Windows Ortamında EFS (Encrypting File System) Teknolojisi ile Korunma

Kurumlardaki bilgisayarların fiziksel güvenliği kritik öneme sahiptir. Microsoft ortamında fiziksel güvenliği sağlamanın bir çok yöntemi vardır. Bu yöntemlerden birisi de Encrypting File System (EFS) teknolojisidir. Bu yazıda Microsoft ortamında EFS koruma teknolojisi incelenecektir.

Bir sistem üzerinde bir işletim sistemi çalıştığı sürece korunan bir dosya, işletim sistemi tarafından kullanıcı kimlik doğrulanması ve erişim kontrol listeleri ile korunmaktadır. Fakat bir şekilde fiziksel olarak sisteme erişmeyi başaran bir saldırganın bu dosyaları ele geçirmesi oldukça basittir. Elde etme yöntemlerinden biri sistem diskini çalıp başka bir bilgisayarda erişme ya da dosya sistemine erişebilecek başka bir işletim sistemi CD’si ile sistemi açarak dosyalar elde edilebilir. Ya da sisteme oturum açma hakkı olan başka bir kullanıcı yanlış yapılandırılmış DACL ile başka kullanıcıların dosyalarına erişebilir. Bu gibi saldırılardan korunmanın en kolay ve yaygın yolu, dosyaları diskte şifrelenmiş olarak saklamaktır.
Windows işletim sistemlerinde NTFS 3.0 ve sonrası ile gelen Encrypting File System (EFS) teknolojisi bu saldırılardan korunmak için Microsoft tarafından geliştirilmiş bir korunma teknolojisidir. Açık Anahtar Şifrelemesi (Public Key Cryptography) ve Simetrik Şifreleme yöntemlerini hibrit olarak kullanarak şifreleme işlemini yerine getiren EFS ile şifrelenmiş bir dosyanın şifreli hali ele geçirilse bile doğru anahtar olmadan dosyanın açık halinin elde edilmesi aşırı derecede zordur. Fakat uygulama kısmında şifreleme anahtarı kullanıcı parolası ile korunduğu için, bu dosyalar da parola kırma saldırılarına açıktır. Dolayısıyla sistemin güvenliği şifrelemede kullanılan anahtarın korunmasında kullanılan parolanın güçlü bir parola olmasına bağlıdır.

Windows Server 2000 ve sonrasında NTFS ile formatlanmış herhangi bir sürücü ile EFS şifrelemesi gerçekleştirilebilir. EFS ile bir klasör ya da dosyayı şifrelemek oldukça basittir ve tamamen kullanıcıya transparan olarak şifreleme ve şifre çözme işlemleri yerine getirilir. Herhangi bir dosya ya da klasörü şifrelemek için ilgili dosya ya da klasörün gelişmiş özellikleri kullanılır. Şifrelemeden sonra işletim sistemi gerekli şifreleme anahtarlarını oluşturarak ilgili klasör ya da dosyaların şifrelenmesini otomatik olarak yerine getirir. Şifrelenmiş dosya ya da klasörlerin şifreli olduğu, ilgil klasör yada dosyarın isimlerinin farklı renk ile (genellikle yeşil) gösterilmesiyle ayırt edilebilir. Şifreleme işlemleri cipher.exe programı kullanılarak kullanıcıya transparan olacak şekilde gerçekleştirilir. EFS ile USB disklerindeki dosyaları da şifrelemek mümkündür.
EFS ile bir klasörün şifrelenmesine başlandığında ilgili kullanıcı için iki adet anahtar üretilir. Biri dosyanın Simetrik Şifreleme ile şifrelenmesinde kullanılan File Encryption Key (FEK) adlı anahtar, diğeri ise Açık Anahtar Şifrelemesi’nin FEK adlı anahtarın şifrelenmesinde kullanılan kullanıcıya ait gizli anahtar çiftidir. EFS’nin hibrit şifreleme kullandığı belirtilmişti. FEK adlı anahtarın şifrelenmesinde kullanılan anahtar çiftinin güvenli olarak sistemde saklanması için kullanıcı parolası kullanılır. Bu nedenle kullanılan kullanıcı parolasının karmaşıklığı ve uzunluğu EFS ile şifrelenen dosyaların güvenliği için oldukça önemlidir. EFS bir defa aktif hale getirilir getirilmez o anda oturum açmış kullanıcı adına ilgili anahtarlar üretilir. Oturum açmış kullanıcı için üretilen sertifika “MMC > Sertifikalar > Kişisel” alanından görüntülenebilir.

Eğer önceden uygun güvenlik önlemleri alınmamışsa kullanıcı anahtarının başına bir şey gelmesi durumunda EFS ile şifrelenen dosyaların geri kurtarılması mümkün olmamaktadır. Bunun için EFS ile şifrelenen dosyalar için veri kurtarma anahtarı üretilebilir. Cipher.exe /R:<dosyayolu> parametresi ile bir kurtarma anahtarı oluşturulur ve bu anahtar parola ile korunan bir pfx uzantılı dosya ile dışarı aktarılabilir. PFX dosyasına atanan parolanın da unutulmaması gerekmektedir. Bu aşamadan sonra EFS ile şifrelenen dosyalar için iki tane anahtar olacaktır. İki anahtardan birisi kullanıcı için şifreleme yapılan anahtar, diğeri ise kurtarma anahatarı ile kurtarılabilmek için şifreleme yapılan anahtardır. Her iki anahtar da şifrelenen dosyaya eklenir. Bu kurtarma anahtarı Windows Vista ve sonrasında akıllı kartlarda saklanacak şekilde de yapılandırılabilir.

Bu şekilde bir kurtarma anahtarı etki alanına (domain) katılmamış bilgisayarlar için üretilebilir fakat ortamda çok sayıda bilgisayarın bulunduğu durumlarda, yedekleme anahtarının yönetimi ve saklaması zorlaşacaktır. Etki alanına alınmış bilgisayarlar için merkezi olarak Grup İlkeleri ile yönetilen bir kurtarma anahtarı üretilebilir. “Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Encrypted Data Recovery Agents” grup ilkesi altında üretilecek bir kurtarma anahtarının açık anahtarı tüm kullanıcı bilgisayarlarına gönderilir. EFS ile şifrelenen dosyalar artık bu açık anahtar ile şifrelenen simetrik anahtar ile de şifrelenir. Kurtarma anahtarının gizli anahtarı etki alanında saklanacağı için oldukça güvenlidir. Böylece artık hem kullanıcı adına hem de kurtarma anahtarı için tüm dosyalar şifrelenir ve kullanıcı anahtarının başına bir iş gelmesi durumunda yedekleme anahtarı ile dosyaları kurtarılabilir.

EFS ile doğrudan dosyaları şifrelemek yerine klasörlerin şifrelenerek, şifrelenecek dosyaların bu klasörler altında saklanması önerilir. Böylece dosyanızın şifresiz hali hiç bir zaman diskte yer etmeyecektir. Dosyaların şifresiz alanda saklanarak, şifreli alana kopyalanması ve sonrasında şifresiz alandaki dosyanın şifrelenmesi, şifresiz dosyanızın diskten silindiği anlamına gelmemektedir. Herhangi bir veri kurtarma yazılımı ile dosyanın şifresiz haline erişmek oldukça kolaydır. Bu nedenle klasör bazında şifreleme yapılması önerilir. Eğer silinen dosyalar şifresiz halde diskte saklanmasını istenmiyorsa, “cipher.exe /w” parametresi ile diskte kalan ve kullanılmayan alanlar güvenli olarak silinebilir. EFS ile temp klasörü, dokümanlar klasörleri ve yerel yazıcı havuzunun şifrelenmesi tavsiye edilir. Çünkü bir çok program geçici kayıt yeri olarak temp klasörünü kullanmaktadır, bu da EFS ile şifrelenen bir dosyanın şifresiz halinin temp klasöründe saklanması anlamına gelebilir.

EFS ile hibernation (HIBERFIL.SYS) ve paging (PAGEFILE.SYS) dosyalarının şifrelenmesi gerçekleştirilememektedir. Bazen bu dosyalarda hassas bilgiler bulunabilmektedir. Bu nedenle, bu dosyaların şifrelenmesi de önem arz etmektedir. Önlem olarak bu dosyaların boyutları izin verilen en düşük değerde tutabilir yada kullanıcılar bilgisayarı hibernate ortamına sokmadan önce önemli veri içeren dosyaları kaydederek kapatmaları konusunda bilinçlendirilebilir. Ya da bu problemleri kökünden halleden BitLocker gibi disk bazında şifreleme yapan teknolojiler kullanılabilir.

 

Kaynak:

https://www.bilgiguvenligi.gov.tr/microsoft-sistemleri-guvenligi-dokumanlari/index.php

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.