Rozdział 5

System Szyfrowania Plików

Natychmiastowe rozwiązania,[Author ID1: at Wed Oct 4 05:18:00 2000 ] dotyczące [Author ID1: at Wed Oct 4 05:18:00 2000 ]znajdują się na stronie

Zastosowanie polecenia Cipher

Szyfrowanie foldera lub pliku

Odszyfrowywania foldera lub pliku

Kopiowanie, przenoszenie i zmiana nazwy zaszyfrowanego foldera lub pliku

Wykonywanie kopii zapasowych zaszyfrowanego foldera lub pliku

Odtwarzania zaszyfrowanego foldera lub pliku

Odtwarzanie plików na innym komputerze

Zabezpieczanie domyślnego klucza odzyskiwania na komputerze autonomicznym

Zabezpieczanie domyślnego klucza odzyskiwania dla domeny

Dodawanie agentów odzyskiwania

Ustanawianie zasad odzyskiwania dla danej jednostki organizacyjnej

Odzyskiwanie pliku lub foldera

Wyłączanie systemu szyfrowania plików dla danego zestawu komputerów

[Author ID1: at Wed Oct 4 05:18:00 2000 ]

W skrócie

Dlaczego konieczne jest szyfrowanie danych

Komputery osobiste mają zwykle możliwość zastosowania kilku systemów plików (file systems[Author ID1: at Wed Oct 4 05:19:00 2000 ]). Jest to dogodne, jeśli na przykład [Author ID1: at Wed Oct 4 05:19:00 2000 ]np. [Author ID1: at Wed Oct 4 05:19:00 2000 ]system Windows 2000 ulegnie uszkodzeniu. Jednakże ryzykowna jest możliwość uruchomienia przez użytkownika komputera, np.[Author ID1: at Wed Oct 4 05:19:00 2000 ] na przykład w trybie[Author ID1: at Wed Oct 4 05:19:00 2000 ] MS-[Author ID1: at Wed Oct 4 05:19:00 2000 ]-[Author ID1: at Wed Oct 4 05:19:00 2000 ]DOS,[Author ID1: at Wed Oct 4 05:19:00 2000 ] i ominięcie w ten sposób zabezpieczeń systemu plików NTFS.

Wskazówka: Czasem jest to uważane za niebezpieczne tylko w przypadku tych systemów plików, które są dostępne z trybu SODA, na przykład [Author ID1: at Wed Oct 4 05:20:00 2000 ]np. [Author ID1: at Wed Oct 4 05:20:00 2000 ]woluminów sformatowanych w systemie plików FAT, które nie mają zabezpieczeń systemu NTFS. System FAT ze swojej istoty jest mniej bezpieczny niż NTFS, ale istnieją narzędzia, za pomocą których można obejść również [Author ID1: at Wed Oct 4 05:20:00 2000 ]także [Author ID1: at Wed Oct 4 05:20:00 2000 ]uprawnienia systemu [Author ID1: at Wed Oct 4 05:20:00 2000 ]NTFS. Nie wolno u[Author ID1: at Wed Oct 4 05:20:00 2000 ]wierzyć bezgranicznie, że system jest bezpieczny, ponieważ ma ustawione zabezpieczenia systemu plików NTFS.

Nieautoryzowany dostęp do kluczowych danych może wystąpić również w innych przypadkach[Author ID1: at Wed Oct 4 05:20:00 2000 ]sytuacjach, [Author ID1: at Wed Oct 4 05:20:00 2000 ]np[Author ID1: at Wed Oct 4 05:21:00 2000 ].[Author ID1: at Wed Oct 4 05:20:00 2000 ]. Na przykład[Author ID1: at Wed Oct 4 05:21:00 2000 ] systemy komputerowe w biurach czasami pozostawiane są bez nadzoru, kiedy [Author ID1: at Wed Oct 4 05:21:00 2000 ]gdy [Author ID1: at Wed Oct 4 05:21:00 2000 ]użytkownik jest zalogowany i w ten sposób umożliwiają kradzież najważniejszych danych każdemu, kto w tym czasie [Author ID1: at Wed Oct 4 05:21:00 2000 ]przyjdzie w tym czasie[Author ID1: at Wed Oct 4 05:21:00 2000 ]. Komputery, szczególnie laptopy, są czasami kradzione, a dla złodzieja bardziej interesujące mogą być kluczowe dane zapisane na dysku niż sprzedaż tego [Author ID1: at Wed Oct 4 05:21:00 2000 ]samego [Author ID1: at Wed Oct 4 05:21:00 2000 ]komputera.

Dostęp do najważniejszych danych można ograniczyć za pomocą haseł i uprawnień systemu NTFS. Jednak dla kogoś, kto uzyska fizyczny dostęp do komputera lub dysku twardego, dotarcie do tych danych nie stanowi większego problemu. Jak już wspomniano powyżej, dostępne są narzędzia pozwalające na uzyskanie dostępu do plików NTFS z systemów MS-DOS lub Unix.

Rozwiązaniem opisanego powyżej problemu jest szyfrowanie danych. Istnieją programy narzędziowe umożliwiające szyfrowanie plików na poziomie aplikacji za pomocą kluczy, które pochodzą od haseł. Jednak większość z nich ma ograniczenia. Jeśli użytkownik powinien szyfrować pliki ręcznie,[Author ID1: at Wed Oct 4 05:22:00 2000 ] to — gdy[Author ID1: at Wed Oct 4 05:22:00 2000 ]a[Author ID1: at Wed Oct 4 05:22:00 2000 ] zapomni to zrobić [Author ID1: at Wed Oct 4 05:22:00 2000 ],[Author ID1: at Wed Oct 4 05:22:00 2000 ]—[Author ID1: at Wed Oct 4 05:22:00 2000 ] pliki takie pozostają bez ochrony. Niektóre aplikacje, na przykład [Author ID1: at Wed Oct 4 05:23:00 2000 ]np. [Author ID1: at Wed Oct 4 05:23:00 2000 ]Microsoft Word, podczas edytowania dokumentu przez użytkownika tworzą pliki tymczasowe. (temporary files). Te[Author ID1: at Wed Oct 4 05:23:00 2000 ]akie[Author ID1: at Wed Oct 4 05:23:00 2000 ] pliki tymczasowe pozostają na dysku w postaci niezaszyfrowanej nawet, jeśli oryginalny dokument został zaszyfrowany. Szyfrowanie na poziomie aplikacji pracuje w trybie użytkownika systemu Windows, często z kluczem użytkowania do szyfrowania zapisanym w pliku stronicowania (paging file). Przeszukanie pliku stronicowania mogłoby komuś z zewnątrz [Author ID1: at Wed Oct 4 05:23:00 2000 ]umożliwić komuś z zewnątrz [Author ID1: at Wed Oct 4 05:23:00 2000 ]dostęp do wszystkich dokumentów.[Author ID1: at Wed Oct 4 05:24:00 2000 ] zaszyfrowanych. W systemach, w których klucze szyfrowania uzyskiwane są na podstawie haseł, zabezpieczenia mogą być naruszone przez ataki słownikowe (dictionary attacks). Niektóre s[Author ID1: at Wed Oct 4 05:24:00 2000 ]S[Author ID1: at Wed Oct 4 05:24:00 2000 ]ystemy zapewniają odzyskiwanie danych w oparciu o hasła (password-[Author ID1: at Wed Oct 4 05:24:00 2000 ] [Author ID1: at Wed Oct 4 05:24:00 2000 ]based data recovery). Do uzyskania dostępu do plików zaszyfrowanych złodziejowi danych potrzebne jest tylko hasło mechanizmu odzyskiwania.

System Szyfrowania Plików

System Szyfrowania Plików (Encrypting File System [Author ID1: at Wed Oct 4 05:24:00 2000 ]-[Author ID1: at Wed Oct 4 05:24:00 2000 ]— [Author ID1: at Wed Oct 4 05:24:00 2000 ]EFS) firmy Microsoft dotyczy problemów opisanych powyżej. W systemie tym stosuje się szyfrowanie za pomocą klucza publicznego (public key encryption), korzystając z interfejsu programisty CryptoAPI. Każdy plik jest szyfrowany za pomocą klucza generowanego losowo, który jest niezależny od pary kluczy publiczny-[Author ID1: at Wed Oct 4 05:25:00 2000 ]-prywatny użytkownika. Algorytmem szyfrowania jest Data Encryption Standard (DES). W kolejnych wersjach pojawią się również inne algorytmy szyfrowania.

Wskazówka: Więcej informacji na temat algorytmu DES znajduje się w dokumencie Federal Information Processing Standard Publication ([Author ID1: at Wed Oct 4 05:30:00 2000 ]FIPS PUB 46-2)[Author ID1: at Wed Oct 4 05:30:00 2000 ], dostępnym pod adresem www.cryptosoft.com/html/fips46-2.htm. Algorytm DES jest kontrolowany przez Departament handlu USA (U.S. Department of Commerce),[Author ID1: at Wed Oct 4 05:31:00 2000 ] a jego wersja 128-bitowa podlega ograniczeniom eksportowym.

System Szyfrowania Plików obsługuje również szyfrowanie i odszyfrowywanie plików zapisanych na serwerach plików zdalnych (remote file servers). Jednak system EFS szyfruje tylko dane zapisane na dysku — nie szyfruje danych przesyłanych poprzez sieć. System Windows 2000 Server zawiera protokoły sieciowe, takie jak Secure Sockets Layer/Private Communication Technology (SSL/PCT), służące do szyfrowania danych w sieci.

System Szyfrowania Plików (EFS) jest ściśle zintegrowany z systemem plików NTFS. Jeśli szyfrowany jest plik, system EFS szyfruje również jego kopie tymczasowe, o ile plik znajduje się na woluminie NTFS. System Szyfrowania Plików (EFS) [Author ID1: at Wed Oct 4 05:31:00 2000 ]jest częścią jądra systemu operacyjnego (operating system kernel) i korzysta z pamięci niestronicowanej (nonpaged memory) do przechowywania kluczy szyfrowania, gwarantując w ten sposób, że nigdy nie znajdą się one w pliku stronicowania.

Ingerencja użytkownika (user interaction)

Domyślnie System Szyfrowania Plików (EFS) umożliwia użytkownikom rozpoczęcie szyfrowania plików bez żadnego współdziałania ze strony administratora. System EFS automatycznie generuje dla użytkownika parę kluczy publicznych do szyfrowania plików, jeśli taka para jeszcze nie istnieje. Szyfrowanie i odszyfrowywanie plików wykonywane jest dla poszczególnych plików (per-file) lub folderów (per-folder). Wszystkie pliki oraz podfoldery (subfolders) utworzone w folderze, który ma być zaszyfrowany, zostaną zaszyfrowane automatycznie. Każdy z plików ma swój unikatowy klucz szyfrowania, więc po przeniesieniu tego pliku z foldera zaszyfrowanego do foldera niezaszyfrowanego na tym samym woluminie, pozostanie on zaszyfrowany. Usługi szyfrowania i odszyfrowywania są dostępne z poziomu Eksploratora Windows (Windows Explorer). Dla administratorów i agentów odzyskiwania (recovery agents) dostępne są narzędzia wywoływane z wiersza poleceń (command-[Author ID1: at Wed Oct 4 05:36:00 2000 ] [Author ID1: at Wed Oct 4 05:36:00 2000 ]line tools) oraz interfejsy dla administratorów (administrative interfaces).

Szyfrowanie i odszyfrowywanie przebiega w sposób niezauważalny podczas zapisu i odczyty pliku z dysku, tak więc pliki nie muszą być odszyfrowywane zanim użytkownik z nich skorzysta. System Szyfrowania Plików (EFS) [Author ID1: at Wed Oct 4 05:36:00 2000 ]automatycznie wykryje, że plik jest zaszyfrowany i znajdzie odpowiedni klucz użytkownika w systemowej składnicy kluczy (key store). Ponieważ mechanizm przechowywania kluczy jest oparty na interfejsie CryptoAPI, użytkownicy mogą zapisywać klucze na urządzeniach zabezpieczonych, takich jak karty elektroniczne (smart cards).

Odzyskiwanie danych

W systemie Windows 2000 można korzystać z szyfrowania plików tylko wtedy, gdy system skonfigurowano w ten sposób, że istnieje przynajmniej jeden klucz odzyskiwania. System Szyfrowania Plików (EFS) umożliwia agentom odzyskiwania (recovery agents) konfigurowanie kluczy publicznych (public keys), z których korzysta się przy odzyskiwaniu plików. W trakcie korzystania z klucza odzyskiwania (recovery key) dostępny jest tylko wygenerowany losowo klucz szyfrowania pliku,[Author ID1: at Wed Oct 4 05:37:00 2000 ] a nie klucz prywatny (private key) użytkownika. Gwarantuje to, że żadne informacje poufne nie zostaną przypadkowo ujawnione agentowi odzyskiwania.

Funkcja odzyskiwania danych jest przeznaczona dla systemów w przedsiębiorstwach, w których to systemach musi istnieć możliwość odzyskania plików zaszyfrowanych przez byłych pracowników lub odzyskania plików w razie utraty klucza szyfrowania. Zasady odzyskiwania (recovery policy) są określone na kontrolerze domeny (domain controller) i narzucone wszystkim komputerom w domenie. Zasady te [Author ID1: at Wed Oct 4 05:38:00 2000 ]są kontrolowane przez administratorów domeny, którzy mogą przekazać dane[Author ID1: at Wed Oct 4 05:38:00 2000 ]te[Author ID1: at Wed Oct 4 05:38:00 2000 ] uprawnienia do wyznaczonych kont administratorów zabezpieczeń danych (data security administrator) i cofnąć te pełnomocnictwa,[Author ID1: at Wed Oct 4 05:38:00 2000 ] gdyby pojawiła się taka potrzeba.

System Szyfrowania Plików (EFS) [Author ID1: at Wed Oct 4 05:38:00 2000 ]może być również stosowany w domu, ponieważ[Author ID1: at Wed Oct 4 05:38:00 2000 ]. System ten[Author ID1: at Wed Oct 4 05:39:00 2000 ] on [Author ID1: at Wed Oct 4 05:39:00 2000 ]automatycznie generuje klucze odzyskiwania (recovery keys) i,[Author ID1: at Wed Oct 4 05:39:00 2000 ] jeśli komputer nie należy do żadnej domeny systemu Windows, zapisuje je jako klucze komputera (machine keys).

Szyfrowanie plików

Działanie Systemu szyfrowania plików (EFS) zostanie omówione bardziej szczegółowo w dalszej części niniejszego rozdziału pod tytułem „Rozwiązania natychmiastowe”. Poniżej zamieszczono krótkie omówienie narzędzi dla użytkownika.

Narzędzie interfejsu GUI (GUI tool) można uruchomić,[Author ID1: at Wed Oct 4 13:04:00 2000 ] klikając w oknie Eksploratora Windows (Windows Explorer) dany plik lub folder prawym klawiszem [Author ID1: at Wed Oct 4 13:07:00 2000 ]przyciskiem [Author ID1: at Wed Oct 4 13:07:00 2000 ]myszki[Author ID1: at Wed Oct 4 13:07:00 2000 ],[Author ID1: at Wed Oct 4 05:40:00 2000 ]myszy, [Author ID1: at Wed Oct 4 13:07:00 2000 ]i[Author ID1: at Wed Oct 4 05:40:00 2000 ] wybierając opcję Właściwości (P[Author ID1: at Wed Oct 4 05:40:00 2000 ]Properties),[Author ID1: at Wed Oct 4 05:40:00 2000 ] a następnie naciskając przycisk Zaawansowane (A[Author ID1: at Wed Oct 4 05:40:00 2000 ]Advanced), znajdujący się w oknie zakładki Ogólne (G[Author ID1: at Wed Oct 4 05:40:00 2000 ]General). Umożliwia to szyfrowanie aktualnie wybranego pliku lub wszystkich plików (i podfolderów) w aktualnie wybranym folderze,[Author ID1: at Wed Oct 4 05:40:00 2000 ] przez zaznaczenia danego foldera jako zaszyfrowany. Możliwe jest również działanie odwrotne: odszyfrowanie aktualnie wybranego pliku lub wszystkich plików (i podfolderów) w aktualnie wybranym folderze,[Author ID1: at Wed Oct 4 05:40:00 2000 ] przez zaznaczenie danego foldera jako niezaszyfrowany.

Moduł dodatkowy (snap-[Author ID1: at Wed Oct 4 05:41:00 2000 ] [Author ID1: at Wed Oct 4 05:41:00 2000 ]in) konsoli MMC Certyfikaty (C[Author ID1: at Wed Oct 4 05:41:00 2000 ]Certificates) jest używany do eksportowania, importowania i zarządzania kluczami publicznymi. Zwykle [Author ID1: at Wed Oct 4 05:41:00 2000 ]Na ogół[Author ID1: at Wed Oct 4 05:41:00 2000 ] [Author ID1: at Wed Oct 4 05:47:00 2000 ]użytkownicy nie muszą tego robić[Author ID1: at Wed Oct 4 05:42:00 2000 ]wykonywać tych czynności[Author ID1: at Wed Oct 4 05:42:00 2000 ], ponieważ System Szyfrowania Plików (EFS) automatycznie generuje klucze, służące do szyfrowania plików. Funkcja ta jest przydatna administratorom lub użytkownikom zaawansowanym, którzy chcą skonfigurować klucz publiczny,[Author ID1: at Wed Oct 4 05:42:00 2000 ] zamiast korzystać z domyślnego.

W systemie Windows 2000 jest również polecenie cipher, które wywołuje się z wiersza poleceń (command line). Polecenie to omówiono w części zatytułowanej „Rozwiązania natychmiastowe”.

Wszystkie operacje zapisu i odczytu z pliku zaszyfrowanego są szyfrowane i odszyfrowywane w sposób niezauważalny. W normalnych warunkach jedynym spsobem, aby przekonać się, czy plik jest zaszyfrowany, jest sprawdzenie jego [Author ID1: at Wed Oct 4 05:42:00 2000 ]właściwości pliku[Author ID1: at Wed Oct 4 05:43:00 2000 ], np.[Author ID1: at Wed Oct 4 05:43:00 2000 ]. Na przykład[Author ID1: at Wed Oct 4 05:43:00 2000 ] użytkownik może otworzyć i edytować zaszyfrowany dokument Word'[Author ID1: at Wed Oct 4 05:43:00 2000 ]a dokładnie w taki sam sposób, jak robi się to w przypadku dokumentu niezaszyfrowanego. Inni użytkownicy, próbując otworzyć ten zaszyfrowany [Author ID1: at Wed Oct 4 05:43:00 2000 ]plik,[Author ID1: at Wed Oct 4 05:43:00 2000 ] zaszyfrowany [Author ID1: at Wed Oct 4 05:43:00 2000 ]otrzymają komunikat o błędzie Dostęp zabroniony (A[Author ID1: at Wed Oct 4 05:43:00 2000 ]a[Author ID1: at Wed Oct 4 05:43:00 2000 ]ccess D[Author ID1: at Wed Oct 4 05:43:00 2000 ]d[Author ID1: at Wed Oct 4 05:43:00 2000 ]enied [Author ID1: at Wed Oct 4 05:43:00 2000 ]), ponieważ nie posiadają klucza do odszyfrowania pliku.

Odszyfrowywanie plików lub folderów

Użytkownicy zazwyczaj[Author ID1: at Wed Oct 4 05:44:00 2000 ]wykle [Author ID1: at Wed Oct 4 05:44:00 2000 ] [Author ID1: at Wed Oct 4 05:44:00 2000 ]nie mają potrzeby odszyfrowywania plików lub folderów, ponieważ System Szyfrowania Plików (EFS) szyfruje i odszyfrowuje dane w sposób niedostrzegalny podczas zapisywania i odczytywania. Jednak odszyfrowanie pliku może być konieczne[Author ID1: at Wed Oct 4 05:44:00 2000 ]niezbędne, np. [Author ID1: at Wed Oct 4 05:44:00 2000 ] na przykład wtedy, kie[Author ID1: at Wed Oct 4 05:44:00 2000 ]g[Author ID1: at Wed Oct 4 05:44:00 2000 ]dy konieczne jest współdzielenie przez użytkownika pliku zaszyfrowanego z innymi użytkownikami.

Użytkownicy mogą odszyfrowywać pliki i zaznaczać foldery jako niezaszyfrowane za pomocą Eksploratora Windows (Windows Explorer). Menu kontekstowe odszyfrowywania przy odszyfrowywaniu foldera zawiera opcje odszyfrowania wszystkich plików i podfolderów zaszyfrowanych znajdujących się w danym folderze.

Operacje odzyskiwania

Zasady odzyskiwania (recovery policies[Author ID1: at Wed Oct 4 05:45:00 2000 ]y[Author ID1: at Wed Oct 4 05:45:00 2000 ]) Systemu Szyfrowania Plików (EFS) stanowią[Author ID1: at Wed Oct 4 05:45:00 2000 ] część ogólnych zasad zabezpieczeń (security policy) systemu. Interfejs użytkownika zasad systemu EFS umożliwia agentom odzyskiwania (recovery agents) generowanie[Author ID1: at Wed Oct 4 05:45:00 2000 ]ć[Author ID1: at Wed Oct 4 05:45:00 2000 ], eksportować[Author ID1: at Wed Oct 4 05:45:00 2000 ]nie[Author ID1: at Wed Oct 4 05:45:00 2000 ], importować[Author ID1: at Wed Oct 4 05:45:00 2000 ]nie[Author ID1: at Wed Oct 4 05:45:00 2000 ] i wykonywanie [Author ID1: at Wed Oct 4 05:46:00 2000 ]ć [Author ID1: at Wed Oct 4 05:46:00 2000 ]kopie[Author ID1: at Wed Oct 4 05:46:00 2000 ]i[Author ID1: at Wed Oct 4 05:46:00 2000 ] zapasowych [Author ID1: at Wed Oct 4 05:46:00 2000 ]e [Author ID1: at Wed Oct 4 05:46:00 2000 ]kluczy odzyskiwania (recovery keys) za pomocą elementu sterującego do zarządzania kluczami (key-[Author ID1: at Wed Oct 4 05:46:00 2000 ] [Author ID1: at Wed Oct 4 05:46:00 2000 ]management control). Podsystem zabezpieczeń (security subsystem) systemu Windows realizuje replikację i buforowanie zasad (policy) systemu szyfrowania plików (EFS)[Author ID1: at Wed Oct 4 05:47:00 2000 ], umożliwiając użytkownikom korzystanie z szyfrowania plików w systemach, które są chwilowo w trybie offline,[Author ID1: at Wed Oct 4 05:47:00 2000 ] za pomocą buforowanych danych uwierzytelniających (cached credentials).

System Szyfrowania Plików (EFS) wymaga, by zasady odzyskiwania danych (data recovery policies[Author ID1: at Wed Oct 4 05:47:00 2000 ]y[Author ID1: at Wed Oct 4 05:47:00 2000 ]) były ustanawiane na poziomie domeny lub lokalnie, jeśli komputer nie należy do żadnej domeny. Zwykle zasady odzyskiwania (recovery policy) [Author ID1: at Wed Oct 4 05:49:00 2000 ]są ustanawiane przez administratorów domen, którzy mają nadzór nad kluczami odzyskiwania dla wszystkich komputerów.

Gdyby użytkownik utracił klucz prywatny (private key), plik chroniony przez ten klucz można odzyskać,[Author ID1: at Wed Oct 4 05:49:00 2000 ] eksportując ten plik [Author ID1: at Wed Oct 4 05:50:00 2000 ]go [Author ID1: at Wed Oct 4 05:50:00 2000 ]i wysyłając go [Author ID1: at Wed Oct 4 05:50:00 2000 ]pocztą elektroniczną do jednego z agentów odzyskiwania. Agent odzyskiwania importuje ten plik do komputera zabezpieczonego (secure computer) za pomocą prywatnych kluczy odzyskiwania (private recovery keys), stosuje polecenie cipher do odszyfrowania pliku,[Author ID1: at Wed Oct 4 05:50:00 2000 ] a następnie odsyła plik [Author ID1: at Wed Oct 4 05:50:00 2000 ]go [Author ID1: at Wed Oct 4 05:50:00 2000 ]w postaci zwykłego tekstu z powrotem do danego użytkownika. W małych firmach lub w domu, gdzie nie tworzy się domen, odzyskiwanie można przeprowadzić na pojedynczym komputerze.

Wyznaczenie agentów odzyskiwania (recovery agents) [Author ID1: at Wed Oct 4 05:50:00 2000 ]może być wymagane przez prawo lub narzucone przez zasady przedsiębiorstwa. Na stanowisko [Author ID1: at Wed Oct 4 05:50:00 2000 ]agenta odzyskiwania może zostać wyznaczony administrator domeny lub też może on otrzymać polecenie przekazania tego pełnomocnictwa innej zaufanej [Author ID1: at Wed Oct 4 05:51:00 2000 ]jednostce zaufanej[Author ID1: at Wed Oct 4 05:51:00 2000 ]. Nie ma żadnych przeszkód natury technicznej, aby ktoś z zewnątrz, na przykł[Author ID1: at Wed Oct 4 05:51:00 2000 ]ad [Author ID1: at Wed Oct 4 05:51:00 2000 ]p. [Author ID1: at Wed Oct 4 05:51:00 2000 ]prywatna firma ochroniarska, nie [Author ID1: at Wed Oct 4 05:51:00 2000 ]mógł zostać agentem odzyskiwania. Taka firma powinna cieszyć się dużym zaufaniem. Można zaufać firmie niezależnej, która ma dbać o pieniądze klientów i w takiej sytuacji[Author ID1: at Wed Oct 4 05:52:00 2000 ] — [Author ID1: at Wed Oct 4 05:52:00 2000 ] [Author ID1: at Wed Oct 4 05:52:00 2000 ]będzie łatwo zauważyć[Author ID1: at Wed Oct 4 05:52:00 2000 ]alne [Author ID1: at Wed Oct 4 05:52:00 2000 ]"[Author ID1: at Wed Oct 4 05:52:00 2000 ][Author ID2: at Tue Jul 17 08:17:00 2001 ]„[Author ID2: at Tue Jul 17 08:17:00 2001 ]zniknięcie[Author ID1: at Wed Oct 4 05:52:00 2000 ]”[Author ID2: at Tue Jul 17 08:17:00 2001 ]"[Author ID1: at Wed Oct 4 05:52:00 2000 ][Author ID2: at Tue Jul 17 08:17:00 2001 ], jeśli[Author ID1: at Wed Oct 4 05:52:00 2000 ] pieniądzy[Author ID1: at Wed Oct 4 05:52:00 2000 ]e znikną[Author ID1: at Wed Oct 4 05:52:00 2000 ], ale[Author ID1: at Wed Oct 4 05:53:00 2000 ]. O[Author ID1: at Wed Oct 4 05:53:00 2000 ] o[Author ID1: at Wed Oct 4 05:53:00 2000 ]bdarzenie zaufaniem firmy niezależnej w zakresie prywatnych informacji poufnych — [Author ID1: at Wed Oct 4 05:53:00 2000 ]to całkowicie odmienna sytuacja.

Kryptografia

System Szyfrowania Plików (EFS) przeprowadza szyfrowanie i odszyfrowywanie danych za pomocą klucza publicznego. Do szyfrowania plików danych służy szybki algorytm symetryczny (fast symmetric algorithm) z Kluczem Szyfrowania Plików (f[Author ID1: at Wed Oct 4 05:53:00 2000 ]F[Author ID1: at Wed Oct 4 05:53:00 2000 ]ile E[Author ID1: at Wed Oct 4 05:53:00 2000 ]encryption K[Author ID1: at Wed Oct 4 05:53:00 2000 ]k[Author ID1: at Wed Oct 4 05:55:00 2000 ]ey [Author ID1: at Wed Oct 4 05:53:00 2000 ]-[Author ID1: at Wed Oct 4 05:53:00 2000 ]— [Author ID1: at Wed Oct 4 05:53:00 2000 ]FEK). Klucz Szyfrowania Plików (FEK) jest generowanym losowo kluczem o długości ściśle określonej przez algorytm szyfrowania lub przez obowiązujące przepisy, jeśli algorytm umożliwia stosowanie kluczy o różnej długości. W czasie pisania tej książki obowiązywały ograniczenia eksportowe, wprowadzone przez rząd USA, zgodnie z którymi 128-[Author ID1: at Wed Oct 4 05:54:00 2000 ]-[Author ID1: at Wed Oct 4 05:54:00 2000 ]bitowy klucz DES mógł być stosowany tylko na terenie Ameryki Północnej. Wyjątek stanowiły, np.[Author ID1: at Wed Oct 4 05:54:00 2000 ] na przykład[Author ID1: at Wed Oct 4 05:54:00 2000 ] wielkie międzynarodowe banki. Pozostali użytkownicy korzystają z klucza 56-bitowego.

Klucz Szyfrowania Plików (FEK) [Author ID1: at Wed Oct 4 05:54:00 2000 ]jest zaszyfrowany za pomocą przynajmniej jednego klucza publicznego szyfrowania kluczy (key encryption public key), który służy do sporządzenia listy zaszyfrowanych Kluczy Szyfrowania Plików (FEK). Lista ta jest zapisana razem z plikiem zaszyfrowanym w specjalnym atrybucie Systemu Szyfrowania Plików (EFS) o nazwie Data Decryption Field (DDF). Do odszyfrowywania służy prywatna część pary kluczy użytkownika.

Klucz Szyfrowania Plików (FEK) jest również zaszyfrowany za pomocą co najmniej jednego klucza publicznego szyfrowania klucza odzyskiwania (recovery key encryption public keys). Ponadto publiczna część każdej pary kluczy jest używana do szyfrowania kluczy szyfrowania plików,[Author ID1: at Wed Oct 4 05:58:00 2000 ] (FEK) [Author ID1: at Wed Oct 4 05:58:00 2000 ]a lista zaszyfrowanych kluczy szyfrowania plików (FEK) [Author ID1: at Wed Oct 4 05:58:00 2000 ]jest zapisywana razem z plikiem w specjalnym atrybucie systemu szyfrowania plików (EFS)[Author ID1: at Wed Oct 4 05:58:00 2000 ] o nazwie Data Recovery Field (DRF). Do szyfrowania Klucza Szyfrowania Pliku (FEK) w atrybucie Data [Author ID0: at Thu Nov 30 00:00:00 1899 ]Recovery [Author ID0: at Thu Nov 30 00:00:00 1899 ]Field[Author ID0: at Thu Nov 30 00:00:00 1899 ] konieczna jest tylko część publiczna pary kluczy odzyskiwania. Odzyskiwanie zazwyczaj[Author ID1: at Wed Oct 4 06:00:00 2000 ]wykle [Author ID1: at Wed Oct 4 06:00:00 2000 ]jest konieczne tylko wtedy[Author ID1: at Wed Oct 4 06:00:00 2000 ], jeśli [Author ID1: at Wed Oct 4 06:00:00 2000 ]gdy [Author ID1: at Wed Oct 4 06:00:00 2000 ]użytkownik opuści przedsiębiorstwo lub zgubi klucze. Z tego powodu agenci odzyskiwania mogą w dowolnym miejscu, [Author ID1: at Wed Oct 4 06:01:00 2000 ]bezpiecznie zapisywać [Author ID1: at Wed Oct 4 06:00:00 2000 ]prywatne części biletów [Author ID1: at Wed Oct 4 06:01:00 2000 ]zapisywać bezpiecznie [Author ID1: at Wed Oct 4 06:00:00 2000 ]w dowolnym miejscu[Author ID1: at Wed Oct 4 06:01:00 2000 ], na przykład [Author ID1: at Wed Oct 4 06:01:00 2000 ]np.[Author ID1: at Wed Oct 4 06:01:00 2000 ]na kartach elektronicznych lub innych urządzeniach do zapisywania bezpiecznego. [Author ID1: at Wed Oct 4 06:01:00 2000 ]

Implementacja

Na rysunku 5.1 przedstawiono składniki systemu szyfrowania plików (EFS) i ich miejsce w strukturze systemu.

Rysunek 5.1. Komponenty architektury EFS

[Author ID1: at Wed Oct 4 06:01:00 2000 ]

System Szyfrowania Plików (EFS) [Author ID1: at Wed Oct 4 06:01:00 2000 ]składa się z następujących składników[Author ID1: at Wed Oct 4 06:02:00 2000 ]elementów[Author ID1: at Wed Oct 4 06:02:00 2000 ]:

• S[Author ID1: at Wed Oct 4 06:02:00 2000 ]Sterownik Systemu [Author ID1: at Wed Oct 4 06:03:00 2000 ]Szyfrowania [Author ID1: at Wed Oct 4 06:03:00 2000 ]Plików[Author ID1: at Wed Oct 4 06:03:00 2000 ]EFS[Author ID0: at Thu Nov 30 00:00:00 1899 ] (EFS driver) — K[Author ID1: at Wed Oct 4 06:03:00 2000 ]k[Author ID1: at Wed Oct 4 06:03:00 2000 ]omunikuje się z usługą EFS, aby żądać kluczy szyfrowania plików (file encryption keys), atrybutów DDF i DRF oraz innych usług zarządzania kluczami (key [Author ID1: at Wed Oct 4 06:03:00 2000 ]-[Author ID1: at Wed Oct 4 06:03:00 2000 ]management services). Następnie p[Author ID1: at Wed Oct 4 06:03:00 2000 ]P[Author ID1: at Wed Oct 4 06:03:00 2000 ]rzekazuje te informacje do biblioteki EFS ([Author ID1: at Wed Oct 4 06:03:00 2000 ]f[Author ID1: at Wed Oct 4 06:03:00 2000 ]F[Author ID1: at Wed Oct 4 06:03:00 2000 ]ile s[Author ID1: at Wed Oct 4 06:03:00 2000 ]S[Author ID1: at Wed Oct 4 06:03:00 2000 ]ystem r[Author ID1: at Wed Oct 4 06:04:00 2000 ]R[Author ID1: at Wed Oct 4 06:04:00 2000 ]untime l[Author ID1: at Wed Oct 4 06:04:00 2000 ]L[Author ID1: at Wed Oct 4 06:04:00 2000 ]ibrary — [Author ID1: at Wed Oct 4 06:04:00 2000 ]([Author ID1: at Wed Oct 4 06:04:00 2000 ]FSRTL),[Author ID1: at Wed Oct 4 06:10:00 2000 ] aby niedostrzegalnie [Author ID1: at Wed Oct 4 06:10:00 2000 ]wykonać różne operacje na systemie plików (otwieranie, odczyt, zapis i dodawanie) niedostrzegalnie[Author ID1: at Wed Oct 4 06:10:00 2000 ],[Author ID1: at Wed Oct 4 06:13:00 2000 ].[Author ID1: at Wed Oct 4 06:13:00 2000 ]

• EFS FSRTL — j[Author ID1: at Wed Oct 4 06:10:00 2000 ]J[Author ID1: at Wed Oct 4 06:10:00 2000 ]est implementacją wywołań systemu plików NTFS (NTFS callouts) do obsługi różnych operacji systemu plików, takich jak odczyt, zapis oraz[Author ID1: at Wed Oct 4 06:11:00 2000 ] i [Author ID1: at Wed Oct 4 06:11:00 2000 ]otwieranie, wykonywanych na plikach i folderach zaszyfrowanych, jak również operacji szyfrowania, odszyfrowywania i odzyskiwania danych w trakcie odczytu i zapisu na dysku[Author ID1: at Wed Oct 4 06:11:00 2000 ]. Operacje zaimplementowane za pomocą mechanizmów kontroli plików (file control mechanism) obejmują zapis atrybutów EFS (DDF i DRF) jako atrybutów plików (files[Author ID1: at Wed Oct 4 06:12:00 2000 ] attributes) oraz [Author ID1: at Wed Oct 4 06:12:00 2000 ]i [Author ID1: at Wed Oct 4 06:12:00 2000 ]przekazywanie do biblioteki FSRTL Klucza Szyfrowania Pliku (FEK) wyznaczonego przez usługę EFS,[Author ID1: at Wed Oct 4 06:12:00 2000 ] aby mógł być zainstalowany w kontekście pliku otwartego (open file context). Następnie kontekst ten jest używany do szyfrowania i odszyfrowywania w niezauważalny sposób [Author ID1: at Wed Oct 4 06:13:00 2000 ]zapisów i odczytów danych z dysku w sposób niezauważalny[Author ID1: at Wed Oct 4 06:13:00 2000 ],[Author ID1: at Wed Oct 4 06:13:00 2000 ].[Author ID1: at Wed Oct 4 06:13:00 2000 ]

• U[Author ID1: at Wed Oct 4 06:13:00 2000 ]u[Author ID1: at Wed Oct 4 06:13:00 2000 ]sługa EFS (EFS S[Author ID1: at Wed Oct 4 06:13:00 2000 ]s[Author ID1: at Wed Oct 4 06:13:00 2000 ]ervice) — c[Author ID1: at Wed Oct 4 06:13:00 2000 ]C[Author ID1: at Wed Oct 4 06:13:00 2000 ]zęść podsystemu zabezpieczeń (security subsystem). Do komunikacji ze sterownikiem EFS korzysta z istniejącego portu komunikacyjnego LPC pomiędzy L[Author ID0: at Thu Nov 30 00:00:00 1899 ]Lokalną Jednostką Certyfikującą (Local Security Authority [Author ID1: at Wed Oct 4 06:14:00 2000 ]-[Author ID1: at Wed Oct 4 06:14:00 2000 ]— [Author ID1: at Wed Oct 4 06:14:00 2000 ]LSA) a składnikiem jądra Security Reference Monitor (Kernel-[Author ID1: at Wed Oct 4 06:14:00 2000 ] [Author ID1: at Wed Oct 4 06:14:00 2000 ]Mode Security Reference Monitor). W trybie użytkownika (user mode) łączy się z interfejsem CryptoAPI,[Author ID1: at Wed Oct 4 06:14:00 2000 ] aby dostarczyć klucze szyfrowania plików (file encryption keys) i wygenerować atrybuty DDF oraz DRF. Usługa EFS (EFS service) [Author ID1: at Wed Oct 4 06:14:00 2000 ]obsługuje także interfejsy Win32 API do szyfrowania, odszyfrowywania, odzyskiwania importowania i eksportowania,[Author ID1: at Wed Oct 4 06:15:00 2000 ].[Author ID1: at Wed Oct 4 06:15:00 2000 ]

• Win 32 API — S[Author ID1: at Wed Oct 4 06:15:00 2000 ]s[Author ID1: at Wed Oct 4 06:15:00 2000 ]tanowi interfejsy programowe dla szyfrowania plików zapisanych w postaci zwykłego tekstu, odszyfrowywania lub odzyskiwania plików w postaci zaszyfrowanej oraz importowania i eksportowania plików zaszyfrowanych bez wcześniejszego odszyfrowywania. Interfejsy te obsługiwane są przez standardową bibliotekę DLL, advapi32.dll.

Rozwiązania natychmiastowe

[Author ID1: at Wed Oct 4 06:15:00 2000 ]

Zastosowanie polecenia Cipher

Polecenie [Author ID1: at Wed Oct 4 06:17:00 2000 ]cipher[Author ID1: at Wed Oct 4 06:17:00 2000 ] — w[Author ID1: at Wed Oct 4 06:17:00 2000 ]ywoływane z wiersza poleceń[Author ID1: at Wed Oct 4 06:15:00 2000 ] [Author ID1: at Wed Oct 4 06:17:00 2000 ]—[Author ID1: at Wed Oct 4 06:18:00 2000 ] [Author ID1: at Wed Oct 4 06:15:00 2000 ]P[Author ID1: at Wed Oct 4 06:15:00 2000 ]olecenie [Author ID1: at Wed Oct 4 06:17:00 2000 ]cipher[Author ID1: at Wed Oct 4 06:17:00 2000 ], [Author ID1: at Wed Oct 4 06:18:00 2000 ]wywoływane z wiersza poleceń[Author ID1: at Wed Oct 4 06:15:00 2000 ], z[Author ID1: at Wed Oct 4 06:18:00 2000 ]z[Author ID1: at Wed Oct 4 06:18:00 2000 ]ostało już wcześniej wspomniane i będzie stosowane w dalszej części niniejszego rozdziału. Jednak w tym miejscu właściwym będzie [Author ID1: at Wed Oct 4 06:18:00 2000 ]należy [Author ID1: at Wed Oct 4 06:18:00 2000 ]omówić [Author ID1: at Wed Oct 4 06:18:00 2000 ]enie tego polecenia[Author ID1: at Wed Oct 4 06:18:00 2000 ]je[Author ID1: at Wed Oct 4 06:18:00 2000 ], zbadanie [Author ID1: at Wed Oct 4 06:18:00 2000 ]zbadać [Author ID1: at Wed Oct 4 06:18:00 2000 ]jego składni oraz opisanie [Author ID1: at Wed Oct 4 06:18:00 2000 ]opisać [Author ID1: at Wed Oct 4 06:18:00 2000 ]znaczniki [Author ID1: at Wed Oct 4 06:19:00 2000 ]ów [Author ID1: at Wed Oct 4 06:19:00 2000 ](flags) i opcji tego polecenia.

Polecenie cipher umożliwia szyfrowanie i odszyfrowywanie plików z wiersza poleceń (command line), np.[Author ID1: at Wed Oct 4 06:19:00 2000 ] Na przykład,[Author ID1: at Wed Oct 4 06:19:00 2000 ] aby zaszyfrować folder secure_docs bieżącego woluminu można wpisać:[Author ID1: at Wed Oct 4 06:20:00 2000 ]

Cipher /e "secure_docs"

Do zaszyfrowania wszystkich plików w bieżącym folderze, które zawierają w swojej nazwie ciąg znaków „coriolis” można wpisać:

Cipher /e /a coriolis

Polecenie cipher ma następujące parametry:

CIPHER [/E | /D] [/S[:dir]] [/A] [/I] [/F] [/Q] [/H] [/K] [pathname ]]

Oto [Author ID1: at Wed Oct 4 06:22:00 2000 ]Z[Author ID1: at Wed Oct 4 06:22:00 2000 ]z[Author ID1: at Wed Oct 4 06:22:00 2000 ]naczenie tych parametrów jest następujące[Author ID1: at Wed Oct 4 06:22:00 2000 ]:

• /E — S[Author ID1: at Wed Oct 4 06:23:00 2000 ]s[Author ID1: at Wed Oct 4 06:23:00 2000 ]zyfruje określone pliki lub katalogi. Katalogi zostaną oznaczone, więc dodawane do nich pliki będą szyfrowane,[Author ID1: at Wed Oct 4 06:23:00 2000 ].[Author ID1: at Wed Oct 4 06:23:00 2000 ]

• /D — O[Author ID1: at Wed Oct 4 06:23:00 2000 ]o[Author ID1: at Wed Oct 4 06:23:00 2000 ]dszyfrowuje określone pliki lub katalogi. Katalogi zostaną oznaczone, więc dodawane do nich pliki nie będą odszyfrowane,[Author ID1: at Wed Oct 4 06:23:00 2000 ].[Author ID1: at Wed Oct 4 06:23:00 2000 ]

• /S — W[Author ID1: at Wed Oct 4 06:23:00 2000 ]w[Author ID1: at Wed Oct 4 06:23:00 2000 ]ykonuje podaną operacje na danym folderze i wszystkich jego podfolderach. Domyślnie dir oznacza bieżący folder,[Author ID1: at Wed Oct 4 06:23:00 2000 ].[Author ID1: at Wed Oct 4 06:23:00 2000 ]

• /A — W[Author ID1: at Wed Oct 4 06:23:00 2000 ]w[Author ID1: at Wed Oct 4 06:23:00 2000 ]ykonuje określone operacje na plikach jak również na [Author ID1: at Wed Oct 4 06:24:00 2000 ]i [Author ID1: at Wed Oct 4 06:24:00 2000 ]folderach. Należy zwrócić uwagę, że plik może zostać odszyfrowany w trakcie modyfikacji,[Author ID1: at Wed Oct 4 06:24:00 2000 ] a folder, w którym go zapisano, nie jest zaszyfrowany,[Author ID1: at Wed Oct 4 06:24:00 2000 ].[Author ID1: at Wed Oct 4 06:24:00 2000 ]

• /I — K[Author ID1: at Wed Oct 4 06:24:00 2000 ]k[Author ID1: at Wed Oct 4 06:24:00 2000 ]ontynuuje wykonywanie określonej operacji nawet po pojawieniu się błędów. Domyślnie polecenie cipher kończy działanie, kiedy [Author ID1: at Wed Oct 4 06:24:00 2000 ]gdy [Author ID1: at Wed Oct 4 06:24:00 2000 ]wystąpi błąd,[Author ID1: at Wed Oct 4 06:24:00 2000 ].[Author ID1: at Wed Oct 4 06:24:00 2000 ]

• /F — W[Author ID1: at Wed Oct 4 06:24:00 2000 ]w[Author ID1: at Wed Oct 4 06:24:00 2000 ]ymusza operację szyfrowania wszystkich podanych plików, nawet tych, które są już zaszyfrowane. Domyślnie wszystkie pliki już zaszyfrowane są opuszczane. Funkcja ta gwarantuje, że pliki oznaczone jako zaszyfrowane są rzeczywiście zaszyfrowane. Jeśli wystąpi błąd sprzętowy w trakcie szyfrowania,[Author ID1: at Wed Oct 4 06:25:00 2000 ] plik może być oznaczony jako zaszyfrowany nawet, jeśli w rzeczywistości tak [Author ID1: at Wed Oct 4 06:25:00 2000 ]nie są zaszyfrowane[Author ID1: at Wed Oct 4 06:25:00 2000 ]jest,[Author ID1: at Wed Oct 4 06:25:00 2000 ].[Author ID1: at Wed Oct 4 06:25:00 2000 ]

• /Q — R[Author ID1: at Wed Oct 4 06:25:00 2000 ]r[Author ID1: at Wed Oct 4 06:25:00 2000 ]aportuje tylko najważniejsze informacje (quiet mode),[Author ID1: at Wed Oct 4 06:25:00 2000 ].[Author ID1: at Wed Oct 4 06:25:00 2000 ]

• /H — P[Author ID1: at Wed Oct 4 06:25:00 2000 ]p[Author ID1: at Wed Oct 4 06:25:00 2000 ]odaje pliki z atrybutami ukryty ([Author ID1: at Wed Oct 4 06:25:00 2000 ]hidden (ukryty[Author ID1: at Wed Oct 4 06:25:00 2000 ]) lub systemowy ([Author ID1: at Wed Oct 4 06:25:00 2000 ]system (systemowy[Author ID1: at Wed Oct 4 06:25:00 2000 ]). Zwróćmy uwagę, że pliki systemowe nie powinny być szyfrowane, ponieważ w następstwie takiej operacji komputer mógłby się nie uruchomić,[Author ID1: at Wed Oct 4 06:26:00 2000 ].[Author ID1: at Wed Oct 4 06:26:00 2000 ]

• /K — T[Author ID1: at Wed Oct 4 06:26:00 2000 ]t[Author ID1: at Wed Oct 4 06:26:00 2000 ]worzy nowy klucz szyfrowania pliku (file encryption key) dla użytkownika, który uruchomił polecenie cipher. Jeśli ta opcja jest podana, to wtedy [Author ID1: at Wed Oct 4 06:26:00 2000 ]pozostałe opcje [Author ID1: at Wed Oct 4 06:26:00 2000 ]są ignorowane,[Author ID1: at Wed Oct 4 06:26:00 2000 ]

• .[Author ID1: at Wed Oct 4 06:26:00 2000 ]Pathname (ścieżka) — P[Author ID1: at Wed Oct 4 06:26:00 2000 ]p[Author ID1: at Wed Oct 4 06:26:00 2000 ]odaje wzór, folder lub plik.

Polecenie cipher bez parametrów wyświetli aktualny stan szyfrowania bieżącego foldera i plików, które zawiera. Można podawać wiele nazw plików (multiple file names) i stosować symbole wieloznaczne (wildcards). Pomiędzy parametrami wstawia się spacje.

Szyfrowanie foldera lub pliku

Do szyfrowania pliku można użyć Eksploratora Windows (Windows Explorer) lub z wiersza poleceń uruchomić program cipher.exe.

Uwaga: Na potrzeby opisanych poniżej procedur przyjęto, że użytkownik otrzymał C[Author ID0: at Thu Nov 30 00:00:00 1899 ]Certyfikat Bezpieczeństwa (Security Certificate) z S[Author ID0: at Thu Nov 30 00:00:00 1899 ]Serwera certyfikatów systemu Windows 2000 (Windows 2000 Certificate Server), M[Author ID0: at Thu Nov 30 00:00:00 1899 ]Menedżera Kluczy Wymiany (Exchange Key Manager) lub usługodawcy komercyjnego,[Author ID1: at Wed Oct 4 06:27:00 2000 ] takiego jak VeriSign. Dokonuje się tego zwy[Author ID1: at Wed Oct 4 06:27:00 2000 ]kle [Author ID1: at Wed Oct 4 06:27:00 2000 ]zazwyczaj [Author ID1: at Wed Oct 4 06:27:00 2000 ]na etapie instalacji systemu podczas konfigurowania usług pocztowych (email service).

Rozwiązania pokrewne [Author ID1: at Wed Oct 4 06:28:00 2000 ] [Author ID1: at Wed Oct 4 06:28:00 2000 ]zobacz na stronie

Konfigurowanie J[Author ID1: at Wed Oct 4 06:28:00 2000 ]j[Author ID1: at Wed Oct 4 06:28:00 2000 ]ednostki certyfikującej (Certification Authority — CA[Author ID1: at Wed Oct 4 06:28:00 2000 ])

Instalowanie certyfikatów jednostki certyfikującej (CA C[Author ID1: at Wed Oct 4 06:28:00 2000 ]c[Author ID1: at Wed Oct 4 06:28:00 2000 ]ertificates)

Zastosowanie Eksploratora Windows (Windows Explorer) do szyfrowania foldera lub pliku

W procedurze tej do szyfrowania foldera korzysta się z Eksploratora Windows (Windows Explorer). W taki sam sposób szyfruje się pliki.

1. Uruchom Eksploratora Windows (Windows Explorer).

2. Prawym klawiszem [Author ID1: at Wed Oct 4 13:07:00 2000 ]przyciskiem [Author ID1: at Wed Oct 4 13:07:00 2000 ]myszki kliknij nazwę foldera lub pliku i z menu wybierz opcję Właściwości (P[Author ID1: at Wed Oct 4 06:29:00 2000 ]Properties).

3. W oknie zakładki Ogólne (G[Author ID1: at Wed Oct 4 06:29:00 2000 ]General) naciśnij przycisk Zaawansowane (A[Author ID1: at Wed Oct 4 06:29:00 2000 ]Advanced). Pojawi się okno dialogowe Atrybuty [Author ID1: at Wed Oct 4 06:34:00 2000 ]Z[Author ID1: at Wed Oct 4 06:34:00 2000 ]Zaawansowane Atrybuty [Author ID1: at Wed Oct 4 06:34:00 2000 ](A[Author ID1: at Wed Oct 4 06:29:00 2000 ]Advanced AA[Author ID1: at Wed Oct 4 06:29:00 2000 ]ttributes), jak przedstawiono to na rysunku 5.2.

4. Zaznacz pole wyboru Szyfruj zawartość, aby zabezpieczyć dane (E[Author ID1: at Wed Oct 4 06:29:00 2000 ]Encrypt contents to secure data) i naciśnij OK. Nastąpi powrót do okna dialogowego Pliki Zaszyfrowane Właściwości (E[Author ID1: at Wed Oct 4 06:29:00 2000 ]Encrypted FF[Author ID1: at Wed Oct 4 06:29:00 2000 ]iles PP[Author ID1: at Wed Oct 4 06:29:00 2000 ]roperties). Naciśnij przycisk OK.

5. Jeśli zaszyfrowany ma być folder, należy wybrać, czy ma być zaszyfrowany tylko sam folder,[Author ID1: at Wed Oct 4 06:30:00 2000 ] czy też folder wraz całą zawartością (rysunek 5.3). Zwykle[Author ID1: at Wed Oct 4 06:30:00 2000 ]Na ogół[Author ID1: at Wed Oct 4 06:30:00 2000 ], jeśli folder jest pusty, na przykład [Author ID1: at Wed Oct 4 06:30:00 2000 ]np. [Author ID1: at Wed Oct 4 06:30:00 2000 ]został dopiero co [Author ID1: at Wed Oct 4 06:30:00 2000 ]niedawno [Author ID1: at Wed Oct 4 06:30:00 2000 ]utworzony, należy wybrać pierwszą możliwość. Jeśli folder zawiera pliki i podfoldery — [Author ID1: at Wed Oct 4 06:30:00 2000 ]wybierz[Author ID1: at Wed Oct 4 06:30:00 2000 ]a się[Author ID1: at Wed Oct 4 06:30:00 2000 ] drugą możliwość.

6. Naciśnij przycisk OK. Okno dialogowe pokaże status szyfrowania foldera lub pliku.

Uwaga: Microsoft zaleca szyfrowanie folderów,[Author ID1: at Wed Oct 4 06:31:00 2000 ] a nie pojedynczych plików.

Rysunek 5.2.[Author ID1: at Wed Oct 4 06:31:00 2000 ] Okno dialogowe Atrybuty Zaawansowane (AA[Author ID0: at Thu Nov 30 00:00:00 1899 ]a[Author ID1: at Wed Oct 4 06:31:00 2000 ]dvanced AA[Author ID0: at Thu Nov 30 00:00:00 1899 ]ttributes)

.[Author ID1: at Wed Oct 4 06:31:00 2000 ]

Rysunek 5.3.[Author ID1: at Wed Oct 4 06:31:00 2000 ] Okno dialogowe Potwierdzanie zmian atrybutów (C[Author ID0: at Thu Nov 30 00:00:00 1899 ]Confirm a[Author ID1: at Wed Oct 4 06:31:00 2000 ]A[Author ID0: at Thu Nov 30 00:00:00 1899 ]ttribute C[Author ID0: at Thu Nov 30 00:00:00 1899 ]c[Author ID1: at Wed Oct 4 06:31:00 2000 ]hanges).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Zastosowanie polecenia cipher do szyfrowania foldera lub pliku

W procedurze tej do szyfrowania foldera używa się polecenia cipher. Polecenie to może służyć do szyfrowania pojedynczych plików (chociaż Microsoft zaleca, żeby tego nie robić).

1. Wybierz niezaszyfrowany folder lub plik (raczej folder) zapisany na woluminie NTFS. W niniejszym przykładzie wybrano folder D:\secure_docs.

2. W wierszu poleceń wpisz

Cipher /e /s:":\secure_docs" /a

W oknie poleceń pojawi się potwierdzenie operacji, co przedstawiono na rysunku 5.4. Należy zwrócić uwagę, że parametr /a powoduje, i[Author ID1: at Wed Oct 4 06:32:00 2000 ]że[Author ID1: at Wed Oct 4 06:32:00 2000 ] — [Author ID1: at Wed Oct 4 06:32:00 2000 ]oprócz zaszyfrowania danego foldera — [Author ID1: at Wed Oct 4 06:32:00 2000 ]zaszyfrowane zostaną wszystkie pliki i podfoldery w tym folderze.

Rysunek 5.4.[Author ID0: at Thu Nov 30 00:00:00 1899 ].[Author ID1: at Wed Oct 4 06:32:00 2000 ] Szyfrowanie foldera za pomocą wiersza poleceń.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Odszyfrowywanie foldera lub pliku

Tak samo,[Author ID1: at Wed Oct 4 06:32:00 2000 ] jak w przypadku szyfrowania,[Author ID1: at Wed Oct 4 06:32:00 2000 ] do odszyfrowywania foldera lub pliku można użyć Eksploratora Windows (Windows Explorer) lub programu[Author ID1: at Wed Oct 4 06:33:00 2000 ] narzędziowego[Author ID1: at Wed Oct 4 06:33:00 2000 ]y,[Author ID1: at Wed Oct 4 06:33:00 2000 ] uruchamianego[Author ID1: at Wed Oct 4 06:33:00 2000 ]y[Author ID1: at Wed Oct 4 06:33:00 2000 ] z wiersza poleceń. Należy zwrócić uwagę, że do otwierania pliku i jego edytowania odszyfrowywanie nie jest konieczne. Jedynym powodem odszyfrowania pliku jest udostępnienie go innym użytkownikom.

Zastosowanie Eksploratora Windows (Windows Explorer) do odszyfrowania foldera lub pliku

W procedurze tej do odszyfrowania foldera lub pliku używa się Eksploratora Windows (Windows Explorer). Wybierz folder zaszyfrowany poprzednio.

1. Uruchom Eksploratora Windows (Windows Explorer).

2. Prawym klawiszem [Author ID1: at Wed Oct 4 13:08:00 2000 ]przyciskiem [Author ID1: at Wed Oct 4 13:08:00 2000 ]myszki kliknij nazwę foldera lub pliku i z menu wybierz opcje Właściwości (P[Author ID1: at Wed Oct 4 06:33:00 2000 ]Properties).

3. W oknie zakładki Ogólne (G[Author ID1: at Wed Oct 4 06:33:00 2000 ]General) naciśnij przycisk Zaawansowane (A[Author ID1: at Wed Oct 4 06:33:00 2000 ]Advanced).

4. W oknie dialogowym Atrybuty ZZ[Author ID1: at Wed Oct 4 06:34:00 2000 ]aawansowane (A[Author ID1: at Wed Oct 4 06:34:00 2000 ]Advanced A[Author ID1: at Wed Oct 4 06:34:00 2000 ]Attributes) odznacz pole wyboru Szyfruj zawartość, aby zabezpieczyć dane (EE[Author ID1: at Wed Oct 4 06:34:00 2000 ]ncrypt contents to secure data) i naciśnij OK.

5. W oknie dialogowym Pliki Zaszyfrowane Właściwości (E[Author ID1: at Wed Oct 4 06:34:00 2000 ]Encrypted F[Author ID1: at Wed Oct 4 06:34:00 2000 ]Files P[Author ID1: at Wed Oct 4 06:34:00 2000 ]Properties) naciśnij przycisk OK.

6. Pojawi się możliwość dokonania wyboru między odszyfrowaniem danego foldera wraz z całą jego zawartością,[Author ID1: at Wed Oct 4 06:34:00 2000 ] a odszyfrowywaniem samego foldera. Domyślnie wybrane jest odszyfrowywanie tylko foldera.

7. Naciśnij OK.

Zastosowanie polecenia cipher do odszyfrowywania foldera lub pliku

Aby odszyfrować folder D:\secure_docs wpisz polecenie w następującej postaci:

Cipher /d /s:”D:\secure_docs”

W tym przypadku nie podano parametru /a, więc pliki i podfoldery w wybranym folderze pozostaną zaszyfrowane. Żaden z nowo utworzonych w danym folderze [Author ID1: at Wed Oct 4 06:35:00 2000 ]plików lub podfolderów nowoutworzonych w danym folderze [Author ID1: at Wed Oct 4 06:35:00 2000 ]nie będzie szyfrowany.

Kopiowanie, przenoszenie i zmiana nazwy zaszyfrowanego foldera lub pliku

W tej części wyjaśniono, co dzieje się podczas kopiowania, przenoszenia lub zmiany nazwy zaszyfrowanych folderów lub plików w ramach tego samego woluminu, pomiędzy woluminami lub pomiędzy komputerami. Należy zwrócić uwagę, że użytkownik może kopiować tylko te pliki i foldery, które sam zaszyfrował. Przy próbie kopiowania plików zaszyfrowanych przez innego użytkownika pojawi się komunikat Dostęp Zabroniony (A[Author ID1: at Wed Oct 4 06:36:00 2000 ]Access D[Author ID1: at Wed Oct 4 06:36:00 2000 ]Denied).

Sposób kopiowania, przenoszenia i zmiany nazwy plików zaszyfrowanych jest dokładnie taki sam,[Author ID1: at Wed Oct 4 06:36:00 2000 ] jak sposób kopiowania, przenoszenia i zmiany nazwy plików niezaszyfrowanych.

Jeśli kopiuje się plik lub folder zaszyfrowany w ramach tego samego komputera z jednej lokalizacji z systemem plików NTFS do drugiej, to kopia jest zaszyfrowana, niezależnie od tego czy folder docelowy jest zaszyfrowany,[Author ID1: at Wed Oct 4 06:36:00 2000 ] czy nie.

Jeśli kopiuje się plik lub folder w ramach tego samego komputera z woluminu NTFS do woluminu FAT, to kopia jest zapisana w postaci zwykłego tekstu, ponieważ nie można szyfrować plików w systemie plików FAT. Należy zwrócić uwagę, że dyskietki zawsze są formatowane w systemie FAT.

Jeśli kopiuje się plik lub folder zaszyfrowany z lokalizacji NTFS na jednym komputerze do lokalizacji NTFS na innym komputerze i komputer zdalny umożliwia szyfrowanie plików, to plik pozostanie zaszyfrowany. W[Author ID1: at Wed Oct 4 06:37:00 2000 ]; w[Author ID1: at Wed Oct 4 06:37:00 2000 ] przeciwnym razie kopia zostanie zapisana w postaci zwykłego tekstu (cleartext). Należy zwrócić uwagę, że komputer musi mieć cechę [Author ID1: at Wed Oct 4 06:38:00 2000 ]być [Author ID1: at Wed Oct 4 06:38:00 2000 ]zaufania [Author ID1: at Wed Oct 4 06:38:00 2000 ]y [Author ID1: at Wed Oct 4 06:38:00 2000 ]w kwestii delegowania (trusted for delegation). W domenach [Author ID1: at Wed Oct 4 06:38:00 2000 ]S[Author ID1: at Wed Oct 4 06:39:00 2000 ]s[Author ID1: at Wed Oct 4 06:39:00 2000 ]zyfrowanie zdalne nie jest w[Author ID1: at Wed Oct 4 06:39:00 2000 ] domenach [Author ID1: at Wed Oct 4 06:38:00 2000 ]uaktywnione domyślnie.

Jeśli kopiuje się pliki lub foldery z woluminu NTFS systemu Windows 2000 w danym komputerze do woluminu FAT lub woluminu NTFS systemu Windows NT 4 [Author ID1: at Wed Oct 4 06:39:00 2000 ]na innym komputerze, to wtedy kopia zapisana jest w postaci zwykłego tekstu, ponieważ docelowy system plików nie umożliwiają[Author ID1: at Wed Oct 4 06:39:00 2000 ] szyfrowania.

Uwaga: Jeśli plik pierwotny został zaszyfrowany, Microsoft zaleca korzystanie z [Author ID1: at Wed Oct 4 06:39:00 2000 ]opcji Zaawansowane [Author ID1: at Wed Oct 4 06:39:00 2000 ]W[Author ID0: at Thu Nov 30 00:00:00 1899 ]Właściwości Zaawansowane [Author ID1: at Wed Oct 4 06:39:00 2000 ](PP[Author ID1: at Wed Oct 4 06:39:00 2000 ]roperties A[Author ID1: at Wed Oct 4 06:39:00 2000 ]Advanced) Eksploratora Windows (Windows Explorer) do sprawdzania statusu pliku docelowego.

Jeśli plik jest przenoszony lub następuje zmiana nazwy w obrębie tego samego woluminu, to wtedy [Author ID1: at Wed Oct 4 06:40:00 2000 ]wówczas [Author ID1: at Wed Oct 4 06:40:00 2000 ]plik lub folder docelowy pozostanie zaszyfrowany. Jeśli przenosi się pliki lub foldery pomiędzy woluminami, jest to właściwie operacja kopiowania, którą opisano powyżej.

Usuwanie foldera lub pliku zaszyfrowanego

Mając prawo do usuwania pliku lub foldera, można usunąć go w taki sam sposób, jak gdyby był to [Author ID1: at Wed Oct 4 06:40:00 2000 ]plik niezaszyfrowany. Usuwanie pliku lub foldera zaszyfrowanego nie musi być koniecznie zastrzeżone dla użytkownika, który sam [Author ID1: at Wed Oct 4 06:40:00 2000 ]zaszyfrował dany plik.

Wykonywanie kopii zapasowych plików lub folderów zaszyfrowanych

Kopie zapasowe,[Author ID1: at Wed Oct 4 06:42:00 2000 ] utworzone za pomocą polecenia copy lub opcji Copy[Author ID1: at Wed Oct 4 06:41:00 2000 ] [Author ID1: at Wed Oct 4 06:41:00 2000 ]Kopi[Author ID1: at Wed Oct 4 06:41:00 2000 ]a[Author ID1: at Wed Oct 4 06:52:00 2000 ] [Author ID1: at Wed Oct 4 06:41:00 2000 ]([Author ID1: at Wed Oct 4 06:42:00 2000 ]Copy)[Author ID1: at Wed Oct 4 06:42:00 2000 ]z menu Eksploratora Windows (Windows Explorer),[Author ID1: at Wed Oct 4 06:42:00 2000 ] mogą zostać zapisane w postaci zwykłego tekstu, co opisano w poprzedniej części. Zalecanym sposobem wykonywania kopii zapasowych plików zaszyfrowanych jest skorzystanie z usługi Backup[Author ID1: at Wed Oct 4 06:43:00 2000 ] [Author ID1: at Wed Oct 4 06:43:00 2000 ]K[Author ID1: at Wed Oct 4 06:52:00 2000 ]opia zapasowa[Author ID1: at Wed Oct 4 06:43:00 2000 ] ([Author ID1: at Wed Oct 4 06:43:00 2000 ]Backup)[Author ID1: at Wed Oct 4 06:43:00 2000 ]systemu Windows 2000 lub innego programu narzędziowego do wykonywania kopii zapasowych, który obsługuje funkcje systemu Windows 2000. Operacja wykonywania kopii zapasowych zachowuje szyfrowanie plików,[Author ID1: at Wed Oct 4 06:44:00 2000 ] a operatorom wykonującym[Author ID1: at Wed Oct 4 06:44:00 2000 ]ywania [Author ID1: at Wed Oct 4 06:44:00 2000 ] [Author ID1: at Wed Oct 4 06:44:00 2000 ]kopii[Author ID1: at Wed Oct 4 06:44:00 2000 ]e[Author ID1: at Wed Oct 4 06:44:00 2000 ] zapasowe [Author ID1: at Wed Oct 4 06:44:00 2000 ]ych [Author ID1: at Wed Oct 4 06:44:00 2000 ](backup operators) do wykonania takiej kopii nie jest konieczny [Author ID1: at Wed Oct 4 06:44:00 2000 ]potrzebny [Author ID1: at Wed Oct 4 06:44:00 2000 ]dostęp do kluczy prywatnych — niezbędne jest im tylko prawo dostępu do danego foldera lub pliku.

Zastosowanie usługi Backup [Author ID1: at Wed Oct 4 06:46:00 2000 ]Utwórz kopię zapasową (backup) [Author ID1: at Wed Oct 4 06:46:00 2000 ]do wykonania kopii zapasowej pliku, foldera lub dysku

Poniżej opisano zalecany sposób wykonywania kopii zapasowych plików, folderów lub dysków zaszyfrowanych.

1. Z menu Akcesoria (Accessories[Author ID1: at Wed Oct 4 06:47:00 2000 ]Accessories[Author ID1: at Wed Oct 4 06:47:00 2000 ]) wybierz pozycję Narzędzia Systemowe (S[Author ID1: at Wed Oct 4 06:47:00 2000 ]System T[Author ID1: at Wed Oct 4 06:47:00 2000 ]Tools),[Author ID1: at Wed Oct 4 06:47:00 2000 ] a następnie wybierz [Author ID1: at Wed Oct 4 06:47:00 2000 ]K[Author ID1: at Wed Oct 4 06:52:00 2000 ]opia zapasowa[Author ID1: at Wed Oct 4 06:47:00 2000 ] ([Author ID1: at Wed Oct 4 06:47:00 2000 ]Backup)[Author ID1: at Wed Oct 4 06:47:00 2000 ]Backup[Author ID1: at Wed Oct 4 06:47:00 2000 ].

2. Wybierz zakładkę K[Author ID1: at Wed Oct 4 06:51:00 2000 ]opia zapa[Author ID1: at Wed Oct 4 06:47:00 2000 ]sowa[Author ID1: at Wed Oct 4 06:47:00 2000 ] ([Author ID1: at Wed Oct 4 06:47:00 2000 ]Backup)[Author ID1: at Wed Oct 4 06:47:00 2000 ]Backup[Author ID1: at Wed Oct 4 06:47:00 2000 ].

3. Sprawdź dyski, pliki lub foldery, których kopie zapasowa[Author ID1: at Wed Oct 4 06:47:00 2000 ]e[Author ID1: at Wed Oct 4 06:47:00 2000 ] chcesz wykonać, jak przedstawiono to [Author ID1: at Wed Oct 4 06:48:00 2000 ]na rysunku 5.5.

4. Podaj Nośnik kopii zapasowej lub nazwa pliku (B[Author ID1: at Wed Oct 4 06:48:00 2000 ]Backup media or file name). Za pomocą przycisku Przeglądaj (B[Author ID1: at Wed Oct 4 06:48:00 2000 ]Browse) można zlokalizować istniejący już plik kopii zapasowej. Domyślną ścieżką dostępu jest A:\Backup.bkf. Należy zwrócić uwagę, że lista rozwijalna Miejsce Docelowe Kopii Zapasowej (B[Author ID1: at Wed Oct 4 06:48:00 2000 ]Backup Destination) jest zaznaczone na szaro. Kopia zapasowa pliku zaszyfrowanego może być zapisana tylko w pliku BKF.

5. Naciśnij przycisk Rozpocznij (S[Author ID1: at Wed Oct 4 06:48:00 2000 ]Start B[Author ID1: at Wed Oct 4 06:48:00 2000 ]b[Author ID1: at Wed Oct 4 06:48:00 2000 ]ackup). Możesz wybrać, czy zastąpić poprzedni plik kopii zapasowej lub dołączyć aktualną kopię zapasową. Jeśli wybierzesz zastąpienie pliku kopii zapasowej możesz nadać prawo dostępu do pliku tylko właścicielowi i administratorowi, co przedstawiono na rysunku 5.6.

6. Naciśnij przycisk Zaawansowane (AA[Author ID1: at Wed Oct 4 06:49:00 2000 ]dvanced). W oknie Zaawansowane Opcje Kopii Zapasowej (A[Author ID1: at Wed Oct 4 06:49:00 2000 ]Advanced B[Author ID1: at Wed Oct 4 06:49:00 2000 ]Backup OO[Author ID1: at Wed Oct 4 06:49:00 2000 ]ptions) można wybrać rodzaj kopii zapasowej i zaznaczyć pole wyboru Weryfikuj dane po wykonaniu kopii zapasowej (V[Author ID1: at Wed Oct 4 06:49:00 2000 ]Verify data after backup). Okno to przedstawiono na rysunku 5.7. Należy zwrócić uwagę, że plików zaszyfrowanych nie można kompresować, a za pomocą Eksploratora Windows (Windows Explorer) nie można szyfrować plików systemowych — więc opcje te są zaznaczone na szaro. Wybierz potrzebne odpowiednie opcje i naciśnij przycisk OK.

Rysunek 5.5.[Author ID1: at Wed Oct 4 06:51:00 2000 ] Okno dialogowe Kopia zapasowa (B[Author ID0: at Thu Nov 30 00:00:00 1899 ]Backup) systemu Windows 2000

.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Rysunek 5.6.[Author ID1: at Wed Oct 4 06:52:00 2000 ] Okno dialogowe Informacje o Zadaniu Kopii Zapasowej (B[Author ID0: at Thu Nov 30 00:00:00 1899 ]Backup JJ[Author ID0: at Thu Nov 30 00:00:00 1899 ]ob II[Author ID0: at Thu Nov 30 00:00:00 1899 ]nformation)

.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Rysunek 5.7.[Author ID1: at Wed Oct 4 06:52:00 2000 ] Okno dialogowe Zaawansowane Opcje Kopii Zapasowej (A[Author ID0: at Thu Nov 30 00:00:00 1899 ]Advanced B[Author ID0: at Thu Nov 30 00:00:00 1899 ]Backup OO[Author ID0: at Thu Nov 30 00:00:00 1899 ]ptions)

.[Author ID1: at Wed Oct 4 13:01:00 2000 ]

7. Wybierz odpowiednie opcje w oknie dialogowym Informacje o Zadaniu Kopii Zapasowej (B[Author ID1: at Wed Oct 4 06:53:00 2000 ]Backup J[Author ID1: at Wed Oct 4 06:53:00 2000 ]Job I[Author ID1: at Wed Oct 4 06:53:00 2000 ]Information) — zob.[Author ID1: at Wed Oct 4 06:53:00 2000 ]([Author ID1: at Wed Oct 4 06:53:00 2000 ]rysunek 5.6)[Author ID1: at Wed Oct 4 06:53:00 2000 ]. Naciśnij przycisk Rozpocznij (S[Author ID1: at Wed Oct 4 06:53:00 2000 ]Start B[Author ID1: at Wed Oct 4 06:53:00 2000 ]b[Author ID1: at Wed Oct 4 06:53:00 2000 ]ackup).

8. Po zakończeniu wykonywania kopii zapasowej w oknie Postęp Kopii Zapasowej (B[Author ID1: at Wed Oct 4 06:53:00 2000 ]Backup PP[Author ID1: at Wed Oct 4 06:53:00 2000 ]rogress) naciśnij przycisk Zamknij (C[Author ID1: at Wed Oct 4 06:53:00 2000 ]Close).

Usługa K[Author ID1: at Wed Oct 4 06:54:00 2000 ]opia zapasowa[Author ID1: at Wed Oct 4 06:53:00 2000 ] ([Author ID1: at Wed Oct 4 06:53:00 2000 ]Backup)[Author ID1: at Wed Oct 4 06:53:00 2000 ]Backup[Author ID1: at Wed Oct 4 06:53:00 2000 ] [Author ID1: at Wed Oct 4 06:53:00 2000 ]zapisuje kopie zapasowe całych plików, folderów lub dysków zaszyfrowanych w wybranym pliku kopii zapasowej. Plik ten może być kopiowany na nośniki z systemem plików FAT, takie jak dyskietki,[Author ID1: at Wed Oct 4 06:54:00 2000 ] i pozostaje zabezpieczony, ponieważ jego zawartość jest zaszyfrowana.

Odtwarzanie zaszyfrowanego foldera lub pliku

Zalecanym sposobem odtwarzania plików zaszyfrowanych jest użycie usługi Kopia zapasowa[Author ID1: at Wed Oct 4 06:54:00 2000 ] ([Author ID1: at Wed Oct 4 06:54:00 2000 ]Backup)[Author ID1: at Wed Oct 4 06:54:00 2000 ]Backup[Author ID1: at Wed Oct 4 06:54:00 2000 ] systemu Windows 2000 lub innego programu narzędziowego, który obsługuje funkcje systemu Windows 2000. Operacja odtwarzania podtrzymuje szyfrowanie plików i agent odtwarzania nie musi mieć dostępu do kluczy prywatnych (restore keys). Po zakończeniu odtwarzania użytkownik posiadający klucz prywatny (private key) może korzystać z plików w normalny sposób.

Zastosowanie usługi -->Kopia zapasowa[Author ID1: at Wed Oct 4 06:55:00 2000 ][Author ID1: at Wed Oct 4 06:55:00 2000 ] (backup)[Author ID1: at Wed Oct 4 06:55:00 2000 ]Backup[Author ID1: at Wed Oct 4 06:55:00 2000 ] do odtwarzania pliku na tym samym komputerze

Za pomocą opisanej poniżej procedury można odtworzyć pliki, foldery lub woluminy zaszyfrowane do innej lokalizacji na tym samym komputerze. Ta sama procedura służy do odtwarzania do lokalizacji pierwotnej.

1. Z menu Akcesoria (A[Author ID1: at Wed Oct 4 06:56:00 2000 ]Accessories) wybierz Narzędzia systemowe (SS[Author ID1: at Wed Oct 4 06:56:00 2000 ]ystem T[Author ID1: at Wed Oct 4 06:56:00 2000 ]t[Author ID1: at Wed Oct 4 06:56:00 2000 ]ools),[Author ID1: at Wed Oct 4 06:56:00 2000 ] a następnie kliknij [Author ID1: at Wed Oct 4 13:04:00 2000 ]naciśnij [Author ID1: at Wed Oct 4 13:04:00 2000 ]pozycję Kopia zapasowa[Author ID1: at Wed Oct 4 06:56:00 2000 ] ([Author ID1: at Wed Oct 4 06:56:00 2000 ]Backup)[Author ID1: at Wed Oct 4 06:56:00 2000 ]Backup[Author ID1: at Wed Oct 4 06:56:00 2000 ].

2. Wybierz zakładkę Odtwarzanie (R[Author ID1: at Wed Oct 4 06:56:00 2000 ]Restore).

3. Prawym klawiszem [Author ID1: at Wed Oct 4 13:03:00 2000 ]przyciskiem [Author ID1: at Wed Oct 4 13:03:00 2000 ]myszki kliknij gałąź Plik (File) i z menu wybierz pozycję P[Author ID1: at Wed Oct 4 06:56:00 2000 ]p[Author ID1: at Wed Oct 4 06:56:00 2000 ]lik wykazu (C[Author ID1: at Wed Oct 4 06:56:00 2000 ]Catalog file). Pojawi się okno przedstawione na rysunku 5.8.

4. Podaj ścieżkę do pliku kopii zapasowej lub potwierdź ustawienia domyślne.

5. Rozwiń gałąź Plik (File) i sprawdź zaszyfrowany plik, folder lub wolumin, który ma być odtworzony.

6. Plik będzie odtwarzany do lokalizacji alternatywnej. W polu listy (list box) Przywróć pliki do (R[Author ID1: at Wed Oct 4 06:56:00 2000 ]Restore files to) wybierz opcję Lokalizacja Alternatywna (A[Author ID1: at Wed Oct 4 06:57:00 2000 ]Alternate Location).

7. W polu tekstowym Lokalizacja Alternatywna (Alternate location) [Author ID1: at Wed Oct 4 06:57:00 2000 ]podaj nazwę foldera, do którego będzie odtwarzany zaszyfrowany plik, folder lub wolumin.

8. Naciśnij przycisk Rozpocznij (S[Author ID1: at Wed Oct 4 06:57:00 2000 ]Start R[Author ID1: at Wed Oct 4 06:57:00 2000 ]r[Author ID1: at Wed Oct 4 06:57:00 2000 ]estore).

9. Naciśnij przycisk Zaawansowane (Advanced[Author ID1: at Wed Oct 4 06:57:00 2000 ]Advanced[Author ID1: at Wed Oct 4 06:57:00 2000 ]). Upewnij się, czy zaznaczono pole wyboru Przywróć Zabezpieczenia (R[Author ID1: at Wed Oct 4 06:57:00 2000 ]Restore SS[Author ID1: at Wed Oct 4 06:57:00 2000 ]ecurity). Naciśnij przycisk OK.

10. Naciśnij przycisk OK, potwierdzając w ten sposób proces odtwarzania.

11. Naciśnij przycisk OK aby potwierdzić plik kopii zapasowej. Po zakończeniu odtwarzania naciśnij Raport (R[Author ID1: at Wed Oct 4 06:57:00 2000 ]Report). Powinno pojawić się okno podobne do przedstawionego na rysunku 5.9. Sprawdź, czy wszystko jest w porządku,[Author ID1: at Wed Oct 4 06:57:00 2000 ] a następnie zamknij okno.

Rysunek 5.8.[Author ID1: at Wed Oct 4 06:57:00 2000 ] Okno dialogowe funkcji odtwarzania systemu Windows 2000 Nazwa Pliku Kopii Zapasowej (B[Author ID0: at Thu Nov 30 00:00:00 1899 ]Backup F[Author ID0: at Thu Nov 30 00:00:00 1899 ]File N[Author ID0: at Thu Nov 30 00:00:00 1899 ]Name)

Rysunek 5.9.[Author ID1: at Wed Oct 4 06:58:00 2000 ] Dziennik Kopii Zapasowej (B[Author ID0: at Thu Nov 30 00:00:00 1899 ]Backup Log).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

12. W oknie dialogowym Postęp Przywracania (RR[Author ID1: at Wed Oct 4 06:58:00 2000 ]estore PP[Author ID1: at Wed Oct 4 06:58:00 2000 ]rogress) naciśnij przycisk Zamknij (C[Author ID1: at Wed Oct 4 06:58:00 2000 ]Close).

13. Za pomocą Eksploratora Windows (Windows Explorer) upewnij się, czy zaszyfrowane [Author ID1: at Wed Oct 4 06:58:00 2000 ]pliki i foldery zaszyfrowane [Author ID1: at Wed Oct 4 06:58:00 2000 ]zostały odtworzone prawidłowo.

Odtwarzanie plików do innego komputera

Jeśli zachodzi konieczność korzystania z plików zaszyfrowanych na komputerze innym niż ten, na którym zaszyfrowano te pliki, trzeba zagwarantować, że w tamtym systemie dostępny będzie odpowiedni certyfikat szyfrowania (encryption certificate) i związany z nim klucz prywatny (private key). Można to zrobić za pomocą profilu mobilnego (roaming profile) lub przenosząc klucze ręcznie.

Jeśli użytkownik posiada profil mobilny (roaming profile)[Author ID1: at Wed Oct 4 06:59:00 2000 ], wtedy używane [Author ID1: at Wed Oct 4 06:59:00 2000 ]klucze szyfrowania (encryption keys), których używa,[Author ID1: at Wed Oct 4 06:59:00 2000 ] są jednakowe na wszystkich komputerach, na których się loguje. W tym przypadku można kopiować pliki zaszyfrowane do woluminu NTFS na innym komputerze,[Author ID1: at Wed Oct 4 07:00:00 2000 ] pracującym pod kontrolą systemu Windows 2000,[Author ID1: at Wed Oct 4 07:00:00 2000 ] dokładnie w taki sam sposób,[Author ID1: at Wed Oct 4 07:00:00 2000 ] jakby to były pliki niezaszyfrowane. Należy zwrócić uwagę, że w [Author ID1: at Wed Oct 4 07:00:00 2000 ]pliki w trakcie przechodzenia przez sieć nie są chronione przez System Szyfrowania Plików ([Author ID1: at Wed Oct 4 07:00:00 2000 ]EFS)[Author ID1: at Wed Oct 4 07:01:00 2000 ]. Do szyfrowania[Author ID1: at Wed Oct 4 07:01:00 2000 ]e[Author ID1: at Wed Oct 4 07:01:00 2000 ] sieciowego konieczny jest protokół zabezpieczeń transportu, na przykład [Author ID1: at Wed Oct 4 07:01:00 2000 ]np. [Author ID1: at Wed Oct 4 07:01:00 2000 ]SSL.

Aby przenieść klucze ręcznie, najpierw należy zrobić kopię zapasową certyfikatu szyfrowania (encryption certificate) i klucza prywatnego (private key),[Author ID1: at Wed Oct 4 07:01:00 2000 ] a następnie odtworzyć je na innym komputerze.

Wykonywanie kopii zapasowej certyfikatu szyfrowania (encryption certificate) i klucza prywatnego (private key) użytkownika

Kopię zapasową certyfikatu szyfrowania (encryption certificate) [Author ID1: at Wed Oct 4 07:01:00 2000 ]i klucza prywatnego (private key)[Author ID1: at Wed Oct 4 07:01:00 2000 ] użytkownika wykonuje się zgodnie z poniższą procedurą. Są to cenne elementy. Należy konieczne zadbać, aby dysk kopii zapasowej był przechowywany w bezpiecznym miejscu nawet, jeśli zapisane na nim dane są zaszyfrowane.

1. Uruchom konsolę MMC (Microsoft Management Console) i dodaj autonomiczny moduł dodatkowy (standalone snap-in) Certyfikaty (C[Author ID1: at Wed Oct 4 07:02:00 2000 ]Certificates). Po pojawieniu się monitu wybierz opcję Moje Konto Użytkownika (M[Author ID1: at Wed Oct 4 07:02:00 2000 ]My User Account), naciśnij przycisk Zakończ (F[Author ID1: at Wed Oct 4 07:02:00 2000 ]Finish), potem naciśnij przycisk [Author ID1: at Wed Oct 4 07:02:00 2000 ]Zamknij (C[Author ID1: at Wed Oct 4 07:02:00 2000 ]Close),[Author ID1: at Wed Oct 4 07:02:00 2000 ] a na koniecu[Author ID1: at Wed Oct 4 07:02:00 2000 ] naciśnij przycisk[Author ID1: at Wed Oct 4 07:02:00 2000 ] OK.

2. Rozwiń gałęzie Certyfikaty [Author ID1: at Wed Oct 4 07:03:00 2000 ]-[Author ID1: at Wed Oct 4 07:03:00 2000 ]— [Author ID1: at Wed Oct 4 07:03:00 2000 ]bieżący użytkownik, Osobiste (C[Author ID1: at Wed Oct 4 07:03:00 2000 ]Certificates -[Author ID1: at Wed Oct 4 07:03:00 2000 ]— [Author ID1: at Wed Oct 4 07:03:00 2000 ]C[Author ID1: at Wed Oct 4 07:03:00 2000 ]c[Author ID1: at Wed Oct 4 07:03:00 2000 ]urrent U[Author ID1: at Wed Oct 4 07:03:00 2000 ]u[Author ID1: at Wed Oct 4 07:03:00 2000 ]ser, PP[Author ID1: at Wed Oct 4 07:03:00 2000 ]ersonal) i wybierz pozycję Certyfikaty (C[Author ID1: at Wed Oct 4 07:03:00 2000 ]Certificates).

3. Kliknij każdy z certyfikatów, który chcesz wyeksportować prawym przyciskiem[Author ID1: at Wed Oct 4 13:08:00 2000 ]klawiszem[Author ID1: at Wed Oct 4 13:08:00 2000 ] myszki, z menu wybierz opcję Wszystkie zadania (A[Author ID1: at Wed Oct 4 07:03:00 2000 ]All T[Author ID1: at Wed Oct 4 07:03:00 2000 ]t[Author ID1: at Wed Oct 4 07:03:00 2000 ]asks),[Author ID1: at Wed Oct 4 07:03:00 2000 ] a następnie wybierz opcję Eksportuj (E[Author ID1: at Wed Oct 4 07:03:00 2000 ]Export). Uruchomiony zostanie Kreator Eksportu Certyfikatów (K[Author ID1: at Wed Oct 4 07:03:00 2000 ]Certificate Export Wizard).

4. Nacis[Author ID1: at Wed Oct 4 07:04:00 2000 ]śnij[Author ID1: at Wed Oct 4 07:04:00 2000 ]k[Author ID1: at Wed Oct 4 07:04:00 2000 ] przycisk Dalej (N[Author ID1: at Wed Oct 4 07:04:00 2000 ]Next).

5. Zaznacz opcję Tak, eksportuj klucz prywatny (Yes, export the private key). Naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 07:04:00 2000 ](Next)[Author ID1: at Wed Oct 4 07:04:00 2000 ].

6. Pojawi się okno dialogowe Format Pliku Eksportowanego (E[Author ID1: at Wed Oct 4 07:04:00 2000 ]Export F[Author ID1: at Wed Oct 4 07:04:00 2000 ]File F[Author ID1: at Wed Oct 4 07:04:00 2000 ]Format), przedstawione na rysunku 5.10. Domyślnie formatem eksportu jest Wymiana informacji osobistych -[Author ID1: at Wed Oct 4 07:04:00 2000 ]—[Author ID1: at Wed Oct 4 07:04:00 2000 ] PKCS #12 (..[Author ID1: at Wed Oct 4 07:06:00 2000 ]PFX) (PP[Author ID1: at Wed Oct 4 07:04:00 2000 ]ersonal i[Author ID1: at Wed Oct 4 07:04:00 2000 ]I[Author ID1: at Wed Oct 4 07:04:00 2000 ]nformation E[Author ID1: at Wed Oct 4 07:04:00 2000 ]e[Author ID1: at Wed Oct 4 07:04:00 2000 ]xchange [Author ID1: at Wed Oct 4 07:06:00 2000 ]-[Author ID1: at Wed Oct 4 07:06:00 2000 ]— [Author ID1: at Wed Oct 4 07:06:00 2000 ]PKCS#12), z włączoną mocną ochroną (strong protection). Naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 07:06:00 2000 ](Next)[Author ID1: at Wed Oct 4 07:06:00 2000 ].

7. Podaj hasło chroniące plik PFX. Naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 07:07:00 2000 ](Next)[Author ID1: at Wed Oct 4 07:07:00 2000 ].

8. Podaj ścieżkę i nazwę pliku na dysku, na którym mają być zapisane dane w formacie PFX (na przykład [Author ID1: at Wed Oct 4 07:07:00 2000 ]np. [Author ID1: at Wed Oct 4 07:07:00 2000 ]D:\secure_docs\data.pfx). Naciśnij przycisk Dalej (N[Author ID1: at Wed Oct 4 07:07:00 2000 ]n[Author ID1: at Wed Oct 4 07:07:00 2000 ]ext).

9. Pojawi się lista ustawień. Potwierdź je,[Author ID1: at Wed Oct 4 07:07:00 2000 ] naciskając przycisk Zakończ (F[Author ID1: at Wed Oct 4 07:07:00 2000 ]Finish).

10. Aby zamknąć kreatora (W[Author ID1: at Wed Oct 4 07:07:00 2000 ]w[Author ID1: at Wed Oct 4 07:07:00 2000 ]izard),[Author ID1: at Wed Oct 4 07:07:00 2000 ] naciśnij przycisk OK.

Rysunek 5.10.[Author ID1: at Wed Oct 4 07:07:00 2000 ] Okno dialogowe Format Pliku Eksportowanego (E[Author ID0: at Thu Nov 30 00:00:00 1899 ]Export FF[Author ID0: at Thu Nov 30 00:00:00 1899 ]ile F[Author ID0: at Thu Nov 30 00:00:00 1899 ]Format).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

W ten sposób certyfikat szyfrowania (encryption certificate) i klucz prywatny (private key) zostaną wyeksportowane do pliku PFX, który może być przesłany do innego komputera.

Odtwarzanie certyfikatu szyfrowania (encryption certificate) i klucza prywatnego (private key) użytkownika na innym komputerze

W przykładzie opisanym poniżej do przenoszenia pliku PFX wykorzystano dyskietkę. Należy zwrócić uwagę, że plik PFX zawiera bardzo ważne informacje. Po zapisaniu na dyskietce pozostaje on [Author ID1: at Wed Oct 4 07:08:00 2000 ]zaszyfrowany, więc jest bezpieczny nawet,[Author ID1: at Wed Oct 4 07:09:00 2000 ] jeśli dyskietka zostanie zgubiona lub skradziona. Plik przesyłany przez sieć ma postać zwykłego tekstu, o ile nie korzysta się z zabezpieczeń sieciowych, takich jak SSL. Z tego względu nie należy przesyłać plików PFX--> [Author ID1: at Wed Oct 4 07:09:00 2000 ]przez sieć, jeżeli[Author ID1: at Wed Oct 4 07:09:00 2000 ] o ile[Author ID1: at Wed Oct 4 07:09:00 2000 ] nie ma pewności, że sieć [Author ID1: at Wed Oct 4 07:09:00 2000 ]jest ona [Author ID1: at Wed Oct 4 07:09:00 2000 ]bezpieczna. Po przeniesieniu pliku zaleca się ponowne sformatowanie dyskietki.

Odtwarzanie wykonuje się w następujący sposób:

1. Zapisz kopię pliku PFX na dyskietkę i przenieś ją do komputera, na którym ma być wykonany import certyfikatu szyfrowania (encryption certificate) i klucza prywatnego (private key).

2. Uruchom na tym komputerze moduł dodatkowy (snap-in) konsoli MMC Ce[Author ID0: at Thu Nov 30 00:00:00 1899 ]Ce[Author ID1: at Wed Oct 4 07:09:00 2000 ]rtyfikaty ( [Author ID1: at Wed Oct 4 05:48:00 2000 ]([Author ID1: at Wed Oct 4 05:48:00 2000 ]C[Author ID1: at Wed Oct 4 07:10:00 2000 ]Certificates).

3. Prawym [Author ID1: at Wed Oct 4 13:08:00 2000 ]przyciskiem [Author ID1: at Wed Oct 4 13:09:00 2000 ]myszki [Author ID1: at Wed Oct 4 13:08:00 2000 ]K[Author ID1: at Wed Oct 4 13:09:00 2000 ]k[Author ID1: at Wed Oct 4 13:09:00 2000 ]liknij składnicę (store) Osobiste (P[Author ID1: at Wed Oct 4 07:10:00 2000 ]Personal),[Author ID1: at Wed Oct 4 13:06:00 2000 ] —[Author ID1: at Wed Oct 4 13:06:00 2000 ] tzn. kontener Certyfikaty (Certificates) [Author ID1: at Wed Oct 4 07:10:00 2000 ]w gałęzi Osobiste [Author ID1: at Wed Oct 4 07:10:00 2000 ](Personal) [Author ID1: at Wed Oct 4 07:10:00 2000 ]—[Author ID1: at Wed Oct 4 13:09:00 2000 ] prawym klawiszem myszki[Author ID1: at Wed Oct 4 13:08:00 2000 ], w menu kliknij [Author ID1: at Wed Oct 4 13:04:00 2000 ]włącz [Author ID1: at Wed Oct 4 13:04:00 2000 ]pozycję Wszystkie zadania (A[Author ID1: at Wed Oct 4 07:10:00 2000 ]All T[Author ID1: at Wed Oct 4 07:10:00 2000 ]t[Author ID1: at Wed Oct 4 07:10:00 2000 ]asks), a następnie wybierz opcję Import.

4. Uruchomi się Kreator Importu Certyfikatów (CC[Author ID1: at Wed Oct 4 07:10:00 2000 ]ertificate II[Author ID1: at Wed Oct 4 07:10:00 2000 ]mport W[Author ID1: at Wed Oct 4 07:10:00 2000 ]Wizard). Naciśnij przycisk Dalej (N[Author ID1: at Wed Oct 4 07:10:00 2000 ]Next) i [Author ID1: at Wed Oct 4 07:10:00 2000 ]. P[Author ID1: at Wed Oct 4 07:10:00 2000 ]p[Author ID1: at Wed Oct 4 07:10:00 2000 ]odaj plik, który ma być zaimportowany, np.[Author ID1: at Wed Oct 4 07:10:00 2000 ] (na przykład[Author ID1: at Wed Oct 4 07:10:00 2000 ] a:\data.pfx)[Author ID1: at Wed Oct 4 07:11:00 2000 ].

5. Wpisz hasło,[Author ID1: at Wed Oct 4 07:11:00 2000 ] aby odczytać dane z pliku PFX. Upewnij się, czy zaznaczono odpowiednie pola wyboru, jak przedstawiono na rysunku 5.11. Naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 07:11:00 2000 ](Next)[Author ID1: at Wed Oct 4 07:11:00 2000 ].

6. Zaimportuj dane do składnicy (store) [Author ID1: at Wed Oct 4 07:11:00 2000 ]Osobiste [Author ID1: at Wed Oct 4 07:11:00 2000 ](Personal)[Author ID1: at Wed Oct 4 07:11:00 2000 ], jak przedstawiono to na rysunku 5.12. Naciśnij przycisk Dalej[Author ID1: at Wed Oct 4 07:11:00 2000 ]j[Author ID1: at Wed Oct 4 07:11:00 2000 ].[Author ID1: at Wed Oct 4 07:11:00 2000 ] [Author ID1: at Wed Oct 4 07:11:00 2000 ](Next).[Author ID1: at Wed Oct 4 07:11:00 2000 ]

7. Naciśnij przycisk Zakończ (Finish). Jeśli chcesz zmienić poziom zabezpieczeń (security level), naciśnij przycisk Ustaw Poziom Zabezpieczeń (S[Author ID1: at Wed Oct 4 07:12:00 2000 ]Set S[Author ID1: at Wed Oct 4 07:12:00 2000 ]Security L[Author ID1: at Wed Oct 4 07:12:00 2000 ]Level). Ustawiony domyślnie poziom Średni (M[Author ID1: at Wed Oct 4 07:12:00 2000 ]Medium) w większości przypadków jest wystarczający.

8. Aby rozpocząć import,[Author ID1: at Wed Oct 4 07:12:00 2000 ] naciśnij przycisk OK. Po zakończeniu importowania zamknij Kreatora (W[Author ID1: at Wed Oct 4 07:12:00 2000 ]Wizard),[Author ID1: at Wed Oct 4 07:13:00 2000 ] naciskając przycisk OK.

Mając dostępne te same klucze na dwóch komputerach,[Author ID1: at Wed Oct 4 07:13:00 2000 ] można przesyłać pliki zaszyfrowane dokładnie w ten sam sposób, w jaki przesyła się pliki niezaszyfrowane. Należy jednak pamiętać o podanych wcześniej ostrzeżeniach. Pliki zaszyfrowane w systemie EFS domyślnie są przesyłane przez sieć w postaci zwykłego tekstu,[Author ID1: at Wed Oct 4 07:14:00 2000 ] a do ich ochrony konieczny jest protokół zabezpieczeń sieciowych (network security protocol).

Uwaga: Procedury opisane do tej pory w niniejszym rozdziale mogą być wykonane przez zwykłego użytkownika, chociaż tacy użytkownicy nie korzystają powszechnie z wiersza[Author ID1: at Wed Oct 4 07:14:00 2000 ] poleceń (command prompt). Następne procedury będą procedurami administracyjnymi, które może wykonać administrator lokalny,[Author ID1: at Wed Oct 4 07:14:00 2000 ] lub[Author ID1: at Wed Oct 4 07:14:00 2000 ] administrator domeny lub osoby, którym administrator nadał odpowiednie uprawnienia.

Rysunek 5.11.[Author ID1: at Wed Oct 4 07:14:00 2000 ] Rozwinięcie (unwrapping) pliku danych PFX

.[Author ID0: at Thu Nov 30 00:00:00 1899 ]Rysunek 5.12.[Author ID1: at Wed Oct 4 07:15:00 2000 ] Importowanie danych do magazynu (store) Osobiste (Personal[Author ID0: at Thu Nov 30 00:00:00 1899 ]Personal[Author ID1: at Wed Oct 4 07:15:00 2000 ]).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Zabezpieczenia domyślnego klucza odzyskiwania na pojedynczym komputerze

Domyślne zasady odzyskiwania (recovery policy) są ustanawiane na każdym z komputerów indywidualnych jako część pierwszego logowania administratora lokalnego. Zasady te (policy[Author ID1: at Wed Oct 4 07:15:00 2000 ]policies[Author ID1: at Wed Oct 4 07:15:00 2000 ]) stanowią, że administrator lokalny (local administrator) jest domyślnym agentem odzyskiwania dla danego komputera. W procedurze opisanej poniżej zasada ta zostanie zmieniona tak,[Author ID1: at Wed Oct 4 07:15:00 2000 ] by na komputerze indywidualnym (standalone computer) nie było certyfikatu odzyskiwania (restore certificate) umożliwiającego[Author ID1: at Wed Oct 4 07:15:00 2000 ] kontrolowanie tożsamości agenta odzyskiwania (recovery agent) za pomocą dyskietki przechowywanej w miejscu zabezpieczonym:

1. Na komputerze indywidualnym otwórz konsolę MMC i dodaj moduł dodatkowy Zasady Grupowe (Group Policy).

2. Rozwiń gałęzie Zasady Komputera Lokalnego (LL[Author ID1: at Wed Oct 4 07:16:00 2000 ]ocal CC[Author ID1: at Wed Oct 4 07:16:00 2000 ]omputer P[Author ID1: at Wed Oct 4 07:16:00 2000 ]Policy), Konfiguracja Komputera (C[Author ID1: at Wed Oct 4 07:16:00 2000 ]Computer CC[Author ID1: at Wed Oct 4 07:16:00 2000 ]onfiguration), Ustawienia Systemu Windows (Windows S[Author ID1: at Wed Oct 4 07:16:00 2000 ]Settings), Ustawienia Zabezpieczeń (S[Author ID1: at Wed Oct 4 07:16:00 2000 ]Security SS[Author ID1: at Wed Oct 4 07:16:00 2000 ]ettings), P[Author ID3: at Wed Oct 4 07:36:00 2000 ]Zasady [Author ID1: at Wed Oct 4 07:35:00 2000 ]Klucza [Author ID1: at Wed Oct 4 07:35:00 2000 ]Publicznego[Author ID1: at Wed Oct 4 07:35:00 2000 ] ([Author ID1: at Wed Oct 4 07:35:00 2000 ]Public K[Author ID0: at Thu Nov 30 00:00:00 1899 ]Key PP[Author ID0: at Thu Nov 30 00:00:00 1899 ]olicies)[Author ID1: at Wed Oct 4 07:36:00 2000 ]--> [Author ID3: at Wed Oct 4 07:36:00 2000 ][Author ID3: at Wed Oct 4 07:36:00 2000 ]-->,[Author ID1: at Wed Oct 4 07:16:00 2000 ][Author ID3: at Wed Oct 4 07:36:00 2000 ] [Author ID1: at Wed Oct 4 07:16:00 2000 ]a następnie zaznacz pozycję Agenci Odzyskiwania Danych Zaszyfrowanych (E[Author ID1: at Wed Oct 4 07:16:00 2000 ]Encrypted D[Author ID1: at Wed Oct 4 07:16:00 2000 ]Data R[Author ID1: at Wed Oct 4 07:16:00 2000 ]Recovery A[Author ID1: at Wed Oct 4 07:17:00 2000 ]Agents). Wśród zasad znajduje się podpisany przez siebie certyfikat administratora (self-signed A[Author ID1: at Wed Oct 4 07:18:00 2000 ]a[Author ID1: at Wed Oct 4 07:18:00 2000 ]dministrator certificate), który stanowi, że domyślnym agentem odzyskiwania (recovery agent) będzie administrator lokalny.

3. Minimalizuj to okno.

4. Uruchom moduł dodatkowy (snap-in) konsoli MMC Certyfikaty (CC[Author ID1: at Wed Oct 4 07:18:00 2000 ]ertificates).

5. W magazynie (store) Osobiste (P[Author ID1: at Wed Oct 4 07:18:00 2000 ]Personal),[Author ID1: at Wed Oct 4 07:18:00 2000 ] zlokalizuj certyfikat, który w polu listy (list box) Cele Certyfikatu (C[Author ID1: at Wed Oct 4 07:18:00 2000 ]Certificate Purposes) ma zapisane Odzyskiwanie Plików (F[Author ID1: at Wed Oct 4 07:18:00 2000 ]File R[Author ID1: at Wed Oct 4 07:19:00 2000 ]Recovery), jak przedstawiono to na rysunku 5.13. Eksportuj ten certyfikat i klucz prywatny (private key) do pliku PFX na dyskietce.

6. Przywróć okno modułu dodatkowego (snap-in) Zasady Grupowe (Group Policy) i usuń samopodpisany certyfikat administratora (self-signed Administrator certificate)[Author ID1: at Wed Oct 4 07:19:00 2000 ]. Rysunek 5.14 przedstawia wynik tej operacji. Należy zwrócić uwagę, że magazyn (store) [Author ID1: at Wed Oct 4 07:19:00 2000 ]Agenci odzyskiwania danych zaszyfrowanych (Encrypted Data Recovery Agent[Author ID1: at Wed Oct 4 07:19:00 2000 ]s) [Author ID1: at Wed Oct 4 07:19:00 2000 ]nie zawiera żadnych certyfikatów. Po usunięciu certyfikatu nie ma zasad odzyskiwania (recovery policy), co spowodowało wyłączenie Systemu Szyfrowania Plików (EFS). System ten [Author ID1: at Wed Oct 4 07:20:00 2000 ]EFS [Author ID1: at Wed Oct 4 07:20:00 2000 ]nie zezwala na szyfrowanie danych,[Author ID1: at Wed Oct 4 07:20:00 2000 ] jeśli nie skonfigurowano żadnego agenta odzyskiwania (recovery agent).

7. Usuń także certyfikat i związany z nim klucz prywatny (private key) z magazynu (store) [Author ID1: at Wed Oct 4 07:20:00 2000 ]Osobiste [Author ID1: at Wed Oct 4 07:20:00 2000 ](Personal) [Author ID1: at Wed Oct 4 07:20:00 2000 ] [Author ID1: at Wed Oct 4 07:20:00 2000 ]modułu dodatkowego (snap-in) konsoli MMC Certyfikaty [Author ID1: at Wed Oct 4 07:20:00 2000 ](Certificates)[Author ID1: at Wed Oct 4 07:20:00 2000 ]. W ten sposób zagwarantujemy, że jedyna kopia klucza znajduje się w pliku PFX.

8. Zamknij obydwa moduły dodatkowe (snap-ins).

9. Przechowuj dyskietkę zawierającą plik PFX w kasie pancernej lub zamykanych szafkach i korzystaj z niej, gdy[Author ID1: at Wed Oct 4 07:20:00 2000 ] kiedy[Author ID1: at Wed Oct 4 07:20:00 2000 ] zachodzi konieczność odzyskania pliku.

Rysunek 5.13.[Author ID1: at Wed Oct 4 07:20:00 2000 ] Lokalizacja Certyfikaty Odzyskiwanie Pliku (F[Author ID0: at Thu Nov 30 00:00:00 1899 ]File R[Author ID0: at Thu Nov 30 00:00:00 1899 ]Recovery).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Rysunek 5.14.[Author ID1: at Wed Oct 4 07:21:00 2000 ] Usunięte zasady (policies[Author ID1: at Wed Oct 4 07:21:00 2000 ]y[Author ID0: at Thu Nov 30 00:00:00 1899 ]) Agentów Odzyskiwania Danych Zaszyfrowanych (EE[Author ID0: at Thu Nov 30 00:00:00 1899 ]ncrypted D[Author ID0: at Thu Nov 30 00:00:00 1899 ]Data R[Author ID0: at Thu Nov 30 00:00:00 1899 ]Recovery A[Author ID0: at Thu Nov 30 00:00:00 1899 ]Agents).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Zabezpieczanie domyślnego klucza odzyskiwania (recovery key) dla domeny

Domyślne zasady odzyskiwania dla domeny są ustanawiane w sytuacji, gdy[Author ID1: at Wed Oct 4 07:21:00 2000 ] kiedy[Author ID1: at Wed Oct 4 07:21:00 2000 ] konfigurowany jest pierwszy kontroler domeny,[Author ID1: at Wed Oct 4 07:22:00 2000 ] —[Author ID1: at Wed Oct 4 07:22:00 2000 ] tak samo,[Author ID1: at Wed Oct 4 07:22:00 2000 ] jak jest to w przypadku komputera autonomicznego (standalone computer). Domyślne zasady odzyskiwania (recovery policies[Author ID1: at Wed Oct 4 07:22:00 2000 ]y[Author ID1: at Wed Oct 4 07:22:00 2000 ]) korzystają z podpisanych przez siebie certyfikatów (self-signed certificate) do uczynienia konta administratora domeny (domain Administrator [Author ID1: at Wed Oct 4 07:22:00 2000 ]administrator [Author ID1: at Wed Oct 4 07:22:00 2000 ]account) agentem odzyskiwania (recovery agent).

Aby zmienić ustawienia domyślne trzeba zalogować się na pierwszym kontrolerze domeny (domain controller) w danej domenie i kontynuować zgodnie z opisaną wcześniej procedurą dla komputera autonomicznego (Standalone [Author ID1: at Wed Oct 4 07:22:00 2000 ]standalone [Author ID1: at Wed Oct 4 07:22:00 2000 ]computer). W ten sposób zostanie zabezpieczony klucz odzyskiwania (recovery key) [Author ID1: at Wed Oct 4 07:23:00 2000 ]dla domeny.

Dodawanie agentów odzyskiwania (r[Author ID1: at Wed Oct 4 07:23:00 2000 ]R[Author ID1: at Wed Oct 4 07:23:00 2000 ]ecovery a[Author ID1: at Wed Oct 4 07:23:00 2000 ]A[Author ID1: at Wed Oct 4 07:23:00 2000 ]gents)

W sytuacji, w której — [Author ID1: at Wed Oct 4 07:23:00 2000 ]zgodnie z prawem lub przepisami wewnętrznymi przedsiębiorstwa —[Author ID1: at Wed Oct 4 07:23:00 2000 ],[Author ID1: at Wed Oct 4 07:23:00 2000 ] dla danej domeny koniecznych jest kilku agentów odzyskiwania (recovery agents) lub agentem odzyskiwania (recover[Author ID1: at Wed Oct 4 07:23:00 2000 ]y agent) [Author ID1: at Wed Oct 4 07:23:00 2000 ]musi być ktoś inny niż administrator domeny, może zajść konieczność ustanowienia agentami odzyskiwania (recovery agents) [Author ID1: at Wed Oct 4 07:23:00 2000 ]konkretnych użytkowników.

Aby to zrealizować, muszą zostać zakończone następujące operacje:

• M[Author ID1: at Wed Oct 4 07:23:00 2000 ]m[Author ID1: at Wed Oct 4 07:23:00 2000 ]usi zostać zainstalowana Jednostka Certyfikująca Przedsiębiorstwa (EE[Author ID1: at Wed Oct 4 07:24:00 2000 ]nterprise c[Author ID1: at Wed Oct 4 07:24:00 2000 ]C[Author ID1: at Wed Oct 4 07:24:00 2000 ]ertificate a[Author ID1: at Wed Oct 4 07:24:00 2000 ]A[Author ID1: at Wed Oct 4 07:24:00 2000 ]uthority [Author ID1: at Wed Oct 4 07:24:00 2000 ]-[Author ID1: at Wed Oct 4 07:24:00 2000 ]— [Author ID1: at Wed Oct 4 07:24:00 2000 ]CA), o ile takiej jednostki nie ma,[Author ID1: at Wed Oct 4 07:24:00 2000 ].[Author ID1: at Wed Oct 4 07:24:00 2000 ]

• k[Author ID1: at Wed Oct 4 07:24:00 2000 ]K[Author ID1: at Wed Oct 4 07:24:00 2000 ]ażdy użytkownik musi zażądać certyfikatu odzyskiwania plików (file recovery certificate),[Author ID1: at Wed Oct 4 07:24:00 2000 ].[Author ID1: at Wed Oct 4 07:24:00 2000 ]

• D[Author ID1: at Wed Oct 4 07:24:00 2000 ]d[Author ID1: at Wed Oct 4 07:24:00 2000 ]obrym rozwiązaniem jest utworzenie grupy, na przykład [Author ID1: at Wed Oct 4 07:24:00 2000 ]np. [Author ID1: at Wed Oct 4 07:24:00 2000 ]Agenci Odzyskiwania (RR[Author ID1: at Wed Oct 4 07:24:00 2000 ]ecovery A[Author ID1: at Wed Oct 4 07:24:00 2000 ]Agents),[Author ID1: at Wed Oct 4 07:24:00 2000 ] i umieszczenie w tej grupie kont wyznaczonych użytkowników. Grupie tej można nadać odpowiednie prawa i uprawnienia dla operacji, na przykład[Author ID1: at Wed Oct 4 07:25:00 2000 ]np.[Author ID1: at Wed Oct 4 07:25:00 2000 ] nadanie uprawnienia do zapisywania w udziale sieciowym (network share), w którym mogą być przechowywane pliki certyfikatów.

Instalowanie jednostki certyfikującej przedsiębiorstwa (Enterprise [Author ID1: at Wed Oct 4 07:25:00 2000 ]enterprise [Author ID1: at Wed Oct 4 07:25:00 2000 ]CA)

Instalowanie jednostki certyfikującej w przedsiębiorstwie przebiega następująco:

1. Zaloguj się do dowolnego kontrolera domeny.

2. W oknie Panel SS[Author ID3: at Wed Oct 4 07:34:00 2000 ]terowania (C[Author ID1: at Wed Oct 4 07:25:00 2000 ]Control PP[Author ID1: at Wed Oct 4 07:25:00 2000 ]anel) wybierz pozycję Dodaj/Usuń programy (A[Author ID1: at Wed Oct 4 07:25:00 2000 ]Add/R[Author ID1: at Wed Oct 4 07:25:00 2000 ]Remove P[Author ID1: at Wed Oct 4 07:25:00 2000 ]p[Author ID1: at Wed Oct 4 07:25:00 2000 ]rograms).

3. Wybierz do instalowania usługę Serwer Certyfikatów (C[Author ID1: at Wed Oct 4 07:25:00 2000 ]Certificate SS[Author ID1: at Wed Oct 4 07:25:00 2000 ]erver) i wykonaj kolejne kroki [Author ID1: at Wed Oct 4 07:25:00 2000 ]czynności [Author ID1: at Wed Oct 4 07:25:00 2000 ]instalowania jednostki certyfikującej przedsiębiorstwa (E[Author ID1: at Wed Oct 4 07:25:00 2000 ]e[Author ID1: at Wed Oct 4 07:25:00 2000 ]nterprise CA).

Rozwiązania pokrewne z[Author ID1: at Wed Oct 4 07:26:00 2000 ] Z[Author ID1: at Wed Oct 4 07:26:00 2000 ]obacz na stronie:

Instalowanie jednostki certyfikującej

Żądanie certyfikatu odzyskiwania plików

Każdy z wyznaczonych użytkowników powinien zalogować się do domeny i postępować według następującej procedury:

1. Uruchom moduł dodatkowy (snap-in) konsoli MMC Certyfikaty (C[Author ID1: at Wed Oct 4 07:26:00 2000 ]Certificates).

2. Kliknij [Author ID1: at Wed Oct 4 13:06:00 2000 ]Wybierz [Author ID1: at Wed Oct 4 13:06:00 2000 ]magazyn (store) Osobiste ([Author ID1: at Wed Oct 4 13:05:00 2000 ]P[Author ID1: at Wed Oct 4 07:26:00 2000 ]ersonal) [Author ID1: at Wed Oct 4 13:05:00 2000 ]prawymprzyciskiem [Author ID1: at Wed Oct 4 13:09:00 2000 ] klawiszem [Author ID1: at Wed Oct 4 13:09:00 2000 ]myszki, potem [Author ID1: at Wed Oct 4 13:06:00 2000 ]z menu wybierz [Author ID1: at Wed Oct 4 13:06:00 2000 ]włącz [Author ID1: at Wed Oct 4 13:06:00 2000 ]pozycję Wszystkie zadania (A[Author ID1: at Wed Oct 4 07:26:00 2000 ]All T[Author ID1: at Wed Oct 4 07:26:00 2000 ]t[Author ID1: at Wed Oct 4 07:26:00 2000 ]asks),[Author ID1: at Wed Oct 4 07:26:00 2000 ] a następnie kliknij [Author ID1: at Wed Oct 4 13:05:00 2000 ]opcję Żądaj Nowego Certyfikatu (R[Author ID1: at Wed Oct 4 07:26:00 2000 ]Request NN[Author ID1: at Wed Oct 4 07:26:00 2000 ]ew C[Author ID1: at Wed Oct 4 07:26:00 2000 ]Certificate). Uruchomiony zostanie Kreator Żądania Certyfikatów (C[Author ID1: at Wed Oct 4 07:26:00 2000 ]Certificate R[Author ID1: at Wed Oct 4 07:26:00 2000 ]Request W[Author ID1: at Wed Oct 4 07:26:00 2000 ]Wizard).

3. Pierwsza strona kreatora jest stroną informacyjną. Aby przejść dalej,[Author ID1: at Wed Oct 4 07:26:00 2000 ] naciśnij przycisk Dalej (N[Author ID1: at Wed Oct 4 07:26:00 2000 ]Next).

4. W oknie dialogowym C[Author ID1: at Wed Oct 4 07:28:00 2000 ]Szablon [Author ID1: at Wed Oct 4 07:28:00 2000 ]Certyfikatów[Author ID1: at Wed Oct 4 07:28:00 2000 ]ertificate Template[Author ID1: at Wed Oct 4 07:28:00 2000 ] (C[Author ID1: at Wed Oct 4 07:28:00 2000 ]Certificates[Author ID1: at Wed Oct 4 07:28:00 2000 ] TT[Author ID1: at Wed Oct 4 07:28:00 2000 ]emplate) wybierz Agent Odzyskiwania EFS (EFS R[Author ID1: at Wed Oct 4 07:28:00 2000 ]Recovery A[Author ID1: at Wed Oct 4 07:28:00 2000 ]Agent),[Author ID1: at Wed Oct 4 07:28:00 2000 ] a następnie naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 07:28:00 2000 ](Next)[Author ID1: at Wed Oct 4 07:28:00 2000 ].

5. Wprowadź przyjazną nazwę,[Author ID1: at Wed Oct 4 07:28:00 2000 ] aby odróżnić dany certyfikat od innych znajdujących się w magazynie (store). Można również podać opis. Naciśnij przycisk Dalej (Next)[Author ID1: at Wed Oct 4 07:29:00 2000 ].

6. Ostatnia strona przedstawia podsumowanie. Aby uzyskać certyfikat,[Author ID1: at Wed Oct 4 07:29:00 2000 ] naciśnij przycisk Zakończ (Finish[Author ID1: at Wed Oct 4 07:29:00 2000 ]Finish[Author ID1: at Wed Oct 4 07:29:00 2000 ]). Wybierz instalowanie certyfikatu, który zostanie w ten sposób umieszczony w magazynie (store) [Author ID1: at Wed Oct 4 07:29:00 2000 ]Osobiste [Author ID1: at Wed Oct 4 07:29:00 2000 ](Personal)[Author ID1: at Wed Oct 4 07:29:00 2000 ].

Po otrzymaniu certyfikatu odzyskiwania plików (file recovery certificate) należy:

• S[Author ID1: at Wed Oct 4 07:29:00 2000 ]s[Author ID1: at Wed Oct 4 07:29:00 2000 ]kopiować dany certyfikat bez klucza prywatnego (private key) do pliku CER ([Author ID1: at Wed Oct 4 07:29:00 2000 ],[Author ID1: at Wed Oct 4 07:29:00 2000 ]o ile nie został opublikowany w usługach katalogowych)[Author ID1: at Wed Oct 4 07:29:00 2000 ]. Umożliwi to administratorowi domeny dodać go do zasad odzyskiwania (recovery policies[Author ID1: at Wed Oct 4 07:30:00 2000 ]y[Author ID1: at Wed Oct 4 07:30:00 2000 ]),[Author ID1: at Wed Oct 4 07:30:00 2000 ].[Author ID1: at Wed Oct 4 07:30:00 2000 ]

• W[Author ID1: at Wed Oct 4 07:30:00 2000 ]w[Author ID1: at Wed Oct 4 07:30:00 2000 ]yeksportować dany certyfikat z kluczem prywatnym do zabezpieczonego pliku PFX.

Kopiowanie certyfikatu do pliku CER

Poniżej podano procedurę kopiowania certyfikatu do pliku CER.

1. Uruchom moduł dodatkowy (snap-in) konsoli MMC Certyfikaty (C[Author ID1: at Wed Oct 4 07:30:00 2000 ]Certificates) i wybierz certyfikat, który ma być skopiowany.

2. Prawym przyciskiem[Author ID1: at Wed Oct 4 13:09:00 2000 ]klawiszem[Author ID1: at Wed Oct 4 13:09:00 2000 ] myszki kliknij nazwę certyfikatu i z menu wybierz pozycję Wszystkie zadania (A[Author ID1: at Wed Oct 4 07:30:00 2000 ]All t[Author ID1: at Wed Oct 4 07:30:00 2000 ]T[Author ID1: at Wed Oct 4 07:30:00 2000 ]asks).

3. Wybierz opcje Eksportuj (E[Author ID1: at Wed Oct 4 07:30:00 2000 ]Export). Uruchomiony zostanie Kreator Eksportu Certyfikatów (CC[Author ID1: at Wed Oct 4 07:30:00 2000 ]ertificate E[Author ID1: at Wed Oct 4 07:30:00 2000 ]Export WW[Author ID1: at Wed Oct 4 07:30:00 2000 ]izard). Aby rozpocząć eksportowanie,[Author ID1: at Wed Oct 4 07:30:00 2000 ] naciśnij przycisk Dalej (N[Author ID1: at Wed Oct 4 07:30:00 2000 ]Next).

4. Zaznacz opcję [Author ID1: at Wed Oct 4 05:47:00 2000 ] [Author ID1: at Wed Oct 4 05:47:00 2000 ]Nie eksportuj klucza prywatnego („N[Author ID1: at Wed Oct 4 07:31:00 2000 ]No, do not export the private key”[Author ID1: at Wed Oct 4 07:31:00 2000 ]). Naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 07:31:00 2000 ](Next)[Author ID1: at Wed Oct 4 07:31:00 2000 ].

5. Wybierz format pliku CER, na przykład [Author ID1: at Wed Oct 4 07:31:00 2000 ]p. [Author ID1: at Wed Oct 4 07:31:00 2000 ]C[Author ID0: at Thu Nov 30 00:00:00 1899 ]c[Author ID1: at Wed Oct 4 07:31:00 2000 ]ertyfikat X.[Author ID1: at Wed Oct 4 07:31:00 2000 ]509 szyfrowany binarnie algorytmem DER (DER encoded binary X.509). Naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 07:31:00 2000 ](Next)[Author ID1: at Wed Oct 4 07:31:00 2000 ].

6. Podaj ścieżkę pliku do odpowiedniego udziału sieciowego. Naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 07:31:00 2000 ](Next)[Author ID1: at Wed Oct 4 07:31:00 2000 ].

7. Aby wyeksportować certyfikat,[Author ID1: at Wed Oct 4 07:31:00 2000 ] naciśnij przycisk Zakończ (F[Author ID3: at Wed Oct 4 07:31:00 2000 ]Finish),[Author ID1: at Wed Oct 4 07:31:00 2000 ] a potem naciśnij [Author ID3: at Wed Oct 4 07:31:00 2000 ]przycisk OK.

Eksportowanie certyfikatu do zabezpieczonego pliku PFX

Po skopiowaniu certyfikatu do pliku CER [Author ID3: at Wed Oct 4 07:32:00 2000 ], [Author ID1: at Wed Oct 4 07:32:00 2000 ]można wyeksportować go do zabezpieczonego pliku PFX na dyskietce.

1. Postępuj zgodnie z opisem znajdującym się we wcześniejszej części niniejszego rozdziału pod tytułem „Odtwarzanie plików do innego komputera”.

2. Po wyeksportowaniu certyfikatu z kluczem prywatnym (private key) do pliku PFX pamiętaj o usunięciu tego certyfikaty[Author ID3: at Wed Oct 4 07:32:00 2000 ]u[Author ID1: at Wed Oct 4 07:32:00 2000 ] i klucza prywatnego (private key) [Author ID3: at Wed Oct 4 07:32:00 2000 ]z magazynu. Klucz ten jest bardzo ważny,[Author ID1: at Wed Oct 4 07:32:00 2000 ] ponieważ za jego pomocą można odszyfrować każdy z plików zaszyfrowanych, które obejmują dane zasady odzyskiwania (recovery policies[Author ID1: at Wed Oct 4 07:33:00 2000 ]y[Author ID3: at Wed Oct 4 07:33:00 2000 ]).

Konfigurowanie zasad odzyskiwania dla domeny

Po zidentyfikowaniu agentów odzyskiwania (recovery agents) i zapisaniu ich certyfikatów w plikach CER [Author ID3: at Wed Oct 4 07:33:00 2000 ], [Author ID1: at Wed Oct 4 07:33:00 2000 ]administrator domeny może dodać te certyfikaty do zasad odzyskiwania,[Author ID1: at Wed Oct 4 07:34:00 2000 ] (recover[Author ID3: at Wed Oct 4 07:33:00 2000 ]y policy) [Author ID3: at Wed Oct 4 07:33:00 2000 ]w sposób opisany poniżej:

1. Edytuj obiekt zasad grupowych (GPO) Domyślne Zasady Domeny (DD[Author ID3: at Wed Oct 4 07:34:00 2000 ]efault Domain Policy).

2. Rozwiń gałęzie Ustawienia Systemu Windows (Windows SS[Author ID3: at Wed Oct 4 07:34:00 2000 ]ettings), Ustawienia Zabezpieczeń (SS[Author ID3: at Wed Oct 4 07:34:00 2000 ]ecurity SS[Author ID3: at Wed Oct 4 07:34:00 2000 ]ettings), Zasady Klucza Publicznego (PP[Author ID3: at Wed Oct 4 07:34:00 2000 ]ublic K[Author ID3: at Wed Oct 4 07:36:00 2000 ]Key PP[Author ID3: at Wed Oct 4 07:36:00 2000 ]olicies[Author ID1: at Wed Oct 4 07:36:00 2000 ]y[Author ID3: at Wed Oct 4 07:36:00 2000 ]), kliknij prawym przyciskiem [Author ID1: at Wed Oct 4 13:10:00 2000 ]klawiszem [Author ID1: at Wed Oct 4 13:10:00 2000 ]myszki pozycję Agenci Odzyskiwania Danych Zaszyfrowanych (EE[Author ID3: at Wed Oct 4 07:36:00 2000 ]ncrypted DD[Author ID3: at Wed Oct 4 07:36:00 2000 ]ata R[Author ID3: at Wed Oct 4 07:36:00 2000 ]Recovery AA[Author ID3: at Wed Oct 4 07:36:00 2000 ]gents) i z menu wybierz pozycje Dodaj (A[Author ID3: at Wed Oct 4 07:37:00 2000 ]Add), co przedstawiono na rysunku 5.15. Uruchomiony zostanie Kreator Dodawania Agenta Odzyskiwania (A[Author ID3: at Wed Oct 4 07:37:00 2000 ]Add R[Author ID3: at Wed Oct 4 07:37:00 2000 ]Recovery A[Author ID3: at Wed Oct 4 07:37:00 2000 ]Agent W[Author ID3: at Wed Oct 4 07:37:00 2000 ]Wizard).

Rysunek 5.15.[Author ID1: at Wed Oct 4 07:37:00 2000 ] Dodawanie agentów odzyskiwania danych zaszyfrowanych

.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

3. Pierwsza strona jest stroną informacyjną. Naciśnij przycisk Dalej (NN[Author ID3: at Wed Oct 4 07:37:00 2000 ]ext).

4. Teraz można dodać agentów odzyskiwania. Jeśli certyfikaty agentów odzyskiwania są opublikowane w katalogu, skorzystaj z opcji Przeglądaj Katalog (BB[Author ID3: at Wed Oct 4 07:37:00 2000 ]rowse D[Author ID3: at Wed Oct 4 07:37:00 2000 ]Directory). Jeśli nie są opublikowane, skorzystaj z opcji Przeglądaj Foldery (B[Author ID3: at Wed Oct 4 07:37:00 2000 ]Browse F[Author ID3: at Wed Oct 4 07:37:00 2000 ]Folders). W przypadku dodawania z katalogu ustalany jest identyfikator użytkownika dla certyfikatu,[Author ID1: at Wed Oct 4 07:37:00 2000 ] a informacja ta jest umieszczana w kolumnie Użytkownicy (U[Author ID3: at Wed Oct 4 07:38:00 2000 ]Users). W przypadku dodawania z pliku w kolumnie Użytkownicy (Users) [Author ID3: at Wed Oct 4 07:38:00 2000 ]pojawi się informacja Użytkownik_nieznany (User_unknown[Author ID1: at Wed Oct 4 07:38:00 2000 ]USER_UNKNOWN[Author ID3: at Wed Oct 4 07:38:00 2000 ] )[Author ID1: at Wed Oct 4 05:48:00 2000 ])[Author ID1: at Wed Oct 4 05:48:00 2000 ], ponieważ przy dodawaniu certyfikatu z pliku CER nie ma identyfikatora zabezpieczeń (S[Author ID3: at Wed Oct 4 07:38:00 2000 ]s[Author ID1: at Wed Oct 4 07:38:00 2000 ]ecurity I[Author ID3: at Wed Oct 4 07:38:00 2000 ]i[Author ID1: at Wed Oct 4 07:38:00 2000 ]dentifier) właściciela klucza prywatnego (private key). Postępując zgodnie z procedurą opisaną wcześniej,[Author ID1: at Wed Oct 4 07:38:00 2000 ] przyszli agenci odzyskiwania (recovery agents) zapiszą swoje certyfikaty w pliku CER. Dodawanie agentów odzyskiwania z pliku przedstawiono na rysunku 5.16.

5. Dodaj agentów odzyskiwania według potrzeb. Naciśnij przycisk Dalej [Author ID3: at Wed Oct 4 07:39:00 2000 ](Next) [Author ID3: at Wed Oct 4 07:38:00 2000 ]a[Author ID3: at Wed Oct 4 07:39:00 2000 ], a[Author ID1: at Wed Oct 4 07:39:00 2000 ] potem przycisk [Author ID3: at Wed Oct 4 07:39:00 2000 ]Zakończ [Author ID3: at Wed Oct 4 07:39:00 2000 ](Finish)[Author ID3: at Wed Oct 4 07:39:00 2000 ].

Rysunek 5.16.[Author ID1: at Wed Oct 4 07:39:00 2000 ] Dodawanie certyfikatu odzyskiwania z pliku.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Ustawianie zasad odzyskiwania (recovery policies[Author ID1: at Wed Oct 4 07:39:00 2000 ]y[Author ID3: at Wed Oct 4 07:39:00 2000 ]) dla konkretnej jednostki organizacyjnej (OU)

Za pomocą infrastruktury zasad grupowych (Group Policy infrastructure) można ustanowić unikatowe zasady odzyskiwania (recovery policy) dla grup komputerów w danej domenie.

W przypadku jednostki organizacyjnej (OU) nie ma domyślnego obiektu zasad grupowych (Group Policy Object), który można odpowiednio skonfigurować. Z tego względu najpierw należy dodać nowy obiekt zasad grupowych,[Author ID1: at Wed Oct 4 07:39:00 2000 ] (GPO)[Author ID3: at Wed Oct 4 07:39:00 2000 ] wybierając z menu Zasady Grupowe W[Author ID3: at Wed Oct 4 07:40:00 2000 ]Właściwości (Group Policy P[Author ID3: at Wed Oct 4 07:40:00 2000 ]Properties) opcję Nowy (NN[Author ID3: at Wed Oct 4 07:40:00 2000 ]ew). Następnie uruchom Edytor Zasad Grupowych (Group Policy E[Author ID3: at Wed Oct 4 07:40:00 2000 ]Editor) i[Author ID1: at Wed Oct 4 07:40:00 2000 ] a następnie[Author ID3: at Wed Oct 4 07:40:00 2000 ] dla jednostki organizacyjnej (OU) powtarzaj kroki [Author ID3: at Wed Oct 4 07:40:00 2000 ]czynności [Author ID1: at Wed Oct 4 07:40:00 2000 ]opisane powyżej dla gałęzi w domenie.

Odzyskiwanie pliku lub foldera

Jeśli użytkownik zgubi swój klucz, przestanie pracować w danej firmie lub — [Author ID1: at Wed Oct 4 07:41:00 2000 ]jeśli jest to wymagane przez prawo — [Author ID1: at Wed Oct 4 07:41:00 2000 ]może zajść konieczność odzyskania foldera lub pliku przez agentów odzyskiwania (recovery agents). Proces odzyskiwania jest podobny do odszyfrowywania po tym,[Author ID1: at Wed Oct 4 07:41:00 2000 ] jak klucz odzyskiwania jest dostępny w systemie.

Aby odzyskać plik lub folder, należy[Author ID1: at Wed Oct 4 07:41:00 2000 ]:

1. Zapisać[Author ID1: at Wed Oct 4 07:47:00 2000 ]z[Author ID3: at Wed Oct 4 07:47:00 2000 ] kopię zapasową pliku lub foldera w pliku BKF. Procedura opisana została wcześniej w części pod tytułem „Wykonywanie kopii zapasowej zaszyfrowanego foldera lub pliku”.

2. Skopiować[Author ID1: at Wed Oct 4 07:47:00 2000 ]uj[Author ID3: at Wed Oct 4 07:47:00 2000 ] plik BKF do zabezpieczonego komputera agenta odzyskiwania (recovery agent).

3. Agent odzyskiwania (recovery agent) [Author ID3: at Wed Oct 4 07:48:00 2000 ]powinien odtworzyć pliki lub folder z pliku BKF lokalnie w systemie zabezpieczonym (secured system); z[Author ID1: at Wed Oct 4 07:48:00 2000 ]. (Z[Author ID3: at Wed Oct 4 07:48:00 2000 ]ob.[Author ID1: at Wed Oct 4 07:48:00 2000 ]acz[Author ID3: at Wed Oct 4 07:48:00 2000 ] część pod tytułem „Odtwarzanie zaszyfrowanego foldera lub pliku”)[Author ID3: at Wed Oct 4 07:48:00 2000 ].

4. Do importowania klucza odzyskiwania (recovery key) i certyfikatu z pliku PFX do systemu bezpiecznego (secured system) trzeba [Author ID1: at Wed Oct 4 07:48:00 2000 ]użyj[Author ID3: at Wed Oct 4 07:48:00 2000 ]ć[Author ID1: at Wed Oct 4 07:48:00 2000 ] modułu dodatkowego (snap-in) konsoli MMC Certyfikaty (C[Author ID3: at Wed Oct 4 07:48:00 2000 ]Certificates); z[Author ID1: at Wed Oct 4 07:48:00 2000 ]. (Z[Author ID3: at Wed Oct 4 07:48:00 2000 ]ob.[Author ID1: at Wed Oct 4 07:48:00 2000 ]acz[Author ID3: at Wed Oct 4 07:48:00 2000 ] część pod tytułem „Odtwarzanie zaszyfrowanego foldera lub pliku”)[Author ID3: at Wed Oct 4 07:49:00 2000 ].

5. Po zaimportowaniu klucza odzyskiwania (recovery key) [Author ID3: at Wed Oct 4 07:52:00 2000 ]do odszyfrowania pojedynczych plików lub całych folderów można użyć Eksploratora Windows (Windows Explorer).

6. Po odszyfrowaniu agent odzyskiwania (recovery agent) może[Author ID3: at Wed Oct 4 07:52:00 2000 ]na[Author ID1: at Wed Oct 4 07:52:00 2000 ] ponownie utworzyć plik BKF, który tym razem będzie zawierał odszyfrowane pliki lub foldery,[Author ID3: at Wed Oct 4 07:52:00 2000 ] i wysłać go do [Author ID1: at Wed Oct 4 07:52:00 2000 ]nadawcy żądania (requestor). Należy wziąć pod uwagę, że plik odszyfrowany może zawierać dane o kluczowym znaczeniu dla firmy i — [Author ID1: at Wed Oct 4 07:52:00 2000 ]zgodnie z przepisami prawa lub wewnętrznymi przepisami obowiązującymi w przedsiębiorstwie — [Author ID1: at Wed Oct 4 07:52:00 2000 ]muszą być przekazywane osobiście.

Wyłączanie systemu szyfrowania plików ([Author ID1: at Wed Oct 4 07:53:00 2000 ]EFS)[Author ID1: at Wed Oct 4 07:53:00 2000 ] dla określonego zestawu komputerów

Czasami może zajść konieczność wyłączenia Systemu Szyfrowania Plików (EFS) dla autonomicznego komputera lub grupy komputerów w jednostce organizacyjnej (OU). Zalecanym sposobem jest ustanowienie zasad pustych (empty policies[Author ID1: at Wed Oct 4 07:53:00 2000 ]y[Author ID3: at Wed Oct 4 07:53:00 2000 ]). Można to zrobić za pomocą lokalnego Edytora Zasad Grupowych (Group Policy E[Author ID3: at Wed Oct 4 07:53:00 2000 ]Editor) lub definiując obiekt zasad grupowych (GPO) z pustymi zasadami odzyskiwania (empty recovery policies[Author ID1: at Wed Oct 4 07:53:00 2000 ]y[Author ID3: at Wed Oct 4 07:53:00 2000 ]) na poziomie jednostki organizacyjnej (OU), co opisano w części niniejszego rozdziału pod tytułem „Zabezpieczanie domyślnego klucza odzyskiwania na komputerze autonomicznym”.

Należy zwrócić uwagę, że jest różnica pomiędzy zasadami pustymi (empty policies[Author ID1: at Wed Oct 4 07:53:00 2000 ]y[Author ID3: at Wed Oct 4 07:53:00 2000 ]) a brakiem zasad (no policies[Author ID1: at Wed Oct 4 07:53:00 2000 ]y[Author ID3: at Wed Oct 4 07:53:00 2000 ]). W Active Directory obowiązującą zasadą jest zbiór obiektów zasad grupowych (GPOs) zdefiniowanych na różnych poziomach struktury usług katalogowych. Brak zasad odzyskiwania (recovery policy[Author ID3: at Wed Oct 4 07:54:00 2000 ]ies[Author ID1: at Wed Oct 4 07:54:00 2000 ]) na wyższych poziomach, na przykład[Author ID3: at Wed Oct 4 07:54:00 2000 ]np.[Author ID1: at Wed Oct 4 07:54:00 2000 ] na poziomie domeny, powoduje, że obowiązują zasady ustalone na poziomach niższych. Puste zasady odzyskiwania w gałęziach wyższego poziomu wyłączają[Author ID1: at Wed Oct 4 07:54:00 2000 ] System Szyfrowania Plików poprzez brak obowiązujących certyfikatów odzyskiwania (recovery policy)[Author ID3: at Wed Oct 4 07:54:00 2000 ]. Z drugiej strony, jeśli na poziomach wyższych po prostu brakuje[Author ID1: at Wed Oct 4 07:54:00 2000 ] jest[Author ID3: at Wed Oct 4 07:54:00 2000 ] zasad odzyskiwania (recovery policy)[Author ID3: at Wed Oct 4 07:54:00 2000 ], zasady te [Author ID3: at Wed Oct 4 07:54:00 2000 ]to [Author ID1: at Wed Oct 4 07:54:00 2000 ]mogą być one [Author ID1: at Wed Oct 4 07:55:00 2000 ]zdefiniowane w gałęziach niższego poziomu.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

[Author ID0: at Thu Nov 30 00:00:00 1899 ]

[Author ID0: at Thu Nov 30 00:00:00 1899 ]

[Author ID3: at Wed Oct 4 07:55:00 2000 ]

33 Część I ♦ Podstawy obsługi systemu WhizBang (Nagłówek strony)

24 T:\Paweł\r-05.03.doc

---