Восстановление данных, зашифрованных с помощью неизвестного личного ключа

Windows 2000 включает встроенные механизмы восстановления зашифрованных данных в ситуациях, когда личный ключ пользователя недоступен. Эта возможность необходима в следующих случаях:

В таких ситуациях система EFS предоставляет механизм агентов восстановления данных (Data Recovery Agents, DRA). Эти пользователи обладают сертификатом X.509 версии 3, который позволяет расшифровывать файлы с использованием ключа восстановления (Recovery Encryption Key, REK). При этом агент восстановления получает доступ только к ключу шифрования файла (File Encryption Key, FEK), а не к личным данным пользователя.

Как работают агенты восстановления

Когда пользователь зашифровывает файл, EFS автоматически создает два набора зашифрованных ключей:

Если пользователь теряет личный ключ, агент восстановления может использовать DRF, чтобы расшифровать FEK, а затем дешифровать сам файл. Этот процесс гарантирует, что только авторизованные администраторы могут выполнять восстановление.

Настройка агентов восстановления

Агенты восстановления назначаются с помощью политики восстановления (Recovery Policy), которая является частью политики открытого ключа в Windows 2000. По умолчанию:

Для управления агентами восстановления используется оснастка Групповая политика. Чтобы добавить или создать нового агента, выполните следующие шаги:

  1. Откройте оснастку Групповая политика (Group Policy).
  2. Перейдите в узел Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Политики открытого ключа → Агенты восстановления шифрованных данных (Computer Configuration → Windows Settings → Security Settings → Public Key Policies → Encrypted Data Recovery Agents).
  3. Щелкните правой кнопкой мыши и выберите Добавить (Add) или Создать (Create).
  4. Если выбран Добавить, укажите пользователя с существующим сертификатом агента восстановления.
  5. Если выбран Создать, система запросит создание нового сертификата.

На автономных компьютерах политика восстановления действует локально, и агентом восстановления автоматически назначается администратор.

Примечание

Политика восстановления устанавливается для компьютера, а не для пользователя. Это значит, что все пользователи одной системы подчиняются одной политике восстановления.

Типы политик восстановления

Windows 2000 поддерживает три типа политик восстановления:

Настройка политики восстановления выполняется через Политики открытых ключей в оснастке Групповая политика.

Примечание

Графический интерфейс оснастки Групповая политика нечетко различает состояния "пустая политика" и "отсутствие политики". Если в узле Политики открытых ключей нет записей, определение текущего состояния возможно через контекстное меню:
— Если активна пустая политика, присутствует команда Удалить политику, но невозможно добавить агента восстановления.
— Если политика отсутствует, доступна команда Инициализировать пустую политику.

Заключение

Политика восстановления в Windows 2000 играет важную роль в защите данных и предотвращает их полную утрату в случае потери личного ключа. Администраторы должны заранее настраивать агентов восстановления, чтобы гарантировать, что пользователи смогут восстановить свои файлы, если они потеряют доступ к ключам. Важно учитывать, что EFS в Windows 2000 не позволяет отдельным пользователям управлять своей политикой восстановления — эти параметры задаются на уровне всей системы.