EFS - ENCRYPTING FILE SYSTEM PART - 1

EFS – ENCRYPTING FILE SYSTEM PART-I

Bilgi teknolojileri ilerledikçe, bilgisayar kullanımı arttıkça data dediğimiz verilerimizde çoğalmaktadır. Bazı verilerimiz sıradan önemsiz şeylerdir, bazıları ise yüksek önemliğe sahiptir. Veri güvenliğimizi bir takım donanım ve yazılım ile sağlayabiliriz. Bu makalede EFS ( Encrypting File System) ‘i inceleyeceğiz.

Windows tarafından baktığımızda dosyalarımızın güveniğini NTFS ile sağlıyoruz. Dosyamızın veya klasörümüzün Security ( Güvenlik ) sekmesinden kimin erişip kimin erişemeyeceğini belirleriz. Belirlediğimiz yetkiler ile kullanıcılar ACL ( Access Control List) çerçevesinde izinli olup olmadığını anlayarak dosyalara erişir. Tabi biz veri güvenliğimiz sağlamak için şunları düşünmeliyiz;

A-) Ortamda Admin denilen bir takım yetkilere sahip bir/birçok user/userlar var ise, bu kullanıcı makinenize logon olarak dosyalarınızda yetkisi olmasa bile dosyanının sahiplik ( Owner ) ‘liğini alarak dosyalarınıza erişir. Bu olay O user’a verilen hak çerçevesinde olur.

B-) Fiziksel güvenlik, direk HDD ( Hard Disk Drive )’ınızı sökerek kendi makinesine takar ve dosyalarınıza her türlü şekilde erişir ve kopyalar veya silebilir. Veyahut bir çok program ile işletim sistemini By-Pass ederek dosyalarınza ulaşır.

Bu tip güvenlik açıklarından daha iyi korunmamız için EFS kullanabiliriz. EFS kullanılması sonucu A ve B maddeleri gerçekleşse bile EFS bunu engelleyecek ve verileriniz okunamayacaktır. Ortamınızda bulunan en az bir kişiyi Data Recovery Agent olarak kullanmalısınız. EFS kullanmak için Dosya sistemi NTFS olmalıdır. FAT ve FAT32’de EFS kullanamazsınız.

EFS’in Çalışma Mantığı,

EFS encryting işlemini bir sertifika ile yapmaktadır. Basit olarak Private ve Public key kullanarak yapar. Bu sertifika EFS yapmak isteyen kullanıcıya ait olması gerekmektedir.

Kullanıcının zaten bir sertifikası var ise onu kullanır eğer yok ise, öncelikle ortamda bir CA ( Certification Authority ) arar varsa CA’den alır sertifikasını, eğer ortamda CA’de yok ise sertifikayı kendisi oluşturur bu sertifika tipine Self Signed denir. Sonrasında kullanıcı sertifika ile dosyayı şifrelemek istediğinde, EFS dosyayı şifrelemek için FEK ( File Encyrption Key ) oluşturur. EFS, FEK ile kullanıcının Public Key’ini tekrar şifreleyerek dosyanın DDF ( Data Decryption Field ) denilen kısmına depolar, bu şekilde dosya şifreleme işlemi biter.

Şifrelenmiş dosyayı açması için private key’e ihtiyacı vardır. Private key’de user’ın password’ü ile şifrelenerek sertifika ile birlikte oluşur. Ve kullanıcının Profilinde saklanır. Private key elinde olan user, dosyayı açmak istediğinde ilk olarak FEK’i Decryption eder sonrasında ise FEK’i kullanarak dosyayı deşifre eder.

Şifrelenen dosyaya ek olarak kullanıcı ekleyebilirsiniz, eklediğiniz kullanıcılar’da şifrelenmiş dosyanıza erişebilir. Offline dosyalarınızıda EFS ile şifreleyebilirsiniz. Hali hazırda DESX’i kullanan EFS Triple-DES (3DES) ile değiştirerek kullanılabilir.

Resim-1-

Resim 1 Bileşenleri,

EFS; EFS Service, EFS Driver, EFS File System Run-Time Library (FSRTL), Application Programming İnterface (API) ve RSA tabanlı şifreleme servisinden elde ettiği Microsoft Cryptographic Application Programming İnterface’i kullanarak çalışır.

Dosyayı EFS İle Encrypt Etmek;

Resim-1-

Encrypt etmek istediğiniz dosyanın özelliklerine girerek Advanced tabına tıklarız.

Resim-2-

Yukarıdaki “”Encrypt contents to secure data”” checkbox’ını dolduruyoruz ve OK diyoruz. Sonrasında Resim1 e dönüyoruz ordada OK dediğimizde,

Resim-3-

Bu ekran karşımızda çıkıyor ve diyor ki; sadece dosyayımı yoksa dosyayı ve üst klasörüde encrypt edeyim. Burada isterseniz sadece dosyayı isterseniz klasörüde encrpt edebilirsiniz. Alttaki checkbox da her zaman sadece dosyayı encrypt et anlamında olup bir dahaki sefere size sormadan sadece dosyayı şifreler.

Resim-4-

Efs sonrası dosya yeşil’e dönmüştür. Efs’lenen her dosya windows’ta yeşil olarak gözükmektedir.

RESİM-5-

İsterseniz dosyaya sağ tıklayıp encrypt edersiniz isterseniz command prompt’dan da encrypt edebilirsiniz. Bunun için efs yapacağınız folder’a düşmelisiniz ve Cipher /e dosyaadı yazarak dosyanızı encrypt edebilirsiniz.

Şimdi Oluşan Sertifikaya bakalım;

Resim-6-

Run – mmc sonrasında add/remove snap-in diyerek Certificates’i seçeriz ve My user Account’u seçeriz. Personel altında sertifikamız durmaktadır. Biz sertifikayı oluşturmadık, Efs baktı var olan sertifika yok CA aradı onuda bulamadı ve kendisi oluşturdu. Resimdede görüldüğü gibi user isimli bir sertifikanız var ve bu sertifikayı size dursun isimli bir user atamış. Bu tip sertifikalara Self-signed sertifika tipi diyoruz.

Sertifika’yı görmek için İnternet Explorer’ıda kullanabiliriz. Bunun için;

Tools – İnternet Options- Content – Certificates ‘de personel tabında görürüz.

Şimdi gelelim başka bir user’ın encrypt edilmiş dosyaya ulaşmasına;

Resim-7-

Görüldüğü gibi admin’de olsanız dosyaya erişemezsiniz. İsterseniz dosyanın ownerlığını alın, isterseniz security permission’ları ile oynayın bu hak hukuk meselesi değildir. Bu EFS’dir.

Resim-8-

Yukarıdaki resmine istinaden; Başka kullanıcılar Efs ile encrypt edilmiş dosyayı kesip taşıyabilir, silebilir ama kopyalayamaz. Çünkü kes dediğinizde dosyanın tüm içeriğini her hangi bir okuma yapmadan taşır. Sil derseniz siler, ama kopyala dediğinizde dosyanın içeriğini okumadan kopyalamayacağı için Access denied hatası alırsınız.

Resim-9-

Efs ile encrypt edilmiş dosyayı network üzerinden diğer başka bir makineye kopyalamak istediğinizde yukarıdaki uyarıyı alırsınız. Derki;

Kopyalamak istediğiniz dosya EFS ile encrypt edilmiş ben bunu bu şekilde karşıya kopyalayamam, eğer isterseniz encrypt özelliğinden çıkararak gönderirim. Der sizde ignore edip bu uyarıyı geçerseniz dosyalarınız encrypt’siz bir şekilde başka makineye aktarmış olursunuz.

Peki bir şekilde kopyalamanız lazım veya illaki efs’li şekilde gitmesi lazım veyahut yapınızda varolan bir Backup Operator devamlı user’ların yedeklerini alıyorsa bunu NTBACKUP ile yapabilirsiniz.

Resim-10-

Run – ntbackup dediğinizde karşınıza bir sihirbaz çıkar orda Advanced Mode dediğinizde yukarıdaki ekran karşınıza çıkacaktır. Burada Backup Wizard ile devam ediyoruz.

Resim-11-

Next ile devam ediyoruz.

Resim-12-

Backup selected files ‘ ı seçip Next ile devam ediyoruz.

Resim-13-

Karşımıza hangi dosya/dosyaları seçebileceğimiz bir ekran çıkıyor. Şu anda yedek alan bir operatör, kullanıcının C:\Documents and Settings\dursun\Desktop\efsle klasörünü yedek almak istiyor ve Next ile devam ediyoruz.

Resim-14-

Yukarıdaki resimde backup’ı nereye alacağını soruyor browse diyerek path’i belirliyoruz ve Next ile devam ediyoruz.

Resim-15-

Yukarıdaki resimde NTBACKUP’ın işini bitirdiğini yani EFS’le şifrelenen dosyanın yedeğini aldığını görüyoruz. Buradaki olan olayı anlamak için,

Backup Operatör Efs ile encrypt edilmiş dosyalarını nasıl okuyor hak hukuk meselesi değil dedik ama Backup operatör birkaç servisi by-pass ederek dosyanın kopyasını aldı. Kopyasını aldı derken encrypt olan verisyonunu aldı yani ( dosyanın içinde bulunan Merhaba kelimesini değil 5874aasasd’+’%&+5454sa5s4a54 şeklinde ) Ve şu anda dosyada bulunan public key ile şifrelenen fek duruyor. Private key sizin profilinizde durmaktadır, yedek alıp nereye giderse gitsin dosyalara private key olmadan erişmek imkansızdır. Yani Efs ile encrypt edilmiş dosyaları taşımak için NTBACKUP kullanıyorouz.

Efs ile encrypt edilen dosyalara başka kullanıcılarında erişmesini istiyorsanız,

Resim-16-

Efs ile encrypt uyguladığımız dosyanın üzerinde sağ tıklayıp özelliklerine gireriz;

Advanced – details ve sonrasında add’e tıkladığımızda,

Resim-17-

Karşımıza işletim siteminde sertifikası bulunan user’ların listesi gelir ve siz hangi kullanıcının bu dosyaya erişmesini isterseniz o kullanıcıyı seçerek OK dersiniz,

Resim-18-

Sonrasında görüntü bu şekilde olacaktır ve Ok-OK ile devam ettiğinizde kullanıcınında public key’i Fek ile şifrelenerek dosyanın DDF’ine güncel olan FEK’i yazılacaktır.

Artık eklediğimiz diğer kullanıcıda dosyaya erişerek istediğini ACL çerçevesinde yapacaktır.

Resim-19-

Kullanıcı efs ile encrypt edilmiş dosyayı kendisinde bulunan private key ile decrypt ederek açmıştır.

Peki ben admin’im ve herkesin şifresini bilemem ama resetleyebilirim;

Resim-20-

Admin kullanıcının password’ünü resetlemek istediğinde yukarıdaki uyarı karşısına çıkacaktır ve bakın siz password resetlemesi yapacaksınız ama kullanıcının bunu kendisi yapması gerektiğini ve eğer siz yaparsanız bazı dosyalara o kullanıcının erişmesinin imkansız hale gele bileceğini söylemektedir. Bunu workgroup ortamında denetim masasından users account ile veya domain ortamında ise ctrl+alt+del kombinasyonu ile yapmalıdır ki private key de update olsun yeni password ile.

Şifre resetlemesi yaptıktan sonra var olan kullanıcıya admin derki sizin şifreniz 123 olarak değiştirildi ve kullanıcı logon olur yeni şifresi ile, Efs ile encrytp edilmiş dosyalarına erişmek istediğinde Access is Denied hatası alacaktır. Burdaki tek çözüm kulacının tekrar eski şifresine dönmesi olacaktır, aksi takdirde dosyalar private key olsa dahi açılamayacaktır.

Kullanıcı tekrar eski şifresi olan 123456’ya döndüğünde logoff/logon olduğunda dosyalarına erişecektir. Yani user’ın password’ü private key ile şifrelendiği için ve başka bir password onu açamayacağı için durum bundan ibarettir.

Var olan sertifikayı dışarı çıkarmak.

Bunu basit olarak İnternet Explorer’dan yapabiliriz veya MMC ile;

Resim-21-

İnternet Explorer – tools – content tabında certificates’a tıkladığımızda kullanıcımızın sertifikası görmekteyiz ve user ismine tıklıyoruz ve export diyoruz. Ve next ile devam ediyoruz.

Resim-22-

Burada sertifika export edilirken private key’de dahil olsunmu diye sorar burada siz Yes, export the private key seçeneğini seçerek private key’inde .pfx’in içinde olmasını sağlarsınız tekrar geri yükleme yapacağınız zaman sertifikayı hem public hemde private key ile geri dönmüş olursunuz. Bunu şiddetle tavsiye ederim. Next ile devam ediyoruz.

Resim-23-

Yukarıdaki resimde sertifikayı dışarı çıkarırken var olan private key’in profilinizden silinmesini sağlayabilirsiniz. Sonrasında next ile devam ediyoruz.

Resim-24-

Burada sertfikayı geri yüklerken size soracağı şifreyi girmelisiniz. Eğer burada bir şifre kullanmazsanız size şifre sormadan sertifikayı geri yükleyecektir ve bu nedemektir birisi aldığınız sertifika yedeğini ve efs ile encrypt edilmiş dostalarınızı alır sertifikayı geri dönerken şifre istemeyeceğinden direk yükler ve artık dosyalarınıza erişecektir. ( Tabi kullanıcının hash’inin alınarak birkaç password cracker programı ile geçerli olan password’üne ulaşabiliriz. )