та їх шифрування (з допомогою EFS) є несумісними, тобто виключають один одного. Нагадаємо, що каталоги і файли можна шифрувати тільки на томах NTFS. p> Конфігурація EFS, встановлювана за замовчуванням, дозволяє користувачеві шифрувати свої файли без жодного втручання з боку адміністратора. У цьому випадку EFS автоматично генерує для користувача пару ключів (відкритий і особистий), застосовуються для криптозахисту даних, і підписує сертифікат.
Шифрування і дешифрування файлів може бути виконане як для певних файлів, так і для цілого каталогу. Ці операції прозорі для користувача. При шифруванні каталогу автоматично шифруються і всі вхідні в нього файли і підкаталоги. Кожен файл має унікальним ключем, що дозволяє легко виконувати операцію перейменування. Якщо ви перейменовуєте файл, що знаходиться в зашифрованому каталозі, і переносите його в незашифрований каталог, сам файл залишається зашифрованим (за умови, що цільовий каталог знаходиться на томі NTFS 5.0). Засоби шифрування і дешифрування доступні через Windows Explorer. Крім того, можна використовувати всі можливості шифрування даних за допомогою набору утиліт командного рядка і інтерфейсів адміністрування. Якщо зашифровані файли зберігаються на загальних ресурсах, то для роботи з ними користувачі повинні мати сертифікат та особистий ключ того, хто встановив шифрування цих файлів. Згодом кожен користувач може при необхідності незалежно розшифрувати файл за допомогою свого особистого ключа. h2> Робота з EFS
Найсерйозніша і, до жаль, нерідко зустрічається помилка при роботі з EFS полягає в тому, що користувачі шифрують дані на локальному комп'ютері (або комп'ютері - члені групи), а потім перевстановлюють операційну систему. У цьому випадку дані будуть безповоротно загублені, т. к. доступ до них мали тільки два користувача тієї системи, в якій дані були зашифровані: користувач, який виконав цю операцію, та агент відновлення. Помилка полягає в тому, що для розшифровки даних необхідно пред'явити сертифікати одного з названих користувачів, а для цього відповідні сертифікати потрібно було експортувати і зберегти.
EFS своєму розпорядженні вбудованими засобами відновлення зашифрованих даних в умовах, коли невідомий особистий ключ користувача. Користувачі, які можуть відновлювати зашифровані дані в умовах втрати особистого ключа, називаються агентами відновлення даних. Агенти відновлення даних володіють сертифікатом (Х.509 v.3) на відновлення файлів і особистим ключем, з допомогою яких виконується операція відновлення зашифрованих файлів. Використовуючи ключ відновлення, можна одержати тільки згенерований випадковим чином ключ, за допомогою якого був зашифрований конкретний файл. Тому агенту відновлення не може випадково стати доступною інша конфіденційна інформація.
Засоби відновлення даних призначені для застосування в різноманітних конфігураціях обчислювальних середовищ. Параметри процедури відновлення зашифрованих даних у умовах втрати особистого ключа задаються політикою відновлення. Вона являє собою одну з політик відкритого ключа (public key policy). Політика відновлення визначається тільки в домені Windows Server 2003. Адміністратор домену одночасно є і агентом відновлення з відповідними повноваженнями. Можуть бути додані і інші агенти. Це робиться за допомогою оснащення Group Policy Object Editor (Групова політика), у вікні якої потрібно вибрати вузол Security Settings | Public Key Policies | Encrypting File System. У контекстному меню цього вузла є команди, дозволяють управляти агентами і політиками відновлення. Політика відновлення може бути задана і на одиночному комп'ютері.
Увага
Політики відновлення в Windows Server 2003 працюють інакше, ніж у Windows 2000. Типово на комп'ютерах під управлінням Windows Server 2003 агенти відновлення не створюються і політика відновлення не перешкоджає роботі EFS. Це означає, що відновити зашифровану інформацію можуть тільки ті користувачі, які її зашифрували. <В
Створення агента відновлення
Описувана нижче процедура повинна виконуватися на автономному комп'ютері, на якому планується використання системи EFS. Спочатку необхідно створити сертифікат агента відновлення (краще використовувати адміністративну обліковий запис, хоча, строго кажучи, це не обов'язково), імпортувати його, а потім призначити політику відновлення. Щоб створити сертифікат агента відновлення:
1. Увійдіть в систему як адміністратор.
2. У вікні консолі введіть команду cipher/R: Файл - без розширення.
3. Введіть та підтвердіть пароль, що захищає особистий ключ.
У поточному каталозі будуть створені два файли: з розширенням сer (містить тільки згенерований ключ) і з розширенням pfx (містить і ключ, і сертифікат агента відновлення). Для більшого збереження перепишіть файли на дискету. p> Для імпорту сертифіката, за допомогою якого можна відновлювати індивідуальні файли користувачів: ...
