|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Дополнительную информацию об усовершенствованиях системы EFS, реализованных в Windows XP, можно найти в статье Обзор восстановления данных
Восстановление данных — это процесс шифрования отдельных элементов данных, например файлов или папок, с которыми могут затем работать несколько пользователей или уполномоченных лиц. В качестве уполномоченного лица может выступать администратор, в обязанности которого входит восстановление данных в организации. Данные могут извлекаться третьей стороной в виде обычного текста. Восстановление данных не обязательно означает восстановление закрытого ключа, однако восстановление ключа может быть одним из способов восстановления данных. В операционной системе Windows XP, в которой используются симметрично зашифрованные блоки данных, восстановление данных может выполняться без восстановления закрытого ключа. В спецификации S/MIME (Secure Multi-purpose Internet Mail Extensions) и системе EFS используются блоки данных, симметрично зашифрованные с использованием симметричного ключа, защищенного одним или несколькими открытыми ключами из пары, состоящей из открытого и закрытого ключей. В этом сценарии симметричный ключ может быть защищен (зашифрован) несколькими пользователями и, следовательно, с применением нескольких открытых ключей. Восстановление данных может выполняться другим пользователем посредством расшифровки. Что касается системы EFS, можно открыть файлы и восстановить данные, используя агент восстановления данных (DRA- Data Recovery Agent), как показано на рис. 1.
В операционной системе Windows 2000 агент восстановления данных является обязательным компонентом и по умолчанию исполняет роль администратора домена Windows 2000. В Windows XP это ограничение снято. Наиболее эффективным способом управления восстановлением данных является использование службы каталогов Active Directory™ и центра сертификации предприятия (Microsoft). В службе каталогов Active Directory посредством применения групповой политики предоставляется механизм централизованной настройки одного или нескольких агентов восстановления данных. Эти агенты могут использоваться для восстановления файлов, когда требуется восстановить данные. Восстановление данных и файловая система EFS
В файловой системе EFS имеется встроенная функция восстановления данных в результате исполнения соответствующего требования политики восстановления. Это требование заключается в том, что политика восстановления должна быть установлена до того, как пользователи получат возможность шифровать файлы. Политика восстановления представляет собой тип политики открытого ключа, в которой можно назначить в качестве агента восстановления данных одну или несколько учетных записей пользователей. Используемая по умолчанию политика восстановления автоматически применяется при первом входе администратора в систему, назначая данного администратора агентом восстановления. Для изолированных компьютеров используемая по умолчанию политика восстановления настраивается локально. Для компьютеров, входящих в домен Active Directory, политика восстановления настраивается на уровне домена, организационного подразделения или отдельного компьютера и применяется ко всем компьютерам, работающим под управлением Windows 2000 и Windows XP, в границах соответствующей области. Сертификаты восстановления выпускаются центром сертификации, управление ими осуществляется с помощью оснастки Certificates («Сертификаты») консоли управления MMC (Microsoft Management Console). В сетевой среде администратор домена управляет реализацией системы EFS в политике восстановления данных для всех пользователей и компьютеров в границах соответствующей области. В варианте установки Windows 2000 или Windows XP, применяемом по умолчанию, в качестве агента восстановления домена при настройке первого контроллера домена указывается администратор данного домена. От того, как администратор домена выполнит настройку политики восстановления, зависит, каким образом будет реализована файловая система EFS для пользователей на их локальных компьютерах. Чтобы изменить политику восстановления для домена, администратор домена должен войти в систему на первом контроллере домена. Администраторы могут определять политику, относящуюся к одному из следующих трех типов: · Политика агента восстановления
Данная политика начинает действовать, когда администратор добавляет одного или нескольких агентов восстановления. Указанные агенты отвечают за восстановление всех зашифрованных данных в соответствующей области. Это наиболее распространенный вид политики восстановления данных. · Пустая политика восстановления
Данная политика начинает действовать, когда администратор удаляет всех агентов восстановления и их сертификаты открытого ключа. Пустая политика восстановления означает, что не существует никаких агентов восстановления, и в случае использования клиентской операционной системы Windows 2000 файловая система EFS полностью отключается. Поддержка системы EFS с пустой политикой агента восстановления предоставляется только в клиенте Windows XP. · Политика восстановления отсутствует
Если администратор удалит закрытые ключи, связанные с определенной политикой восстановления, то не будет действовать никакая политика восстановления. Поскольку закрытых ключей нет, отсутствует и способ применения агента восстановления, и восстановление будет невозможно. Этот вариант может оказаться удобным для организаций, в которых используются смешанная сетевая среда, включающая клиентов Windows 2000 и Windows XP, и функции восстановления данных не нужны. Администратор домена по умолчанию является агентом восстановления данных в среде Active Directory, однако это право может быть делегировано или предоставлено одному или нескольким пользователям. Более подробно данный вопрос обсуждается далее в настоящей статье. Восстановление данных на изолированных компьютерах
При установке на входящий в рабочую группу компьютер (изолированный) операционной системы Windows XP больше не создается используемый по умолчанию агент восстановления данных. Это позволяет эффективно предотвращать автономные атаки на учетную запись администратора. Следовательно, пользователь должен создать и установить агент восстановления данных вручную. Чтобы вручную создать агент восстановления данных, необходимо использовать служебную программу cipher.exe. CIPHER /R:filename
/R Generates a PFX and a CER file with a self-signed EFS recovery
certificate in them.
filename A filename without extensions
С помощью данной команды создаются файлы имя_файла.PFX (для восстановления данных) и имя_файла.CER (для использования в политике). Сертификат создается в памяти и удаляется после генерации файлов. После генерации ключей сертификат необходимо импортировать в локальную политику и сохранить закрытые ключи в безопасном месте. Восстановление данных с использованием файловой системы EFS
В этом разделе описываются и обсуждаются действия по использованию функции общего доступа к файлам в системе EFS. Общий доступ к файлам в системе EFS
Поддержка использования групп для зашифрованных файлов не предоставляется ни в Windows 2000, ни в Windows XP. Кроме того, ни в Windows 2000, ни в Windows XP не предоставляется поддержка нескольких пользователей для папок. Однако в файловой системе EFS операционной системы Windows XP реализована поддержка общего доступа к одному файлу нескольких пользователей. Применение в операционной системе Windows XP функции EFS общего доступа к файлу представляет собой еще одну возможность восстановления данных посредством добавления дополнительных пользователей зашифрованного файла. Добавление дополнительных пользователей не может осуществляться через политику или другие средства, однако это простой и удобный способ восстановления зашифрованных несколькими пользователями файлов, не требующий применения групп и обмена закрытыми ключами между пользователями. После того, как файл будет зашифрован, функция общего доступа к файлу включается посредством нажатия новой кнопки в пользовательском интерфейсе. Перед добавлением дополнительных пользователей необходимо сначала зашифровать файл, а затем сохранить его. Чтобы добавить пользователя, следует выбрать для зашифрованного файла Advanced Properties («Дополнительные свойства») и нажать кнопку Details («Подробности»). Пользователи могут добавлять других пользователей (не группы) с локального компьютера или из службы каталогов Active Directory при условии, что добавляемый пользователь имеет действительный сертификат для файловой системы EFS. Включение функции общего доступа к файлам EFS
Поддержка общего доступа к зашифрованным файлам при использовании системы EFS предоставляется, начиная с операционной системы Windows 2000, через API-интерфейс Win32; однако система EFS не была представлена в интерфейсе проводника Windows до тех пор, пока не был разработан клиент Windows XP Professional. Чтобы зашифровать файлы для нескольких пользователей, выполните следующие действия:
Шифрование файлов для защиты данных
Если шифрование файла или папки выполняется впервые, появится диалоговое окно с вопросом о том, собирается ли пользователь шифровать только этот файл или всю папку. 5. Выберите нужный вариант и нажмите кнопку OK. После этого произойдет возврат в исходное диалоговое окно.
7. Чтобы добавить дополнительных пользователей, снова откройте страницу свойств файла, нажав кнопку Advanced properties («Дополнительные свойства»), а затем кнопку Details («Подробности»). В открывшемся диалоговом окне Details («Подробности») имеется возможность добавления пользователя.
Чтобы добавить пользователей, выполните следующие действия: Шаг 1
Нажмите кнопку Add («Добавить»), как показано на рис. 3.
Появится новое диалоговое окно, в котором представлены имеющиеся пользователи и сертификаты, содержащиеся в кеше хранилища сертификатов Other People («Другие пользователи») локального компьютера. Можно также добавлять новых пользователей из службы каталогов Active Directory, нажав кнопку Find User («Найти пользователя»).
Шаг 2
Нажмите кнопку Find User («Найти пользователя»), чтобы найти новых пользователей, как показано на рис. 4.
Появится стандартное диалоговое окно выбора объектов, и будет выполнен поиск. В зависимости от критериев поиска в диалоговом окне будут представлены пользователи, имеющие действительные сертификаты EFS в службе каталогов Active Directory. Если для данного пользователя не найдено ни одного действительного сертификата, появится диалоговое окно, представленное на рис. 5.
Если в атрибуте userCertificate объекта пользователя в каталоге имеются действительные сертификаты, они отобразятся в диалоговом окне выбора сертификатов, представленном на рис. 6.
Если проверка отзыва и создание цепочки сертификатов завершатся успешно, пользователь будет добавлен в диалоговое окно, после чего произойдет обновление файла, как показано на рис. 8. Шаг 3
Чтобы зарегистрировать изменение и продолжить работу, нажмите кнопку OK.
Просмотр сертификата
Можно выбрать сертификат пользователя и просмотреть сведения из него, чтобы принять то или иное решение по администрированию. Чтобы просмотреть сертификат, как показано выше на рис. 6, выполните следующие действия:
Копирование, перемещение и сохранение зашифрованных файлов
Вследствие уникальной природы зашифрованных файлов, перемещение и копирование зашифрованных файлов может приводить к различным результатам. Например, при копировании зашифрованного файла с локального компьютера на сетевой сервер результаты операции копирования могут быть различными в зависимости от используемой на сервере операционной системы. Обычно при копировании файл наследует свойства EFS папки назначения, а при перемещении этого не происходит. При копировании зашифрованного файла возможны следующие варианты:
Сообщение об отказе в доступе возвращается в приложения из файловой системы NTFS, чтобы обеспечить совместимость с существующими приложениями. При использовании другого или более информативного сообщения об ошибках многие приложения могут работать неправильно или нестабильно. В клиент Windows XP Professional было внесено несколько усовершенствований в области копирования зашифрованных файлов. Теперь и в интерфейсе, и в командной строке предоставляется возможность разрешить или запретить копирование файлов. Если в том месте, куда копируется зашифрованный файл, удаленное шифрование не разрешено, появится диалоговое окно, в котором пользователь может выбрать, следует ли расшифровывать этот файл или нет. Средства командной строки XCOPY и COPY позволяют выполнять те же операции, используя специальный параметр, разрешающий расшифровку при копировании. C:\>copy /? (Копирование одного или нескольких файлов в другое местоположение.) COPY [/D] [/V] [/N] [/Y | /-Y] [/Z] [/A | /B ] source [/A | /B]
[+ source [/A | /B] [+ …]] [destination [/A | /B]]
source Указание файла или файлов, предназначенных для копирования. /D Разрешение расшифровки создаваемого конечного файла.
C:\>xcopy /? (Копирование файлов и деревьев папок.) XCOPY source [destination] [/A | /M] [/D[:date]] [/P] [/S [/E]] [/V] [/W]
[/C] [/I] [/Q] [/F] [/L] [/G] [/H] [/R] [/T] [/U] [/K] [/N] [/O] [/X]
[/Y] [/-Y] [/Z] [/EXCLUDE:file1[+file2][+file3]…]
source Задание файлов, которые требуется скопировать. destination Задание местоположения и имен новых файлов. /G Разрешение копирования зашифрованных файлов в местоположение, в котором шифрование не поддерживается.
Сохранение файлов при использовании общего доступа к файлам EFS
Когда файл зашифрован для обеспечения доступа нескольких пользователей, приложение должно обращаться к особому API-интерфейсу, гарантирующему, что зашифрованные данные (сертификаты) для дополнительных пользователей не будут утеряны при открытии, изменении или сохранении файла в собственном формате этого приложения. Собственные документы, открытые в Microsoft Office XP, сохранят многопользовательский EFS-статус, тогда как другие приложения могут удалить дополнительных пользователей, которые были добавлены к файлу документа. Системные папки и файлы
В операционной системе также имеются механизмы предотвращения шифрования системных папок, файлов и местоположений, указанных в пути %SYSTEMROOT%\… Когда пользователь пытается зашифровать системный файл или скопировать зашифрованный файл в системную папку, появляется сообщение об отказе в доступе. Кеширование сертификатов
Если сертификат использует систему EFS, он будет помещен в кеш на локальном компьютере. Благодаря этому не придется искать пользователей в службе каталогов Active Directory каждый раз, когда новый пользователь добавляется к зашифрованному файлу. Сертификаты, входящие в цепочку сертификатов, и сертификаты с собственной подписью, могут использоваться и помещаться в кеш. Когда сертификат пользователя, входящий в цепочку сертификатов, добавляется к зашифрованному файлу, он кешируется в хранилище сертификатов Other People («Другие пользователи») текущего пользователя, как показано на рис. 9.
Сертификаты с собственной подписью, созданные для других пользователей (например, автоматически созданные системой EFS, когда отсутствуют доступные центры сертификации), кешируются в хранилище сертификатов Trusted People («Доверенные пользователи») текущего пользователя, как показано на рис. 10.
Когда сертификат добавляется в хранилище Trusted People («Доверенные пользователи»), пользователь предупреждается о том, что этому сертификату будет явно выражено доверие, и запрашивается подтверждение этого действия. После добавления сертификата в хранилище Trusted People («Доверенные пользователи»), проверка состояния сертификата выполняться не будет за исключением проверки срока действия. Хранилище Trusted People с интерфейсом CryptoAPI может также использоваться клиентом Microsoft Outlook® 2002 для хранения решений о доверии для конкретных сертификатов.
Процедуры политики восстановления данных EFS
В следующих разделах описываются некоторые наиболее распространенные процедуры, связанные с системой EFS и восстановлением данных. Отмена существующей политики восстановления
Может случиться, что сначала в организации реализовали политику восстановления данных, а впоследствии решили удалить или аннулировать эту политику. Если политика восстановления данных была удалена из домена, ни один новый файл не может быть зашифрован после обновления групповой политики на соответствующих компьютерах. Пользователи по-прежнему смогут открывать имеющиеся зашифрованные файлы, но не смогут обновить эти файлы или зашифровать их заново. Имеющиеся зашифрованные файлы не будут расшифрованы, пока пользователь, имеющий закрытый ключ для расшифровки указанных файлов, не обратится к ним и не обновит их. Как определить, используется ли на компьютере система EFS
В некоторых организациях может оказаться полезной возможность, позволяющая видеть, используется ли система EFS на компьютерах, входящих в состав домена. Метод, с помощью которого можно определить, используется ли файловая система EFS в настоящий момент, отсутствует. Однако можно определить, применялась ли когда-нибудь система EFS пользователем на данном компьютере, просмотрев несколько разделов реестра. Если компьютер работает под управлением операционной системы Windows 2000, можно просмотреть следующий раздел реестра на предмет наличия там хеша сертификатов:
Если компьютер работает под управлением операционной системы Windows XP, можно просмотреть следующие разделы реестра:
Чтобы изменить политику восстановления данных для домена, выполните следующие действия:
4. В дереве консоли щелкните элемент Encrypted Data Recovery Agents («Агенты восстановления зашифрованных данных»). Последовательно щелкните следующие элементы:
5. Щелкните правой кнопкой в области сведений и выберите соответствующее действие.
Отключение системы EFS Теперь при использовании операционной системы Windows XP можно отключить систему EFS, если требуется заблокировать возможность шифрования данных для некоторых групп или пользователей в конкретном домене или организационном подразделении в службе каталогов Active Directory. В среде домена систему EFS можно отключить посредством использования групповой политики. Чтобы настроить групповую политику, выполните следующие действия: 1. Последовательно щелкните следующие элементы:
При настройке групповой политики настраивается раздел реестра, выбранный EFS во время действий пользователя. Этим разделом является следующий раздел реестра:
При настройке групповой политики настраивается раздел реестра, выбранный EFS во время действий пользователя. Этим разделом является следующий раздел реестра:
Восстановление данных
Восстановление данных выполняется таким же образом, как шифрование файлов. Единственное различие состоит в том, что при восстановлении данных расшифровка файлов осуществляется не тем пользователем, который их зашифровал. Поскольку у каждого файла имеется по крайней мере один пользователь и один агент восстановления данных, который может расшифровать файл, то не требуется какого-либо специального процесса, с помощью которого может быть выполнено восстановление файла, зашифрованного другим пользователем. Чтобы восстановить файл, зашифрованный пользователем, уволившимся из организации, потерявшим или повредившим свой закрытый ключ и т. д., агент восстановления данных должен просто выбрать указанный файл и открыть его обычным образом, как это сделал бы первоначальный пользователь данного файла. Если открыть восстановленный файл, он отобразится в незашифрованном виде, и его можно будет сохранить в незашифрованном формате.
Агент восстановления данных может также удалить шифрование из файлов, предварительно не открывая их. Для этого следует выделить нужный файл, выбрать в контекстном меню свойства файла, нажать кнопку Advanced («Дополнительно») и снять флажок Encrypt contents to secure data («Шифровать содержимое для защиты данных»). После нажатия кнопки OK и закрытия диалогового окна свойств файла будет выполнена расшифровка файла — при этом предполагается, что текущий пользователь является агентом восстановления данных и имеет закрытый ключ агента восстановления данных, который в это время загружен в его профиль. Указанные методы доступны при работе как с Windows 2000, так и с Windows XP. Импорт и экспорт ключей агента восстановления данных
Ниже приводится описание шагов, выполняемых при импорте и экспорте ключей агента восстановления данных, проиллюстрированное рисунками, поясняющими соответствующие процедуры. Экспорт ключей
Чтобы выполнить экспорт сертификата и закрытого ключа агента восстановления данных домена по умолчанию, выполните следующие действия:
8. Раскройте дерево хранилища сертификатов. Щелкните последовательно элементы Certificates («Сертификаты»), Current User («Текущий пользователь»), Personal («Личные»), а затем Certificates («Сертификаты»), как показано на приведенном ниже рис. 12 . Если щелкнуть папку Certificates («Сертификаты») в левой части экрана, на правой панели отобразится список всех сертификатов для учетной записи администратора. По умолчанию в хранилище, скорее всего, будут находиться два сертификата.
10. Щелкнув правой кнопкой мыши сертификат восстановления файла, выберите в контекстном меню пункт All Tasks («Все задачи»), а затем — пункт Export («Экспорт»). Выполнить процедуру экспорта вам поможет соответствующий мастер.
11. Выберите переключатель Yes, export the private key («Да, экспортировать закрытый ключ»), как показано на приведенном ниже рис. 13, и нажмите кнопку Next («Далее»).
При экспорте закрытого ключа используется формат файла *.PFX. Формат файла *.PFX базируется на стандарте PKCS #12, который применяется для определения формата, предназначенного для хранения и перемещения закрытых ключей, сертификатов, прочих конфиденциальных сведений и т. д. Для получения дополнительной информации см. материалы по стандарту PKCS #12, указанные в разделе « Рекомендуется удалять закрытый ключ из системы после успешного завершения экспорта. В качестве дополнительного уровня безопасности для закрытого ключа следует также использовать усиленную защиту закрытого ключа. Для этого установите соответствующие флажки, как показано на приведенном ниже рис. 14 и нажмите кнопку Next («Далее»).
Формат файла *.PFX (PKCS #12) позволяет защитить паролем закрытый ключ, хранящийся в файле. Выберите надежный пароль и нажмите кнопку Next («Далее»). Последний шаг состоит в сохранении соответствующего файла *.PFX. Сертификат и закрытый ключ можно экспортировать на любое устройство, на которое они могут быть записаны, в том числе на сетевой диск или дискету. После ввода имени файла и пути к нему (или выбора их посредством просмотра) нажмите кнопку Next («Далее»). После выполнения экспорта файла *.PFX и закрытого ключа необходимо обеспечить защиту файла, разместив его на надежном носителе, находящемся в безопасном месте, в соответствии с разработанными в компании правилами и процедурами обеспечения безопасности. Например, компания может поместить файл *.PFX на один или несколько компакт-дисков и держать их в сейфе или любом другом надежном хранилище, физический доступ к которому ограничен строгими правилами. В случае потери файла и соответствующего закрытого ключа будет невозможно выполнить расшифровку всех имеющихся файлов, для которых этот сертификат агента восстановления данных использовался в качестве соответствующего агента восстановления. Импорт ключей
Импорт ключей — гораздо более простая процедура по сравнению с экспортом. Для импорта ключа, хранящегося в файле формата PKCS #12 (файл *.PFX), дважды щелкните файл, чтобы запустить мастер импорта сертификатов Certificate Import Wizard. Или же можно выполнить следующие действия:
9. Нажмите кнопку Next («Далее»). Мастер запросит имя файла и путь к нему, как показано на приведенном ниже рис. 15.
10. Введите пароль для импортируемого файла, если это файл формата PKCS #12.
14. Нажмите кнопку Next («Далее»), как показано на приведенном ниже рис. 16.
Включение возможности шифрования и расшифровки с помощью меню проводника Windows
В некоторых организациях могут прийти к выводу, что наиболее простой способ подключения файловой системы EFS состоит в выборе пунктов Encrypt («Шифрование») и Decrypt («Расшифровка») в контекстном меню проводника Microsoft Windows, которое появляется при щелчке файла правой кнопкой мыши. Чтобы обеспечить выполнение этой функции в Windows 2000 или Windows XP, перейдите по следующему пути к кусту реестра и создайте параметр DWORD: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
WORD Name: EncryptionContextMenu
Value: 1
|
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||