Главная / Компьютеры / Не теряйте ноутбуки!

Не теряйте ноутбуки!

Иногда это случается. Причины бывают разные, утеря багажа в самолете/поезде, утрата в отеле, могут запросто «подрезать» на пляже или в кафе или ресторане. Но при любом способе расставания поганое чувство утраты части чего то личного потом долго не отпускает. И дело не только в потере имущества, зачастую весьма недешевого.

Как правило, людей гложет потенциальная возможность нового владельца посмотреть их данные. Некоторые наивно полагают, что их «сложный» пароль на вход в систему не подобрать, при этом ни разу не проверив пароль Администратора Windows по умолчанию, который очень часто и отсутствует. Другие даже не знают или забыли про существование этой учетной записи, так как при создании учетки администратора «Вася», учетная запись Администратора по умолчанию просто не видна в штатном режиме работы. Получить доступ к ней можно только в режиме «Safe Mode». Но, по сути, даже правильные настройки учетных записей абсолютно не важны при потере компьютера. Компьютер можно загрузить совсем с другого носителя, флэшки или CD диска, и преспокойно полистать содержимое Ваших накопителей. Наконец, можно вынуть Ваш жесткий диск и «прицепить» его к любой другой машине, той же Windows XP. Opps, что тут у нас? 😉 Деловая переписка? Пикантное Home Video, столь же интересные фотографии? А не заслать ли все это в Интернет, или переписку конкурентам? Выбор присутствует.

Тем не менее, в большинстве версий Windows, представьте, предусмотрена защита от этого «недоразумения». В большинстве, значит, не во всех. В версиях «Номе» и «Basic» зашифровать ничего не получится, так как функционал EFS в этих версиях деактивирован. Итак, в этой статье речь пойдет о встроенной в Windows системе шифрования. А об альтернативных способах защиты данных при отсутствии «живой» EFS, как таковой, поговорим в другой раз.

Первое, что нужно отметить, это то, что EFS (Encrypting File System) является частью файловой системы NTFS и на FAT32, например, работать не будет. Поэтому нужно озаботиться приведением файловой системы в должное состояние либо при установке операционной системы, либо конвертировать существующую через команду «convert».
Что же такое эта EFS? EFS это система шифрования данных (файлов и папок), разработанная Microsoft для операционных систем Windows. Шифрование данных реализуется в два этапа:

— на первом этапе файл или папка шифруется на основе сгенерированного ключа (FEK, File Encription Key) с помощью алгоритма симметричного шифрования.
— на втором этапе шифруется сам сгенерированный ключ (FEK)  с помощью уже ассиметричного шифрования на основе пары открытый/закрытый ключ пользователя. Шифруется FEK открытым ключом.

Расшифровка данных происходит в обратном порядке. Сначала дешифруется FEK с помощью закрытого ключа пользователя, потом уже с помощью расшифрованного ключа дешифруются сами данные. Глубже обьяснять не буду, разницу между симметричным и ассиметричным шифрованием оставлю вне рамок этой статьи.

При первом обращении к EFS создается сертификат пользователя, имеющий в названии, собственно, имя пользователя и помещается в хранилище сертификатов. Также создается и пара ключей, открытый и закрытый. Созданный сертификат пользователя служит для проверки подлинности данных, передаваемых в общедоступных сетях и служит своеобразным линком для связи открытого ключа с объектом, который содержит закрытый ключ, необходимый для дешифровки.

Открытый ключ может быть свободно передан другим пользователям для шифрования данных, предназначенных Вам. Шифровать лучше папки, а не файлы, так как в этом случае шифруются даже временные файлы, создаваемые приложениями при их редактировании, и файлы, создаваемые или помещаемые в зашифрованную папку, автоматически шифруются. Вот так кратко об EFS и ее алгоритмах шифрования в среде Windows. Работа с зашифрованными файлами происходит «прозрачно» для пользователя, который является их владельцем и отказывает в доступе всем остальным. Зашифрованные файлы представлены зеленым цветом (напомню, сжатые-синим).

Чтобы обезопасить себя от случайностей, настоятельно рекомендуется создать первым так называемого «Агента восстановления данных» или DRA. DRA, это функционал EFS, добавленный пользователю системы (как правило, это добавляют Администратору по умолчанию), который позволяет расшифровать файлы всех остальных пользователей в случае нештатных ситуаций, например, потери закрытого ключа пользователя. С создания DRA, при желании использовать EFS, и следует начать. Необходимо будет выполнить несколько операций: создать сертификат восстановления данных, определить политику восстановления данных и присвоить одному из пользователей права DRA. Начнем. Первая операция, создание сертификатов для восстановления данных. Войдите в систему от имени учетной записи, которой планируете присвоить права DRA и выполните последовательность действий: 

пуск->выполнить->cmd

В открывшемся окне напишите:

cipher /R:dra->Enter

(dra в данном случае имя файла, оно может быть любым).
На предложение ввода пароля, придумайте и наберите его. Создадутся два файла *.pfx(включает сертификат, открытый и закрыйтый ключ) и *.cer(включает сертификат и открытый ключ) Первая операция выполнена, сертификаты созданы, теперь дальше.

Назначим пользователю права DRA. Выполните:

пуск->выполнить->mmc

В открывшемся окне, последовательно нажимаем:

файл->добавить или удалить оснастку->сертификаты->добавить->ОК

Выполняем дальше:

сертификаты->текущий пользователь-сертификаты->личное->действие->все задачи->импорт

Запустится мастер импорта сертификатов, нажмите «далее». Откроется окно поиска сертификатов. Нажмите кнопку «обзор». Откроется окно каталога, где, скорее всего, и будет находиться созданный нами предварительно файл сертификата. Обратите внимание, нам нужен файл dra.pfx (или другое_имя.pfx), так как именно он содержит в себе закрытый ключ. Имортируем.

Наконец, проверяем политики восстановления:

пуск->secpol.msc->политики открытого кюча->шифрующая файловая система->в данном окне должен быть представлен агент восстановления данных

Таким образом, после проведенной операции, все файлы, которые зашифрованы после создания DRA, будут иметь резервный способ восстановления. Настоятельно рекомендуется после создания DRA произвести экспорт его сертификата через знакомое Вам уже меню оснастки «сертификаты» в mmc Windows. Экспортировать можно, практически, на любой носитель, например, флэшку. После этого сертификат из системы рекомендуется удалить до необходимости. Хорошо, чтоб ее не возникло. Это было написано про DRA.

Сертификат и ключи пользователя, от которого Вы постоянно работаете в системе, создаются автоматически при первом использовании Вами EFS. Эта функция будет доступна, если Вы щелкнете на объекте правой кнопкой, выберете «свойства», «атрибуты->другие» и в открывшемся окне пометите чекбокс «шифровать содержимое для защиты данных», потом «применить». После этого объект системы будет подвергнут шифрованию, и для Вашего профиля создастся пара ключей и сертификат. 

Теперь нюансы:
-Не шифруются сжатые файлы и папки. После применения к ним EFS, они перестанут быть сжатыми.
-Не шифруются  файлы системного каталога Windows и файлы, имеющие атрибут «системный».
-Теряется шифрование при передаче файлов по сети, для этого (шифрования) используются другие технологии.
-Теряется шифрование при перемещении файлов на систему, отличную от NTFS.
При необходимости скопировать зашифрованные данные на файловую систему, отличную от NTFS, единственный способ сделать это, обработать зашифрованный архив утилитой Ntbackup, который при работе сохраняет EFS. И уже полученный архив перемещать.

И, наконец, самое главное. Если Вы не поняли хотя бы принцип работы с ключами шифрования, EFS может принести больше вреда, чем пользы. Ваши данные при неправильных манипуляциях с ключами могут быть утеряны безвозвратно. Поэтому предварительная тренировка на тестовых файлах критически необходима. При понимании же описанного, и настроив хранение ценных данных в шифрованных папках, Вы не то чтобы спокойно можете терять ноутбук, но, по крайней мере, избежите мерзких ощущений при потере оного.




Поделись с друзьями

Иногда это случается. Причины бывают разные, утеря багажа в самолете/поезде, утрата в отеле, могут запросто "подрезать" на пляже или в кафе или ресторане. Но при любом способе расставания поганое чувство утраты части чего то личного потом долго не отпускает. И дело не только в потере имущества, зачастую весьма недешевого. Как правило, людей гложет потенциальная возможность нового владельца посмотреть их данные. Некоторые наивно полагают, что их "сложный" пароль на вход в систему не подобрать, при этом ни разу не проверив пароль Администратора Windows по умолчанию, который очень часто и отсутствует. Другие даже не знают или забыли про существование этой учетной записи, так…

Обзор

Пригодится!

Рейтинг пользователей 4.83 ( 4 голосов)

О toneup

Оставить комментарий

Ваш email нигде не будет показанОбязательные для заполнения поля помечены *

*

Рейтинг@Mail.ru