12 grudnia 2009

Ochrona przed zagrożeniami ze strony Windows Volume Shadow Copy w Windows 7 oraz Vista

sobota, grudnia 12, 2009 | Autor: \m/ojtek


Niedawno, zainspirowany wypowiedzią Bruce Schneiera, napisałem kilka słów na temat zagrożeń dla bezpieczeństwa naszych danych, jakie niesie ze sobą funkcja Windows Volume Shadow Copy. Wspomniałem, że przy domyślnej konfiguracji nie istnieje żaden prosty sposób na bezpieczne usunięcie plików włącznie z ich kopiami przechowywanymi przez VSS. Dziś chciałbym natomiast przedstawić kilka okrężnych metod, dzięki którym możliwe będzie bezpieczne usunięcie (bez możliwości ich późniejszego odzyskania) newralgicznych danych z partycji objętych mechanizmem VSS.

Przypomnijmy, że funkcja Volume Shadow Copy service – VSS (dostępna w Windows 7 oraz Windows Vista), odpowiedzialna jest za okresowe tworzenie kopii w tle wszystkich plików w ramach objętych ochroną partycji. Poprzednie wersje są zapisywane automatycznie w ramach punktu przywracania, jeśli tylko włączona jest funkcja ochrona systemu. System Windows automatycznie tworzy kopie tylko tych plików i folderów, które zostały zmodyfikowane od momentu utworzenia ostatniego punktu przywracania. Domyślnie punkty przywracania są tworzone raz dziennie, jednak pewne zdarzenia (takie jak zmiana plików systemowych lub instalacja nowych sterowników) mogą wyzwalać utworzenie dodatkowych kopii. Jeśli dysk jest podzielony na partycje lub w komputerze jest więcej niż jeden dysk twardy, domyślnie ochroną plików objęta jest wyłącznie partycja systemowa.

Najważniejszym zagrożeniem dla bezpieczeństwa naszych danych, wynikającym z działania VSS, jest więc możliwość odzyskania usuniętych (nawet z wykorzystaniem programów do bezpiecznego usuwania danych, poprzez ich wielokrotne nadpisywanie) danych za pomocą systemowej funkcji Przywróć poprzednie wersje.

Czy istnieje więc metoda na bezpieczne usunięcie plików znajdujących się na woluminie chronionym przez Volume Shadow Copy? Prostej metody nie ma, gdyż system operacyjny nie pozwala użytkownikowi na edycję lub nadpisanie danych przechowywanych przez VSS.

Może się wydawać, że rozwiązaniem całego problemu jest usunięcie wszystkich utworzonych przez system kopii w tle (można tego dokonać za pomocą: Panel sterowania/ System i zabezpieczenia/System/Ochrona systemu/Konfiguruj.../Usuń). Jednakże, w celu osiągnięcia pełnego bezpieczeństwa, wymagane byłoby nadpisanie obszarów pozostałych po usuniętych kopiach w tle, zaś te są przecież chronione przez system operacyjny...

W celu zabezpieczenia newralgicznych plików przed ich odzyskaniem z kopii w tle można wiec rozważyć:
  • Unikanie zapisywania jakichkolwiek ważnych i/lub prywatnych danych na woluminach objętych ochroną VSS. Rozwiązanie takie będzie oczywiście wymagać wydzielenia odrębnego woluminu (nie objętego VSS) przeznaczonego specjalnie na tego rodzaju dane.
  • Całkowite wyłączenie mechanizmu VSS. Należy jednak pamiętać, że wyłączenie VSS pozbawi nas również możliwości korzystania z systemowej funkcji Przywracanie systemu...! Niestety mechanizm przywracania systemu wymaga do swego działania aktywnej funkcji VSS.
  • Najbezpieczniejsze i jednocześnie najwygodniejsze wydaje się zaszyfrowanie wszystkich partycji zawierających newralgiczne dane. W ten sposób zaszyfrowane zastaną również dane przechowywane przez VSS, dane tymczasowe oraz obszary zwolnione po usunięciu plików.
  • Możliwe jest również wykluczenie określonych folderów oraz plików z ich automatycznego kopiowania w tle. Wymaga to niestety edycji rejestru systemowego, a dokładny opis całej procedury odnaleźć można na stronach MSDN.

Na koniec chciałbym polecić bardzo ciekawy artykuł Tomasz P. Szynalskiego pt. What you should know about Volume Shadow Copy/System Restore in Windows 7 & Vista.
Etykiety: , , , ,
Subskrybuj: Komentarze do posta (Atom)

Blogger Template created with Artisteer by Wojciech Smol.