Восстановление данных, зашифрованных с помощью неизвестного личного ключа

Windows 2000 включает встроенные механизмы восстановления зашифрованных данных в ситуациях, когда личный ключ пользователя недоступен. Эта возможность необходима в следующих случаях:

• Пользователь уволен — если сотрудник покинул организацию, не оставив свой пароль, доступ к его зашифрованным файлам невозможен.
• Утрата личного ключа — при потере закрытого ключа пользователь теряет возможность расшифровывать свои файлы.
• Юридические запросы — органы государственной безопасности могут потребовать доступ к зашифрованным данным.

В таких ситуациях система EFS предоставляет механизм агентов восстановления данных (Data Recovery Agents, DRA). Эти пользователи обладают сертификатом X.509 версии 3, который позволяет расшифровывать файлы с использованием ключа восстановления (Recovery Encryption Key, REK). При этом агент восстановления получает доступ только к ключу шифрования файла (File Encryption Key, FEK), а не к личным данным пользователя.

Как работают агенты восстановления

Когда пользователь зашифровывает файл, EFS автоматически создает два набора зашифрованных ключей:

• Поле дешифрования данных (DDF) — содержит FEK, зашифрованный открытым ключом пользователя.
• Поле восстановления данных (DRF) — содержит FEK, зашифрованный открытым ключом агента восстановления.

Если пользователь теряет личный ключ, агент восстановления может использовать DRF, чтобы расшифровать FEK, а затем дешифровать сам файл. Этот процесс гарантирует, что только авторизованные администраторы могут выполнять восстановление.

Настройка агентов восстановления

Агенты восстановления назначаются с помощью политики восстановления (Recovery Policy), которая является частью политики открытого ключа в Windows 2000. По умолчанию:

• При установке Windows 2000 Server политика восстановления автоматически создается на первом контроллере домена.
• Администратор домена становится агентом восстановления.
• Дополнительные агенты могут быть добавлены вручную.

Для управления агентами восстановления используется оснастка Групповая политика. Чтобы добавить или создать нового агента, выполните следующие шаги:

1. Откройте оснастку Групповая политика (Group Policy).
2. Перейдите в узел Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Политики открытого ключа → Агенты восстановления шифрованных данных (Computer Configuration → Windows Settings → Security Settings → Public Key Policies → Encrypted Data Recovery Agents).
3. Щелкните правой кнопкой мыши и выберите Добавить (Add) или Создать (Create).
4. Если выбран Добавить, укажите пользователя с существующим сертификатом агента восстановления.
5. Если выбран Создать, система запросит создание нового сертификата.

На автономных компьютерах политика восстановления действует локально, и агентом восстановления автоматически назначается администратор.

Типы политик восстановления

Windows 2000 поддерживает три типа политик восстановления:

• Политика агентов восстановления — включается, если добавлен хотя бы один агент восстановления. Это стандартный вариант для большинства организаций.
• Пустая политика восстановления (Empty Policy) — применяется, если все агенты восстановления удалены. В этом случае пользователи не могут шифровать файлы, а EFS фактически отключается.
• Отсутствие политики восстановления (No Policy) — если групповая политика восстановления удалена, управление восстановлением передается локальному администратору компьютера.

Настройка политики восстановления выполняется через Политики открытых ключей в оснастке Групповая политика.

Заключение

Политика восстановления в Windows 2000 играет важную роль в защите данных и предотвращает их полную утрату в случае потери личного ключа. Администраторы должны заранее настраивать агентов восстановления, чтобы гарантировать, что пользователи смогут восстановить свои файлы, если они потеряют доступ к ключам. Важно учитывать, что EFS в Windows 2000 не позволяет отдельным пользователям управлять своей политикой восстановления — эти параметры задаются на уровне всей системы.