Показать сообщение отдельно
Старый 26.07.2009, 20:15   #15 (permalink)
winshelp
Member
 
Аватар для winshelp
 
Регистрация: 20.10.2008
Сообщений: 2,866
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 164
По умолчанию

Вот вам для понимания насколько это серьёзно немного информации:

EFS (Encrypting File System) - это шифрованная файловая система являющаяся частью NTFS. Шифрованная файловая система позволяет пользователям хранить данные на диске в зашифрованном формате. Файл зашифрованный одним пользователем не может быть открыт другим пользователем, если ему не назначены соответствующие разрешения. После того как файл был зашифрован, он автоматически остается зашифрованным в любом месте хранения на диске. Пользователь, имеющий права на открытие файла. работает с ним как с любым другим, а остальные пользователи при попытке открыть такой файл, получают сообщение "Отказано в доступе". Шифрованию могут подвергаться любые файлы, в том числе исполняемые.

Перед использованием возможностей шифрования EFS следует определиться будет ли использоваться Агент восстановления данных. Агентом восстановления называется пользователь, уполномоченный расшифровывать данные, зашифрованные другим пользователем, если пользователь утратил закрытые ключи сертификата шифрования или учетная запись пользователя удалена и требуется восстановить зашифрованные данные. Как правило, Агентом восстановления указывается Администратор, но может быть назначен и другой пользователь. Может быть создано несколько Агентов восстановления. Чтобы назначить пользователя Агентом восстановления, необходимо сначала создать сертификаты Агента восстановления, для этого откройте консоль командной строки (Пуск - Выполнить - cmd.exe) и наберите команду
Cipher /R: filename где filename - путь и имя создаваемых сертификатов без расширения.
После этого Вам будет предложено ввести пароль для защиты закрытого ключа и подтвердить его (при вводе пароля он не будет отображаться в консоли). После этого в указанном при вводе команды пути будет создано два файла с указанным именем - *.cer и *.pfx, содержащие соответственно открытый и закрытый ключи сертификата. Теперь необходимо добавить сертификат в личное хранилище пользователя, назначаемого Агентом Восстановления (можно пропустить этот шаг, тогда Агент восстановления может проделать это позже, когда будет необходимо использовать функции восстановления) импортировав файл *.pfx (для запуска Мастера импорта сертификатов достаточно дважды щелкнуть по значку файла). После этого необходимо от имени администратора открыть оснастку "Локальные параметры безопасности" (Пуск - Выполнить - secpol.msc), выделить пункт "Политики открытого ключа - Файловая система EFS" и в меню "Действие" выбрать "Добавить агент восстановления данных". Откроется "Мастер добавления агента восстановления", на второй странице которого необходимо нажать кнопку "Обзор папок" и указать файл *.cer, созданный программой cipher ранее.

При первом использовании возможностей EFS система создает цифровое удостоверение, которое использует для работы с зашифрованными файлами. По умолчанию (если иное не установлено администратором) такое удостоверение имеет имя пользователя и помещается в хранилище "Личные сертификаты". Отличить этот сертификат можно по полю "Назначение - файловая система EFS или по хешу (отпечатку) сертификата - в реестре создается ключ с отпечатком сертификата, используемого для шифрования:

[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionEFSCurrentKeys] "CertificateHash"=hex:хх,хх,хх,хх,хх,хх,хх,хх,хх,х х,хх,хх,хх,хх,хх,хх,хх,хх,хх,хх

В целях восстановления доступа к зашифрованным файлам после переустановки системы или вследствие утраты закрытого ключа следует сохранить в надежном месте закрытые ключи Агентов восстановления или (если они не назначены), закрытые ключи всех пользователей, использующих EFS, экспортировав их из хранилища "Личные" оснастки "Сертификаты" (certmgr.msc). Стоит заметить, что если для локального пользователя администратор попытается удалить пароль учетной записи, то пользователь потеряет все личные сертификаты, а соответственно и доступ к зашифрованным EFS файлам (при такой попытке будет выдано соответствующее предупреждение).
winshelp вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070