- •2.Идентификатор безопасности (sid)
- •3. Маркеры и субъекты доступа. Олицетворение.
- •4. Диспетчер уз. Назначение. Виды…
- •5. Взломы паролей. Меры повышения защищенности паролей.
- •6. Защита компа во время запуска. Wsh
- •7. Dep, kpp, wpr, Изоляция сессий, aslr.
- •9. Редактор шаблонов.
- •10. Групповая политика
- •11. Родконтроль
- •12. AppLocker
- •13. Дескрипторы безопасности объекта. Dacl и acl.
- •14. Организация контроля доступа к объекту.
- •15. Особенности наследования
- •16. Efs, причины появления. Механизмы работы
- •17. Основные компоненты.
- •18. Особенности реализации функции KeyRecovery
- •19. Efs, особенности работы в сети операций копирования и перемещения
- •20. Tpm. Использование BitLocker
- •21. Принципы работы системы Bitlocker. Bitlocker to go
17. Основные компоненты.
18. Особенности реализации функции KeyRecovery
Данная возможность полезна при потере ЛК EFS, например, при случайном или намеренном удалении профиля пользователя где они хранились. Ключ может потеряться и когда админ сбрасывает пароль пользователя, так как ключи EFS защищены ключом, созданном на пароле юзера, на компьютер в домене агентом восстановления по умолчанию является администратор домена. Если комп не входит в домен, то в вин 2000 агентом по умолчанию является локальный администратор и вся политика шифрования строится вокруг него. Если отобрать у него права агента восстановления, то шифрование перестанет работать. Начиная с хп политика шифрования изменилась. Она не завязана на локальном админе. По умолчанию нет агента восстановления, при утере ЛК, файл расшифровать невозможно. Чтобы избежать этого пользователи могли экспортировать свой личный ключ и сохранить его в надежном месте. Экспорт личного ключа производится с помощью мастера экспорта сертификата (сервис-свойства обозревателя - содержимое-сертификат-личное). Экспорт файла производится в формате .pfx, не нужно включать опцию “удалять закрытый ключ после успешного экспорта”. После этого этот файл необходимо надежно спрятать. Для доступа к шифрованным файлам необходимо просто импортировать обратно ключ.
Начиная с висты при первом шифровании вам советуют создать резервную копию личного ключа. Такой подход удобен, если на работе мало компьютеров. В случае корпоративной сети удобен агент восстановления. Создается запрос в центр сертификации и если пользователь имеет права администратора как на локальном компьютере, так и на домене, то соответствующий сертификат будет получен. Пользователь останется агентом восстановления. Процесс добавления агентов:
Создание пары ключей для будущего агента восстановления. Будет создан файл .cer содержащий сертификат открытого ключа и файл .pfx, содержащий личную инфу, содержит как сертификат, так и ЛК юзера. Запрашиваемый пароль для надежной защиты.
Импорт будущему агенту восстановления созданной пары ключей. А именно файла .pfx. Для этого нужно зайти под этим пользователем, зайт в оснастку сертификатов в раздел текущий пользователь-личный и импортировать ключ.
У оснастки локальная политика безопасности выбирается раздел “параметры безопасности”-”политика открытых паролей”-файлы нфс и выбирается агент восстановления, указываем путь файл с .cer. В разделе агент восстановления появится надпись что юзер “name” готов стать агентом. В сертификате не указано имя пользователя. После того как юзер стал агентом, во всех файлах шифруемых на данной машине будет добавляться поле DRF и он сможет шифровать их. Для того чтобы агент восстановления был, но не мог легко расшифровать чужие файлы нужно было экспортировать личный ключ и включить опцию удаления личного ключа пользователя системы. При этом агент восстановления без ЛК не может расшифровать файл. В случае ЧП он мог обратиться к руководству фирмы, ему достали бы ЛК и уже с ним открыли бы файл.