Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Как описано в ресурскитном хелпе 08.01.04 13:16 Число просмотров: 2883
Автор: amirul <Serge> Статус: The Elderman
|
> Собс-но, я так и думал:). Надо понимать, ты бы хотел > привязку ключей шифрования к паролям пользователей сделать? http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp?url=/windows2000/techinfo/reskit/en-us/distrib/dsck_efs_ocse.asp
Ага. Для каждого файла генерится рандомный FEK (file encryption key), который криптуется ключами из сертификатов юзеров, которые смогут этот файл читать (и это все добавляется к заголовку файла), а сами сертификаты криптуются мастер ключем (который у каждого пользователя один), а мастер ключ криптуется хешем из SID-а, пароля и еще чего то там. Это описано самими мелкософтовцами. Насколько я понимаю, РЕАЛЬНАЯ реализация "слегка" отличается от заявленной в хелпе :-)
> А не получится - возникнут проблемы при смене пароля > например. Так что тут вряд ли можно сделать что-то лучше > чем есть. При смене пароля из "Users and Passwords" апплета - спрашивается старый пароль: просто master key расшифровывается и зашифровывается новым паролем - больше ничего менять не надо, все сертификаты остаются на месте. А при СБРОСЕ пароля из Computer Management-а, винда заявляет, что все EFS разделы потеряются.
> Единственная тупость MS в данном случае - это как обычно > недоделанность(а доделывают только в следующей версии - в Я попробовал пояснить мысль. Тупость не только в недоделанности, даже не столько в ней, сколько в ПОЛНОМ несоотвествии реализации описанию. И как после этого доверять ОС-ям от такого производителя? :-)
> XP и дальше) - это по поводу привязки EFS к Administrator'у > (где-то читал что если его из Recovery agents в 2К удалить, > то EFS перестает вообще работать - сам не проверял:) ). > Если хочется менее ущербное EFS - ставь XP:) - хотя и там > все будет читаться сбросом пароля соответствующего > пользователя(который зашифровал). Но уж если на то пошло - > то при физическом доступе к компу(сброс пароля) - > теоретически вообще можно сделать все, что угодоно, так:)? Не совсем: например к нормальным реализациям от третьих сторон (зашифрованные контейнеры) можно получить доступ ТОЛЬКО узнав пароль. Узнать его можно ректотермальным криптоанализом (паяльник в Ж), кейлоггером, брутфорсом или еще чем нить. Но пароль знать ОБЯЗАТЕЛЬНО.
|
|
|