Восстановление данных, зашифрованных с помощью неизвестного личного ключа
Windows 2000 включает встроенные механизмы восстановления зашифрованных данных в ситуациях, когда личный ключ пользователя недоступен. Эта возможность необходима в следующих случаях:
- Пользователь уволен — если сотрудник покинул организацию, не оставив свой пароль, доступ к его зашифрованным файлам невозможен.
- Утрата личного ключа — при потере закрытого ключа пользователь теряет возможность расшифровывать свои файлы.
- Юридические запросы — органы государственной безопасности могут потребовать доступ к зашифрованным данным.
В таких ситуациях система EFS предоставляет механизм агентов восстановления данных (Data Recovery Agents, DRA). Эти пользователи обладают сертификатом X.509 версии 3, который позволяет расшифровывать файлы с использованием ключа восстановления (Recovery Encryption Key, REK). При этом агент восстановления получает доступ только к ключу шифрования файла (File Encryption Key, FEK), а не к личным данным пользователя.
Как работают агенты восстановления
Когда пользователь зашифровывает файл, EFS автоматически создает два набора зашифрованных ключей:
- Поле дешифрования данных (DDF) — содержит FEK, зашифрованный открытым ключом пользователя.
- Поле восстановления данных (DRF) — содержит FEK, зашифрованный открытым ключом агента восстановления.
Если пользователь теряет личный ключ, агент восстановления может использовать DRF, чтобы расшифровать FEK, а затем дешифровать сам файл. Этот процесс гарантирует, что только авторизованные администраторы могут выполнять восстановление.
Настройка агентов восстановления
Агенты восстановления назначаются с помощью политики восстановления (Recovery Policy), которая является частью политики открытого ключа в Windows 2000. По умолчанию:
- При установке Windows 2000 Server политика восстановления автоматически создается на первом контроллере домена.
- Администратор домена становится агентом восстановления.
- Дополнительные агенты могут быть добавлены вручную.
Для управления агентами восстановления используется оснастка Групповая политика. Чтобы добавить или создать нового агента, выполните следующие шаги:
- Откройте оснастку Групповая политика (Group Policy).
- Перейдите в узел Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Политики открытого ключа → Агенты восстановления шифрованных данных (Computer Configuration → Windows Settings → Security Settings → Public Key Policies → Encrypted Data Recovery Agents).
- Щелкните правой кнопкой мыши и выберите Добавить (Add) или Создать (Create).
- Если выбран Добавить, укажите пользователя с существующим сертификатом агента восстановления.
- Если выбран Создать, система запросит создание нового сертификата.
На автономных компьютерах политика восстановления действует локально, и агентом восстановления автоматически назначается администратор.
Примечание
Политика восстановления устанавливается для компьютера, а не для пользователя. Это значит, что все пользователи одной системы подчиняются одной политике восстановления.
Типы политик восстановления
Windows 2000 поддерживает три типа политик восстановления:
- Политика агентов восстановления — включается, если добавлен хотя бы один агент восстановления. Это стандартный вариант для большинства организаций.
- Пустая политика восстановления (Empty Policy) — применяется, если все агенты восстановления удалены. В этом случае пользователи не могут шифровать файлы, а EFS фактически отключается.
- Отсутствие политики восстановления (No Policy) — если групповая политика восстановления удалена, управление восстановлением передается локальному администратору компьютера.
Настройка политики восстановления выполняется через Политики открытых ключей в оснастке Групповая политика.
Примечание
Графический интерфейс оснастки Групповая политика нечетко различает состояния "пустая политика" и "отсутствие политики". Если в узле Политики открытых ключей нет записей, определение текущего состояния возможно через контекстное меню:
— Если активна пустая политика, присутствует команда Удалить политику, но невозможно добавить агента восстановления.
— Если политика отсутствует, доступна команда Инициализировать пустую политику.
Заключение
Политика восстановления в Windows 2000 играет важную роль в защите данных и предотвращает их полную утрату в случае потери личного ключа. Администраторы должны заранее настраивать агентов восстановления, чтобы гарантировать, что пользователи смогут восстановить свои файлы, если они потеряют доступ к ключам. Важно учитывать, что EFS в Windows 2000 не позволяет отдельным пользователям управлять своей политикой восстановления — эти параметры задаются на уровне всей системы.