Алексей Виноградов - Домашний доктор для вашего ПК

Архивные копии зашифрованных файлов также будут зашифрованы с использованием программы архивации для Windows XP.

После восстановления зашифрованные данные остаются в зашифрованном виде.

Восстановление зашифрованных данных

Восстановление данных подразумевает процесс расшифровки файла без закрытого ключа пользователя, зашифровавшего файл.

Может потребоваться восстановить данные с помощью агента восстановления в следующих случаях.

• Пользователь покидает организацию.

• Закрытый ключ утерян пользователем.

• Получен запрос правительственного учреждения.

При восстановлении файла агентом восстановления выполняются следующие действия.

1. Архивация зашифрованных файлов.

2. Перемещение архивных копий в безопасную систему.

3. Импорт сертификата восстановления и закрытого ключа.

4. Восстановление архивных файлов.

5. Расшифровка файлов с помощью проводника Windows или команды EFS cipher.

Настройка политики восстановления

Для определения политики восстановления данных рядовых серверов домена, автономных серверов или серверов рабочих групп можно воспользоваться оснасткой «Групповая политика». Сертификат восстановления можно либо запросить, либо экспортировать и затем импортировать.

Можно делегировать управление политикой восстановления назначенному администратору. Хотя число администраторов, которые могут восстанавливать зашифрованные данные, нужно ограничивать, наличие нескольких агентов восстановления позволяет иметь дополнительный источник, если восстановление необходимо.

Шифрование и расшифровка данных

Как уже говорилось, шифрованная файловая система (EFS) позволяет безопасно хранить данные. Напоминаю, что EFS делает это возможным благодаря шифрованию данных в выбранных файлах и папках NTFS (и только NTFS). Поскольку EFS интегрирована в файловую систему, ею легко управлять, она надежна и прозрачна для пользователя. Это особенно удобно для защиты данных на компьютерах, которые могут оказаться уязвимыми для кражи, таких как переносные компьютеры. Файлы и папки на томах с файловой системой FAT не могут быть зашифрованы или расшифрованы. EFS также разработана для безопасного хранения данных на локальных компьютерах. Поэтому она не поддерживает безопасную передачу файлов по сети. Другие технологии, например протокол IPSec, можно использовать совместно с EFS для обеспечения альтернативного решения.

Использование ключей шифрования

Пользователю достаточно один раз задать шифрование файла, и фактический процесс шифрования и расшифровки данных будет для него полностью прозрачным. Пользователям не обязательно понимать весь процесс. Однако следующее объяснение шифрования и расшифровки данных может оказаться полезным для администраторов.

Шифрование файлов происходит следующим образом.

Каждый файл имеет уникальный ключ шифрования файла, который позже используется для расшифровки данных файла. Ключ шифрования файла сам по себе зашифрован – он защищен открытым ключом пользователя, соответствующим сертификату EFS. Ключ шифрования файла также защищен открытым ключом каждого дополнительного пользователя EFS, уполномоченного расшифровывать файлы, и ключом каждого агента восстановления. Сертификат и закрытый ключ системы EFS могут выдать несколько источников, включая созданные автоматически сертификаты и сертификаты, выданные центрами сертификации корпорации Майкрософт или другими центрами сертификации.

Расшифровка файлов происходит следующим образом.

Для расшифровки файла необходимо сначала расшифровать его ключ шифрования. Ключ шифрования файла расшифровывается, если закрытый ключ пользователя совпадает с открытым. Не только пользователь может расшифровать ключ шифрования файла. Другие назначенные пользователи и агенты восстановления также могут расшифровать файл, используя собственный закрытый ключ. Закрытые ключи содержатся в защищенном хранилище ключей, а не в диспетчере учетных записей безопасности (SAM) или в отдельном каталоге.

Хранение зашифрованных файлов на удаленных серверах

В Windows XP поддерживается хранение зашифрованных файлов на удаленных серверах. Пользователи могут удаленно использовать шифрованную файловую систему, когда оба компьютера являются членами одного леса Windows XP. Зашифрованные данные не шифруются при передаче по сети, а только при сохранении на диске. Исключения составляют случаи, когда система включает протокол IPSec или протокол WebDAV. IPSEC шифрует данные при передаче по сети TCP / IP. Если файл был зашифрован перед копированием или перемещением в папку WebDAV на сервере, он останется зашифрованным при передаче и во время хранения на сервере.