Mặc dù EFS có thể rất hữu hiệu trong nhiều trường hợp, nhưng nó không
phát huy tác dụng nếu làm việc với những đối tượng sử dụng ở cùng một
Workstation nhằm bảo vệ file. Đó chính là tính năng hoạt động của danh sách
điều khiển truy cập (ACL) hệ thống file NTFS. Microsoft đã đặt EFS vào một
vị trí như một tầng bảo vệ chống lại những cuộc tấn công ở
những vị trí NTFS
bị hỏng. Ví dụ, bằng cách khởi động những Hệ Điều Hành thay thế và sử dụng
những công cụ thuộc nhóm ba để truy cập vào ổ đĩa cứng, hay những file lưu
trong máy chủ từ xa. Thực ra, bộ tài liệu của Microsoft về EFS tập trung vào
chủ đề “EFS có thể giải quyết những vấn đề bảo mật dựa trên các công cụ có
trên các hệ điề
u hành khác. Những hệ điều hành này cho phép đối tượng sử
dụng truy cập vật lý các file từ một mục NTFS mà không cần có sự kiểm tra
truy cập”. Chúng ta sẽ tìm hiểu rõ vấn đề này ở phần sau.

Chức năng của Hệ thống bảo mật tệp tin EFS
Hệ thống mã hoá tệp EFS có thể được dùng để bảo mật tệp hay thư mục trên
màn hình Properties bằng cách sử dụng phím Tab, nhãn Advanced. Ngoài ra
công cụ lập mã dòng lệnh có thể còn được sử dụng để lập mã và giải mã file.
Đánh dòng lệnh: ‘Type cipher /?’ vào dấu nhắc hệ thống.
Mặc dù các tệp có thể có mật khẩu riêng, nhưng hệ thống bảo mật EFS của
hãng Microsoft còn cung cấp thêm biện pháp bảo mật ngay trên thư mục. Lí
do là đ
ôi khi mật mã lập tại file không có tác dụng và có tạo ra dạng văn bản
thuần tuý, hơn nữa tệp tin này không cho phép nén.
Nhờ có sự trợ giúp của Windows 2000 đối với EFS, bạn sẽ có được những kỹ năng cần
thiết để sử dụng Hệ thống EFS tốt hơn. Chú ý:
Cần thận trọng khi dụng lệnh ‘cut’ để di chuyển tệp đã được mã

giải mã khi mở tệp tin, từ đó có thể dùng chính mật khẩu khôi phục mã để truy
c
ập các tệp đã bị mã hoá.
Vì sao chức năng này hoạt động? Hãy nhớ lại cách thức hoạt động của hệ
thống mã hoá tệp: Mật khẩu mã hoá tệp (cũng dùng để giải mã tệp) được thiết
lập ngẫu nhiên cũng có thể tự lập mã bằng những phím khác, và những biến số
mã hoá này được lưu trữ như những thuộc tính tệp. FEK được lập mã bằng
những khoá chung c
ủa khách hàng (mỗi khách hàng sử dụng hệ điều hành
Windows 2000 sẽ nhận được một mật khẩu cá nhân hay mật khẩu dùng
chung) được lưu dưới dạng thuộc tính tệp gọi là Trường Giải Mã Dữ Liệu
(DDF) được kết hợp với tệp tin. Khi người dùng truy cập vào tệp tin này, mã
các nhân của người ấy sẽ giải mã DDF, và sẽ tìm được FEK để giải mã tệp tin
đó. Những biến số thu được t
ừ việc giải mã FEK cùng với mã tác nhân phục
hồi sẽ được lưu dưới dạng thuộc tính có tên Trường Phục Hồi Dữ Liệu (DRF).
Vì vậy, nếu Administrator cục bộ là tác nhân phục hồi đã xác định (thường
mặc định), thì bất kỳ ai có mã Administrator trong hệ thống này sẽ có thể giải
mã DRF bằng mật khẩu cá nhân của mình để rồi giải luôn cả mã FEK, đây
chính là chìa khoá để giải mã các tệp tin được b
ảo mật dưới dạng EFS.
Xóa ủy nhiệm Tác nhân Phục hồi Hãy xem điều gì xảy ra nếu tác nhân
phục hồi được giao cho người khác mà không phải là Administrator? Grace
và Bartlett sẽ cung cấp cho các bạn biện pháp đối phó bằng một chương trình
chạy ngay khi khởi động máy và xác lập lại mật mã cho bất kỳ một chương
mục nào đã được xác định là tác nhân phục hồi.
Tất nhiên một kẻ đột nhập không cầ
n chỉ tập chung vào tác nhân phục
hồi vì nó chỉ nhất thời tạo ra một phương thức dễ tiếp cận nhất đối với các tệp
đã bị mã hoá trên đĩa.Một cách khác để tránh xung đột với tác nhân phục hồi

giải mã tác nhân phụ
c hồi thu được từ hệ thống cục bộ.

CẢNH BÁO: Chú ý xoá toàn bộ trang chứa tác nhân phục hồi trong ô phải
của thuật sĩ. Điều này sẽ làm cho EFS trong Windows 2000 không còn là tác
nhân phục hồi nữa. Hướng dẫn sau đây sẽ cho thấy điều gì xảy ra khi EFS
được dùng nhưng không có mã tác nhân phục hồi_Nó không hoạt động được.
CHÚ Ý Những mục đã bị khoá mã trước khi xoá tác nhân phục hồi vẫn
bị mã hoá, nhưng chúng sẽ chỉ được khi người sử dụng khôi phục được
mã RA đã lưu từ trước.
Đối với những máy kết nối mạng miền, cách thức có hơi khác: máy chủ
miền này sẽ lưu trữ tất cả mã phục hồi hệ thống cho các máy trong miền. Khi
một máy dùng Windows 2000 kết mạng miền, H
ệ Thống Quản Lý Mã Phục
Hồi Mặc Định Trong Miền sẽ tự động làm việc. Administrator của miền đó,
chứ không phải là Administrator cục bộ, sẽ trở thành tác nhân phục hồi. Từ đó
Administrator sẽ phân tách các mã phục hồi từ những dữ liệu đã mã hoá khiến
mọi cuộc tấn công của Grace và Bartlett trở nên khó khăn hơn. Đó cũng là
một thủ thuật để truy xuất trang ch
ứa tác nhân phục hồi từ máy chủ miền đó.
Nếu như các tác nhân này bị là tổn thương, thì mọi hệ thống trong miền cũng
rất dễ bị ảnh hưởng nếu như mã phục hồi có ở các máy cục bộ.
CHÚ Ý Hãng Microsoft cũng xác nhận trong một trang “analefs” rằng vấn đề
xóa bỏ SAM, làm cho mật khẩu của Administrator bị xác lập lại thành giá trị
trống, có thể giải quyết nhờ SYSKEY. Chúng tôi đã chứng minh điều này
hoàn toàn không đúng trừ phi mã SYSKEY hoặc chế độ cần ở ổ đĩa mềm
được tái xác lập. (Trong trang này chúng ta không đề cập đến điều đó.)

thì tệp tin này vẫn được lưu tới hàng tháng sau (tuỳ thuộc vào dung lượng
đĩa).
Trở lại với nghiên cứu của Richard, hãng Microsoft khẳng định trường
hợp này là do thiết kế đặc trưng cho tệp cá nhân dùng EFS để bảo mật, và chỉ
ra những khoảng trắng của EFS sẽ giải thích mọi vấn đề rõ ràng. Hãng cũng
gợi ý một số
thủ thuật nhằm tránh những trường hợp như trên và rằng sẽ
nghiên cứu kỹ hơn vấn đề này.
Cách thức hoạt động của chương trình này khi đọc các dữ liệu bị mã
hoá dưới dạng EFS như thế nào? Một trình duyệt cấp thấp sẽ truy xuất dữ liệu
một cách dẽ dàng, ví dụ như trình duyệt dskprobe.exe của Công cụ hỗ trợ có
trên CD cài đặt Windows 2000. Trình duyệt này cho phép người s
ử dụng có
thể dễ dàng truy cập máy chủ và truy xuất dữ liệu tệp tin đã bị mã hoá. Chúng
ta sẽ tìm hiểu cách sử dụng trình duyệt dskprobe để đọc tệp tin efs0.tmp sau
đây.
Đầu tiên, chạy chương trình dskprobe và mở một ổ đĩa vật lý thích hợp
để truy xuất dữ liệu bằng cách chọn Drives/Physical Drive và click chuột phải
vào một ổ thích hợp trong phần trên, góc trái cửa sổ hiển thị. Sau đó, click vào
nhân Set Active gần ổ
bạn chọn sau khi hiển thị trong phần “Handle 0” của
hộp thoại.
Sau khi hoàn thành bước thứ nhất, kế tiếp bước thứ hai bạn phải định vị
cung thích hợp chứa những dữ liệu muốn nhận dạng. Định vị các tệp trên một
ổ đĩa vật lý là một công việc cực kỳ khó khăn, tuy nhiên bạn có thể sử dụng
lệnh Tools/Search Sectors của trình duyệt dskprobe để hỗ trợ công vi
ệc tìm
kiếm này. Trong ví dụ ở hình 6-3, chúng ta tìm kiếm chuỗi ký tự “efs0.tmp”
trong các phần cung từ 0 đến điểm kết của đĩa. Bạn cũng nên click chọn mục
Exhaustive Search, các kiểu chữ in hoa hay in thường (Ignore Case), và kiểu

i dạng EFS trong những môi
trường dễ bị tấn công.

◙ Khóa tính năng Phục hồi file tạm lưu EFS
Khi cuốn sách đến tay bạn đọc, hãng Microsoft vẫn chưa có những biện pháp
sữa chữa lỗi này. Tuy nhiên, hãng cũng có những phản hồi đối với Bugtraq đã
đề cập ở phần trước. Microsoft cho biết, tệp sao lưu văn bản thuần tuý chỉ
được tạo ra nếu một tệp đơn có tr
ước đã được mã hoá. Nếu tệp được tạo ra
trong thư mục đã được mã hoá thì ngay lập tức nó cũng được mã hoá, và sẽ
không có một tệp sao lưu văn bản thuần tuý khác được tạo ra. Microsoft
khuyến cáo điều này như một quy trình ưu đãi cho việc sử dụng EFS để bảo
mật các dữ liệu nhạy cảm như đã trình bày trong phần “Bảo Mật Hệ Thống
T
ệp Trong Windows 2000”. (Xem
http://www.microsoftft.com/technet/treeview/default.asp?url=TechNet/prodte
chnol/windows2000serv/deploy/confeat/nt5efs.asp):
“Chúng tôi khuyến cáo các bạn tốt hơn hết là luôn khởi tạo một thư mục rỗng
tiến hành mã hoá, sau đó tạo các tệp trực tiếp trong thư mục đó. Điều này sẽ
đảm bảo các bit của tệp đó không bị lưu giữ ở bất kỳ nơi đâu trên đĩa. Việc
làm này cũng tạo ra một sự thực thi tốt hơn khi EFS không cần tạo một bản
sao lưu khác và sau đó lại xoá nó…”
Điểm cần lưu ý: thay vì mã hoá các tệp riêng biệt, hãy mã hoá một thư mục
chứa tất cả dữ liệu bảo mật trước, và sau đó tạo các tệp nhạy cảm chỉ trong thư
mục này.

Khai Thác Sự Uỷ Thác
Một trong những kỹ năng hiệu quả mà những kẻ tấn công hay dùng là
tìm những máy uỷ thác trong miền (đối kháng cục bộ) mà đều hợp l
ệ trong các
C:\>lsadump2
$MACHINE.ACC
7D 58 DA 95 69 3E 3E 9E AC C1 B8 09 F1 06 C4 9E
}x..i>>……..
6A BE DA 2D F7 94 B4 90 B2 39 D7 77
j..-…..9.w

TermServLicentingSignKey-12d4b7c8-77d5-11d5-11d1-8c24-00c04fa3080d
. . .
TS: InternetConnectiorPswd
36 00 36 2B 00 32 00 48 00 68 00 32 00 62 00 6.6.+
2.H.h.2.b.
44 00 55 00 41 00 44 00 47 00 50 00 00 00
D.Ư.A.D.G.P…
. . .
SCBckpSvr
74 00 65 00 73 00 74 00 75 00 73 00 53 00 72 00
p.a.s.s.w.o.r.d.
31 00 32 00 33 00 34 00 1.2.3.4.

Khi biết được mật khẩu dịch vụ, kẻ tấn công có thể sử dụng những tiện
ích tiện ích như net user được cài đặt sẵn và Resource Kit
nlnest/TRUSTED_DOMAINS để theo dõi trương mục đối tượng sử dụng và
mối quan hệ tín nhiệm trên cùng hệ thống này (dễ dàng thực hiện nếu có
đặc
quyền của Administrator).
Khám phá này có thể tạo ra một đối tượng sử dụng có tên “bckp” (hoặc
tương tự) và một hoặc nhiều mối quan hệ với những miền ngoài. Chúng ta sẽ

hưởng lớn về mặt này.
Tuy nhiên, với mô hình mới này, các thành viên thuộc Universal
Groups (ví dụ: doanh nghiệp), và ở cấp độ thấp hơn, Domain Global Groups
(ví dụ: Admin miền) sẽ có thể tiếp cận tất cả các miền trong forest. Vì vậy,
một chương mục bị tổn thương trong nhóm ngoại vi này sẽ có thể ảnh hưởng
sang các miền khác trong một forest. Do vậy, chúng tôi khuyến cáo các bạn
nên đặt nh
ững đối tượng lớn hơn (đối tượng này phải không phải hoàn toàn
đáng tin cậy [ví dụ , một cấu trúc tương đương] hay không bị tổn thương do
những tác động ngoại cảnh [ví dụ: Một trung tâm lưu trữ dữ liệu mạng]) trong
forest, hoặc bạn nên thao tác hoàn toàn như những máy chủ độc lập.
Ngoài ra, với trust chuyển tiếp hai chiều, nhóm Authenticated Users sẽ đảm
nhiệm tổng thể phạm vi mới. Trong nhữ
ng công ty lớn, cần phải xem đây là
một nhóm không đáng tin cậy.

LẤP RÃNH GHI
Những kỹ thuật và công cụ cũ dùng để che giấu những rãnh ghi vẫn
hoạt động tốt (hầu như đối với tất cả các phần) trong Windows 2000. Song
những kỹ thuật và công cụ này vẫn còn có những điểm không tương đồng
được chỉ ra sau đây.

Vô Hiệu Hoá Tính năng kiểm tra
Tính năng kiểm tra có thể
hoạt động dựa trên Chính Sách An Ninh Cục
Bộ (secpol.msc) tại \Local Policy\Audit Policy, hay công cụ Group Policy
(gpedit.msc) tại \Computer Configuration\Windows Settings\Security
Settings\Local Policy\Audit Policy. Chúng ta sẽ tiếp tục tìm hiểu Group Policy
ở cuối chương này. Thiết lập kiểm tra vẫn được giữ nguyên như trong NT4.
Trong Windows 2000 không có bản ghi tập trung – tất cả các bản ghi sẽ

AT. Khi trình tiện ích đó đã được bật lên, mở Event Log MMC
(compmgmt.msc) và xoá những bản ghi này. Mặc dù một mục nhập vẫn chỉ ra
nhữ
ng bản ghi này đã bị xoá, song chương mục của đối tượng sử dụng có
chức năng xoá những bản ghi này sẽ được chỉ ra như SYSTEM.

Ẩn file
Một thao tác quan trọng ngay sau khi đột nhập thành công sẽ xoá sạch
dấu vết đột nhập tinh vi của kẻ tấn công. Chúng ta tìm hiểu hai cách ẩn file
Chương 5: lệnh attrib và chuỗi tệp tin.

Attrib
Attrib sẽ ẩn file, nhưng những file này vẫn hiển thị khi dùng lệnh Show
All Files áp dụng cho các thư mục.