Раздел: Документация

0 ... 106 107 108 109 110 111 112 ... 136

Занятие 3

ЗГпрздаюки* сертификатами297

Политика восстановления EFS определяет информации: учетных записей агентов восстановления, применяемую и пределах политики. EFS требует присутствия шифрованных данных политики агента восстановления перед его использованием и, если не определены учетные записи агентов, применяет учетную запись по умолчаниюВ

домене только члены группы Domain Admins (Администраторы домена) имеют право определять учетные записи агентов восстановления. На малых предприятиях и дома при отсутствии домена учетная запись алмищн.лрлзорл локального компьютера является по умолчанию учетной записью агента восстановления. Только администратор вправе изменить политику восстановления на компьютере.

Учетная запись агента восстановления используется для восстановления информации всехна которые распространяется заданная политика. При утере закрытого

ключа закрытый им файл можно скопировать и переслатьагента

новления средствами защищенной электронной почты. Администратор восстанавливает резервную кои и аз, открывает ее .для чтения, копирует файл в простой текст и возвращает текстовый файл пользователю по защищенной электронной почте.

Есть и альтернативный способ: администратор импортирует свой сертификат агента восстановления и восстанавливает информацию непосредственно на компьютере с зашифрованным файлом. Однако это небезопасно из соображений секретности ключа осста-администратору ни в коем случае не рекомендуется оставлять ключ восстановления на другом компьютере.

На этом занятии вы измените политику восстановления локального компьютера.

Перед этим необходимо сначала скопировать ключи восстановления на дискету. В домене политика восстановления по умолчанию применяется при установке первого контроллера домена. Администратор домена выпускает подписанный им же сертификат, которым администратор домена назначается агентом восстановления. Для изменения политики восстановления по умолчанию в домене пойдите в качестве администратора в систему первого контроллера домена.

Примечание Для выполнения этого этапа необходимо иметь соответствующие разрешения на запрос сертификата, и ЦС должен быть настроен на выпуск сертификатов данного

1.В меню Start (Пуск) выберите команду Run (Выполнить), в открывшемся окне те mmc /а и щелкните ОК.

2.В меню консоли выберите команду Add/Remove Snap-In (Добавить/удалить осчастку)

и щелкните кнопку Add (Добавить).

3.Выберите оснастку Group Policy (Групповая политика) и щелкните кнопку Add (Добавить).

4.Убедитесь, что объектом групповой политики является Local Computer (Локальный компьютер) и щелкните последовательно кнопки Finish (Готово), Close (Закрыть) и ОК.

5.Раскройте узел Local Computer Policy\ComputerConfiguration\Windows SettingsNSecurity Settings\Public Key Policies, (Политика «Локальный компьютере, Конфигурация ком-

Политики открытого ключа), щелкните правой кнопкой Encrypted Data Recovery Agents (Агенты восстановления шифрованных данных), а затем выберите одну из следующих команд:

Практикум: изменение политики восстановления

типа.

Задание: измените политику восстановления на локальном компьютере

---

6.

•команда Add (Добавить) поточим с помощью мастера на шач mi. пользователя дополнительным агентом восстановления;

*команда Delete Policy (Уладить пол in my) удаляет данную ЕГ.Ч-иоли тку и всех агентов восстановления. В результате пользователи не смогут расшифровать файлы изданном компьютере. Компьютер выпускает подписанный им же сертификат, назначающий локального администратора агентов восстановления по, умолчанию. Если вы удалите этот сертификат при отсутствии другой политики, политика восстановления компьютера не будет задана. Это означает, что агентов восстановления нет. При этом отключается EFS. леоточу ни один пользователь не сможет за-

файлыкомпьютере.

Для изменения сертификата восстановлении файлов щелкните в дереве консоли Encrypted Daia Recovery Agents (рис. 13-6). В правой панели щелкните правой кнопкой сертификат и выберите команду Properties (Свойства). Например, дайте сертификату понятное имя итекстовое описание.

* I J> Е 33 ,j«Jii

- J ЗДм&М&р - - J ."nbniKTip

?ijJLHid*..

•J 1 iPrt *>

-jj "ГI Wp:-3*4*: *M*d**

c£ -*,i -3 л . ,

* 5j j4MHttf№ tt-rfl)!-.

Рис. 13-6.

Групповая политика для восстановления EFS

Резюме

Сертификатами управляют при помощи оснастки Certiticattonion Authority (Центр сертификации). Сергификаты, отозванные с кодом причины Certificate Hold, можно восстановить. Их также раареиюсаея оставить в хранилище сертификатов до истечения срока их действия или изменения кода причиныВосстановление данных доступно в EFS

как часть всей политики безопасности системы.

---

Закрепление материала

I Приведенные ниже нопроа,! помогут вам лучше усвоить основные темы данной главы. Если вы не сумеете ответить на вопрос, повторите материал соотнею кующего занятия. Правильные ответы см. в приложении «Вопросы и ответы» в конце книги.

1.Что такое сертификат и каково его назначение?

2.Что такое центр сертификации (ЦС) и чем он занимается?

3.Назовите четыре типа ант ори ;;ппп: сертификатов Microsoft.

4.Назовите из причин для отзыва сертификата.

5.Назовите a Kit стандартных хранили!» сертификатов PKI.

0 ... 106 107 108 109 110 111 112 ... 136