu ştim că sistemul nostru are instalat modulul hardware de
securitate Trusted Platform Module (TPM), va trebui, mai întâi, să verificăm acest lucru. Apoi vom activa
BitLocker pentru volumul pe care dorim să-l criptăm.
Verificarea existenţei modulului TPM se face parcurgând paşii:
1. Se deschide Control Panel, se face clic pe System and Security şi api clic pe
BitLocker Drive Encryption;
2. În partea stângă a ferestrei ce apare se face clic pe TPM Administration. Dacă ne este
solicitată parola de administrator sau o confirmare, vom introduce parola sau vom furniza
confirmarea. TPM Management sau Local Computer snap-in ne spune dacă calculatorul
nostru posedă hardware-ul de securitate TPM (figura 3.13). Dacă calculatorul nu posedă acest
hardware, vom avea nevoie de un stick de memorie USB pentru a seta BitLocker pe on şi pentru
a stoca cheia de startare BitLocker, cheie de care vom avea nevoie ori de câte ori pornim
calculatorul.
Setarea pe on a BitLocker
Presupunând că suntem conectaţi ca administrator pe un system Windows, se vor parcurge paşii:
1. Clic pe Start, Control Panel, System and Security, BitLocker Drive
Encryption. Va apărea panoul de control BitLocker Drive Encryption;
2. Se face clic pe Turn on BitLocker pentru unităţile de harddisc existente. Va apărea pagina
Set BitLocker startup preferences (figura 3.14);
15
Fig. 3.14 Setarea pe on a BitLocker
3. Se face clic pe Require a Startup key at every startup. Va apărea o pagină Save your
Startup key;
4. Se inserează un stick de memorie USB şi se face clic pe Save. Va apărea pagina How do you
want to store your recovery key?
5. Se selectează una dintre opţiunile pentru a salva cheia de recuperare şi apoi clic pe Next.
Apare pagina Are you ready to encrypt this drive?
6. Se efectuează clic pe Continue. Se face o verificare a sistemului şi apoi se restartează
calculatorul;
7. Ne conectăm în sistem. Windows va începe criptarea harddiscului.
După finalizarea procesului de criptare, putem deschide panoul de control BitLocker Drive
Encryption pentru a ne asigura că volumul este criptat sau pentru a seta pe off BitLocker atunci când se
efectuează o upgradare a BIOS-ului sau alte operaţii de întreţinere a sistemului.
Applet-ul din panoul de control BitLocker ne permite să recuperăm cheia de criptare şi parola de
recuperare atunci când dorim. Trebuie acordată atenţia necesară stocării acestor informaţii deoarece ele
ne vor permite accesul la datele criptate.
Utilizarea BitLocker To Go
BitLocker To Go este o nouă facilitate oferită de Windows care permite utilizatorilor să cripteze
dispozitivele USB amovibile, cum sunt stick-urile şi cardurile de memorie precum şi harddiscurile externe.
Deşi BitLocker a permis din totdeauna criptarea dispozitivelor amovibile, BitLocker To Go ne
permite să utilizăm dispozitive criptate pe alte calculatoare fără a fi nevoie să efectuăm un proces de
recuperare implicit. Deoarece sistemul nu utilizează dispozitivul amovibil ca un dispozitiv de bootare, nu
este necesară prezenţa unui cip TPM.
Pentru a utiliza BitLocker To Go, se inserează dispozitivul amovibil şi se deschide panoul de control
BitLocker Drive Encryption. Dispozitivul apare în intefaţă, cu o legătură Turn on BitLocker la fel ca şi
harddiscul calculatorului.
16
Exerciţii
1. Să se creeze un grup de utilizatori cu drepturi limitate, care să poată efectua operaţiile de backup
şi restore a fişierelor.
2. Să se creeze un grup de utilizatori în care să fie incluşi toţi utilizatorii din sistem, mai puţin
adminsitratorul acestuia.
3. Care sunt permisiunile ce pot fi asignate unui utilizator pe un folder sau fişier? Care este
semnificaţia acestora?
4. Ce sunt permisiunile efective şi cum se determină acestea?
5. Cum se poate seta pentru un grup de utilizatori un set de permisiuni, diferit de cel implicit?
6. Să se verifce tipul partiţiilor existente pe calculatorul respect (FAT32 sau NTFS), şi să se activeze
opţiunea de criptare pentru un folder ce este într-o partiţie NTFS. Se va verifica pentru ce utilizatori este
permis accesul la folderul respectiv.
7. Ce este BitLocker?
8. Cum se activează BitLocker?
Exerciţiu:
1. Conectaţi-vă ca administrator pe un calculator pe care rulează sistemul Windows;
2. Creaţi un grup numit Manageri;
3. Creaţi un cont de utilizator numit Mihai şi făceţi-l membru al grupului Manageri;
4. Creaţi un alt cont utilizator, numit George;
5. Creaţi un folder numit TestFolder şi creaţi în acest folder un fişier numit test.txt;
6. Partajaţi folderul TestFolder;
7. Asignaţi grupului Everyone permisiunea Allow Full Control;
8. Asignaţi permisiunea Read and Execute grupului Manageri;
9. Conectaţi-vă cu numele de utilizator George şi încercaţi să accesaţi folderul
\\localhost\TestFolder;
10. Apoi conectaţi-vă cu numele de utilizator Mihai şi încercaţi să accesaţi folderul
\\localhost\TestFolder.
Ce se constată şi ce concluzii se pot trage?
17