¿Cómo acceden los servicios de Windows a las carpetas cifradas con EFS de NTFS?

10

Si entendí correctamente, cuando habilito el cifrado NTFS (EFS) para una carpeta específica en Windows, utiliza el nombre de usuario / contraseña de la cuenta específica (con sala) para crear claves asimétricas para el cifrado y descifrado de datos. Si habilito el cifrado para una carpeta determinada, supongo que esto significa que otras cuentas del sistema (como LocalSystem o NetworkService ) no podrán acceder al contenido de esta carpeta.

¿Cómo funciona esto si habilita el cifrado para toda la unidad? Es decir. ¿Cómo pueden los servicios de Windows usar el disco en este caso?

El motivo por el que pregunto es que me gustaría habilitar el cifrado en una determinada carpeta que contiene ejecutables implementados para varias aplicaciones (un servicio, una consola de GUI, algunas herramientas de línea de comandos, etc.), por lo que me gustaría entender exactamente cómo necesitaré configurar todo esto para que funcione.

(Actualización)

Para aclarar, tenemos un servidor ubicado en una ubicación remota, y nos gustaría proteger nuestro software instalado para que no lo copie o desmonte. El servidor está ejecutando algunos servicios que reciben datos de los dispositivos y los almacenan, y tiene una aplicación web para visualización. El inicio de sesión está protegido por una contraseña bastante segura, pero esto no impide que nadie saque los discos y haga una copia.

¿Si EFS es adecuado para esto? ¿O deberíamos adoptar un enfoque diferente?

    
pregunta Groo 02.11.2015 - 12:07
fuente

4 respuestas

5

¿Tal vez BitLocker en lugar de EFS?

  

tenemos un servidor ubicado en una ubicación remota [...] para que nadie saque los discos y haga una copia.

Bueno, podría usar BitLocker Full-Disk-Encryption y almacenar la clave de descifrado dentro del chip TPM de la placa base. Y configura BitLocker para desbloquear automáticamente el volumen en el arranque.

Esto significaría que un ladrón tendría que robar el SERVIDOR ENTERO y no solo sacar un disco.

Este modo de operación de desbloqueo de volumen de BitLocker se denomina solo TPM .

Aquí hay un artículo de blog que enumera los diferentes modos:

Luis Rocha, blog de Count Upon Security , 2014-06-23, BitLocker con TPM en 10 pasos. (Archivado aquí .):

  
  • Solo TPM: no se requiere autenticación para la secuencia de inicio, pero protege contra ataques sin conexión y es el método más transparente para el usuario.
  •   

Esto al menos haría cualquier intento de obtener la clave mucho más fácil de prevenir / detectar.

    
respondido por el StackzOfZtuff 02.11.2015 - 15:43
fuente
2

Sin EFS para las carpetas del sistema.

La documentación dice: No puedes hacerlo. (No lo he intentado, pero los documentos son bastante claros al respecto).

La entrada de MSDN File Encryption (archivado aquí ) dice:

  

Tenga en cuenta que los siguientes elementos no se pueden cifrar:

     
  • archivos comprimidos
  •   
  • Archivos del sistema
  •   
  • Directorios del sistema
  •   
  • directorios raíz
  •   
  • Transacciones
  •   
    
respondido por el StackzOfZtuff 02.11.2015 - 13:22
fuente
2

Tarde o temprano, su ejecutable deberá estar en la memoria del servidor que lo aloja. Por lo tanto, estará disponible para su análisis de todos modos.

Para poder cargarlo en la memoria, se debe descifrar si se cifró anteriormente.

En otras palabras, una vez que tenga control sobre el servidor remoto, los datos que ejecutará estarán disponibles para su análisis.

    
respondido por el WoJ 02.11.2015 - 14:08
fuente
-1

Para responder a la pregunta: Si EFS es adecuado para esto?

Creo que EFS es adecuado:

  • Cifre con protección EFS en caso de que el disco duro se coloque en otra computadora. Los archivos no se pueden leer sin el certificado de seguridad
  • Para proteger su código fuente en el servidor en ejecución, cifre todo el código fuente de la carpeta con un usuario que usted solo administre. De esta manera, ni un administrador ni una cuenta del sistema pueden leer o acceder a su código fuente. Pero apache no puede leer el archivo. Debe ejecutar el servicio apache con la misma cuenta de usuario que cifró la carpeta. Asegúrese de deshabilitar la lista de archivos en la configuración de su servidor apache.
  • si un atacante restablece su contraseña de usuario, los archivos cifrados no estarán disponibles para nadie, debe proporcionar un certificado de seguridad.

Editar:

  • Por supuesto, debe tener acceso al servidor web en el que está implementando su sitio y poder crear y administrar un usuario.

¿Alguien detecta algo que falta en este enfoque?

    
respondido por el Rey Gonzalez 04.06.2018 - 03:36
fuente

Lea otras preguntas en las etiquetas