Previous Entry Share Next Entry
2016-01

разнообразные способы проебать файлы посредством EFS

Это не то чтобы rocket science, но вдруг кто еще не знает.

Они все лечатся своевременным бэкапом ключей (его надо делать после каждого события, описанного ниже)

1. Сбросить юзеру пароль, не будучи залогиненным (про это винда честно предупреждает). Менять пароль, предоставляя предыдущий, или делая это из юзерской сессии - можно.

2. Упаковать/скопировать файлы, не расшифровывая, переустановить винду/сменить машину/удалить юзера, удивиться
(у NTFS можно попросить нерасшифрованный файл for backup puproses, что вполне логично, не давать же бэкапилке доступ ко всем данным, но вот ключи надо бэкапить отдельно - про это винда тоже предупреждает)

3. "сегодня я узнал" - *Создать* юзеру пароль (!!!) если ранее до этого пароля не было. В принципе, определенная логика есть в том, что
а) предыдущий мастерключ юзера лежал в открытом виде, следовательно его стоит похерить
б) через GUI вроде бы не зашифруешь файл если пароля нету

но блин, перешифровывали бы, что ли.

Привязка KeePass базы данных к "Windows User Account" вроде бы* работает ровно по тем же правилам, да.

Вот, hope this helps somebody.

*надо перечитать сорцы, по наблюдениям похоже

This entry was originally posted at http://wizzard.dreamwidth.org/322326.html. It has comment count unavailable comments. Please comment there using OpenID.
Tags: ,

  • 1
sporaw November 6th, 2013
Нехрен юзать EFS

wizzard0 November 6th, 2013
аргументы бы какие-нибудь сюда, что ли.

ну или альтернативы позволяющие, например, удалять файлы с (не-загрузочного раздела) SSD без вайпания оного целиком

sporaw November 6th, 2013
Полное шифрование диска, а не какая-то херня

wizzard0 November 6th, 2013
> Полное шифрование диска
=== на весь диск один ключ.

Для системного у меня вопросов нет.

А вот для несистемного сьемного диска, на котором
а) преимущественно лежит музыка, фильмы и прочий подобный мусор
б) который умеет, будучи вынутым из компа, быть медиасервером

это fucking непрактично.

И, да, второй большой use case, уже не про SSD - это подготовка virtual machine appliance, которые конфигурятся админским аккаунтом, который потом херится (или даже не херится, если надо сохранять возможность саппорта), и хочется иметь дополнительный defense in depth на предмет случайно проебанных там куков итд.

Потому что в виртуалках которые отдавали МНЕ я уже много забавного находил =)

sporaw November 6th, 2013
> А вот для несистемного сьемного диска, на котором
> а) преимущественно лежит музыка, фильмы и прочий подобный мусор
> б) который умеет, будучи вынутым из компа, быть медиасервером

Если там мусор - зачем шифровать?
Если хоть что-то не мусор - почему не шифровать?

> И, да, второй большой use case, уже не про SSD - это подготовка virtual machine appliance, которые конфигурятся админским аккаунтом, который потом херится (или даже не херится, если надо сохранять возможность саппорта), и хочется иметь дополнительный defense in depth на предмет случайно проебанных там куков итд.

Ты слишком много английских слов употребил, мне незнакомых. Не люблю, когда так. Не делай так больше, please. Ничего, что я по-английски тебе?

> Потому что в виртуалках которые отдавали МНЕ я уже много забавного находил =)

Да, есть правило: никогда виртуалки, кроме дефолтного снапшота конфигурации после установки, не отдавать. И чужие не брать.

wizzard0 November 6th, 2013
> Ты слишком много английских слов употребил
http://en.wikipedia.org/wiki/Virtual_appliance
Лень читать - см. абзац ниже.

> никогда виртуалки, кроме дефолтного снапшота конфигурации после установки, не отдавать

Это хорошее правило.

Вопрос в том, что сейчас сотни компаний раздают либо демо, либо полные версии своего софта предустановленными в виртуалку, потому что ткнуть "импорт OVF" типично во много раз проще, чем настраивать окружение, равно как и удалить виртуалку, если вдруг не понравилось.

См. например рынок на https://solutionexchange.vmware.com/store/category_groups/19

Соответственно, вопрос в том, как поучаствовать в этом празднике жизни, не проебав чего-нибудь важного при настройке тех вещей, для которых еще нет автоматического конфигуратора.

sporaw November 7th, 2013
ХЗ, я может что-то упускаю, конечно, в жизни, но не понимаю, кому это может понадобиться кроме двух категорий граждан: лентяев или безруких.

Edited at 2013-11-07 12:26 am (UTC)

wizzard0 November 6th, 2013
> Если там мусор - зачем шифровать?
Потому что по умолчанию шифруем всё, например, downloads или аттачи прилетевшие по почте. Мало ли что в них.

Потом из них расшифровываются те, которые мне не западло держать на медиасервере и возить с собой через границу, например.

> Если хоть что-то не мусор - почему не шифровать?
Потому что ни один из 3 вариантов меня не устраивает:

1. нарезать медиасервер на разделы, часть пошифровать, и каждый раз ебаться когда очередной торент чуть-чуть не поместился
2. вкрячивать трукрипт в прошивку медиасервера и его 32 емнип мегабайта оперативки, а потом ходить с ключами в кармане (хотя, в целом, хорошая идея, но эквивалентна п.1)
3. отказаться от медиасервера и мучаться с вендорскими или OSS синкалками музыки, фильмов и/или тыкать телефон через USB куда попало

Edited at 2013-11-06 11:20 pm (UTC)

wizzard0 November 6th, 2013
ну то есть есть четвертый вариант, купить *еще_один* ssd и засунуть на него отдельно виртуалку с браузером и торент-клиентом, а на медиасервере оставить только, кхм, медиа, но сцуко и без того дохуя дорого выходит, поэтому там downloads в EFS.

Edited at 2013-11-06 11:34 pm (UTC)

wizzard0 November 6th, 2013
А, ну и last but not least - defense in depth *поверх* полного шифрования диска.

Поскольку далеко не вся малварь догадываются, что кейген, браузер, whatever может быть запущен от другого юзера и ключей к EFS тупо не иметь (а энумерировать их тоже надо озаботиться специально, и уже носить с собой сплойт для local privilege escalation до SYSTEM хотя бы)


Edited at 2013-11-06 11:29 pm (UTC)

sporaw November 6th, 2013
Ты шпион что ли американский? Или что у тебя с речевым аппаратом? :)

wizzard0 November 6th, 2013
Хорош прикалываться, я же знаю, что ты в курсе, как это все переводится =)

sporaw November 6th, 2013
Меня very annoy, говорить на так language

P.S. Если ты думаешь, что это придает какой-то особый вид твоей речи - я хз. В моих глазах, наоборот, только раздражает. Ну, т.е. это либо показывает скудность широты-объема языкового владения оратора, либо попытки хз чего. (Когда вклинивают какие-то словечки, целые фразы и почти в каждом предложении).

Я могу понять, когда какой-нибудь одессит 30 лет прожил на брайтон бич и поэтому теперь с трудом говорит по-русски, просто вынужден использовать язык, на котором он общается ежедневно. Но ты, вроде, не такой случай :)

Edited at 2013-11-06 11:53 pm (UTC)

sporaw November 6th, 2013
Настрой права на диске нормально, и находясь на абсолютно незашифрованном диске у тебя так же малварь никакого доступа к нужным данным иметь не будет из-под другого пользователя.

wizzard0 November 6th, 2013
Резонно, впрочем, с известными ограничениями в случае если сьемный диск/флешка перетыкивается в другую машину. Ключам в нее при этом попасть тяжело, а будет ли она уважать наши ACLи - большой вопрос.

  • 1
?

Log in

No account? Create an account