Алексей Виноградов - Домашний доктор для вашего ПК

Как уже говорилось, агентом восстановления называется пользователь, уполномоченный расшифровывать данные, зашифрованные другим пользователем. Агентам восстановления не нужны никакие другие разрешения для выполнения задачи. Использование агента восстановления может потребоваться, например, если сотрудник покидает организацию и остающиеся после него данные нужно расшифровать. Прежде чем добавлять в домен агента восстановления, необходимо убедиться, что каждому агенту восстановления был выдан сертификат X.509 версии 3.

У каждого агента восстановления есть специальный сертификат с соответствующим закрытым ключом, позволяющий восстанавливать данные в области влияния политики восстановления. Агенту восстановления следует использовать команду «Экспорт» из объекта MMC «Сертификаты» для создания в безопасном месте резервной копии сертификата восстановления и закрытого ключа. После создания резервной копии следует использовать объект MMC «Сертификаты» для удаления сертификата восстановления. Если требуется выполнить для пользователя операцию восстановления, следует сначала восстановить сертификат восстановления и связанный закрытый ключ с помощью команды «Импорт» из объекта MMC «Сертификаты». После восстановления данных сертификат восстановления снова должен быть удален. Нет необходимости повторять процесс экспорта.

Чтобы добавить агентов восстановления в домен, нужно добавить их сертификаты к существующей политике восстановления.

Сведения о добавлении и удалении агента восстановления не обновляются автоматически в существующих файлах системы EFS. Данные этих файлов обновляются при следующем открытии файла. Новые файлы используют текущие сведения агента восстановления.

Управление серт ификатами

Сертификат – цифровой документ, широко используемый для проверки подлинности и безопасного обмена данными в открытых сетях, таких как Интернет, экстрасети и интрасети. Сертификат связывает открытый ключ с объектом, хранящим соответствующий закрытый ключ. Сертификаты имеют цифровые подписи, поставленные выдавшими центрами сертификации, и могут предоставляться пользователю, компьютеру или службе. Наиболее широко применяемый формат для цифровых сертификатов определяется международным стандартом ITU-T X.509 версии 3.

Сертификат X.509v3 – третья версия рекомендации ITU-T на X.509 для синтаксиса и формата сертификатов. Стандартный формат, используемый Windows XP в процессах, связанных с сертификатами. Сертификат X.509 содержит открытый ключ и сведения о лице или объекте, которому выдан сертификат, сведения о самом сертификате, а также дополнительные сведения о выдавшем его центре сертификации (ЦС).

Шифрованная файловая система (EFS) с помощью криптографии открытого ключа шифрует содержимое файлов. В ней используются ключи, полученные от сертификата пользователя и дополнительных пользователей, а также от назначенных агентов восстановления шифрованных данных, которые настроены. Так как в сертификатах могут также содержатся сведения о закрытом ключе, сертификаты требуют правильного управления.

Сертификаты и закрытые ключи от всех назначенных агентов восстановления шифрованных данных нужно экспортировать на съемный диск или хранить в безопасности до тех пор, пока они не понадобятся. При экспортировании сертификата и закрытого ключа следует убедиться, что выбранный сертификат содержит «Шифрованную файловую систему» в предусмотренных назначениях и у него есть соответствующий закрытый ключ. Для просмотра предусмотренных назначений сертификата используйте оснастку «Сертификаты». Сертификаты и закрытые ключи можно использовать на нескольких компьютерах. Если в сети Windows XP используются перемещаемые профили, сертификат будет доступен на любом компьютере при входе в систему. В противном случае сертификаты и закрытые ключи необходимо экспортировать и импортировать вручную.

Восстановление данных состояния системы может быть произведено как с помощью интерфейса Windows, так и с помощью командной строки.

Для восстановления системы с помощью интерфейса Windows следует обратиться к служебной программе архивации данных и нажать кнопку «Расширенный» в окне мастера архивации. Затем в меню Сервис нужно выбрать команду Параметры и на вкладке «Общие» установить нужные параметры. Если установлен флажок «Оценивать информацию о выборе файлов перед выполнением операций архивации или восстановления», будет выполнена оценка количества файлов и байтов, архивируемых или восстанавливаемых в текущем задании. Эти сведения будут подсчитаны и выведены перед началом процесса архивации или восстановления. Если установлен флажок «Использовать каталоги носителей для ускорения построения каталогов восстановления на диске», восстановление отмеченных объектов будет выполняться с использованием каталога носителя для построения каталога на диске. Это наиболее быстрый способ построения каталога на диске. Однако если требуется восстановить данные с нескольких лент, а лента с каталогом носителя отсутствует, либо если нужно восстановить данные с поврежденного носителя, этот флажок устанавливать не следует. После этого будет просмотрен весь архив (или все имеющиеся его части) и создан каталог на диске. Если размер архива велик, это может занять много времени. Если установлен флажок «Проверять данные после завершения архивации», для проверки правильности архивации данные из архива будут сравнены с исходными данными на жестком диске. Некоторые используемые файлы могут вызывать ошибки при проверке, но эти ошибки обычно можно игнорировать. Большое число таких ошибок может указывать на неполадки с используемым носителем или файлом архива. В этом случае следует повторить архивацию, используя другой носитель или файл.