реклама
Программное обеспечение

W2k/WinXP Encrypting

⇣ Содержание

Восстановление зашифрованных файлов.

Ключевой вопрос, когда речь заходит о восстановлении зашифрованных файлов, это кто был агентом по восстановлению на момент когда файл шифровался? Ответ на этот вопрос зависит от того, что за система, где и как она стоит, и позаботился ли кто заранее о том, что бы можно было восстанавливать зашифрованные файлы. По умолчанию, когда никто не добавлял и не убирал агентов по восстановлению, ситуация выглядит следующим образом.

Если компьютер является членом домена, то агентом по восстановлению по умолчанию является администратор домена, как для W2k, так и для WinXP. Если машина не является членом домена, всё по другому. В W2k агентом по восстановлению по умолчанию является локальный администратор. Более того, именно вокруг локального администратора в W2k и строится вся политика шифрования, поэтому если отобрать у локального администратора W2k права агента по восстановлению, шифрование перестанет работать вообще. Повторюсь, это касается машины которая не входит в домен. Такая ситуация далеко не идеальна, потому что у пользователей нет выбора, либо локальный администратор может читать их зашифрованные файлы, либо шифрование не работает, и администратор всё равно может читать файлы. Поэтому единственное усовершенствование функций шифрования, которое произошло в WinXP по сравнению с W2k, это изменение системной политики для шифрования. В WinXP шифрование больше не завязано на локальном администраторе. Поэтому в WinXP по умолчанию вообще нет агентов по восстановлению. То есть, DRF зашифрованных файлов остаётся пустым, и в случае утери личного ключа пользователя зашифровавшего файл восстановить его невозможно. Разве что взломом "в лоб" RSA алгоритма которым зашифрован FEK записанный в файле. Что совсем не просто сделать. А если возможно, то явно не в домашних условиях. Что бы обезопасить себя от такой печальной участи, можно воспользоваться несколькими методами. Во первых, можно экспортировать свой личный ключ и сохранить его в надёжном месте. Это прекрасно подходит в случае когда пользователь сам заботится о сохранности своих данных. Если пользователей много, и задачи по заботе о сохранности данных возложена на одного человека, то сохранять личные ключи всех пользователей сортировать и хранить их может оказаться весьма утомительным. В этом случае гораздо разумнее определить какого-либо пользователя в качестве агента по восстановлению, и сохранить только его ключ.

Если компьютер находится в домене, то агент по восстановлению создаётся простым запросом в центр сертификации (который, конечно же, должен быть запущен), и если пользователь имеет права администратора как на локальном компьютере так и на домене, то соответствующий сертификат будет им получен. Конечно, после этого у пользователя можно отобрать права администратора как на домене так и на локальном компьютере, он всё равно останется агентом по восстановлению. Но уже без администраторских прав. Таким образом можно создать столько агентов по восстановлению, сколько нужно. Если компьютер не является членом домена, то всё несколько сложнее. В случае с отдельно стоящей W2k добавить нового агента по восстановлению, вдобавок к администратору, который является таковым по умолчанию, средствами только одной ОС нельзя. По крайней мере, я такого способа на знаю. Совсем другое дело, когда речь идёт про WinXP. Процесс добавления Encrypted Data Recovery Agent в WinXP состоит из двух этапов. Во первых, необходимо создать сертификат дающий право его владельцу стать агентом по восстановлению (recovery certificate). Во вторых, требуется назначить пользователя, который должен стать агентом по восстановлению зашифрованных данных.

Для выполнения первой задачи, создания сертификата агента восстановления, требуется следующее. Залогинтесь как администратор. Для этого наберите имя пользователя Administrator в окне логона WinXP. Если у вас используется Welcome Screen, то просто нажмите для раза Crtl+Alt+Del, тогда откроется более традиционное окно, где можно вводить имя пользователя. Если пользователь один, и окно с приглашением выбрать кого-либо не появляется вообще, то загрузившись сделайте Log Off текущему пользователю, тогда у вас появится возможность залогиниться администратором. Несмотря на то, что пользователь администратор не показывается в окне Users and Passwords, он существует на любой инсталляции WinXP, и именно под этим именем. До тех пор пока его не переименуют. Пароля у этого пользователя по умолчанию нет, поэтому вводить его не надо. Загрузившись администратором, в любой командной строке наберите cipher /r:имя файла, где имя может быть любым. Вас попросят ввести пароль, которым будет защищён сертификат, повторить его, и будут сохранены два файла, CER и PFX. Это и есть то, что нам нужно. Сохраните их в надёжном месте, потому что с помощью этих файлов любой пользователь вашего компьютера может стать агентом по восстановлению.

Для того что бы делегировать пользователю права агента по восстановлению, необходимо выполнить несколько простых шагов.

Залогинтесь пользователем, которого вы хотите сделать агентом по восстановлению.

Запустите оснастку сертификаты (Certmgr.msc), перейдите в раздел Certificates – Current User -> Personal


Выберете меню Action – All tasks – Import. Откроется окно мастера импорта сертификатов.

Нажмите на кнопку Browse. Укажите путь где сохранёны файлы с сертификатом агента по восстановлению. Поменяйте тип файла на PFX, укажите на файл, нажмите Next.

В следующем окне введите пароль, которым вы защитили файл, отметьте пункт Mark This Key As Exportable, нажмите Next.


В окне пришедшему на смену отметьте пункт Automatically Select The Certificate Store Based On The Type Of Certificate, нажмите на Next. В последнем окне нажмите на Finish. Всё, оснастку сертификаты можно закрывать.


Теперь требуется открыть оснастку Local Security Settings (secpol.msc), и перейти в раздел Security Settings -> Public Key Policies -> Encrypting File System.

Выберете меню Action – Add Data Recovery Agent. Нажмите Next.


В открывшемся окне под названием Select Recovery Agents нажмите на кнопку Browse, укажите путь где сохранены файлы с сертификатом по восстановлению. На этот раз требуется указать на CER файл, поэтому тип файла который выбирается по умолчанию менять не требуется. После этого в окне, в разделе Recovery agents: появится строчка сообщающая о том, что USER_UNKNOWN готов стать агентом по восстановлению. Так и должно быть, потому что в этом сертификате имя пользователя не хранится.


Нажмите на Next, потом на Finish, и всё. Теперь пользователь стал агентом по восстановлению. С этого момента во все файлы, которые будут шифроваться на данной машине будет добавляться Data Recovery Field с атрибутами этого пользователя, и он сможет их расшифровывать. Как уже неоднократно говорилось, это относится только к файлам зашифрованным после того, как пользователь стал агентом по восстановлению, и никоим образом не относится к файлам зашифрованным раньше.

Добавив агента по восстановлению, вы даёте ему возможность расшифровывать любые файлы, любых пользователей, что не всегда является хорошей идеей. Гораздо разумнее сделать так, что бы и агент по восстановлению в системе был, но что бы он не мог просто так, когда ему вздумается расшифровывать чужие файлы. Добиться этого дегко. Всё что требуется, это экспортировать и удалить личный ключ пользователя, который назначен агентом по восстановлению. После этого, во все вновь зашифрованные файлы всё равно будет добавляться DRF запись, потому что для этого (шифрования File Encryption Key) нужен только открытый ключ, который удаляться не будет. А вот для расшифровки понадобится личный ключ, который будет удалён, и будет хранится в надёжном (как хочется верить) месте.

Для того что бы экспортировать и удалить личный ключ агента по восстановлению, требуется сделать следующее:

  • Логинимся пользователем который является агентом по восстановлению.
  • Запускаем оснастку Certificates (certmgr.msc) там идём Certificates-Current User -> Personal -> Certificates.
  • Кликаем правой кнопкой мыши на File Recovery certificate, который можно узнать по надписи Encrypting File System в столбце Intended Purposes, в контекстном меню выбираем All Tasks -> Export, что запустит мастер экспорта сертификатов (Certificate Export Wizard). В открывшемся окне нажимаем на Next.
  • В следующем окне выбираем пункт Yes, Export The Private Key, снова нажимаем на Next.

Отмечаем Enable Strong Protection и Delete The Private Key If The Export Is Successful, снова жмём на Next.


В следующем окне вводим и подтверждаем пароль, которым будет защищён получившийся файл.

Указываем путь, где следует сохранить файл, жмём на Next, потом на Finish, и всё готово.

Теперь, для того что бы агент по восстановлению смог получить доступ к зашифрованным файлам, где он прописан в DRF, необходимо вновь импортировать только что экспортированный ключ. Делается это точно так же, как импорт любого другого личного ключа. Про то как это делается, будет написано немного ниже.

Вышеописанная методика может уберечь вас от многих неприятностей, но далеко не от всех. Например, она не поможет вам в случае полного краха системы, в этом случае вы не сможете прочитать ваши файлы. Для того что бы обезопасить себя и от этой проблемы, вам придётся экспортировать и сохранить сертификат агента восстановления. Для этого логинимся пользователем из группы администраторов, и вновь запускаем оснастку Local Security Settings (secpol.msc), и идём в Security Settings -> Public Key Policies -> Encrypting File System.

Кликаем правой кнопкой на сертификате относящемуся к администратору, выбираем All Tasks -> Export, и запускаем мастер экспорта сертификатов. На первой закладке отмечаем DER Encoded Binary X.509 (.CER) в качестве формата в котором будет сохранён экспортированный сертификат, нажимаем на Next.


В следующем окне указываете путь, где следует сохранить полученный сертификат, ещё раз нажимаете на Next, потом на Finish, и получаете требуемый сертификат, который можно использовать в случае если с вашей системой случится что то непредвиденное.

Следующая страница → ← Предыдущая страница
⇣ Содержание
Если Вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
window-new
Soft
Hard
Тренды 🔥
Новая статья: Верные спутники: 20+ полезных Telegram-ботов для путешественников 4 ч.
Итоги Golden Joystick Awards 2024 — Final Fantasy VII Rebirth и Helldivers 2 забрали больше всех наград, а Black Myth: Wukong стала игрой года 6 ч.
В программу сохранения классических игр от GOG вошли S.T.A.L.K.E.R. Shadow of Chernobyl и Call of Pripyat, а Clear Sky — на подходе 7 ч.
Star Wars Outlaws вышла в Steam с крупным обновлением и дополнением про Лэндо Калриссиана 8 ч.
Рекордная скидка и PvP-режим Versus обернулись для Warhammer: Vermintide 2 полумиллионом новых игроков за неделю 10 ч.
Новый трейлер раскрыл дату выхода Mandragora — метроидвании с элементами Dark Souls и нелинейной историей от соавтора Vampire: The Masquerade — Bloodlines 11 ч.
В Японии порекомендовали добавить в завещания свои логины и пароли 12 ч.
Обновления Windows 11 больше не будут перезагружать ПК, но обычных пользователей это не касается 12 ч.
VK похвасталась успехами «VK Видео» на фоне замедления YouTube 14 ч.
GTA наоборот: полицейская песочница The Precinct с «дозой нуара 80-х» не выйдет в 2024 году 16 ч.
Nvidia предупредила о возможном дефиците игровых решений в четвёртом квартале 41 мин.
Представлен внешний SSD SanDisk Extreme на 8 Тбайт за $800 и скоростной SanDisk Extreme PRO с USB4 6 ч.
Представлен безбуферный SSD WD_Black SN7100 со скоростью до 7250 Мбайт/с и внешний SSD WD_Black C50 для Xbox 6 ч.
Новая статья: Обзор ноутбука ASUS Zenbook S 16 (UM5606W): Ryzen AI в естественной среде 6 ч.
Redmi показала флагманский смартфон K80 Pro и объявила дату его премьеры 8 ч.
Астрономы впервые сфотографировали умирающую звезду за пределами нашей галактики — она выглядит не так, как ожидалось 11 ч.
Представлена технология охлаждения чипов светом — секретная и только по предварительной записи 11 ч.
Японская Hokkaido Electric Power намерена перезапустить ядерный реактор для удовлетворения потребности ЦОД в энергии 11 ч.
Грузовик «Прогресс МС-29» улетел к МКС с новогодними подарками и мандаринами для космонавтов 12 ч.
Meta планирует построить за $5 млрд кампус ЦОД в Луизиане 12 ч.