Домашний доктор для вашего ПК

Виноградов Алексей Степанович

Политика восстановления

Центр сертификации – организация, ответственная за предоставление и подтверждение подлинности открытых ключей, принадлежащих пользователям (конечным объектам) или другим центрам сертификации. В операции центра сертификации входят: связывание открытых ключей с составными именами посредством подписанных сертификатов, управление серийными номерами сертификатов и отзыв сертификатов.

Файловая система EFS использует политики встроенного восстановления данных. Recovery policy – это политика открытого ключа, которая обеспечивает назначение одной или нескольких учетных записей пользователя агентами восстановления шифрованных данных.

Политика восстановления по умолчанию настроена локально для автономных компьютеров. Для компьютеров, которые являются частью сети, политика восстановления настраивается на уровне домена, организационной единицы или отдельного компьютера

и применяется ко всем компьютерам, работающим под управлением Windows XP, в пределах области влияния. Центр сертификации (ЦС) выдает сертификаты восстановления, и для управления ими используется оснастка «Сертификаты».

В домене Windows XP политика восстановления, используемая по умолчанию, внедряется при настройке первого контроллера домена. Администратор домена выпускает самозаверяющий сертификат, который указывает на администратора домена как на агента восстановления. Чтобы изменить политику восстановления для домена, используемую по умолчанию, войдите в первый контроллер домена с учетной записью администратора. В политику в любое время можно добавить дополнительных агентов восстановления и удалить исходного агента.

Поскольку подсистема безопасности Windows XP обрабатывает приведение в исполнение, репликацию и кэширование политики восстановления, пользователи могут реализовывать шифрование файлов на системах, которые временно работают автономно, например на переносном компьютере. Этот процесс аналогичен входу в учетную запись домена с помощью кэшированных сведений.

Агенты восстановления

Сертификат X.509v3 – третья версия рекомендации ITU-T на X.509 для синтаксиса и формата сертификатов. Стандартный формат, используемый Windows XP в процессах, связанных с сертификатами. Сертификат X.509 содержит открытый ключ и сведения о лице или объекте, которому выдан сертификат, сведения о самом сертификате, а также дополнительные сведения о выдавшем его центре сертификации (ЦС).

Как уже говорилось, агентом восстановления называется пользователь, уполномоченный расшифровывать данные, зашифрованные другим пользователем. Агентам восстановления не нужны никакие другие разрешения для выполнения задачи. Использование агента восстановления может потребоваться, например, если сотрудник покидает организацию и остающиеся после него данные нужно расшифровать. Прежде чем добавлять в домен агента восстановления, необходимо убедиться, что каждому агенту восстановления был выдан сертификат X.509 версии 3.

У каждого агента восстановления есть специальный сертификат с соответствующим закрытым ключом, позволяющий восстанавливать данные в области влияния политики восстановления. Агенту восстановления следует использовать команду «Экспорт» из объекта MMC «Сертификаты» для создания в безопасном месте резервной копии сертификата восстановления и закрытого ключа. После создания резервной копии следует использовать объект MMC «Сертификаты» для удаления сертификата восстановления. Если требуется выполнить для пользователя операцию восстановления, следует сначала восстановить сертификат восстановления и связанный закрытый ключ с помощью команды «Импорт» из объекта MMC «Сертификаты». После восстановления данных сертификат восстановления снова должен быть удален. Нет необходимости повторять процесс экспорта.

Чтобы добавить агентов восстановления в домен, нужно добавить их сертификаты к существующей политике восстановления.

Сведения о добавлении и удалении агента восстановления не обновляются автоматически в существующих файлах системы EFS. Данные этих файлов обновляются при следующем открытии файла. Новые файлы используют текущие сведения агента восстановления.

Управление серт ификатами

Сертификат – цифровой документ, широко используемый для проверки подлинности и безопасного обмена данными в открытых сетях, таких как Интернет, экстрасети и интрасети. Сертификат связывает открытый ключ с объектом, хранящим соответствующий закрытый ключ. Сертификаты имеют цифровые подписи, поставленные выдавшими центрами сертификации, и могут предоставляться пользователю, компьютеру или службе. Наиболее широко применяемый формат для цифровых сертификатов определяется международным стандартом ITU-T X.509 версии 3.

Сертификат X.509v3 – третья версия рекомендации ITU-T на X.509 для синтаксиса и формата сертификатов. Стандартный формат, используемый Windows XP в процессах, связанных с сертификатами. Сертификат X.509 содержит открытый ключ и сведения о лице или объекте, которому выдан сертификат, сведения о самом сертификате, а также дополнительные сведения о выдавшем его центре сертификации (ЦС).

Шифрованная файловая система (EFS) с помощью криптографии открытого ключа шифрует содержимое файлов. В ней

используются ключи, полученные от сертификата пользователя и дополнительных пользователей, а также от назначенных агентов восстановления шифрованных данных, которые настроены. Так как в сертификатах могут также содержатся сведения о закрытом ключе, сертификаты требуют правильного управления.

Сертификаты и закрытые ключи от всех назначенных агентов восстановления шифрованных данных нужно экспортировать на съемный диск или хранить в безопасности до тех пор, пока они не понадобятся. При экспортировании сертификата и закрытого ключа следует убедиться, что выбранный сертификат содержит «Шифрованную файловую систему» в предусмотренных назначениях и у него есть соответствующий закрытый ключ. Для просмотра предусмотренных назначений сертификата используйте оснастку «Сертификаты». Сертификаты и закрытые ключи можно использовать на нескольких компьютерах. Если в сети Windows XP используются перемещаемые профили, сертификат будет доступен на любом компьютере при входе в систему. В противном случае сертификаты и закрытые ключи необходимо экспортировать и импортировать вручную.

2.10. Восстановление данных состояния системы

Восстановление данных состояния системы может быть произведено как с помощью интерфейса Windows, так и с помощью командной строки.

Для восстановления системы с помощью интерфейса Windows следует обратиться к служебной программе архивации данных и нажать кнопку «Расширенный» в окне мастера архивации. Затем в меню Сервис нужно выбрать команду Параметры и на вкладке «Общие» установить нужные параметры. Если установлен флажок «Оценивать информацию о выборе файлов перед выполнением операций архивации или восстановления», будет выполнена оценка количества файлов и байтов, архивируемых или восстанавливаемых в текущем задании. Эти сведения будут подсчитаны и выведены перед началом процесса архивации или восстановления. Если установлен флажок «Использовать каталоги носителей для ускорения построения каталогов восстановления на диске», восстановление отмеченных объектов будет выполняться с использованием каталога носителя для построения каталога на диске. Это наиболее быстрый способ построения каталога на диске. Однако если требуется восстановить данные с нескольких лент, а лента с каталогом носителя отсутствует, либо если нужно восстановить данные с поврежденного носителя, этот флажок устанавливать не следует. После этого будет просмотрен весь архив (или все имеющиеся его части) и создан каталог на диске. Если размер архива велик, это может занять много времени. Если установлен флажок «Проверять данные после завершения архивации», для проверки правильности архивации данные из архива будут сравнены с исходными данными на жестком диске. Некоторые используемые файлы могут вызывать ошибки при проверке, но эти ошибки обычно можно игнорировать. Большое число таких ошибок может указывать на неполадки с используемым носителем или файлом архива. В этом случае следует повторить архивацию, используя другой носитель или файл.

Флажок «Архивировать содержимое подключенных дисков» позволяет архивировать данные, хранящиеся на присоединенном диске. Если этот флажок установлен, при архивации присоединенного диска будет выполнена архивация хранящихся на нем данных. В противном случае будут архивироваться только сведения о путях присоединенного диска.

Флажок «Выводить предупреждение, если служба съемных носителей не активна при запуске архивации» выводит предупреждение при запуске архивации, если служба Съемные ЗУ не работает. После этого служба съемных носителей запускается автоматически. При архивации данных в файл, который затем будет записан на дискету, жесткий или съемный диск, этот флажок устанавливать не требуется. Если предполагается архивация данных на ленту или другой носитель, управляемый службой «Съемные ЗУ», флажок нужно установить. Флажок «Выводить предупреждение, если при запуске архивации имеется совместимый импортируемый носитель» выводит предупреждение при запуске архивации, если в пуле импортированных носителей доступен новый носитель. При архивации данных в файл, который затем будет записан на дискету, жесткий или съемный диск, этот флажок устанавливать не требуется. Если предполагается архивация данных на ленту или другой носитель, управляемый службой «Съемные ЗУ», этот флажок нужно установить. Флажок «Выводить предупреждение при вставке нового носителя» выводит предупреждение при обнаружении службой «Съемные ЗУ» нового носителя. При архивации данных в файл, который затем будет записан на дискету, жесткий или съемный диск, этот флажок устанавливать не требуется. Если предполагается архивация данных на ленту или другой носитель, управляемый службой «Съемные ЗУ», этот флажок нужно установить.