2.14. Отмена последнего восстановления
Для того чтобы отменить последнее восстановление системы, следует получить доступ к средству "Восстановление системы" через центр справки и поддержки (раздел "Выбор задания" – пункт "Отмена изменений с помощью средства "Восстановление системы""), а затем выбрать "Отменить последнее восстановление", сохранить все файлы и программы и нажать кнопку "Далее".
Для запуска мастера восстановления системы из центра справки и поддержки следует нажать кнопку Пуск и выбрать команду "Справка и поддержка", а затем кликнуть ссылку "Производительность и обслуживание", а после нее – ссылку "Использование средства "Восстановление системы" для отмены изменений", затем – ссылку Запуск мастера восстановления системы. Если необходимо отменить последнее восстановление, нужно установить переключатель в положение "Восстановление более раннего состояния компьютера" в окне "Восстановление системы", а затем выбрать подобную операцию восстановления контрольной точки, указанную в мастере восстановления системы.
2.15. Запуск программы восстановления системы в безопасном режиме
При запуске компьютера в безопасном режиме запуск программы восстановления производится так же, как описано выше – через центр справки и поддержки, после чего следует перейти к выполнению инструкций, появляющихся на экране.
При загрузке в безопасном режиме средство "Восстановление системы" не создает точки восстановления. Таким образом, невозможно отменить восстановление, выполненное, когда компьютер был в безопасном режиме.
В безопасном режиме можно выполнить восстановление системы по любой точке восстановления. Если нет возможности запустить компьютер в стандартном режиме, можно использовать систему восстановления для возврата к моменту времени, когда при запуске компьютера возникали ошибки.
Чтобы восстановить состояние на время, когда компьютер запускался без ошибок, нужно выбрать точку восстановления, максимально близкую к времени запуска компьютера без ошибок.
Если наблюдение средства "Восстановление системы" приостановлено из-за отсутствия свободного места на диске, то, находясь в безопасном режиме, невозможно включить ее, освободив дополнительное дисковое пространство. Необходимо перезапустить компьютер в стандартном режиме и освободить больше дискового пространства.
2.16. Выбор действий, которые система должна выполнять при возникновении неустранимой ошибки
STOP-ошибка – серьезная ошибка, оказывающая влияние на работоспособность операционной системы и связанная с риском потери данных. Операционная система отображает экран с сообщением об остановке и завершает свою работу ввиду возможности испортить данные. STOP-ошибка называется также неустранимой системной ошибкой.
Событие – любое существенное событие в системе или приложении, о котором уведомляются пользователи или добавляется запись в журнал.
Чтобы выбрать действия, которые система Windows должна выполнять при возникновении неустранимой ошибки, необходимо войти в систему с учетной записью "Администратор" или члена группы "Администраторы" (если компьютер подключен к сети, то параметры сетевой политики могут запретить выполнение данной процедуры) и открыть компонент "Система" Панели управления. Затем на вкладке "Дополнительно" в группе "Загрузка и восстановление" надо нажать кнопку "Параметры" и в открывшемся окне "Загрузка и восстановление" в группе "Отказ системы" установить флажки, соответствующие действиям, которые должна будет выполнять система Windows при возникновении неустранимой ошибки: записать событие в системный журнал – сведения о событии будут записаны в системный журнал; отправить административное оповещение – системному администратору направляется уведомление; выполнить автоматическую перезагрузку – Windows автоматически выполнит перезагрузку.
В группе "Запись отладочной информации" выберите тип сведений, которые система Windows должна будет записывать в случае возникновения неустранимой ошибки.
Файл подкачки – скрытый файл на жестком диске, используемый Windows для хранения частей программ и файлов данных, не помещающихся в оперативной памяти. Файл подкачки и физическая (оперативная) память составляют виртуальную память. По мере необходимости Windows перемещает данные из файла подкачки в оперативную память (для их использования программой) и обратно (для освобождения места для новых данных). Файл подкачки называется также файлом виртуальной памяти.
Виртуальная (оперативная) память – временное хранилище, используемое компьютером для выполнения программ, превышающих размер доступной оперативной памяти. Например, программы могут использовать до 4 Гбайт виртуальной памяти на жестком диске, в то время как оперативная память компьютера составляет всего 32 Мбайт. Данные программы, для которых нет свободного места в оперативной памяти, сохраняются в файлах подкачки.
Малый дамп памяти задает запись минимального набора сведений, необходимых для определения причины неполадок. Для этого варианта требуется, чтобы размер файла подкачки на загрузочном томе компьютера составлял как минимум 2 МБ; Windows каждый раз при возникновении неустранимой ошибки будет автоматически создавать новый файл.
Эти файлы будут храниться в папке, заданной в поле Папка малого дампа.
Дамп памяти ядра задает запись только памяти ядра, благодаря чему процесс записи данных в журнал при внезапной остановке системы протекает быстрее. На загрузочном томе для файла подкачки необходимо выделить, в зависимости от размера оперативной памяти, от 50 МБ до 800 МБ. Файл будет сохранен в папке, указанной в поле Файл дампа памяти.
Полный дамп памяти задает запись всего содержимого системной памяти при возникновении неустранимой ошибки. Для этого варианта необходимо иметь на загрузочном томе файл подкачки, размер которого равен объему всей физической оперативной памяти плюс 1 МБ.
Файл будет сохранен в папке, указанной в поле Файл дампа памяти.
При выборе варианта "Записать событие в системный журнал" или "Отправить административное оповещение" необходимо иметь на загрузочном диске файл подкачки размером не менее 2 МБ.
Если выбрать вариант "Дамп памяти ядра" или "Полный дамп памяти" и установить флажок "Затирать существующий файл дампа", Windows всегда будет записывать данные в один и тот же файл. Чтобы дампы памяти сохранялись в разных файлах, снимите флажок "Затирать существующий файл дампа" и изменяйте имя файла после каждой неустранимой ошибки.
Можно высвободить некоторое количество памяти, сняв флажки "Записать событие в системный журнал" и "Отправить административное оповещение". Объем сэкономленной при этом памяти зависит от типа компьютера; обычно он составляет 60–70 КБ.
При обращении в службу технической поддержки корпорации Майкрософт по поводу возникающих системных ошибок может потребоваться файл дампа системной памяти, который генерируется в результате установки соответствующего параметра группы "Запись отладочной информации".
2.17. Использование программы очистки диска
Программа очистки диска помогает очистить пространство на жестком диске. Программа очистки диска проверяет диск и выводит перечень временных файлов, файлов кэша Интернета, а также ненужных программных файлов, удаление которых не приведет к негативным последствиям. Можно выбрать удаление некоторых или всех этих файлов.
Чтобы запустить программу "Очистка диска", нужно нажать кнопку Пуск, затем выбрать команды "Все программы", "Стандартные", "Служебные" и "Дефрагментация диска". Кроме того запустить программу очистки диска можно из окна контекстного меню диска, открытого из папки "Мой компьютер" – нажав на кнопку "Очистка диска".
2.18. Поиск и устранение ошибок на диске
Для обнаружения ошибок файловой системы и поврежденных секторов на жестком диске можно использовать служебную программу проверки диска, для запуска которой следует открыть окно "Мой компьютер" и выбрать локальный диск, который требуется проверить, а затем в меню Файл выбрать команду "Свойства". На вкладке "Сервис" в группе "Проверка диска" надо нажать кнопку "Выполнить проверку". В группе "Параметры проверки диска" следует установить флажок "Проверять и восстанавливать поврежденные сектора".
Перед запуском проверки диска следует закрыть все файлы на нем. Если том используется, на экран будет выведено сообщение с предложением выполнить проверку диска после перезагрузки системы. При положительном ответе проверка диска будет запущена после перезагрузки компьютера. Во время проверки диск недоступен для выполнения других задач. При использовании файловой системы NTFS Windows выполняет запись всех транзакций для файлов, автоматически заменяет поврежденные кластеры и сохраняет на томе NTFS копию наиболее важных данных о каждом из файлов.
2.19. Использование программы "Доктор Ватсон"
Программа "Доктор Ватсон" обнаруживает сведения о сбоях системы и программ и записывает их в файл журнала. При возникновении программной ошибки программа "Доктор Ватсон" запускается автоматически.
Чтобы запустить программу "Доктор Ватсона", надо нажать кнопку Пуск и выбрать пункт "Выполнить". В поле "Открыть" надо ввести drwtsn32. "Доктор Ватсон" не может предотвратить возникновение ошибок, но сведения, записываемые в файл журнала, могут использоваться техническим персоналом для диагностики неполадок.
Часть 3. Защита информации: политики безопасности Windows XР
3.1. Введение в шифрованную файловую систему
Безопасное хранение данных подразумевает возможность хранения данных на диске в зашифрованной форме. Шифрованная файловая система (EFS) позволяет пользователям зашифровывать данные, хранимые на диске.
Шифрование – это процесс преобразования данных в формат, недоступный для чтения другим пользователям. После того как файл был зашифрован, он автоматически остается зашифрованным в любом месте хранения на диске.
Расшифровка – это процесс преобразования данных из зашифрованной формы в его исходный формат. После того как файл был расшифрован, он остается расшифрованным в любом месте хранения на диске.
Шифрованная файловая система (EFS) предоставляет следующие возможности.
• Пользователи могут зашифровывать свои файлы при сохранении их на диск. Шифрование можно разрешить, установив флажок в диалоговом окне Свойства данного файла.
• Доступ к зашифрованным файлам можно получить просто и быстро. При доступе пользователей к своим файлам с диска данные отображаются в виде обычного текста.
• Шифрование данных выполняется автоматически и является полностью прозрачным для пользователя.
• Для расшифровки файла пользователь должен снять флажок шифрования в диалоговом окне Свойства данного файла.
• Администраторы могут восстанавливать данные, зашифрованные другим пользователем. Это позволяет получить доступ к данным, если пользователь, зашифровавший данные, в настоящее время не доступен или соответствующий закрытый ключ утерян.
EFS позволяет зашифровывать данные только при сохранении их на диск. Для шифрования данных при их передаче по сети TCP/IP доступны две дополнительных возможности – безопасность протокола IP (IPSEC) и шифрование PPTP.
Шифрование и расшифровка данных с помощью шифрованной файловой системы
Шифрованная файловая система (EFS) имеет следующие возможности.
• Шифрование данных.
• Доступ к зашифрованным данным.
• Копирование, перемещение и переименование зашифрованных данных.
• Расшифровка данных.
Шифрование данных
При использовании стандартной конфигурации шифрованной файловой системы (EFS) никаких действий администратора не требуется – пользователи могут сразу начинать шифрование файлов. Шифрованная файловая система автоматически создает пару ключей шифрования для пользователя, если она отсутствует.
Шифрованная файловая система использует алгоритм шифрования Data Encryption Standard (DESX).
Службы шифрования доступны из проводника Windows. Файлы и папки могут также быть зашифрованы пользователями с помощью функции командной строки cipher. Чтобы получить дополнительные сведения о команде cipher, следует набрать cipher /? в командной строке.
Шифрование файлов пользователями выполняется установкой свойств шифрования для папок и файлов, как устанавливаются и другие атрибуты, например "Только чтение", "Сжатый" или "Скрытый". Если папка шифруется пользователем, все файлы и подпапки, созданные в зашифрованной папке или добавленные в нее, автоматически шифруются.
Пользователям рекомендуется использовать шифрование на уровне папки.
Сжатые файлы и папки не могут быть зашифрованы. Если шифрование выполняется для сжатого файла или папки, файл или папка преобразуются к состоянию без сжатия. Папки, отмеченные для шифрования, фактически не шифруются. Шифруются только файлы в папке, так же как любые новые файлы, которые создаются или перемещаются в папку.
Доступ к зашифрованным данным
Пользователи получают доступ к зашифрованным файлам сразу после расшифровки файлов. Таким образом, когда пользователь получает доступ к зашифрованному файлу на диске, он получает возможность читать содержимое файла обычным способом. При повторном сохранении пользователем файла на диске EFS производит повторное прозрачное шифрование файла.
Копирование, перемещение и переименование шифрованных данных
При копировании или перемещении незашифрованных файлов в зашифрованную папку они автоматически шифруются в новой папке. Однако обратная операция не приведет к автоматической расшифровке файлов. Файлы остаются зашифрованными, пока не будут явно расшифрованы или перемещены с тома NTFS. Переименование файла также не влияет на состояние его шифрования.
Расшифровка данных
Для расшифровки файла нужно снять флажок "Шифрование" в диалоговом окне "Свойства" данного файла. После расшифровки файл остается незашифрованным до тех пор, пока он не будет снова зашифрован. Автоматическое повторное шифрование файла невозможно, даже при условии что этот файл находится в зашифрованной директории.
Для расшифровки файла пользователь должен снять флажок Шифрование в диалоговом окне "Свойства" данного файла или воспользоваться командой cipher.
Архивирование и восстановление зашифрованных данных
Основными административными задачами при работе с шифрованной файловой системой (EFS) являются архивирование файлов, восстановление зашифрованных файлов и данных, а также настройка политики восстановления.
Архивирование и восстановление зашифрованных файлов
Архивные копии зашифрованных файлов также будут зашифрованы с использованием программы архивации для Windows XP.
После восстановления зашифрованные данные остаются в зашифрованном виде.
Восстановление зашифрованных данных
Восстановление данных подразумевает процесс расшифровки файла без закрытого ключа пользователя, зашифровавшего файл.
Может потребоваться восстановить данные с помощью агента восстановления в следующих случаях.
• Пользователь покидает организацию.
• Закрытый ключ утерян пользователем.
• Получен запрос правительственного учреждения.
При восстановлении файла агентом восстановления выполняются следующие действия.
1. Архивация зашифрованных файлов.
2. Перемещение архивных копий в безопасную систему.
3. Импорт сертификата восстановления и закрытого ключа.
4. Восстановление архивных файлов.
5. Расшифровка файлов с помощью проводника Windows или команды EFS cipher .
Настройка политики восстановления
Для определения политики восстановления данных рядовых серверов домена, автономных серверов или серверов рабочих групп можно воспользоваться оснасткой "Групповая политика". Сертификат восстановления можно либо запросить, либо экспортировать и затем импортировать.
Можно делегировать управление политикой восстановления назначенному администратору. Хотя число администраторов, которые могут восстанавливать зашифрованные данные, нужно ограничивать, наличие нескольких агентов восстановления позволяет иметь дополнительный источник, если восстановление необходимо.
3.2. Использование шифрованной файловой системы
Шифрование и расшифровка данных
Как уже говорилось, шифрованная файловая система (EFS) позволяет безопасно хранить данные. Напоминаю, что EFS делает это возможным благодаря шифрованию данных в выбранных файлах и папках NTFS (и только NTFS). Поскольку EFS интегрирована в файловую систему, ею легко управлять, она надежна и прозрачна для пользователя. Это особенно удобно для защиты данных на компьютерах, которые могут оказаться уязвимыми для кражи, таких как переносные компьютеры. Файлы и папки на томах с файловой системой FAT не могут быть зашифрованы или расшифрованы. EFS также разработана для безопасного хранения данных на локальных компьютерах. Поэтому она не поддерживает безопасную передачу файлов по сети. Другие технологии, например протокол IPSec, можно использовать совместно с EFS для обеспечения альтернативного решения.
Использование ключей шифрования
Пользователю достаточно один раз задать шифрование файла, и фактический процесс шифрования и расшифровки данных будет для него полностью прозрачным. Пользователям не обязательно понимать весь процесс. Однако следующее объяснение шифрования и расшифровки данных может оказаться полезным для администраторов.
Шифрование файлов происходит следующим образом.
Каждый файл имеет уникальный ключ шифрования файла, который позже используется для расшифровки данных файла. Ключ шифрования файла сам по себе зашифрован – он защищен открытым ключом пользователя, соответствующим сертификату EFS. Ключ шифрования файла также защищен открытым ключом каждого дополнительного пользователя EFS, уполномоченного расшифровывать файлы, и ключом каждого агента восстановления. Сертификат и закрытый ключ системы EFS могут выдать несколько источников, включая созданные автоматически сертификаты и сертификаты, выданные центрами сертификации корпорации Майкрософт или другими центрами сертификации.
Расшифровка файлов происходит следующим образом.
Для расшифровки файла необходимо сначала расшифровать его ключ шифрования. Ключ шифрования файла расшифровывается, если закрытый ключ пользователя совпадает с открытым. Не только пользователь может расшифровать ключ шифрования файла. Другие назначенные пользователи и агенты восстановления также могут расшифровать файл, используя собственный закрытый ключ. Закрытые ключи содержатся в защищенном хранилище ключей, а не в диспетчере учетных записей безопасности (SAM) или в отдельном каталоге.
Хранение зашифрованных файлов на удаленных серверах