Применение шифрования средствами EFS

Лабораторная работа 5

Шифрование данных в Windows

Цель: Изучить методы шифрования данных и особенности их внедрения в Windows

Теоретические сведения

Применение шифрования средствами EFS

Шифрование позволяет предупредить попадание секретных данных в чужие руки, методом сокрытия их содержания.

Одним из методов шифрования данных, применяемым в Windows, является шифрующая файловая система (Encrypting File System - EFS). С ее помощью можно зашифровать Применение шифрования средствами EFS файлы на диске. Но следует иметь ввиду, что при утрате ключа для расшифрования, данные можно считать утерянными. Потому до того как использовать достоинства EFS, нужно сделать учетную запись агента восстановления, запасную копию собственного сертификата и сертификата агента восстановления.

При работе с EFS можно использовать командную строчку Применение шифрования средствами EFS, для этого нужно ввести команду cipher.exe. Команда cipher без характеристик выводит информацию о текущей папке и размещенных в ней файлах (зашифрованы они либо нет). В таблице 1 приведен перечень главных ключей команды cipher.

Таблица 1

Перечень более нередко применяемых ключей команды cipher

Ключ Описание
/E Шифрование обозначенных папок
/D Расшифровка обозначенных папок Применение шифрования средствами EFS
/S:каталог Операция применяется к папке и всем вложенным подпапкам (но не файлам)
/K Создание нового ключа шифрования для юзера, запустившего программку. Если этот ключ зада, все другие игнорируются
/R Создание ключа и сертификата агента восстановления файлов. Ключ и сертификат помещаются в файл .CFX, а копия сертификата в Применение шифрования средствами EFS файл .CER
/U Обновление ключа шифрования либо агента восстановления для всех файлов на всех локальных дисках
/U/N Вывод перечня всех зашифрованных файлов на локальных дисках без каких-то других действий

1.1.1. Агент восстановления данных

Агентом восстановления данных (Data Recovery Agent) назначается обычно админ. Для сотворения агента восстановления необходимо поначалу сделать Применение шифрования средствами EFS сертификат восстановления данных, а потом назначить 1-го из юзеров таким агентом.

Чтоб сделать сертификат необходимо сделать последующее:

1. Необходимо войти в систему под именованием Админ

2. Ввести в командной строке cipher /R:название файла

3. Введите пароль для вновь создаваемых файлов

Файлы сертификата имеют расширение .PFX и .CER и обозначенное вами имя.

ВНИМАНИЕ эти файлы Применение шифрования средствами EFS позволяют хоть какому юзеру системы стать агентом восстановления. Непременно скопируйте их на дискету и храните в защищенном месте. После копирования удалите файлы сертификата с жесткого диска.

Для предназначения агента восстановления:

1. Войти в систему под учетной записью, которая должна стать агентом восстановления данных;

2. Вызовите консоль при помощи команды mmc. Добавьте Применение шифрования средствами EFS оснастку Сертификаты, выбрав при всем этом Текущего юзера (набросок 1). Перейдите в раздел "Личные".

Набросок 1. Консоль Сертификаты

3. Выберете меню "Все задачки" Импорт (Action – All tasks – Import). Раскроется окно мастера импорта сертификатов. Нажмите на кнопку Browse. Укажите путь, где сохранёны файлы с сертификатом агента по восстановлению. Поменяйте тип файла на PFX, укажите на Применение шифрования средствами EFS файл, нажмите Next.

4. В последующем окне введите пароль, которым вы защитили файл, отметьте пункт Mark This Key As Exportable, нажмите Next (набросок 2).

Набросок 2. Окно для ввода пароля для ключа

5. В окне пришедшему на замену отметьте пункт Automatically Select The Certificate Store Based On The Type Of Certificate, нажмите на Next (набросок 3). В Применение шифрования средствами EFS последнем окне нажмите на Finish. Всё, оснастку сертификаты можно закрывать.

Набросок 3. Окно автоматического выбора сертификата

6. Сейчас требуется открыть оснастку Локальная политика безопасности (Local Security Settings) (secpol.msc), и перейти в раздел Характеристики безопасности (Security Settings) -> Политики открытого ключа (Public Key Policies) -> Шифрованная файловая система (Encrypting File System) (набросок4).

Набросок 4. Окно Применение шифрования средствами EFS опции EFS

Выберете меню Действие (Action) – Добавить агента восстановления данных (Add Data Recovery Agent). Нажмите Next.

В открывшемся окне под заглавием Select Recovery Agents нажмите на кнопку Browse, укажите путь, где сохранены файлы с сертификатом по восстановлению. Сейчас требуется указать на CER файл, потому тип файла, который выбирается по дефлоту Применение шифрования средствами EFS, поменять не требуется. После чего в окне, в разделе Recovery agents: появится строка, сообщающая о том, что USER_UNKNOWN может стать агентом по восстановлению. Так и должно быть, так как в этом сертификате имя юзера не хранится (набросок 5).

Набросок 5. Окно прибавления агента по восстановлению

Нажмите на Next Применение шифрования средствами EFS, позже на Finish. Сейчас юзер стал агентом по восстановлению. Отныне во все файлы, которые будут шифроваться на данной машине, будет добавляться Data Recovery Field с атрибутами этого юзера, и он сумеет их расшифровывать. Это относится только к файлам, зашифрованным после того, как юзер стал агентом по восстановлению, и никаким образом не относится Применение шифрования средствами EFS к файлам зашифрованным ранее.

Добавив агента по восстановлению, вы даёте ему возможность расшифровывать любые файлы, всех юзеров, что не всегда является неплохой мыслью. Еще разумнее сделать так, чтоб и агент по восстановлению в системе был, но чтоб он не мог просто так, когда ему вздумается расшифровывать Применение шифрования средствами EFS чужие файлы. Достигнуть этого просто. Всё что требуется, это экспортировать и удалить личный ключ юзера, который назначен агентом по восстановлению. После чего, во все вновь зашифрованные файлы всё равно будет добавляться DRF запись, так как для этого (шифрования File Encryption Key) нужен только открытый ключ, который удаляться не будет. А вот Применение шифрования средствами EFS для расшифровки пригодится личный ключ, который будет удалён, и будет хранится в надёжном (как охото веровать) месте.

При неверном использования средств шифрования вы сможете получить больше вреда, чем полезности.

Короткие советы по шифрованию:

1. Зашифруйте все папки, в каких вы храните документы;

2. Зашифруйте папки %Temp% и %Tmp%. Это обеспечит Применение шифрования средствами EFS шифрование всех временных файлов;

3. Всегда включайте шифрование для папок, а не для файлов. Тогда шифруются и все создаваемые в ней потом файлы, что оказывается принципиальным при работе с программками, создающими свои копии файлов при редактировании, а потом перезаписывающими копии поверх оригинала;

4. Экспортируйте и защитите личные ключи учетной записи Применение шифрования средствами EFS агента восстановления, после этого удалите их с компьютера;

5. Экспортируйте личные сертификаты шифрования всех учетных записей;

6. Не удаляйте сертификаты восстановления при смене политик агентов восстановления. Храните их до того времени, пока не будете убеждены, что все файлы, защищенные с учетом этих сертификатов, не будут обновлены;

7. При печати не создавайте временных Применение шифрования средствами EFS файлов либо зашифруйте папку, в какой они будут создаваться;

8. Защитите файл подкачки. Он должен автоматом удаляться при выходе из Windows.


primenenie-integralnoj-modeli-k-ocenke-effektivnosti-realizacii-proekta-1.html
primenenie-interaktivnoj-doski-v-obrazovatelnom-processe.html
primenenie-istorij-na-praktike-2-glava.html