Роман Клименко - Windows Vista. Для профессионалов

Особенностью использования данного мастера является то, что вы можете указать способ хранения создаваемого файла сертификата. Можно выбрать либо хранение сертификата на жестком диске компьютера, либо хранение на смарт-карте, либо хранение в центре сертификации домена Active Directory.

После того как вы выберете место хранения сертификата, нужно будет указать имя файла (если файл сертификата будет храниться на компьютере), а также пароль.

И последним шагом мастера будет указание разделов диска, зашифрованные файлы и каталоги которых будут заново перезашифрованы с использованием нового сертификата (если с помощью мастера Шифрующая файловая система EFS вы создавали новый сертификат пользователя, а не выбрали на первом шаге мастера один из старых сертификатов).

Как было сказано выше, сведения об агентах восстановления заносятся в поле DRF шифруемого файла. Но как же можно добавить нового агента восстановления? Для этого нужно воспользоваться командой Добавить агент восстановления данных контекстного меню раздела Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Политики открытого ключа → Шифрующая файловая система EFS оснастки gpedit.msc. После выбора данной команды перед вами отобразится Мастер добавления агента восстановления, первым шагом которого будет выбор CER-файла агента восстановления, добавляемого в систему. После этого перед вами появится информация о файле, и после нажатия кнопки Готово новый агент восстановления будет создан. Теперь пользователь, CER-файл которого был добавлен в качестве агента восстановления, сможет расшифровывать любые зашифрованные файлы любого пользователя данной операционной системы.

Напомним, что CER-файл, необходимый для добавления агента восстановления, создается соответствующим пользователем с помощью команды cipher /R: <���путь к каталогу и имя СЕЯ-файла>.

Как и другие компоненты операционной системы Windows Vista, параметры системы шифрования можно изменить либо с помощью стандартных окон операционной системы, либо непосредственно с помощью реестра.

Настройка с помощью оснастки gpedit.msc

Оснастка gpedit.msc содержит специальный подраздел Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Политики открытого ключа → Шифрующая файловая система EFS. С помощью команды Свойства контекстного меню данного подраздела можно отобразить окно Свойства: Шифрующая файловая система (EFS), позволяющее настроить основные параметры работы шифрования EFS. Данное окно состоит всего из двух вкладок, с помощью которых можно редактировать значения параметров ветви реестра HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies \Microsoft\Windows NT\CurrentVersion\EFS. Большинство элементов данного окна редактируют биты параметра REG_DWORD-типа Ef sOptions.

• Общие – сразу же обратите внимание на переключатель Шифрование файлов с помощью шифрующей файловой системы (EFS). Пока данный переключатель не будет установлен в положение Разрешить, параметры, изменяемые с помощью окна Свойства: Шифрующая файловая система (EFS), активными не будут. После того как вы сделаете все параметры окна активными, можно изменить настройки EFS, устанавливаемые с помощью следующих флажков:

– Шифровать содержимое папки «Документы» пользователя – указывает, что содержимое каталога Документы пользовательского профиля должно автоматически шифроваться;

– Требовать смарт-карту для EFS – определяет, разрешено ли шифровать содержимое смарт-карт с помощью EFS;

– Создать кэшируемый пользовательский ключ из смарт-карты – указывает, будут ли создаваться пользовательские ключи шифрования, поддерживающие хранение зашифрованных данных на смарт-картах;

– Включить шифрование файла подкачки – определяет, будет ли шифроваться содержимое файла подкачки;

– Отображать уведомления об архивации ключа при создании или изменении пользовательского ключа – указывает, будет ли отображаться уведомление в области уведомлений при создании или изменении пользовательского ключа шифрования.

На вкладке Общие также присутствует поле Сертификаты, которое позволяет указать, разрешено ли EFS создавать пользовательские сертификаты, а также указать размер ключа, используемого при шифровании алгоритмом RSA. Размер ключа хранится в параметре REG_DWORD-типа RsaKeyLength.

• Кэш – позволяет определить события, при которых кэш, содержащий расшифрованный FEK, будет очищаться. По умолчанию операционная система Windows Vista помещает сгенерированный FEK в специальный кэш, чтобы не генерировать его при каждом выполнении процесса шифрования (генерация FEK является сложной и ресурсоемкой операцией).