Dосстановление windows Контактная информация Карта сайта Cкачать Flash программы
Новости О компании Услуги восстановления данных Партнерская программа Контакты
 
   Статьи

Восстановление данных с использованием файловой системы EFS

 


Автор:

 

 

  • Дэвид Кросс (David Cross)

     


Опубликовано: в апреле 2003

 

 

В операционной системе Microsoft® Windows® XP реализовано множество усовершенствований в области защиты данных. Одним из основных усовершенствований является система EFS (Encrypting File System — шифрованная файловая система). В настоящей статье предлагается критический анализ технических аспектов проблемы защиты информации, иллюстрирующий способы использования функций восстановления и обеспечения безопасности важных данных в операционной системе Windows XP. В статью также включены рекомендации и инструкции по разработке эффективной стратегии восстановления и защиты данных.

 

 


Усовершенствования системы EFS в Windows XP

 

Клиент Windows XP Professional был значительно усовершенствован благодаря расширенным функциональным возможностям системы EFS. Теперь в операционной системе Windows XP Professional корпоративным пользователям предоставляются дополнительные возможности при развертывании решений, предназначенных для обеспечения безопасности, на основе зашифрованных файлов и папок. К числу этих новых возможностей относятся:

  • Полная поддержка проверки отзыва сертификатов, используемых в системе.
  • Поддержка выделения зашифрованных файлов другим цветом (зеленым).
  • Поддержка шифрования автономных папок.
  • Поддержка многопользовательского режима для зашифрованных файлов в пользовательском интерфейсе.
  • Поддержка поставщика службы криптографии (CSP — Cryptographic Service Provider), усовершенствованного корпорацией Майкрософт.
  • Дополнительная поддержка симметричных алгоритмов, совместимых со стандартом FIPS 140-1 уровня 1 (3DES, DES — Data Encryption Standard).
  • Шифрование «точка-точка» с использованием системы EFS через протокол WebDAV.
  • Расширенные возможности настройки политик восстановления.
  • Дополнительные функции защиты данных EFS.

Перечисленные выше новые функции системы EFS реализованы только в клиенте Windows XP Professional.

Дополнительную информацию об усовершенствованиях системы EFS, реализованных в Windows XP, можно найти в статье What’s New in Security for Windows XP (EN).

Обзор восстановления данных

 

Восстановление данных — это процесс шифрования отдельных элементов данных, например файлов или папок, с которыми могут затем работать несколько пользователей или уполномоченных лиц. В качестве уполномоченного лица может выступать администратор, в обязанности которого входит восстановление данных в организации. Данные могут извлекаться третьей стороной в виде обычного текста. Восстановление данных не обязательно означает восстановление закрытого ключа, однако восстановление ключа может быть одним из способов восстановления данных. В операционной системе Windows XP, в которой используются симметрично зашифрованные блоки данных, восстановление данных может выполняться без восстановления закрытого ключа.

В спецификации S/MIME (Secure Multi-purpose Internet Mail Extensions) и системе EFS используются блоки данных, симметрично зашифрованные с использованием симметричного ключа, защищенного одним или несколькими открытыми ключами из пары, состоящей из открытого и закрытого ключей. В этом сценарии симметричный ключ может быть защищен (зашифрован) несколькими пользователями и, следовательно, с применением нескольких открытых ключей.

Восстановление данных может выполняться другим пользователем посредством расшифровки. Что касается системы EFS, можно открыть файлы и восстановить данные, используя агент восстановления данных (DRA- Data Recovery Agent), как показано на рис. 1.

 

В операционной системе Windows 2000 агент восстановления данных является обязательным компонентом и по умолчанию исполняет роль администратора домена Windows 2000. В Windows XP это ограничение снято.

Наиболее эффективным способом управления восстановлением данных является использование службы каталогов Active Directory™ и центра сертификации предприятия (Microsoft). В службе каталогов Active Directory посредством применения групповой политики предоставляется механизм централизованной настройки одного или нескольких агентов восстановления данных. Эти агенты могут использоваться для восстановления файлов, когда требуется восстановить данные.

Восстановление данных и файловая система EFS

 

В файловой системе EFS имеется встроенная функция восстановления данных в результате исполнения соответствующего требования политики восстановления. Это требование заключается в том, что политика восстановления должна быть установлена до того, как пользователи получат возможность шифровать файлы. Политика восстановления представляет собой тип политики открытого ключа, в которой можно назначить в качестве агента восстановления данных одну или несколько учетных записей пользователей. Используемая по умолчанию политика восстановления автоматически применяется при первом входе администратора в систему, назначая данного администратора агентом восстановления.

Для изолированных компьютеров используемая по умолчанию политика восстановления настраивается локально. Для компьютеров, входящих в домен Active Directory, политика восстановления настраивается на уровне домена, организационного подразделения или отдельного компьютера и применяется ко всем компьютерам, работающим под управлением Windows 2000 и Windows XP, в границах соответствующей области. Сертификаты восстановления выпускаются центром сертификации, управление ими осуществляется с помощью оснастки Certificates («Сертификаты») консоли управления MMC (Microsoft Management Console).

В сетевой среде администратор домена управляет реализацией системы EFS в политике восстановления данных для всех пользователей и компьютеров в границах соответствующей области. В варианте установки Windows 2000 или Windows XP, применяемом по умолчанию, в качестве агента восстановления домена при настройке первого контроллера домена указывается администратор данного домена. От того, как администратор домена выполнит настройку политики восстановления, зависит, каким образом будет реализована файловая система EFS для пользователей на их локальных компьютерах. Чтобы изменить политику восстановления для домена, администратор домена должен войти в систему на первом контроллере домена.

Администраторы могут определять политику, относящуюся к одному из следующих трех типов:

·         Политика агента восстановления

 

Данная политика начинает действовать, когда администратор добавляет одного или нескольких агентов восстановления. Указанные агенты отвечают за восстановление всех зашифрованных данных в соответствующей области. Это наиболее распространенный вид политики восстановления данных.

·         Пустая политика восстановления

 

Данная политика начинает действовать, когда администратор удаляет всех агентов восстановления и их сертификаты открытого ключа. Пустая политика восстановления означает, что не существует никаких агентов восстановления, и в случае использования клиентской операционной системы Windows 2000 файловая система EFS полностью отключается. Поддержка системы EFS с пустой политикой агента восстановления предоставляется только в клиенте Windows XP.

·         Политика восстановления отсутствует

 

Если администратор удалит закрытые ключи, связанные с определенной политикой восстановления, то не будет действовать никакая политика восстановления. Поскольку закрытых ключей нет, отсутствует и способ применения агента восстановления, и восстановление будет невозможно. Этот вариант может оказаться удобным для организаций, в которых используются смешанная сетевая среда, включающая клиентов Windows 2000 и Windows XP, и функции восстановления данных не нужны.

Администратор домена по умолчанию является агентом восстановления данных в среде Active Directory, однако это право может быть делегировано или предоставлено одному или нескольким пользователям. Более подробно данный вопрос обсуждается далее в настоящей статье.

Восстановление данных на изолированных компьютерах

 

При установке на входящий в рабочую группу компьютер (изолированный) операционной системы Windows XP больше не создается используемый по умолчанию агент восстановления данных. Это позволяет эффективно предотвращать автономные атаки на учетную запись администратора. Следовательно, пользователь должен создать и установить агент восстановления данных вручную. Чтобы вручную создать агент восстановления данных, необходимо использовать служебную программу cipher.exe.

CIPHER /R:filename

 

 

 

  /R    Generates a PFX and a CER file with a self-signed EFS recovery

 

        certificate in them.

 

 

 

  filename A filename without extensions

 

С помощью данной команды создаются файлы имя_файла.PFX (для восстановления данных) и имя_файла.CER (для использования в политике). Сертификат создается в памяти и удаляется после генерации файлов. После генерации ключей сертификат необходимо импортировать в локальную политику и сохранить закрытые ключи в безопасном месте.

Восстановление данных с использованием файловой системы EFS

 

В этом разделе описываются и обсуждаются действия по использованию функции общего доступа к файлам в системе EFS.

Общий доступ к файлам в системе EFS

 

Поддержка использования групп для зашифрованных файлов не предоставляется ни в Windows 2000, ни в Windows XP. Кроме того, ни в Windows 2000, ни в Windows XP не предоставляется поддержка нескольких пользователей для папок. Однако в файловой системе EFS операционной системы Windows XP реализована поддержка общего доступа к одному файлу нескольких пользователей.

Применение в операционной системе Windows XP функции EFS общего доступа к файлу представляет собой еще одну возможность восстановления данных посредством добавления дополнительных пользователей зашифрованного файла. Добавление дополнительных пользователей не может осуществляться через политику или другие средства, однако это простой и удобный способ восстановления зашифрованных несколькими пользователями файлов, не требующий применения групп и обмена закрытыми ключами между пользователями.

После того, как файл будет зашифрован, функция общего доступа к файлу включается посредством нажатия новой кнопки в пользовательском интерфейсе. Перед добавлением дополнительных пользователей необходимо сначала зашифровать файл, а затем сохранить его. Чтобы добавить пользователя, следует выбрать для зашифрованного файла Advanced Properties («Дополнительные свойства») и нажать кнопку Details («Подробности»). Пользователи могут добавлять других пользователей (не группы) с локального компьютера или из службы каталогов Active Directory при условии, что добавляемый пользователь имеет действительный сертификат для файловой системы EFS.

Включение функции общего доступа к файлам EFS

 

Поддержка общего доступа к зашифрованным файлам при использовании системы EFS предоставляется, начиная с операционной системы Windows 2000, через API-интерфейс Win32; однако система EFS не была представлена в интерфейсе проводника Windows до тех пор, пока не был разработан клиент Windows XP Professional.

Чтобы зашифровать файлы для нескольких пользователей, выполните следующие действия:

  1. Откройте проводник Windows и выберите файл, который требуется зашифровать.
  2. Щелкните правой кнопкой мыши нужный файл и выберите в контекстном меню команду Properties («Свойства»).
  3. Нажмите кнопку Advanced («Дополнительно»), чтобы включить систему EFS.
  4.    Зашифруйте файл, установив флажок Encrypt contents to secure data («Шифровать содержимое для защиты данных»), как показано на рис. 2. Нажмите кнопку ОК.

Шифрование файлов для защиты данных

Невозможно одновременно сжать и зашифровать файл, поскольку эти два атрибута являются взаимоисключающими.

 

Если шифрование файла или папки выполняется впервые, появится диалоговое окно с вопросом о том, собирается ли пользователь шифровать только этот файл или всю папку.

5.      Выберите нужный вариант и нажмите кнопку OK. После этого произойдет возврат в исходное диалоговое окно.

 

Файл не будет зашифрован, пока не будет нажата кнопка OK. Кроме того, невозможно добавить дополнительных пользователей, пока файл не будет зашифрован первым пользователем.

  1. Чтобы зашифровать файл, нажмите кнопку OK.

7.      Чтобы добавить дополнительных пользователей, снова откройте страницу свойств файла, нажав кнопку Advanced properties («Дополнительные свойства»), а затем кнопку Details («Подробности»). В открывшемся диалоговом окне Details («Подробности») имеется возможность добавления пользователя.

В диалоговом окне Encryption Details («Сведения о шифровании») имеется дополнительная информация, полезная при устранении неполадок.

Чтобы добавить пользователей, выполните следующие действия:

Шаг 1

 

Нажмите кнопку Add («Добавить»), как показано на рис. 3.


Добавление пользователей

 

 

Появится новое диалоговое окно, в котором представлены имеющиеся пользователи и сертификаты, содержащиеся в кеше хранилища сертификатов Other People («Другие пользователи») локального компьютера. Можно также добавлять новых пользователей из службы каталогов Active Directory, нажав кнопку Find User («Найти пользователя»).

Добавляемый пользователь должен иметь действительный сертификат EFS в службе каталогов Active Directory.

Шаг 2

 

Нажмите кнопку Find User («Найти пользователя»), чтобы найти новых пользователей, как показано на рис. 4.


Поиск новых пользователей из службы каталогов Active Directory

 

 

Появится стандартное диалоговое окно выбора объектов, и будет выполнен поиск.

В зависимости от критериев поиска в диалоговом окне будут представлены пользователи, имеющие действительные сертификаты EFS в службе каталогов Active Directory. Если для данного пользователя не найдено ни одного действительного сертификата, появится диалоговое окно, представленное на рис. 5.


Результаты поиска пользователя

 

 

Если в атрибуте userCertificate объекта пользователя в каталоге имеются действительные сертификаты, они отобразятся в диалоговом окне выбора сертификатов, представленном на рис. 6.


Список сертификатов пользователей

 

 

Внимание Теперь в операционной системе Windows XP выполняется проверка отзыва для всех сертификатов других пользователей, добавляемых к зашифрованному файлу. В целях повышения быстродействия, для сертификатов пользователей, имеющих закрытый ключ, проверка отзыва не выполняется. Однако проверка отзыва сертификатов, в которых не содержится расширение CDP (Certificate Revocation List Distribution Point — точка распространения списка отзыва сертификатов) — как, например, в сертификатах, полученных в центрах сертификации независимых компаний, — выполняться не будет. Если сертификат не прошел проверку состояния отзыва, будут отображаться сообщения, представленные на рис. 7, и сертификат использоваться не будет.



Ошибка проверки отзыва сертификата

 

 

Если проверка отзыва и создание цепочки сертификатов завершатся успешно, пользователь будет добавлен в диалоговое окно, после чего произойдет обновление файла, как показано на рис. 8.

Шаг 3

 

Чтобы зарегистрировать изменение и продолжить работу, нажмите кнопку OK.


Успешное добавление нового пользователя

 
Любой пользователь, который может расшифровать файл, может также удалить других пользователей, если он имеет разрешение на запись.
В файловой системе EFS действует ограничение в 256 K на размер заголовка файла для метаданных EFS. Это ограничивает число добавляемых отдельных записей, обеспечивающих общий доступ к файлу. В среднем к зашифрованному файлу можно добавить не более 800 пользователей.

Просмотр сертификата

 

Можно выбрать сертификат пользователя и просмотреть сведения из него, чтобы принять то или иное решение по администрированию. Чтобы просмотреть сертификат, как показано выше на рис. 6, выполните следующие действия:

  1. Выделите сертификат в диалоговом окне и нажмите кнопку View Certificate («Просмотр сертификата»).
  2. Закончив просмотр, нажмите кнопку OK, чтобы закрыть диалоговое окно. Вернувшись к предыдущему диалоговому окну, можно выбрать пользователя, которого следует добавить к зашифрованному файлу.
  3. Выделите сертификат выбранного пользователя, который хотите применить, и нажмите кнопку OK.

Копирование, перемещение и сохранение зашифрованных файлов

 

Вследствие уникальной природы зашифрованных файлов, перемещение и копирование зашифрованных файлов может приводить к различным результатам. Например, при копировании зашифрованного файла с локального компьютера на сетевой сервер результаты операции копирования могут быть различными в зависимости от используемой на сервере операционной системы. Обычно при копировании файл наследует свойства EFS папки назначения, а при перемещении этого не происходит.

При копировании зашифрованного файла возможны следующие варианты:

  • Если сервер, на который копируется файл, работает под управлением Microsoft Windows NT® Server 4.0, файл будет без уведомления расшифрован и скопирован на сервер.
  • Если сервер, на который копируется файл, работает под управлением операционной системы Windows 2000 и учетной записи сервера доверено делегирование в службе каталогов Active Directory, файл будет без уведомления расшифрован и скопирован на сервер, где он будет снова зашифрован с использованием локального профиля и ключа шифрования.
  • Если сервер, на который копируется файл, работает под управлением операционной системы Windows 2000 и учетной записи сервера не доверено делегирование прав в службе каталогов Active Directory или сервер входит в состав рабочей группы или домена Windows NT 4.0, файл не будет скопирован и будет выведено сообщение об ошибке Access denied («Отказано в доступе»).

Сообщение об отказе в доступе возвращается в приложения из файловой системы NTFS, чтобы обеспечить совместимость с существующими приложениями. При использовании другого или более информативного сообщения об ошибках многие приложения могут работать неправильно или нестабильно.

В клиент Windows XP Professional было внесено несколько усовершенствований в области копирования зашифрованных файлов. Теперь и в интерфейсе, и в командной строке предоставляется возможность разрешить или запретить копирование файлов. Если в том месте, куда копируется зашифрованный файл, удаленное шифрование не разрешено, появится диалоговое окно, в котором пользователь может выбрать, следует ли расшифровывать этот файл или нет.

Средства командной строки XCOPY и COPY позволяют выполнять те же операции, используя специальный параметр, разрешающий расшифровку при копировании.

C:\>copy /? (Копирование одного или нескольких файлов в другое местоположение.)
COPY [/D] [/V] [/N] [/Y | /-Y] [/Z] [/A | /B ] source [/A | /B]

 

     [+ source [/A | /B] [+ …]] [destination [/A | /B]]

 

 

 

  source       Указание файла или файлов, предназначенных для копирования.
  /D           Разрешение расшифровки создаваемого конечного файла.

Данная процедура разрешает создание текстового файла в папке или на сервере, куда осуществляется копирование файла, если удаленное шифрование на этом сервере не поддерживается.

C:\>xcopy /? (Копирование файлов и деревьев папок.)
XCOPY source [destination] [/A | /M] [/D[:date]] [/P] [/S [/E]] [/V] [/W]

 

      [/C] [/I] [/Q] [/F] [/L] [/G] [/H] [/R] [/T] [/U]      [/K] [/N] [/O] [/X]

 

      [/Y] [/-Y] [/Z] [/EXCLUDE:file1[+file2][+file3]…]

 

 

 

  source       Задание файлов, которые требуется скопировать.
  destination  Задание местоположения и имен новых файлов.
  /G           Разрешение копирования зашифрованных файлов в местоположение,
               в котором шифрование не поддерживается.

Сохранение файлов при использовании общего доступа к файлам EFS

 

Когда файл зашифрован для обеспечения доступа нескольких пользователей, приложение должно обращаться к особому API-интерфейсу, гарантирующему, что зашифрованные данные (сертификаты) для дополнительных пользователей не будут утеряны при открытии, изменении или сохранении файла в собственном формате этого приложения. Собственные документы, открытые в Microsoft Office XP, сохранят многопользовательский EFS-статус, тогда как другие приложения могут удалить дополнительных пользователей, которые были добавлены к файлу документа.

Системные папки и файлы

 

В операционной системе также имеются механизмы предотвращения шифрования системных папок, файлов и местоположений, указанных в пути %SYSTEMROOT%\… Когда пользователь пытается зашифровать системный файл или скопировать зашифрованный файл в системную папку, появляется сообщение об отказе в доступе.

Кеширование сертификатов

 

Если сертификат использует систему EFS, он будет помещен в кеш на локальном компьютере. Благодаря этому не придется искать пользователей в службе каталогов Active Directory каждый раз, когда новый пользователь добавляется к зашифрованному файлу. Сертификаты, входящие в цепочку сертификатов, и сертификаты с собственной подписью, могут использоваться и помещаться в кеш. Когда сертификат пользователя, входящий в цепочку сертификатов, добавляется к зашифрованному файлу, он кешируется в хранилище сертификатов Other People («Другие пользователи») текущего пользователя, как показано на рис. 9.


Кеширование сертификата пользователя в хранилище сертификатов «Other People» («Другие пользователи»)

 

 

Сертификаты с собственной подписью, созданные для других пользователей (например, автоматически созданные системой EFS, когда отсутствуют доступные центры сертификации), кешируются в хранилище сертификатов Trusted People («Доверенные пользователи») текущего пользователя, как показано на рис. 10.


Кеширование сертификата пользователя в хранилище сертификатов Trusted People («Доверенные пользователи»)

 

 

Когда сертификат добавляется в хранилище Trusted People («Доверенные пользователи»), пользователь предупреждается о том, что этому сертификату будет явно выражено доверие, и запрашивается подтверждение этого действия. После добавления сертификата в хранилище Trusted People («Доверенные пользователи»), проверка состояния сертификата выполняться не будет за исключением проверки срока действия. Хранилище Trusted People с интерфейсом CryptoAPI может также использоваться клиентом Microsoft Outlook® 2002 для хранения решений о доверии для конкретных сертификатов.

Учетные записи пользователей, имеющих закрытый ключ на локальном компьютере, добавляются не только в хранилище Other People («Другие пользователи»), но также в хранилище Trusted People («Доверенные пользователи»). Благодаря этому повышается быстродействие локального шифрования на данном компьютере.

Процедуры политики восстановления данных EFS

 

В следующих разделах описываются некоторые наиболее распространенные процедуры, связанные с системой EFS и восстановлением данных.

Отмена существующей политики восстановления

 

Может случиться, что сначала в организации реализовали политику восстановления данных, а впоследствии решили удалить или аннулировать эту политику. Если политика восстановления данных была удалена из домена, ни один новый файл не может быть зашифрован после обновления групповой политики на соответствующих компьютерах. Пользователи по-прежнему смогут открывать имеющиеся зашифрованные файлы, но не смогут обновить эти файлы или зашифровать их заново.

Имеющиеся зашифрованные файлы не будут расшифрованы, пока пользователь, имеющий закрытый ключ для расшифровки указанных файлов, не обратится к ним и не обновит их.

Как определить, используется ли на компьютере система EFS

 

В некоторых организациях может оказаться полезной возможность, позволяющая видеть, используется ли система EFS на компьютерах, входящих в состав домена. Метод, с помощью которого можно определить, используется ли файловая система EFS в настоящий момент, отсутствует. Однако можно определить, применялась ли когда-нибудь система EFS пользователем на данном компьютере, просмотрев несколько разделов реестра.

Если компьютер работает под управлением операционной системы Windows 2000, можно просмотреть следующий раздел реестра на предмет наличия там хеша сертификатов:

  • HKCU\Software\Microsoft\Windows NT\CurrentVersion\EFS\CurrentKeys\CertificateHash

     

Если компьютер работает под управлением операционной системы Windows XP, можно просмотреть следующие разделы реестра:

  • HKCU\Software\Microsoft\Windows NT\CurrentVersion\EFS\CurrentKeys\CertificateHash

     

  • HKCU\Software\Microsoft\Windows NT\CurrentVersion\EFS\CurrentKeys\Flag

     

Чтобы изменить политику восстановления данных для домена, выполните следующие действия:

  1. Откройте оснастку Active Directory Users and Computers («Active Directory — пользователи и компьютеры») консоли управления MMC.
  2. Щелкните правой кнопкой мыши домен, для которого требуется изменить политику восстановления данных, и выберите команду Properties («Свойства»).
  3. Щелкните правой кнопкой мыши политику восстановления, которую требуется изменить, и выберите Edit («Правка»).

4.      В дереве консоли щелкните элемент Encrypted Data Recovery Agents («Агенты восстановления зашифрованных данных»). Последовательно щелкните следующие элементы:

    • Computer configuration («Конфигурация компьютера»),

       

    • Windows settings («Конфигурация Windows»),

       

    • Public Key Policies («Политики открытого ключа»),
    • Encrypted Data Recovery Agents («Агенты восстановления зашифрованных данных»).

       5. Щелкните правой кнопкой в области сведений и выберите       соответствующее действие.

 

  1. Внимание
Перед изменением политики восстановления данных с помощью любого способа, необходимо выполнить архивацию ключей восстановления на дискету.
Необходимо войти в систему в качестве администратора домена или пользователя, имеющего права на обновление групповых политик в выбранном домене или организационном подразделении. Если компьютер подключен к сети, настройки сетевой политики также могут помешать выполнению этой процедуры.

Отключение системы EFS  

Теперь при использовании операционной системы Windows XP можно отключить систему EFS, если требуется заблокировать возможность шифрования данных для некоторых групп или пользователей в конкретном домене или организационном подразделении в службе каталогов Active Directory. В среде домена систему EFS можно отключить посредством использования групповой политики.

Чтобы настроить групповую политику, выполните следующие действия:

1.      Последовательно щелкните следующие элементы:

    • Computer configuration («Конфигурация компьютера»),

       

    • Windows settings («Конфигурация Windows»),

       

    • Security settings («Параметры безопасности»),

       

    • Public Key Policies («Политики открытого ключа»),

       

    • Encrypting File System («Шифрованная файловая система»).
  1. Выберите Properties («Свойства»).
  2. Чтобы отключить систему EFS, снимите флажок, как показано на рис. 11.


Отключение системы EFS с использованием групповой политики

 

 

При настройке групповой политики настраивается раздел реестра, выбранный EFS во время действий пользователя. Этим разделом является следующий раздел реестра:

  • HKLM\SOFTWARE\Policies\Microsoft\Windows NT\CurrentVersion\EFS\EfsConfiguration

     

При настройке групповой политики настраивается раздел реестра, выбранный EFS во время действий пользователя. Этим разделом является следующий раздел реестра:

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS\EfsConfiguration

     

Восстановление данных

 

Восстановление данных выполняется таким же образом, как шифрование файлов. Единственное различие состоит в том, что при восстановлении данных расшифровка файлов осуществляется не тем пользователем, который их зашифровал. Поскольку у каждого файла имеется по крайней мере один пользователь и один агент восстановления данных, который может расшифровать файл, то не требуется какого-либо специального процесса, с помощью которого может быть выполнено восстановление файла, зашифрованного другим пользователем.

Чтобы восстановить файл, зашифрованный пользователем, уволившимся из организации, потерявшим или повредившим свой закрытый ключ и т. д., агент восстановления данных должен просто выбрать указанный файл и открыть его обычным образом, как это сделал бы первоначальный пользователь данного файла. Если открыть восстановленный файл, он отобразится в незашифрованном виде, и его можно будет сохранить в незашифрованном формате.

Чтобы выполнить локальное восстановление данных, агент восстановления должен иметь закрытый ключ сертификата агента восстановления данных.

Агент восстановления данных может также удалить шифрование из файлов, предварительно не открывая их. Для этого следует выделить нужный файл, выбрать в контекстном меню свойства файла, нажать кнопку Advanced («Дополнительно») и снять флажок Encrypt contents to secure data («Шифровать содержимое для защиты данных»). После нажатия кнопки OK и закрытия диалогового окна свойств файла будет выполнена расшифровка файла — при этом предполагается, что текущий пользователь является агентом восстановления данных и имеет закрытый ключ агента восстановления данных, который в это время загружен в его профиль. Указанные методы доступны при работе как с Windows 2000, так и с Windows XP.

Импорт и экспорт ключей агента восстановления данных

 

Ниже приводится описание шагов, выполняемых при импорте и экспорте ключей агента восстановления данных, проиллюстрированное рисунками, поясняющими соответствующие процедуры.

Экспорт ключей

 

Чтобы выполнить экспорт сертификата и закрытого ключа агента восстановления данных домена по умолчанию, выполните следующие действия:

  1. Выполните вход в домен с учетной записью администратора на первом контроллере домена в домене.
  2. В меню Start («Пуск») выберите команду Run («Выполнить»).
  3. Введите mmc.exe и нажмите клавишу ВВОД. Запускается пустая оболочка консоли управления MMC.
  4. Выберите меню Console («Консоль»), а затем — команду Add/Remove Snap-In («Добавить/удалить оснастку»). Появится диалоговое окно со списком всех оснасток, которые были добавлены к этой оболочке MMC.
  5. Нажмите кнопку Add («Добавить»). Появится список всех зарегистрированных оснасток на данном компьютере.
  6. Дважды щелкните оснастку Certificates («Сертификаты»). Выберите пункт My User Account («Моя учетная запись пользователя»), затем нажмите кнопку Finish («Готово»).
  7. Нажмите кнопку Close («Закрыть») в диалоговом окне Add Standalone Snap-In («Добавить изолированную оснастку»), затем нажмите кнопку OK в диалоговом окне Add/Remove Snap-in («Добавить/удалить оснастку»). Теперь консоль управления MMC содержит личное хранилище сертификатов для администратора.

8.      Раскройте дерево хранилища сертификатов. Щелкните последовательно элементы Certificates («Сертификаты»), Current User («Текущий пользователь»), Personal («Личные»), а затем Certificates («Сертификаты»), как показано на приведенном ниже рис. 12 . Если щелкнуть папку Certificates («Сертификаты») в левой части экрана, на правой панели отобразится список всех сертификатов для учетной записи администратора. По умолчанию в хранилище, скорее всего, будут находиться два сертификата.


Работа с сертификатом восстановления файлов

 

 

  1. Правой кнопкой мыши щелкните сертификат, предназначенный для восстановления файла. Срок действия сертификата агента восстановления данных домена по умолчанию должен составлять 99 лет.

10.  Щелкнув правой кнопкой мыши сертификат восстановления файла, выберите в контекстном меню пункт All Tasks («Все задачи»), а затем — пункт Export («Экспорт»). Выполнить процедуру экспорта вам поможет соответствующий мастер.

Внимание Чрезвычайно важно, чтобы в процессе экспорта был выбран правильный ключ, поскольку после завершения экспорта исходный закрытый ключ и сертификат будут удалены из компьютера. Если их нельзя будет восстановить на компьютере, то восстановление файла с использованием этого сертификата агента восстановления данных станет невозможным.

11.  Выберите переключатель Yes, export the private key («Да, экспортировать закрытый ключ»), как показано на приведенном ниже рис. 13, и нажмите кнопку Next («Далее»).


Экспорт закрытого ключа

 
Внимание Важно, чтобы в мастере был выбран переключатель Yes, export the private key («Да, экспортировать закрытый ключ»): таким образом гарантируется удаление закрытого ключа из системы по завершении экспорта.

 

При экспорте закрытого ключа используется формат файла *.PFX. Формат файла *.PFX базируется на стандарте PKCS #12, который применяется для определения формата, предназначенного для хранения и перемещения закрытых ключей, сертификатов, прочих конфиденциальных сведений и т. д. Для получения дополнительной информации см. материалы по стандарту PKCS #12, указанные в разделе «Дополнительные ссылки» данной статьи.

Рекомендуется удалять закрытый ключ из системы после успешного завершения экспорта. В качестве дополнительного уровня безопасности для закрытого ключа следует также использовать усиленную защиту закрытого ключа. Для этого установите соответствующие флажки, как показано на приведенном ниже рис. 14 и нажмите кнопку Next («Далее»).


Выбор формата файла

 

 

Формат файла *.PFX (PKCS #12) позволяет защитить паролем закрытый ключ, хранящийся в файле. Выберите надежный пароль и нажмите кнопку Next («Далее»).

Последний шаг состоит в сохранении соответствующего файла *.PFX. Сертификат и закрытый ключ можно экспортировать на любое устройство, на которое они могут быть записаны, в том числе на сетевой диск или дискету. После ввода имени файла и пути к нему (или выбора их посредством просмотра) нажмите кнопку Next («Далее»).

После выполнения экспорта файла *.PFX и закрытого ключа необходимо обеспечить защиту файла, разместив его на надежном носителе, находящемся в безопасном месте, в соответствии с разработанными в компании правилами и процедурами обеспечения безопасности. Например, компания может поместить файл *.PFX на один или несколько компакт-дисков и держать их в сейфе или любом другом надежном хранилище, физический доступ к которому ограничен строгими правилами. В случае потери файла и соответствующего закрытого ключа будет невозможно выполнить расшифровку всех имеющихся файлов, для которых этот сертификат агента восстановления данных использовался в качестве соответствующего агента восстановления.

Импорт ключей

 

Импорт ключей — гораздо более простая процедура по сравнению с экспортом. Для импорта ключа, хранящегося в файле формата PKCS #12 (файл *.PFX), дважды щелкните файл, чтобы запустить мастер импорта сертификатов Certificate Import Wizard. Или же можно выполнить следующие действия:

  1. Войдите в систему на рабочей станции с действующей учетной записью.
  2. В меню Start («Пуск») выберите команду Run («Выполнить»).
  3. Введите mmc.exe и нажмите клавишу ВВОД. Запускается пустая оболочка консоли управления MMC.
  4. Выберите меню Console («Консоль»), а затем — команду Add/Remove Snap-In («Добавить/удалить оснастку»). Появится диалоговое окно со списком всех оснасток, которые были добавлены к этой оболочке MMC.
  5. Нажмите кнопку Add («Добавить»). Появится список всех зарегистрированных оснасток на данном компьютере.
  6. Дважды щелкните оснастку Certificates («Сертификаты»). Выберите пункт My User Account(«Моя учетная запись пользователя»), затем нажмите кнопку Finish («Готово»).
  7. Нажмите кнопку Close («Закрыть») в диалоговом окне Add Standalone Snap-In («Добавить изолированную оснастку»), затем нажмите кнопку OK в диалоговом окне Add/Remove Snap-in («Добавить/удалить оснастку»). Теперь консоль MMC содержит личное хранилище сертификатов для администратора.
  8. Раскройте дерево хранилища сертификатов. Щелкните последовательно элементы Certificates («Сертификаты»), Current User («Текущий пользователь»), Personal («Личные»), а затем Certificates («Сертификаты»). Правой кнопкой мыши щелкните папку и выберите пункт All Tasks («Все задачи»), а затем — пункт Import («Импорт»). Произойдет запуск мастера импорта сертификатов Certificate Import Wizard.

9.      Нажмите кнопку Next («Далее»). Мастер запросит имя файла и путь к нему, как показано на приведенном ниже рис. 15.


Запрос имени файла и пути к файлу

 

 

10.  Введите пароль для импортируемого файла, если это файл формата PKCS #12.

Рекомендуется всегда хранить закрытые ключи, защитив их надежным паролем.

  1. Если нужно впоследствии снова экспортировать ключ с данного компьютера, необходимо установить флажок Mark this key as exportable («Пометить этот ключ как экспортируемый»). Нажмите кнопку Next («Далее»).
  2. Мастер может предложить пользователю указать, в какое хранилище следует импортировать сертификат и закрытый ключ. Чтобы обеспечить импорт закрытого ключа в личное хранилище, не используйте автоматический переключатель. Выберите Place all certificates in the following store («Поместить все сертификаты в следующее хранилище») и нажмите кнопку Next («Далее»).
  3. Выберите в качестве хранилища Personal («Личное») и нажмите кнопку OK.

14.  Нажмите кнопку Next («Далее»), как показано на приведенном ниже рис. 16.


Подтверждение местоположения хранилища сертификатов

 

 

  1. Нажмите кнопку Finish («Готово») для завершения импорта.

Внимание Совместно с агентом восстановления данных всегда должна использоваться доменная учетная запись, а не учетные записи локальных рабочих станций. Учетные записи локальных рабочих станций могут стать объектом физической атаки в автономном режиме.

Включение возможности шифрования и расшифровки с помощью меню проводника Windows

 

В некоторых организациях могут прийти к выводу, что наиболее простой способ подключения файловой системы EFS состоит в выборе пунктов Encrypt («Шифрование») и Decrypt («Расшифровка») в контекстном меню проводника Microsoft Windows, которое появляется при щелчке файла правой кнопкой мыши. Чтобы обеспечить выполнение этой функции в Windows 2000 или Windows XP, перейдите по следующему пути к кусту реестра и создайте параметр DWORD:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

 

 

WORD Name: EncryptionContextMenu

 

 

Value: 1

 
Этот параметр реестра должен быть создан, поскольку он не существует по умолчанию.

 

 

 

 

 

 
Статьи

2016-06-06
Дешифратор вируса-вымогателя BadBlock
Найдено решение для восстановления информации для всех, кто пострадал от вируса BadBlock
    ПодробнееПодробнее

2016-06-02
Дешифратор для Jigsaw Ransomware версия Invisible Empire
Новая версия вируса-вымогателя - Jigsaw Ransomware, блокируя Ваш экран, использует работы с фотовыставки Invisible Empire
    ПодробнееПодробнее

2016-05-05
Tesla - вирус-вымогатель, найдено решение!
Tesla - вирус-вымогатель, найдено решение! TeslaCrypt - выпустил программу - Мастер ключ для дешифровки данных, которые пострадали от вируса Тесла
    ПодробнееПодробнее

Новости О компании Услуги восстановления данных Партнерская программа Контакты

УТИЛИТЫ ДЛЯ FLASH
ПРОГРАММЫ ВОССТАНОВЛЕНИЯ ДАННЫХ
ПРОГРАММЫ РЕЗЕРВНОГО КОПИРОВАНИЯ

Google+ 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1