Tính phổ biến 3 Tính đơn giản 1 Tính hiệu quả 10 Mức độ rủi ro 5
Chúng ta tiếp tục nghiên cứu tài liệu mà Grace và Bartlet giới thiệu ở phần trước tại địa chỉ http://www.deepquest.pf/win32/win2k_efs.txt , khả năng ghi chèn dữ liệu lên mã chương mục Administrator được thực hiện trên một phạm vi rộng hơn khi máy ngầm hiểu Administrator là một tác nhân phục hồi mã mặc định (RA). Khi đã đột nhập thành công vào một hệ thống bằng một mật mã Administrator trống, các tệp tin được mã hoá dưới dạng EFS sẽ tự động giải mã khi mở tệp tin, từ đó có thể dùng chính mật khẩu khôi phục mã để truy cập các tệp đã bị mã hoá.
Vì sao chức năng này hoạt động? Hãy nhớ lại cách thức hoạt động của hệ thống mã hoá tệp: Mật khẩu mã hoá tệp (cũng dùng để giải mã tệp) được thiết lập ngẫu nhiên cũng có thể tự lập mã bằng những phím khác, và những biến số mã hoá này được lưu trữ như những thuộc tính tệp. FEK được lập mã bằng những khoá chung của khách hàng (mỗi khách hàng sử dụng hệ điều hành Windows 2000 sẽ nhận được một mật khẩu cá nhân hay mật khẩu dùng chung) được lưu dưới dạng thuộc tính tệp gọi là Trường Giải Mã Dữ Liệu (DDF) được kết hợp với tệp tin. Khi người dùng truy cập vào tệp tin này, mã các nhân của người ấy sẽ giải mã DDF, và sẽ tìm được FEK để giải mã tệp tin đó. Những biến số thu được từ việc giải mã FEK cùng với mã tác nhân phục hồi sẽ được lưu dưới dạng thuộc tính có tên Trường Phục Hồi Dữ Liệu (DRF). Vì vậy, nếu Administrator cục bộ là tác nhân phục hồi đã xác định (thường mặc định), thì bất kỳ ai có mã Administrator trong hệ thống này sẽ có thể giải mã DRF bằng mật khẩu cá nhân của mình để rồi giải luôn cả mã FEK, đây chính là chìa khoá để giải mã các tệp tin được bảo mật dưới dạng EFS.
Xóa ủy nhiệm Tác nhân Phục hồi Hãy xem điều gì xảy ra nếu tác nhân phục hồi được giao cho người khác mà không phải là Administrator? Grace và Bartlett sẽ cung cấp cho các bạn biện pháp đối phó bằng một chương trình chạy ngay khi khởi động máy và xác lập lại mật mã cho bất kỳ một chương mục nào đã được xác định là tác nhân phục hồi.
Tất nhiên một kẻ đột nhập không cần chỉ tập chung vào tác nhân phục hồi vì nó chỉ nhất thời tạo ra một phương thức dễ tiếp cận nhất đối với các tệp đã bị mã hoá trên đĩa.Một cách khác để tránh xung đột với tác nhân phục hồi được uỷ thác là giả dạng làm người mã hoá tệp đó. Sử dụng chntpw (xem phần trước), mọi mã chương mục của người sử dụng đều có thể xác lập lại
bằng hình thức tấn công ngoại tuyến. Khi đó kẻ tấn công có thể đột nhập vào hệ thống khi người sử dụng mã hoá DDF có liên kết ảo với mã cá nhân của người đó, sau đó giải mã FEK và tệp tin. Chúng ta cũng không cần dùng đến mã cá nhân của tác nhân phục hồi dữ liệu.
◙ Xuất khẩu các khóa phục hồi và lưu trữ an toàn các khóa này
Grace và Bartlett sẽ buộc hệ thống Microsoft phải cho phép mã EFS được giải, nhưng đột nhập làm giảm nguy cơ rủi do bằng cách xác nhận cuộc tấn công sẽ thất bại nếu thủ thuật chuyển giao mã phục hồi bị phát hiện. (Xem trang: http:// www.microsoft.com/ technet/treeview/default.asp?url=/technet/itsolutions/security/topics/efs/asp ).
Tuy vậy phần mô tả quá trình xử lý dữ liệu của hãng Microsoft trong trang này đã quá lạc hậu, và các tệp tin trợ giúp EFS cụ thể không thể chỉ ra cách thức thực hiện. Để truy xuất các tệp chứa tác nhân phục hồi trên những hệ thống độc lập, mở trang Group Policy (gpedit.msc), tìm tới nhãn Computer Configuration\Windows Settings\Security Setting\Public Key Policies\Encryted Data Recovery Agents, tích chuột phải vào tác nhân phục hồi bên ô phải ( thường đây là Administrator), và chọn All Tasks/Export. Xem bảng sau:
Một thuật sĩ sẽ được mở ra và qua đó hàng loạt đề mục thông tin trước khi truy xuất được mật mã. Để sao lưu mã tác nhân phục hồi, bạn phải truy xuất cả mã cá nhân kèm theo trang chứa mã, và bạn nên tạo lập một hệ thống bảo vệ nghiêm ngặt (đòi hỏi một mật khẩu). Cuối cùng bạn nên XOÁ BỎ MÃ CÁ NHÂN NẾU ĐÃ THÀNH CÔNG. Bước cuối cùng là vô hiệu hoá khoá giải mã tác nhân phục hồi thu được từ hệ thống cục bộ.
CẢNH BÁO: Chú ý xoá toàn bộ trang chứa tác nhân phục hồi trong ô phải của thuật sĩ. Điều này sẽ làm cho EFS trong Windows 2000 không còn là tác nhân phục hồi nữa. Hướng dẫn sau đây sẽ cho thấy điều gì xảy ra khi EFS được dùng nhưng không có mã tác nhân phục hồi_Nó không hoạt động được.
CHÚ Ý Những mục đã bị khoá mã trước khi xoá tác nhân phục hồi vẫn bị mã hoá, nhưng chúng sẽ chỉ được khi người sử dụng khôi phục được mã RA đã lưu từ trước.
Đối với những máy kết nối mạng miền, cách thức có hơi khác: máy chủ miền này sẽ lưu trữ tất cả mã phục hồi hệ thống cho các máy trong miền. Khi một máy dùng Windows 2000 kết mạng miền, Hệ Thống Quản Lý Mã Phục Hồi Mặc Định Trong Miền sẽ tự động làm việc. Administrator của miền đó, chứ không phải là Administrator cục bộ, sẽ trở thành tác nhân phục hồi. Từđó Administrator sẽ phân tách các mã phục hồi từ những dữ liệu đã mã hoá khiến mọi cuộc tấn công của Grace và Bartlett trở nên khó khăn hơn. Đó cũng là một thủ thuật để truy xuất trang chứa tác nhân phục hồi từ máy chủ miền đó. Nếu như các tác nhân này bị là tổn thương, thì mọi hệ thống trong miền cũng rất dễ bịảnh hưởng nếu như mã phục hồi có ở các máy cục bộ.
CHÚ Ý Hãng Microsoft cũng xác nhận trong một trang “analefs” rằng vấn đề xóa bỏ SAM, làm cho mật khẩu của Administrator bị xác lập lại thành giá trị trống, có thể giải quyết nhờ SYSKEY. Chúng tôi đã chứng minh điều này hoàn toàn không đúng trừ phi mã SYSKEY hoặc chế độ cần ở ổ đĩa mềm được tái xác lập. (Trong trang này chúng ta không đề cập đến điều đó.)