В Windows XP поддерживается хранение зашифрованных файлов на удаленных серверах. Пользователи могут удаленно использовать шифрованную файловую систему, когда оба компьютера являются членами одного леса Windows XP. Зашифрованные данные не шифруются при передаче по сети, а только при сохранении на диске. Исключения составляют случаи, когда система включает протокол IPSec или протокол WebDAV. IPSEC шифрует данные при передаче по сети TCP / IP. Если файл был зашифрован перед копированием или перемещением в папку WebDAV на сервере, он останется зашифрованным при передаче и во время хранения на сервере.
Зашифрованные файлы недоступны для клиентов Macintosh. Не поддерживается хранение сертификатов и закрытых ключей шифрованной файловой системы на смарт-картах. Не поддерживается усиленная защита закрытых ключей для закрытых ключей EFS.
Прежде чем файлы на удаленных серверах смогут шифроваться пользователями, администратор должен назначить удаленный сервер доверенным для делегирования. Это позволит всем пользователям шифровать файлы на этом сервере.
3.3. Шифрование и восстановление шифрованных данных
Закрытый ключ – секретная половина криптографической пары, используемая при шифровании с применением открытых ключей. Закрытые ключи обычно используются при расшифровке симметричных ключей сеансов, создании цифровых подписей и расшифровке данных, зашифрованных соответствующим открытым ключом.
Шифрованная файловая система (EFS) – средство Windows XP, позволяющее пользователям шифровать файлы и папки на диске тома NTFS для защиты от злоумышленников.
Агент восстановления – пользователь, которому выдан сертификат открытого ключа для восстановления пользовательских данных, закодированных шифрованной файловой системой (EFS).
Восстановление очень важно, если данные зашифрованы сотрудником, который ушел или потерял закрытый ключ. Восстановление данных доступно для шифрованной файловой системы (EFS) как часть общей политики безопасности для системы. Например, если утерян сертификат шифрования файлов и связанный закрытый ключ (из-за сбоя диска или по какой-либо другой причине), восстановление данных возможно с помощью лица, назначенного агентом восстановления. Организация может после увольнения сотрудника восстановить данные, зашифрованные им.
Шифрование с применением открытых ключей
Метод шифрования, использующий два математически связанных шифровальных ключа. Один ключ называется закрытым и хранится в недоступном месте. Другой ключ называется открытым и свободно предоставляется любым потенциальным пользователям. Как правило, отправитель использует открытый ключ получателя для шифрования данных. Только получатель имеет связанный закрытый ключ для расшифровки этого сообщения. Связь между открытым и закрытым ключами настолько сложна, что, при условии достаточной длины ключей, невозможно вычислить один ключ на основе другого. Шифрование с применением открытых ключей называется также асимметричным шифрованием.
Политика восстановления
Файловая система EFS использует политики встроенного восстановления данных. Recovery policy – это политика открытого ключа, которая обеспечивает назначение одной или нескольких учетных записей пользователя агентами восстановления шифрованных данных.
Политика восстановления по умолчанию настроена локально для автономных компьютеров. Для компьютеров, которые являются частью сети, политика восстановления настраивается на уровне домена, организационной единицы или отдельного компьютера и применяется ко всем компьютерам, работающим под управлением Windows XP, в пределах области влияния. Центр сертификации (ЦС) выдает сертификаты восстановления, и для управления ими используется оснастка "Сертификаты".
В домене Windows XP политика восстановления, используемая по умолчанию, внедряется при настройке первого контроллера домена. Администратор домена выпускает самозаверяющий сертификат, который указывает на администратора домена как на агента восстановления. Чтобы изменить политику восстановления для домена, используемую по умолчанию, войдите в первый контроллер домена с учетной записью администратора. В политику в любое время можно добавить дополнительных агентов восстановления и удалить исходного агента.
Поскольку подсистема безопасности Windows XP обрабатывает приведение в исполнение, репликацию и кэширование политики восстановления, пользователи могут реализовывать шифрование файлов на системах, которые временно работают автономно, например на переносном компьютере. Этот процесс аналогичен входу в учетную запись домена с помощью кэшированных сведений.
Агенты восстановления
Сертификат X.509v3 – третья версия рекомендации ITU-T на X.509 для синтаксиса и формата сертификатов. Стандартный формат, используемый Windows XP в процессах, связанных с сертификатами. Сертификат X.509 содержит открытый ключ и сведения о лице или объекте, которому выдан сертификат, сведения о самом сертификате, а также дополнительные сведения о выдавшем его центре сертификации (ЦС).
Агентом восстановления называется пользователь, уполномоченный расшифровывать данные, зашифрованные другим пользователем. Агентам восстановления не нужны никакие другие разрешения для выполнения задачи. Использование агента восстановления может потребоваться, например, если сотрудник покидает организацию и остающиеся после него данные нужно расшифровать. Прежде чем добавлять в домен агента восстановления, необходимо убедиться, что каждому агенту восстановления был выдан сертификат X.509 версии 3.
У каждого агента восстановления есть специальный сертификат с соответствующим закрытым ключом, позволяющий восстанавливать данные в области влияния политики восстановления. Агенту восстановления следует использовать команду Экспорт из объекта MMC "Сертификаты" для создания в безопасном месте резервной копии сертификата восстановления и закрытого ключа. После создания резервной копии следует использовать объект MMC "Сертификаты" для удаления сертификата восстановления. Если требуется выполнить для пользователя операцию восстановления, следует сначала восстановить сертификат восстановления и связанный закрытый ключ с помощью команды Импорт из объекта MMC "Сертификаты". После восстановления данных сертификат восстановления снова должен быть удален. Нет необходимости повторять процесс экспорта.
Чтобы добавить агентов восстановления в домен, нужно добавить их сертификаты к существующей политике восстановления.
Сведения о добавлении и удалении агента восстановления не обновляются автоматически в существующих файлах системы EFS. Данные этих файлов обновляются при следующем открытии файла. Новые файлы используют текущие сведения агента восстановления.
3.4. Восстановление зашифрованных файлов и папок
Чтобы восстановить зашифрованный файл или папку
Чтобы восстановить зашифрованный файл или папку, следует использовать программу "Архивация данных" или другое средство архивации для восстановления пользовательской архивной версии зашифрованного файла или папки на компьютер, где размещен сертификат восстановления файла.
Процедура восстановления зашифрованных данных начинается с обращения к проводнику Windows. Правой кнопкой мыши следует кликнуть зашифрованную папку или диск, а затем выбрать команду "Свойства". На вкладке "Общие" надо нажать кнопку "Дополнительно" и снять флажок "Шифровать содержимое для защиты данных". Затем нужно сделать резервную копию расшифрованного файла или папки и вернуть резервную копию пользователю.
Резервная копия расшифрованного файла или папки может быть возвращена пользователю как вложение в сообщение электронной почты, на гибком диске или как общий файл в сети.
Также можно транспортировать закрытый ключ и сертификат агента восстановления, импортировать закрытый ключ и сертификат, расшифровать файл или папку и удалить импортированный закрытый ключ и сертификат. В ходе данной процедуры закрытый ключ менее защищен, чем в вышеописанной, и не требует никаких операций архивации и сохранения или перемещения файла.
Агенту восстановления следует использовать команду "Экспорт из объекта MMC "Сертификаты"" для экспорта на гибкий диск сертификата восстановления файлов и закрытого ключа. Гибкий диск следует хранить в безопасном месте. Если сертификат восстановления файлов или закрытый ключ на компьютере поврежден или удален, можно использовать команду "Импорт из объекта MMC "Сертификаты"" для замены поврежденного или удаленного сертификата и закрытого ключа файлами, заархивированными на гибком диске.
Восстановление зашифрованного файла или папки без сертификата шифрования файла
Для восстановления зашифрованного файла или папки без сертификата шифрования файла следует запустить служебную программу архивации и воспользоваться ею для создания копии файла в случае его потери или повреждения. Затем надо отправить исходный зашифрованный файл назначенному агенту восстановления. Агент восстановления должен использовать свои сертификаты и закрытые ключи для расшифровки файла. Агент восстановления должен отослать расшифрованный файл обратно, используя любой назначенный способ передачи файлов.
Администратор локального компьютера является агентом восстановления по умолчанию, если компьютер не находится в среде домена Active Directory. В среде домена Active Directory администратор, который вошел в первый контроллер домена, является агентом восстановления по умолчанию.
Отправить файл назначенному агенту восстановления можно несколькими способами, включая архивацию файла на ленту или гибкий диск.
Файлы, заархивированные с помощью программы архивации или других средств, остаются зашифрованными в месте размещения заархивированных файлов. Исходные файлы можно расшифровать или изменить, не влияя на зашифрованное состояние резервных копий.
Зашифрованные файлы или папки могут быть восстановлены самостоятельно, если на гибком диске хранится резервная копия сертификата шифрования файла и закрытого ключа в файле формата. pfx. Для импорта файла. pfx с гибкого диска в хранилище "Личные" следует использовать команду "Импорт из объекта MMC "Сертификаты"".
Чтобы создать на гибком диске резервную копию ключей восстановления, используемых по умолчанию
Для создания резервной копии ключей восстановления следует запустить консоль управления (ММС). Напоминаю, что для этого следует воспользоваться строкой "Выполнить" в меню Пуск – нажать кнопку Пуск, выбрать команду "Выполнить", ввести "mmc" и нажать кнопку OK. В появившемся меню "Консоль" следует выбрать команду "Добавить/удалить оснастку" и нажать кнопку "Добавить". В группе "Добавить изолированную оснастку" надо выбрать "Сертификаты" и нажать кнопку "Добавить". Затем следует установить переключатель в положение "Моей учетной записи пользователя" и нажать "Готово". Завершая процедуру, надо кликнуть по кнопке "Закрыть", а затем – ОК. После этого надо дважды кликнуть "Сертификаты" – "Текущий пользователь", дважды "Личные" и также дважды – "Сертификаты". После этого надо выбрать сертификат, имеющий текст "Восстановление файлов" в столбце "Назначение". Этот сертификат следует кликнуть правой кнопкой мыши и выбрать "Все задачи", а затем "Экспорт", после чего остается только следовать инструкциям мастера экспорта сертификатов для экспорта сертификата и связанного закрытого ключа в файл формата. pfx.
Эта операция должна быть выполнена с учетной записью агента восстановления, у которого есть сертификат восстановления и закрытый ключ в личных хранилищах.
Перед внесением любых изменений в политику восстановления, используемую по умолчанию, следует проверить безопасность ключей восстановления, используемых по умолчанию. В домене ключи восстановления, используемые по умолчанию, хранятся на первом контроллере домена. Напоминаю, что администратор домена по умолчанию является агентом восстановления.
Чтобы добавить агента восстановления для локального компьютера
Для того чтобы добавить агента восстановления для локального компьютера следует нажать кнопку Пуск, выбрать команду "Выполнить", вести "mmc" и нажать OK. В открывшейся консоли управления следует выбрать команду "Добавить/удалить оснастку" и нажать кнопку "Добавить". Затем в группе "Добавить изолированную оснастку" надо выбрать "Групповая политика" и нажать кнопку "Добавить". После этого надо проверить, чтобы в поле "Объект групповой политики" был отображен "Локальный компьютер". Теперь можно нажимать кнопку "Готово", затем кликнуть кнопку "Закрыть" и – OK. После этого в дереве консоли следует отыскать подузел "Политики открытого ключа": "Политика "Локальный компьютер" – "Конфигурация компьютера" – "Конфигурация Windows" – "Параметры безопасности" – "Политики открытого ключа". Затем в области сведений надо кликнуть правой кнопкой мыши "Агенты восстановления шифрованных данных" и выбрать команду "Добавить" в контекстном меню, а затем – просто следовать инструкциям мастера добавления агента восстановления.
Для выполнения этой процедуры необходимо войти в систему с учетной записью "Администратор" или члена группы "Администраторы". Если компьютер подключен к сети, то параметры сетевой политики могут запретить выполнение данной процедуры.
Добавление агента восстановления из файла идентифицирует пользователя как USER_UNKNOWN. Это происходит потому, что имя не сохраняется в файле.
Перед добавлением или созданием агента восстановления необходимо задать конфигурацию групповой политики на компьютере. Мастеру добавления агента восстановления сообщается имя пользователя с опубликованным сертификатом восстановления. Другим способом является использование мастера для поиска файлов с расширением. cer, содержащих сведения о добавляемом агенте восстановления.
Чтобы изменить политику восстановления для локального компьютера
Для того чтобы изменить политику восстановления для локального компьютера, следует запустить консоль управления (это делается точно так же, как и в предыдущем пункте: Пуск – "Выполнить" – "mmc" – ОК), после чего в меню "Консоль" выбирается та же команда: "Добавить/удалить оснастку" – "Добавить". В группе "Добавить изолированную оснастку" надо выбрать объект "Групповая политика" и нажать кнопку "Добавить". Здесь, так же как и раньше, следует проверить, чтобы в поле "Объект групповой политики" был отображен "Локальный компьютер", после чего можно нажимать на кнопку "Готово", затем – "Закрыть" и – OK.
После этого следует обратиться к объекту "Политика "Локальный компьютер"" и выбрать там подузел "Политики открытого ключа" (этот подузел находится все там же: "Политика "Локальный компьютер"" – "Конфигурация компьютера" – "Конфигурация Windows" – "Параметры безопасности" – "Политики открытого ключа". Далее – в деревер консоли надо выбрать узел "Агенты восстановления шифрованных данных" и выполнить одно из следующих действий.
Для назначения пользователя дополнительным агентом восстановления с помощью мастера добавления агента восстановления надо кликнуть кнопку "Добавить".
Для запроса нового сертификата восстановления файлов с помощью мастера запроса сертификатов следует нажать кнопку "Создать". Чтобы выполнить эту процедуру, необходимо иметь соответствующие разрешения на запрос сертификата и центр сертификации должен быть настроен на выпуск сертификатов такого типа.
Чтобы удалить политику EFS и всех агентов восстановления, надо нажать "Удалить политику". При выборе данного параметра пользователь не сможет шифровать файлы на компьютере. Перед изменением политики восстановления следует создать на гибком диске резервную копию ключей восстановления.
Для выполнения этой процедуры необходимо войти в систему с учетной записью "Администратор" или члена группы "Администраторы". Если компьютер подключен к сети, то параметры сетевой политики могут запретить выполнение данной процедуры.
Компьютер выпускает используемый по умолчанию самозаверяющий сертификат, который указывает на локального администратора как на агента восстановления по умолчанию. Если пользователь, который первый раз вошел в систему после установки, создает вторую учетную запись с помощью мастера создания нового пользователя, то вторая учетная запись становится агентом восстановления по умолчанию.
Если сертификат агента восстановления по умолчанию удален и другого агента в политике нет, компьютер будет иметь пустую политику восстановления. Пустая политика восстановления означает, что агента восстановления не существует. Это отключает EFS и, следовательно, запрещает пользователям шифровать файлы на этом компьютере.
В домене политика восстановления, используемая по умолчанию, внедряется при настройке первого контроллера домена. Администратор домена выпускает самозаверяющий сертификат, который указывает на администратора домена как на агента восстановления.
Чтобы изменить политику восстановления для домена, используемую по умолчанию, войдите в первый контроллер домена с учетной записью администратора.
Изменения в сертификат восстановления файла можно внести, щелкнув сертификат правой кнопкой мыши и затем нажав "Свойства". Например, сертификату можно дать понятное имя и ввести текстовое описание.
Чтобы добавить агента восстановления для домена
Для того чтобы добавить агента восстановления для домена, следует открыть оснастку "Пользователи и компьютеры Active Directory" (для запуска оснастки "Пользователи и компьютеры Active Directory" надо открыть подключение к удаленному рабочему столу контроллера домена Windows 2000 или рядового сервера, на котором установлены средства администрирования Windows 2000. Для выполнения данной процедуры необходимо войти в систему на сервере в качестве администратора домена) и кликнуть правой кнопкой домен, политику восстановления которого требуется изменить, а затем выбрать команду "Свойства". После этого надо открыть вкладку "Групповая политика", кликнуть правой кнопкой политику восстановления, которую требуется изменить, и выбрать команду "Изменить". В дереве консоли надо выбрать знакомый путь: "Агенты восстановления шифрованных данных" – "Конфигурация компьютера" – "Конфигурация Windows" – "Параметры безопасности" – "Политики открытого ключа" – "Агенты восстановления шифрованных данных". В области сведений надо кликнуть правой кнопкой, выбрать команду "Добавить" и затем просто следовать инструкциям.
Для выполнения этой процедуры необходимо войти в систему с учетной записью "Администратор" или члена группы "Администраторы". Если компьютер подключен к сети, то параметры сетевой политики могут запретить выполнение данной процедуры.
Данную операцию можно выполнить на любых сайтах, доменах и подразделениях из леса (совокупность деревьев директорий всех обслуживаемых компьютеров) Active Directory.
Добавление агента восстановления из файла идентифицирует пользователя как USER_UNKNOWN. Это происходит потому, что имя не сохраняется в файле.
Перед добавлением или созданием агента восстановления необходимо задать конфигурацию групповой политики на компьютере.
Чтобы изменить политику восстановления для домена