Szyfrowanie informacji

Rozdzia³ 14 Szyfrowanie folderów i plików 447 Tworzenie agenta odzyskiwania danych 455 Tworzenie kopii zapasowych certyfikatów 458 Przywracanie zaszyfrowanych plików i folderów 462 W³¹czanie i wy³¹czanie systemu EFS 463 Zalecenia dotycz¹ce szyfrowania plików 464 Szyfrowanie informacji Czêœæ III: Zarz¹dzanie plikami Rozdzia³ 14: Szyfrowanie informacji Wszystkie organizacje i przedsiêbiorstwa anawet indywidualni u ytkownicy komputerów najprawdopodobniej maj¹ w komputerze dane, których woleliby nie ujawniaæ innym. Dane finansowe informacje ksiêgowe w firmie, pliki z osobistymi informacjami finansowymi itd. z pewnoœci¹ nale ¹ do tej kategorii. Ale przecie w twoim komputerze mog¹ byæ przechowywane tak e plany marketingowe, tajemnice handlowe, historie medyczne, pamiêtniki, ksi¹ ki telefoniczne i inne podobne informacje. Dwie tendencje, jakie obserwujemy w rozwoju komputerów ³¹czenie komputerów ze sob¹ (poprzez sieci lokalne lub Internet) oraz rozwój komputerów przenoœnych zwiêkszy³y zagro enie dla tych danych. Osoba, której uda siê pobraæ plik z twojego komputera lub te po yczy (czy ukradnie) komputer przenoœny, bêdzie mia³a dostêp do wszystkich twoich tajemnic. Microsoft Windows XP zawiera mechanizm pozwalaj¹cy zapobiec utracie poufnych danych. System szyfrowania plików (EFS) umo liwia takie zaszyfrowanie pliku, e nawet jeœli wpadnie w niepowo³ane rêce, to nie bêdzie mo na go odczytaæ. Pliki mo na otworzyæ jedynie po zalogowaniu siê do komputera z konta u ytkownika, który je utworzy³ (konto nale y zabezpieczyæ trudnym has³em). Tak wiêc nawet osoba, która zaloguje siê do tego samego komputera, ale z innego konta, nie bêdzie mia³a dostêpu do twoich zaszyfrowanych plików, co stanowi dobre zabezpieczenie w komputerach, z których korzysta wiele osób. System EFS nie jest obs³ugiwany w Windows XP Home Edition.

446 Czêœæ III: Zarz¹dzanie plikami Pamiêtaj o zagro eniach zwi¹zanych z systemem EFS System EFS zapewnia bezpieczeñstwo twoim najwa niejszym danym. Zabezpieczenie to jest tak pewne, e gdy stracisz klucz umo liwiaj¹cy odszyfrowanie danych, utracisz wszystkie chronione w ten sposób informacje. Domyœlnie Microsoft Windows XP nie oferuje adnego wyjœcia awaryjnego na wypadek utraty klucza deszyfracji. Klucz ten mo na straciæ przez nieuwagê na kilka sposobów, miêdzy innymi w nastêpuj¹cych sytuacjach: Pracuj¹c w oknie dialogowym Certyfikaty lub z konsol¹ Certyfikaty (Certmgr.msc), mo esz bezpowrotnie usun¹æ certyfikat szyfrowania, który zawiera klucz. Za³ó my, e poufne dane przechowujesz w zaszyfrowanych folderach na innym dysku (na przyk³ad D). Zauwa y³eœ, e komputer dzia³a coraz wolniej i na dysku zebra³o siê ju wiele niepotrzebnych plików postanawiasz wiêc ponownie zainstalowaæ system Windows. Nie martwi¹c siê o pliki pozostaj¹ce w innej partycji, formatujesz dysk C i ponownie instalujesz system Windows. Chocia mo e nie wydawaæ siê to wcale takie oczywiste, podczas instalacji Windows dla ka dego u ytkownika tworzone s¹ nowe identyfikatory zabezpieczeñ (SID), nawet jeœli przeprowadzisz instalacjê dok³adnie w ten sam sposób, co poprzednio. W rezultacie zmieni¹ siê certyfikaty szyfrowania dla wszystkich u ytkowników i nie bêdziesz móg³ za ich pomoc¹ uzyskaæ dostêpu do zaszyfrowanych danych na dysku D. Nawet korzystaj¹c z konta Administrator które tak e ma nowy SID nie bêdziesz móg³ odszyfrowaæ plików zaszyfrowanych w innej instalacji Windows. Na szczêœcie, zachowuj¹c odrobinê uwagi, mo na nie dopuœciæ do realizacji tych czarnych scenariuszy. Zanim zaczniesz u ywaæ systemu EFS do szyfrowania naprawdê wa nych dokumentów, powinieneœ siê go najpierw nauczyæ. Dlatego te zalecamy podjêcie nastêpuj¹cych kroków: 1. Utwórz pusty folder i zaszyfruj go (szczegó³y znajdziesz w podrozdziale Szyfrowanie folderów i plików na nastêpnej stronie). 2. W zaszyfrowanym folderze utwórz nowy plik (mo esz te skopiowaæ jakiœ niepotrzebny plik do tego folderu) i upewnij siê, e mo esz u ywaæ go tak jak ka - dego innego pliku. 3. Jeœli twój komputer nie jest czêœci¹ domeny, utwórz agenta odzyskiwania danych, który umo liwi odzyskanie danych z innego konta, w wypadku gdybyœ utraci³ lub uszkodzi³ w³asny certyfikat szyfrowania (szczegó³y znajdziesz w podrozdziale Tworzenie agenta odzyskiwania danych na stronie 455). 4. Wykonaj kopiê zapasow¹ certyfikatu agenta odzyskiwania danych i osobistego certyfikatu szyfrowania (szczegó³y znajdziesz w podrozdziale Tworzenie kopii zapasowych certyfikatów na stronie 458 Pamiêtaj, e nie mo esz utworzyæ kopii zapasowej certyfikatu dopóki nie zaszyfrujesz przynajmniej jednego folderu lub pliku. Certyfikaty szyfrowania tworzone s¹ dopiero podczas pierwszego szyfrowania.

Rozdzia³ 14: Szyfrowanie informacji 447 5. Teraz mo esz zacz¹æ u ywaæ systemu EFS do szyfrowania wa nych plików. W skrócie: zanim zaszyfrujesz wa ne pliki, utwórz najpierw agenta przywracania. Wykonaj kopie zapasowe osobistego certyfikatu oraz certyfikatu agenta przywracania. Przejrzyj listê kontroln¹ umieszczon¹ na koñcu tego rozdzia³u, aby upewniæ siê, e nie pomin¹³eœ adnej wa nej czynnoœci. Szyfrowanie jest procesem kodowania poufnych danych za pomoc¹ specjalnego algorytmu. Bez odpowiedniego klucza, nikt nie mo e ich odczytaæ. Microsoft Windows XP wykorzystuje szyfrowanie do kilku celów: szyfrowanie plików na dyskach NTFS (partycjach dyskowych sformatowanych przy u yciu systemu plików NTFS) (patrz Szyfrowanie folderów i plików poni ej). szyfrowanie danych przesy³anych miêdzy przegl¹dark¹ a serwerami przy u yciu protoko³u SSL (Secure Sockets Layer) (patrz Uruchamianie bezpiecznego (szyfrowanego) po³¹czenia na stronie 655) szyfrowanie danych przesy³anych miêdzy komputerami w wirtualnych sieciach prywatnych (VPN) szyfrowanie lub podpisywanie wiadomoœci e-mail Szyfrowanie folderów i plików System EFS umo liwia szyfrowanie plików na lokalnym dysku NTFS w taki sposób, aby otworzyæ je mog³a wy³¹cznie ta osoba, która utworzy³a zaszyfrowane pliki. Jest to dodatkowe zabezpieczenie, wychodz¹ce poza system uprawnieñ NTFS, który mo esz wykorzystaæ do ograniczania dostêpu do plików osobom loguj¹cym siê do twojego komputera z innych kont. System uprawnieñ NTFS ma kilka dziur. Po pierwsze, wszystkie osoby o uprawnieniach administratorów mog¹ uzyskaæ dostêp (lub umo liwiæ go innym) do twoich plików. Ponadto ka dy, kto uzyska fizyczny dostêp do komputera, mo e za³adowaæ system z dyskietki rozruchowej (lub skorzystaæ z innego systemu, jeœli twój komputer obs³uguje rozruch wielokrotny) i za pomoc¹ takiego narzêdzia jak NTFSDOS (http://www.sysinternals.com) odczytaæ dane znajduj¹ce siê na dysku twardym komputera bez koniecznoœci podawania nazwy u ytkownika lub has³a. Na takie ryzyko nara one s¹ szczególnie komputery przenoœne, które ³atwiej skraœæ. W wiêkszoœci komputerów mo esz zabezpieczyæ siê przed tak¹ sytuacj¹, u ywaj¹c BIOS-u lub innego programu. W³¹cz w BIOS-ie ochronê has³em, które bêdzie wymagane przy uruchomieniu komputera oraz przy wchodzeniu do BIOS-u i wy³¹cz mo liwoœæ ³adowania systemu z dyskietki. Niestety takie zabezpieczenia równie mo na obejœæ. Wystarczy na przyk³ad wymontowaæ dysk twardy i przenieœæ go do innego komputera. System EFS zapewnia bezpieczeñstwo twoim poufnym danym. System u ywa publicznego klucza w celu utworzenia losowo wygenerowanego klucza szyfrowania plików (FEK). Za pomoc¹ tego klucza Windows automatycznie i w sposób niewidocz-

448 Czêœæ III: Zarz¹dzanie plikami Zabezpieczanie pliku stronicowania Jeœli zagadnienia bezpieczeñstwa s¹ dla ciebie bardzo wa ne, powinieneœ pamiêtaæ tak e o zabezpieczeniu pliku stronicowania. Domyœlnie podczas zamykania systemu plik stronicowania pozostaje nienaruszony. Osoby, które uzyskaj¹ dostêp do twojego komputera, mog¹ odczytaæ dane zapisane w niezaszyfrowanym pliku wymiany. Mo esz temu zapobiec, zmieniaj¹c wpis w rejestrze systemu. Otwórz Edytor rejestru i przejdÿ do klucza HKLM\System\CurrentControlSet\Control\Session Manager\Memory Management i zmieñ wartoœæ ClearPageFileAtShutdown na 1. Od tej pory Windows bêdzie wype³nia³ nieaktywne strony w pliku stronicowania zerami. Poniewa mo e to zwolniæ dzia³anie systemu, nie wprowadzaj tej zmiany, jeœli nie wymagaj¹ tego wzglêdy bezpieczeñstwa. ny dla u ytkownika szyfruje dane w trakcie zapisywania ich na dysku. Dane mo na odszyfrowaæ wy³¹cznie przy u yciu certyfikatu i powi¹zanego z nim prywatnego klucza, które s¹ dostêpne jedynie po zalogowaniu do konta przy u yciu okreœlonej nazwy u ytkownika i w³aœciwego has³a. (Dane odszyfrowaæ mo na tak e za pomoc¹ specjalnie utworzonego w tym celu agenta). Inni u ytkownicy, którzy spróbuj¹ u yæ zaszyfrowanych plików, otrzymaj¹ komunikat braku dostêpu. Wiêcej informacji na temat agentów odzyskiwania znajdziesz w podrozdziale Przywracanie zaszyfrowanych plików i folderów na stronie 462. Mo liwe jest szyfrowanie zarówno pojedynczych plików, jak i folderów. My zalecamy szyfrowanie ca³ych folderów, a nie pojedynczych plików. Dziêki temu bêdziesz mia³ pewnoœæ, e zaszyfrowane s¹ nie tylko pliki istniej¹ce ju w danym folderze, ale tak e nowe pliki, które dopiero utworzysz w tym folderze. Dotyczy to równie tymczasowych plików, które s¹ tworzone przez ró ne programy w tym folderze. (Na przyk³ad Microsoft Word tworzy kopiê ka dego dokumentu otwieranego do edycji. Jeœli folder, w którym znajduje siê dokument, nie jest zaszyfrowany, to niezaszyfrowana pozostanie równie tymczasowa kopia któr¹ osoby niepowo³ane mog³yby podejrzeæ). Z tej przyczyny powinieneœ tak e zastanowiæ siê nad zaszyfrowaniem folderów %Temp% i %Tmp%, w których wiele programów przechowuje tymczasowe kopie otwartych dokumentów. Zanim zaszyfrujesz wa ne dane, powinieneœ wykonaæ kopiê zapasow¹ osobistego certyfikatu szyfrowania (wraz ze zwi¹zanym z nim kluczem prywatnym) oraz certyfikatu agenta odzyskiwania, zapisuj¹c je na dyskietce przechowywanej w bezpiecznym miejscu. Jeœli stracisz oryginalny certyfikat (na przyk³ad wskutek uszkodzenia dysku twardego), bêdziesz móg³ przywróciæ go z kopii zapasowej i odzyskaæ dostêp do swoich plików. Jeœli stracisz wszystkie kopie swojego certyfikatu (i nie utworzysz certyfikatów agenta odzyskiwania), nie bêdziesz móg³ odzyskaæ zaszyfrowanych plików. Nie istnieje aden sposób na odzyskanie tych plików czy choæby podejrzenie ich zawartoœci. (Gdyby istnia³y jakieœ sposoby, to system EFS nie zapewnia³by tak dobrej ochrony). Wiêcej szczegó³ów znajdziesz w podrozdziale Tworzenie kopii zapasowych certyfikatów na stronie 458).

Rozdzia³ 14: Szyfrowanie informacji 449 Aby zaszyfrowaæ folder, wykonaj nastêpuj¹ce czynnoœci: 1. Prawym przyciskiem myszy kliknij folder, wybierz polecenie W³aœciwoœci, wybierz zak³adkê Ogólne i kliknij przycisk Zaawansowane. (Jeœli w oknie dialogowym w³aœciwoœci folderu nie ma pliku Zaawansowane, to znaczy, e folder ten nie znajduje siê na dysku z systemem plików NTFS i nie mo esz skorzystaæ z szyfrowania systemem EFS). WSKAZÓWKA Twoje najwa niejsze dokumenty znajduj¹ siê najprawdopodobniej w folderze Moje dokumenty; a inne wa - ne pliki w folderze Temp. Zazwyczaj oba te foldery znajduj¹ siê na partycji rozruchowej. Jeœli nie jest to partycja sformatowana w systemie NTFS, nie bêdziesz móg³ zaszyfrowaæ tych folderów. Jeœli nie mo esz dokonaæ konwersji partycji rozruchowej na system plików NTFS (na przyk³ad potrzebujesz systemu FAT, aby mo liwy by³ podwójny rozruch), a w twoim komputerze znajduje siê kilka partycji, mo esz sformatowaæ jedn¹ z nich w systemie NTFS i przenieœæ tam wa ne foldery. Poniewa foldery Moje dokumenty i Temp s¹ folderami specjalnymi, nie wystarczy zwyczajnie przenieœæ ich, na przyk³ad w Eksploratorze Windows. (Mo esz w ten sposób spowodowaæ powa ne problemy, dlatego te nawet nie próbuj). Oczywiœcie s¹ jednak skuteczne sposoby na przeniesienie tych folderów. Wiêcej szczegó³ów znajdziesz w podrozdziale Przenoszenie folderów ze standardowego po³aczenia profili na stronie 950). 2. Zaznacz pole wyboru Szyfruj zawartoœæ, aby zabezpieczyæ dane. (Pamiêtaj, e nie mo esz zaszyfrowaæ skompresowanych danych. Jeœli w wybranym folderze znajduj¹ siê ju jakieœ skompresowane pliki, Windows wyczyœci pole wyboru Kompresuj zawartoœæ. Poniewa szyfrowanie i kompresja wzajemnie siê wykluczaj¹, ta sekcja okna dialogowego powinna raczej zawieraæ przyciski opcji, a nie pola wyboru itojeszcze z dodatkow¹ opcj¹ Brak kompresji i szyfrowania ). 3. Kliknij przycisk OK w dwóch oknach dialogowych. Jeœli folder zawiera jakieœ pliki lub podfoldery, Windows wyœwietli jeszcze jedno okno dialogowe z proœb¹ o potwierdzenie zmiany atrybutów.

450 Czêœæ III: Zarz¹dzanie plikami Jeœli wybierzesz pole wyboru Zastosuj zmiany tylko do tego folderu, Windows nie zaszyfruje adnych plików znajduj¹cych siê w tym folderze. Zaszyfrowane zostan¹ tylko wszystkie nowe pliki, które utworzysz w folderze oraz te, które do niego skopiujesz lub przeniesiesz. Szyfrowanie pojedynczych plików odbywa siê w ten sam sposób. Jedyn¹ ró nic¹ bêdzie inny komunikat (patrz rysunek 14-1), który przypomina ci, e folder, w którym znajduje siê plik, nie jest zaszyfrowany i daje mo liwoœæ zaszyfrowania go. Nie zalecamy szyfrowania pojedynczych plików, poniewa mo na je ³atwo odszyfrowaæ. Na przyk³ad powinieneœ pamiêtaæ, e wiele programów tworzy kopie dokumentów otwieranych do edycji. Gdy zapiszesz dokument po wprowadzeniu zmian, program zapisuje kopiê która nie jest zaszyfrowana i usuwa pierwotny, zaszyfrowany dokument. Pliki, których nigdy nie edytujesz, mo na zaszyfrowaæ w ten sposób (bez szyfrowania folderu, w którym siê znajduj¹). Jednak nawet wtedy prawdopodobnie proœciej by³oby zaszyfrowaæ ca³y folder. Rysunek 14-1. Ten komunikat równie sugeruje zaszyfrowanie ca³ego folderu, a nie tylko pliku. Nie mo esz zaszyfrowaæ plików z atrybutem systemowym ani adnych plików znajduj¹cych siê w folderze %SystemRoot% lub jego podfolderach. (Pliki w tych lokalizacjach s¹ zazwyczaj plikami systemowymi i zaszyfrowanie ich mo e sprawiæ, e stan¹ siê niezdatne do u ytku). Nie mo esz tak e zaszyfrowaæ adnych plików i folderów w profilach mobilnych. Jeœli próbuj¹c zaszyfrowaæ plik lub folder, zobaczysz taki komunikat, jak ten pokazany poni ej, to znaczy, e system EFS zosta³ w twoim komputerze wy³¹czony. Chocia w oknie komunikatu znajduj¹ siê a cztery przyciski, to jednak w rzeczywistoœci nie masz adnego wyboru. Bez wzglêdu na to, który przycisk klikniesz, Windows odmówi zaszyfrowania plików tak jakbyœ klikn¹³ przycisk Anuluj.

Rozdzia³ 14: Szyfrowanie informacji 451 Aby rozwi¹zaæ ten problem, musisz w³¹czyæ obs³ugê systemu EFS. Szczegó³owe informacje na ten temat znajdziesz w podrozdziale W³¹czanie i wy³¹czanie systemu EFS na stronie 463. Jeœli zalogujesz siê do swojego konta, to nie powinieneœ zauwa yæ adnej ró nicy w pracy z zaszyfrowanymi plikami i folderami w porównaniu do plików i folderów niezaszyfrowanych; mo e oprócz tego, e nazwy tych pierwszych s¹ wyœwietlane w Eksploratorze Windows w kolorze zielonym (a nie czarnym, jak nazwy pozosta³ych plików). Jednak pliki zaszyfrowane w rzeczywistoœci zachowuj¹ siê odmiennie. Ró nice te zebrano w tabeli 14-1. Tabela 14-1. Zachowanie zaszyfrowanych plików Jeœli... Zalogujesz siê przy u yciu innego konta Skopiujesz lub przeniesiesz niezaszyfrowany plik do zaszyfrowanego folderu Skopiujesz zaszyfrowany plik Przeniesiesz zaszyfrowany plik Zmienisz nazwê zaszyfrowanego pliku Usuniesz zaszyfrowany plik. To... Jeœli spróbujesz otworzyæ zaszyfrowany plik, otrzymasz komunikat o braku dostêpu. Jeœli spróbujesz odszyfrowaæ zaszyfrowany plik, zmieniaj¹c atrybut, otrzymasz komunikat o braku dostêpu. Jeœli masz pozwolenie na modyfikacjê lub pe³n¹ kontrolê nad plikiem, mo esz usun¹æ lub zmieniæ nazwê zaszyfrowanego pliku. Kopia w folderze zaszyfrowanym zostanie zaszyfrowana. Jeœli skopiujesz zaszyfrowany plik na dysk z systemem plików NTFS w twoim komputerze lub innym pracuj¹cym pod kontrol¹ systemu Windows XP lub Windows 2000, to pozostanie on zaszyfrowany. (Jeœli w komputerze docelowym system EFS jest wy³¹czony, Windows ostrzega o tym informuj¹c, i plik przestanie byæ zaszyfrowany). Jeœli skopiujesz plik na dysk systemu FAT (w tym tak e na dyskietkê) lub na dysk NTFS w komputerze pracuj¹cym pod kontrol¹ systemu Windows NT, plik zostanie odszyfrowany. Jeœli przeniesiesz plik do innego folderu na tym samym dysku, plik pozostanie zaszyfrowany. Przeniesienie pliku na inny dysk jest w zasadzie procesem sk³adaj¹cym siê z kopiowania i usuwania; przeniesienie w³asnych plików zaszyfrowanych jest wykonywane tak jak kopiowanie (patrz wy ej). Jeœli spróbujesz przenieœæ cudzy plik zaszyfrowany na dysk AT, otrzymasz komunikat o braku dostêpu. Plik pozostanie zaszyfrowany. Je eli usuniesz plik poprzez przeniesienie go do Kosza, plik pozostaje zaszyfrowany i mo na go przywróciæ. Dokoñczenie tabeli na nastêpnej stronie

452 Czêœæ III: Zarz¹dzanie plikami Dokoñczenie tabeli z poprzedniej strony Tabela 14-1. Zachowanie zaszyfrowanych plików Jeœli... Wykonasz kopiê zapasow¹ zaszyfrowanego pliku za pomoc¹ programu Kopia zapasowa U yjesz zaszyfrowanych plików w innym komputerze To... Wybra³eœ najlepszy sposób wykonania kopii zapasowych, umo liwiaj¹cy przeniesienie plików do innego systemu! Pliki w kopii zapasowej pozostaj¹ zaszyfrowane, bez wzglêdu na to, czy znajduj¹ siê na dysku czy taœmie. (Poniewa wiêkszoœci dysków wymiennych nie mo na sformatowaæ w systemie plików NTFS, zwyk³a kopia staje siê odszyfrowana). Twój osobisty certyfikat szyfrowania i prywatny klucz musz¹ byæ dostêpne w tym komputerze. Mo esz skopiowaæ klucze rêcznie. Wiêcej szczegó³ów na ten temat znajdziesz w podrozdziale Tworzenie kopii zapasowych certyfikatów na stronie 458. Jeœli korzystasz z profili mobilnych, twoje klucze bêd¹ automatycznie dostêpne we wszystkich komputerach, na których logujesz siê za pomoc¹ tego konta. Wiêcej informacji na ten temat znajdziesz w podrozdziale U ywanie Profili mobilnych u ytkownika na stronie 954. Inni u ytkownicy z uprawnieniami do usuwania plików (osoby, którym nada³eœ uprawnienia modyfikowania lub pe³nej kontroli) nie mog¹ u ywaæ zaszyfrowanych przez ciebie plików mog¹ jednak uniemo liwiæ korzystanie z nich tak e tobie. Mog¹ na przyk³ad zmieniaæ nazwy tych plików, co utrudnia ich odnalezienie, oraz usuwaæ je. (Nawet jeœli inny u ytkownik nie usunie plików zupe³nie, a tylko przeniesie je do Kosza, pliki te stan¹ siê dla ciebie niedostêpne, poniewa nie masz dostêpu do Koszy innych u ytkowników). Tak wiêc jeœli chcesz zabezpieczyæ swoje pliki nie tylko przed z³odziejami, którzy mog¹ ukraœæ twój komputer, ale tak e przed innymi uprawnionymi wspó³u ytkownikami, musisz tak okreœliæ uprawnienia NTFS, aby zapobiec modyfikowaniu zaszyfrowanych plików przed innymi u ytkownikami. Wiêcej informacji na ten temat znajdziesz w podrozdziale Zaawansowane opcje zabezpieczeñ na stronie 426. Odszyfrowywanie folderów i plików Podobnie jak szyfrowanie, równie deszyfracja jest procesem niewidocznym dla u ytkownika. Oznacza to, e z plikami zaszyfrowanymi mo esz pracowaæ dok³adnie w ten sam sposób jak z plikami niezaszyfrowanymi. Gdy Windows wykryje, e plik, do którego próbujesz uzyskaæ dostêp, jest zaszyfrowany, odszukuje twój certyfikat i stosuje prywatny klucz, odszyfrowuj¹c dane podczas odczytywania danych z dysku. Jeœli chcesz trwale odszyfrowaæ folder lub plik, usuñ zaznaczenie pola wyboru Szyfruj zawartoœæ, aby zabezpieczyæ dane w oknie dialogowym Atrybuty zaawansowane. Jeœli odszyfrowujesz folder, Windows zapyta, czy chcesz odszyfrowaæ sam folder, czy te folder oraz ca³¹ jego zawartoœæ. Jeœli wybierzesz tê drug¹ opcjê, Windows nie pozwoli odszyfrowaæ plików, dla których nie dysponujesz wa nym certyfikatem szyfrowania. Je eli zmienisz atrybut pliku zaszyfrowanego przez siebie, Windows odszyfruje go bez dodatkowych problemów. Jeœli spróbujesz odszyfrowaæ plik zaszyfrowany przez innego u ytkownika, zobaczysz informacjê o braku dostêpu.

Rozdzia³ 14: Szyfrowanie informacji 453 DLA EKSPERTÓW O ile nie korzystasz z narzêdzia wiersza polecenia, takiego jak Cipher.exe, trudno ci bêdzie odró niæ pliki zaszyfrowane od niezaszyfrowanych. Klikanie ka dego pliku prawym przyciskiem myszy i wybieranie W³aœciwoœci, Ogólne, Zaawansowane (po czym trzeba jeszcze dwukrotnie klikn¹æ przycisk Anuluj) jest pracoch³onne. Na szczêœcie jest jeszcze inny sposób. W oknie Eksploratora Windows u yj widoku Szczegó³y. Z menu Widok wybierz polecenie Wybierz szczegó³y i zaznacz pole wyboru Atrybuty. W oknie Eksploratora Windows wyœwietlona zostanie kolumna Atrybuty. Wszystkie pliki zaszyfrowane oznaczone s¹ liter¹ E. Mo esz tak e w³¹czyæ opcjê wyœwietlania zaszyfrowanych plików w innym kolorze. W oknie dialogowym Opcje folderów wybierz zak³adkê Widok i zaznacz pole wyboru Poka zaszyfrowane lub skompresowane pliki NTFS w kolorze. Nowa funkcja! Pozwalanie innym u ytkownikom na korzystanie z zaszyfrowanych plików Po zaszyfrowaniu pliku mo esz pozwoliæ innym u ytkownikom na korzystanie z niego. Ta funkcja, wprowadzona po raz pierwszy do Windows XP, daje mo liwoœæ zabezpieczenia plików systemem EFS, przy równoczesnym udostêpnieniu ich wybranym u ytkownikom. Musz¹ to byæ wspó³u ytkownicy twojego komputera lub osoby maj¹ce dostêp do plików poprzez sieæ. Aby udostêpniæ zaszyfrowane pliki innym u ytkownikom, wykonaj nastêpuj¹ce czynnoœci: 1. Kliknij prawym przyciskiem myszy zaszyfrowany plik i wybierz polecenie W³aœciwoœci. Na zak³adce Ogólne kliknij przycisk Zaawansowane. 2. W oknie dialogowym Atrybuty zaawansowane kliknij przycisk Szczegó³y. Przycisk Szczegó³y jest niedostêpny, jeœli dopiero przed chwil¹ zaszyfrowa³eœ plik. Musisz zaszyfrowaæ plik, zamkn¹æ okno dialogowe i otworzyæ je ponownie. Pamiêtaj tak e, e przycisk Szczegó³y jest dostêpny wy³¹cznie dla pojedynczych plików; jest niedostêpny dla folderów lub kilku plików wybranych równoczeœnie. 3. W oknie dialogowym Szczegó³y szyfrowania kliknij przycisk Dodaj. Zostanie wyœwietlone okno dialogowe Wybierz u ytkownika (patrz rysunek 14-2). 4. Wybierz u ytkownika, któremu chcesz udostêpniæ plik i kliknij przycisk OK. W oknie dialogowym Wybierz u ytkownika znajduj¹ siê jedynie tacy u ytkownicy, którzy dysponuj¹ certyfikatem EFS. Najprostszym sposobem na utworzenie tego certyfikatu (i umieszczenie nazwy u ytkownika na liœcie) jest zaszyfrowanie przez tego u ytkownika przynajmniej jednego pliku. Dotyczy to wspó³u ytkowników twojego komputera. Natomiast u ytkownicy sieciowi bêd¹ musieli wyeksportowaæ swoje certyfikaty (szczegó³owe omówienie znajdziesz w podrozdziale Eksportowanie osobistego certyfikatu szyfrowania na stronie 459); które bêdziesz musia³ nastêpnie zaimportowaæ do swojego komputera.

454 Czêœæ III: Zarz¹dzanie plikami Rysunek 14-2. Zaszyfrowane przez siebie pliki mo esz udostêpniæ ka demu, kto posiada certyfikat systemu EFS w twoim komputerze. Polecenie Cipher Jeœli lubisz korzystaæ z wiersza polecenia, masz do dyspozycji tekstowe narzêdzie odpowiadaj¹ce oknu dialogowemu Atrybuty zaawansowane, za pomoc¹ którego mo esz szyfrowaæ i odszyfrowywaæ foldery i pliki. Polecenie Cipher.exe tak e pozwala na szyfrowanie oraz odszyfrowywanie folderów i pojedynczych plików. Jeœli chcesz zaszyfrowaæ folder, bêdziesz móg³ zdecydowaæ, czy chcesz zaszyfrowaæ tak e znajduj¹ce siê w nim pliki i podfoldery. Wpisz polecenie cipher bez adnych parametrów, aby zobaczyæ status zaszyfrowania bie ¹cego folderu i znajduj¹cych siê w nim plików. Aby zaszyfrowaæ lub odszyfrowaæ folder lub plik musisz do³¹czyæ do polecenia œcie - kê i odpowiednie parametry. Prze³¹cznik /E umo liwia zaszyfrowanie okreœlonych folderów lub plików, a prze³¹cznik /D powoduje ich odszyfrowanie. Na przyk³ad, aby zaszyfrowaæ folder Moje dokumenty wraz z jego plikami i podfolderami, wpisz w wierszu polecenia cipher /e /a /s: "%UserProfile%\moje dokumenty". Okreœlaj¹c nazwy plików, mo esz u yæ znaków zastêpczych. Mo esz tak e okreœliæ kilka folderów równoczeœnie, oddzielaj¹c ich nazwy spacjami. W tabeli 14-2 zebrano najczêœciej stosowane parametry polecenia Cipher; jeœli chcesz przejrzeæ pe³n¹ listê parametrów, wpisz w wierszu polecenia cipher /?. Tabela 14-2. Parametry polecenia Cipher.exe Parametr Opis /E Szyfruje okreœlone foldery. /D Odszyfrowuje okreœlone foldery. /S:folder Wykonuje operacjê na folderze oraz jego podfolderach (ale nie na plikach). /A Wykonuje operacjê na okreœlonych plikach i plikach w okreœlonych folderach. /K Tworzy nowy klucz szyfrowania pliku dla u ytkownika uruchamiaj¹cego polecenie Cipher. Jeœli u yto tego parametru, wszystkie pozosta³e s¹ ignorowane.

Rozdzia³ 14: Szyfrowanie informacji 455 Parametr Opis /R Tworzy klucz i certyfikat agenta odzyskiwania. Klucz i certyfikat s¹ zapisywane w pliku.pfx, a sam certyfikat jest zapisywany w pliku.cer. /U Aktualizuje klucz szyfrowania pliku u ytkownika lub klucz szyfrowania agenta odzyskiwania w ka dym zaszyfrowanym pliku na wszystkich dyskach lokalnych. /U /N Tworzy listê wszystkich zaszyfrowanych plików na dyskach lokalnych. Tworzenie agenta odzyskiwania danych Agentem odzyskiwania danych jest inny u ytkownik, zazwyczaj Administrator, który ma dostêp do zaszyfrowanych przez ciebie plików. Dziêki niemu mo esz odzyskaæ zaszyfrowane pliki, gdy stracisz lub uszkodzisz swój prywatny klucz. Microsoft Windows XP nie tworzy domyœlnego agenta odzyskiwania. Jeœli twój komputer jest cz³onkiem domeny, to domyœlnym agentem odzyskiwania jest administrator ca³ej domeny. Agent odzyskiwania danych mo e odzyskaæ tylko te pliki, które zosta³y utworzone po utworzeniu certyfikatu odzyskiwania i okreœleniu agenta odzyskiwania. Agent nie ma dostêpu do plików zaszyfrowanych wczeœniej. Wynika to z tego, e podczas szyfrowania pliku system EFS korzysta z publicznego klucza konta, w którym szyfrowany jest ten plik, oraz ka dego wyznaczonego agenta odzyskiwania. Dlatego te tylko agenci odzyskiwania, których certyfikaty by³y zainstalowane w czasie szyfrowania pliku, mog¹ go póÿniej odszyfrowaæ. Aby utworzyæ agenta odzyskiwania danych, nale y utworzyæ certyfikat odzyskiwania danych, a nastêpnie desygnowaæ u ytkownika, który bêdzie spe³nia³ rolê agenta. Tworzenie certyfikatu odzyskiwania Aby utworzyæ certyfikat odzyskiwania danych, wykonaj nastêpuj¹ce czynnoœci: 1. Zaloguj siê jako Administrator. 2. W wierszu polecenia wpisz cipher /r:nazwa_pliku. 3. Podaj has³o, które bêdzie chroni³o utworzone pliki. Utworzone zostan¹ dwa pliki.pfx oraz.cer o okreœlonej przez ciebie nazwie. OSTRZE ENIE Te dwa pliki pozwalaj¹ ka demu na przyjêcie roli agenta odzyskiwania. Dlatego te nale y skopiowaæ je na dyskietkê i przechowywaæ j¹ w bezpiecznym miejscu. Pliki znajduj¹ce siê na dysku twardym nale y usun¹æ. Desygnacja agenta odzyskiwania danych Ka dy u ytkownik mo e byæ agentem odzyskiwania danych. My zalecamy, abyœ skorzysta³ z konta Administrator. Nie u ywaj w³asnego konta jako agenta odzyskiwania. Takie postêpowanie nie stanowi adnego zabezpieczenia. Jeœli twój profil u ytkownika zostanie uszkodzony lub usuniêty, stracisz tak e wszystkie klucze, które pozwala³yby na odszyfrowanie plików.

456 Czêœæ III: Zarz¹dzanie plikami Aby desygnowaæ agenta odzyskiwania danych, wykonaj nastêpuj¹ce czynnoœci: 1. Zaloguj siê do konta, które ma byæ kontem agenta odzyskiwania danych. 2. W konsoli Certyfikaty (Certmgr.msc) przejdÿ do Certyfikaty Bie ¹cy u ytkownik\osobisty. 3. Wybierz polecenie Akcja, Wszystkie zadania, Importuj, aby uruchomiæ Kreatora importu certyfikatów. Kliknij przycisk Dalej. Pojawi siê strona Import pliku. 4. Wpisz œcie kê i nazwê wyeksportowanego pliku certyfikatu szyfrowania (pliku.pfx) i kliknij przycisk Dalej. Jeœli klikniesz przycisk Przegl¹daj, musisz w polu Pliki typu wybraæ pozycjê Wymiana informacji osobistych, aby wyœwietliæ jedynie pliki.pfx. Kliknij przycisk Dalej. 5. Podaj has³o dla tego certyfikatu, a nastêpnie zaznacz pole wyboru Oznacz ten klucz jako eksportowalny. Kliknij przycisk Dalej. 6. Zaznacz pole wyboru Automatycznie wybierz magazyn certyfikatów na podstawie typu certyfikatu i kliknij przycisk Dalej. Kliknij przycisk Zakoñcz. 7. W oknie dialogowym Ustawienia zabezpieczeñ lokalnych (Secpol.msc) przejdÿ do Ustawienia zabezpieczeñ\zasady kluczy publicznych\system szyfrowania plików. 8. Wybierz Akcja, Dodaj agenta odzyskiwania danych. Kliknij przycisk Dalej. 9. Na stronie Wybierz agentów odzyskiwania kliknij przycisk Przegl¹daj foldery i przejdÿ do folderu, w którym znajduje siê utworzony przez ciebie plik.cer. (Jeœli klikniesz przycisk Przegl¹daj katalog, bêdziesz móg³ skorzystaæ z us³ugi Active Directory, która jest funkcj¹ domen, dostêpn¹ w rodzinach Windows 2000 Server oraz Windows.NET Server). Wybierz plik i kliknij przycisk Otwórz. Na stronie Wybierz agentów odzyskiwania nowy agent wyœwietlany jest jako USER_UNKNOWN. To normalne, poniewa nazwa nie jest przechowywana w pliku.

Rozdzia³ 14: Szyfrowanie informacji 457 10. Kliknij przycisk Dalej, a na nastêpnej stronie kliknij Zakoñcz. Bie ¹cy u ytkownik jest teraz agentem odzyskiwania wszystkich zaszyfrowanych plików w tym komputerze. Usuwanie klucza prywatnego Aby uniemo liwiæ innym podgl¹danie zaszyfrowanych plików po zalogowaniu siê do konta Administrator, mo esz wyeksportowaæ i usun¹æ klucz prywatny agenta odzyskiwania. Klucz ten nale y przechowywaæ w bezpiecznym miejscu bez niego nie bêdziesz móg³ korzystaæ z agenta odzyskiwania. W celu usuniêcia prywatnego klucza agenta odzyskiwania, wykonaj nastêpuj¹ce czynnoœci: 1. Zaloguj siê do konta, które okreœli³eœ jako agenta odzyskiwania. 2. W konsoli Certyfikaty (Certmgr.msc), w Certyfikaty Bie ¹cy u ytkownik, otwórz Osobisty, Certyfikaty. 3. Prawym przyciskiem myszy kliknij certyfikat odzyskiwania plików (patrz kolumna Zamierzone cele), i wybierz polecenie Akcje, Wszystkie zadania, Eksportuj, aby uruchomiæ Kreatora eksportu certyfikatów. Kliknij przycisk Dalej. 4. Zaznacz pole wyboru Tak, eksportuj klucz prywatny, a nastêpnie kliknij przycisk Dalej. 5. Zaznacz pola wyboru W³¹cz siln¹ ochronê oraz Usuñ klucz prywatny, je eli eksport zosta³ zakoñczony pomyœlnie. Kliknij przycisk Dalej. 6. Dwukrotnie wpisz has³o i kliknij przycisk Dalej. 7. Okreœl œcie kê i nazwê eksportowanego pliku. 8. Kliknij przycisk Dalej i w nastêpnym oknie przycisk Zakoñcz. Podobnie jak w przypadku certyfikatów agentów odzyskiwania, powinieneœ skopiowaæ plik na dysk wymienny, umieœciæ go w bezpiecznym miejscu i usun¹æ plik z dysku twardego.

458 Czêœæ III: Zarz¹dzanie plikami Publiczny klucz agenta odzyskiwania jest dodawany do ka dego szyfrowanego pliku, ale poniewa niedostêpny jest klucz prywatny agenta, to nie mo e on przegl¹daæ plików. Aby umo liwiæ agentowi dostêp do zaszyfrowanych plików, musisz dokonaæ importu wyeksportowanego przed chwil¹ klucza prywatnego, u ywaj¹c tej samej procedury, co w przypadku importu certyfikatu osobistego. Wiêcej informacji na ten temat znajdziesz w podrozdziale Importowanie osobistego certyfikatu szyfrowania na stronie 461. Tworzenie kopii zapasowych certyfikatów Gdy po raz pierwszy zaszyfrujesz jakiœ plik, Windows automatycznie tworzy podpisany przez siebie certyfikat EFS. (Podpisany przez siebie oznacza w tym przypadku certyfikat, który nie zosta³ podpisany przez biuro certyfikacji, które mo e potwierdziæ twoj¹ to samoœæ. Taka weryfikacja nie jest konieczna w tym przypadku wystarczy potwierdzenie Windows, e certyfikat zosta³ utworzony na twoim koncie). Certyfikat staje siê twoim osobistym certyfikatem szyfrowania i zawiera on parê kluczy publiczny/prywatny, u ywan¹ do szyfrowania i odszyfrowywania plików w twoim koncie. Ka dy u ytkownik, który zaszyfruje pliki, ma swój w³asny certyfikat szyfrowania. Oprócz tego, Windows mo e utworzyæ certyfikat dla wybranego agenta odzyskiwania. Certyfikat ten, tworzony dla celów odzyskiwania danych, ró ni siê od osobistego certyfikatu u ytkownika. Wszyscy u ytkownicy powinni mieæ kopie zapasowe swoich osobistych certyfikatów szyfrowania. Jednak najwa niejsze, aby kopi¹ zapasow¹ certyfikatu agenta odzyskiwania dysponowa³ administrator komputera. Bez tych kopii zaszyfrowane pliki stan¹ siê bezu yteczne. Wykonywanie kopii zapasowej certyfikatu agenta odzyskiwania Certyfikat agenta odzyskiwania daje mo liwoœæ odszyfrowania plików na wypadek, jeœli osobisty certyfikat u ytkownika stanie siê z jakiejœ przyczyny niedostêpny. Jeœli zamierzasz korzystaæ z szyfrowania systemem EFS, powinieneœ wykonaæ kopiê zapasow¹ tego certyfikatu.

Rozdzia³ 14: Szyfrowanie informacji 459 Aby wykonaæ kopiê zapasow¹ certyfikatu agenta odzyskiwania, wykonaj nastêpuj¹ce czynnoœci: 1. Zaloguj siê jako cz³onek grupy Administratorzy. 2. W konsoli Ustawienia zabezpieczeñ lokalnych (Secpol.msc) przejdÿ do Ustawienia zabezpieczeñ\zasady kluczy publicznych\system szyfrowania plików. WSKAZÓWKA Jeœli nie lubisz korzystaæ z wiersza polecenia, mo esz otworzyæ konsolê Ustawienia zabezpieczeñ lokalnych otwieraj¹c Panel sterowania, Wydajnoœæ i konserwacja, Narzêdzia administracyjne, Zasady zabezpieczeñ lokalnych. 3. Prawym przyciskiem myszy kliknij certyfikat wystawiony dla Administratora dla celów odzyskiwania plików, wybierz Akcja, Wszystkie zadania, Eksportuj, aby uruchomiæ Kreatora eksportu certyfikatów i kliknij przycisk Dalej. Kreator wyœwietli stronê Format pliku eksportu. 4. Zaznacz pole wyboru Certyfikat X.509 szyfrowany binarnie algorytmem DER (.CER), a nastêpnie kliknij przycisk Dalej. 5. Okreœl œcie kê i nazwê eksportowanego pliku. 6. Kliknij przycisk Dalej, a na nastêpnej stronie przycisk Zakoñcz. Eksportowanie osobistego certyfikatu szyfrowania Aby wykonaæ kopiê zapasow¹ osobistego certyfikatu szyfrowania, wykonaj nastêpuj¹ce czynnoœci: 1. Zaloguj siê do konta u ytkownika, którego certyfikat chcesz wyeksportowaæ. 2. Na zak³adce Zawartoœæ okna dialogowego Opcje internetowe (w Internet Explorerze wybierz Narzêdzia, Opcje internetowe) kliknij przycisk Certyfikaty, aby otworzyæ okno dialogowe o tej samej nazwie.

460 Czêœæ III: Zarz¹dzanie plikami Mo esz tak e u yæ przystawki Certyfikaty programu MMC. Jednak tutaj opisaliœmy sposób, który naszym zdaniem jest prostszy i nie wymaga adnych specjalnych uprawnieñ. Na zak³adce Osobisty wybierz certyfikat, którego zamierzonym celem jest System plików szyfrowania (patrz pole w dolnej czêœci okna dialogowego). Windows tworzy ten certyfikat w momencie zaszyfrowania przez ciebie pierwszego folderu lub pliku. Jeœli jeszcze nic nie zaszyfrowa³eœ lub te nie utworzy³eœ certyfikatu w inny sposób, nie bêdziesz mia³ dostêpu do tego certyfikatu. 4. Kliknij przycisk Eksportuj, aby uruchomiæ Kreatora eksportu certyfikatów, a nastêpnie kliknij przycisk Dalej. 5. Zaznacz pole wyboru Tak, eksportuj klucz prywatny, a nastêpnie kliknij przycisk Dalej w dwóch kolejnych oknach. 6. Podaj has³o dla pliku.pfx. Nie musi to byæ has³o u ywane podczas logowania. Kliknij przycisk Dalej. 7. Okreœl œcie kê i nazwê eksportowanego pliku. 8. Kliknij przycisk Dalej, a nastêpnie przycisk Zakoñcz. Jak siê za chwilê przekonasz, import klucza umo liwia zainstalowanie certyfikatu w innym komputerze pozwalaj¹c na uzyskanie dostêpu do zaszyfrowanych plików. Dlatego te nale y pamiêtaæ o kilku sprawach: Podczas eksportu certyfikatu nale y zabezpieczyæ go silnym has³em. W przeciwieñstwie do procesu logowania, nie istnieje tu aden mechanizm uniemo liwiaj¹cy podanie has³a po okreœlonej liczbie nieudanych prób. (Z drugiej strony nale y wybraæ takie has³o, z którego zapamiêtaniem ty nie bêdziesz mia³ adnych problemów!).

Rozdzia³ 14: Szyfrowanie informacji 461 Pamiêtaj, aby pliki certyfikatu zapisane na dyskietce, dysku twardym lub innym dysku przenoœnym przechowywaæ w bezpiecznym miejscu. Importowanie osobistego certyfikatu szyfrowania Import osobistego certyfikatu tego, który wyeksportowa³eœ u ywaj¹c procedur opisanych w poprzednim podrozdziale konieczny jest nastêpuj¹cych sytuacjach: Chcesz korzystaæ z zaszyfrowanych plików w innym komputerze. Oryginalny certyfikat osobisty uleg³ uszkodzeniu lub zniszczeniu. Aby zaimportowaæ osobisty certyfikat szyfrowania, wykonaj nastêpuj¹ce czynnoœci: 1. Na zak³adce Zawartoœæ okna dialogowego Opcje internetowe (wybierz Panel sterowania, Po³¹czenia sieciowe i internetowe, Opcje internetowe) kliknij przycisk Certyfikaty, aby otworzyæ okno dialogowe o tej samej nazwie. 2. Kliknij przycisk Importuj, aby uruchomiæ Kreatora importu certyfikatów, a nastêpnie kliknij przycisk Dalej. 3. Wpisz œcie kê i nazwê wyeksportowanego certyfikatu szyfrowania (pliku.pfx), a nastêpnie kliknij przycisk Dalej. Jeœli klikniesz przycisk Przegl¹daj, w polu Pliki typu wybierz Wymiana informacji osobistych, aby wyœwietliæ pliki o rozszerzeniu.pfx. 4. Podaj has³o. Jeœli chcesz, mo esz wybraæ inne opcje i kliknij przycisk Dalej. 5. Wybierz pole wyboru Umieœæ wszystkie certyfikaty w nastêpuj¹cym magazynie, kliknij przycisk Przegl¹daj i wybierz Osobisty. Kliknij przycisk OK, Dalej i Zakoñcz.

462 Czêœæ III: Zarz¹dzanie plikami Tworzenie nowego osobistego certyfikatu szyfrowania Jeœli stracisz swój osobisty certyfikat szyfrowania, mo esz utworzyæ nowy korzystaj¹c z narzêdzia Cipher.exe. W wierszu polecenia wpisz cipher /k. Utworzony zostanie nowy certyfikat szyfrowania dla u ytkownika, który uruchomi³ program Cipher. (U ywaj¹c polecenia Uruchom jako, mo esz utworzyæ certyfikaty dla innych u ytkowników). Nie mo esz oczywiœcie u yæ nowego certyfikatu do odszyfrowania plików zaszyfrowanych za pomoc¹ klucza publicznego poprzedniego certyfikatu. Przywracanie zaszyfrowanych plików i folderów W sk³ad zasad bezpieczeñstwa komputera lub domeny wchodz¹ miêdzy innymi zasady przywracania danych. Zasady te pozwalaj¹ na okreœlenie jednego lub kilku u ytkowników jako agentów przywracania; mog¹ oni odszyfrowywaæ pliki, nawet jeœli osobisty klucz u yty do zaszyfrowania tych plików nie jest ju dostêpny. Dziêki temu mo esz na przyk³ad odszyfrowaæ pliki pracownika, który nie pracuje ju w twojej firmie. Jeœli komputer nie jest czêœci¹ domeny, Windows nie tworzy domyœlnego agenta odzyskiwania danych i musisz utworzyæ go sam, zgodnie z opisem we wczeœniejszej czêœci tego rozdzia³u. W œrodowisku domen opartym na Windows 2000 Server lub Windows.NET Server, domyœlnym agentem odzyskiwania jest konto Administratora domeny. Je eli twój komputer jest cz³onkiem domeny, to jej administrator mo e wyznaczyæ dodatkowych agentów odzyskiwania. U ywaj¹c Enterprise Certificate Authority administrator domeny tworzy certyfikaty agentów odzyskiwania dla wybranych u ytkowników i dodaje ich do listy agentów konsoli Ustawienia zabezpieczeñ lokalnych w ga³êzi Zasady kluczy publicznych\agenci odzyskiwania zaszyfrowanych danych lub, co bardziej prawdopodobne, do zasad zabezpieczeñ domeny.

Rozdzia³ 14: Szyfrowanie informacji 463 Aby przywróciæ certyfikaty agentów odzyskiwania danych, wykonaj nastêpuj¹ce czynnoœci: 1. Zaloguj siê jako administrator. 2. W oknie dialogowym Certyfikaty dokonaj importu certyfikatu odzyskiwania danych. Procedura importu wygl¹da tak samo, jak w przypadku importu prywatnego certyfikatu szyfrowania. Wiêcej szczegó³ów znajdziesz w podrozdziale Importowanie osobistego certyfikatu szyfrowania na stronie 463. Jeœli w twojej domenie nie ma us³ugi Enterprise Certificate Authority i chcesz u yæ jako agenta odzyskiwania innego konta ni Administrator, zaloguj siê jako ten u ytkownik, a nastêpnie przywróæ certyfikat odzyskiwania plików Administratora. Od tej pory loguj¹c siê jako ten u ytkownik, bêdziesz mia³ dostêp do zaszyfrowanych plików. Jeœli znajdziesz siê w sytuacji, w której bêdziesz musia³ odzyskaæ zaszyfrowane pliki, musisz wiedzieæ, którzy u ytkownicy maj¹ do tego uprawnienia. W przypadku pojedynczego pliku mo esz przejrzeæ informacje zawarte w oknie dialogowym Szczegó³y szyfrowania, przedstawionym na rysunku 14-2. (Kliknij plik prawym przyciskiem myszy, wybierz polecenie W³aœciwoœci, kliknij przycisk Zaawansowane, Szczegó³y). Jeœli chcesz poznaæ informacje na temat wielu plików, mo esz u yæ narzêdzia wiersza poleceñ o nazwie System EFSinfo.exe, które pozwala na obejrzenie informacji o osobie, która zaszyfrowa³a ka dy plik, oraz o osobach maj¹cych uprawnienia do jego odszyfrowania, w tym tak e agentach odzyskiwania. System EFSinfo.exe znajduje siê na p³ycie instalacyjnej Windows XP CD-ROM w pliku \Support\Tools\ Support.cab; narzêdzie nie jest domyœlnie instalowane. Oprócz pomocy, któr¹ uzyskasz wpisuj¹c w wierszu polecenia system EFSinfo /? oraz w Centrum pomocy i obs³ugi technicznej, warto tak e przeczytaæ artyku³ bazy Microsoft Knowledge Base Q243026. Podobne narzêdzie, o nazwie EFSDump, oferuje tak e firma Sysinternals. Program ten dostêpny jest na stronie http://www.sysinternals.com/ntw2k/source/misc.shtml. Podobnie jak System EFSinfo.exe, narzêdzie EFS Dump wyœwietla informacje na temat osoby, która zaszyfrowa³a plik oraz listê osób, które mog¹ go odszyfrowaæ. W³¹czanie i wy³¹czanie systemu EFS Jeœli chcesz uniemo liwiæ u ytkownikom szyfrowanie plików w wybranym komputerze, mo esz wy³¹czyæ system EFS. OSTRZE ENIE Wy³¹czenie systemu EFS nie tylko uniemo liwia szyfrowanie dodatkowych folderów lub plików, ale tak e uniemo liwia uzyskanie dostêpu do istniej¹cych ju zaszyfrowanych plików. Aby wy³¹czyæ system EFS w komputerze, który nie jest czêœci¹ domeny, wykonaj nastêpuj¹ce czynnoœci: 1. W wierszu polecenia wpisz regedit, aby uruchomiæ Edytor rejestru. 2. Otwórz klucze HKLM\Software\Microsoft\Windows NT\CurrentVersion\EFS. 3. Wybierz Edycja, Nowy, Wartoœæ DWORD. 4. Nadaj nowej wartoœci nazwê System EFSConfiguration.

464 Czêœæ III: Zarz¹dzanie plikami 5. Dwukrotnie kliknij nowy klucz i zmieñ jego wartoœæ na 1. 6. Ponownie uruchom komputer. Aby w³¹czyæ system EFS, zmieñ wartoœæ klucza na 0. Co dociekliwsi u ytkownicy Windows mog¹ znaleÿæ pole wyboru Zezwalaj u ytkownikom na szyfrowanie plików przy u yciu systemu EFS i za³o yæ, e usuniêcie zaznaczenia tego pola wy³¹czy system EFS. Niestety, w œrodowisku grupy roboczej ustawienie to nie ma adnego znaczenia. (Jeœli chcesz siê o tym przekonaæ osobiœcie, otwórz konsolê Ustawienia zabezpieczeñ lokalnych (Secpol.msc), wybierz Zasady kluczy publicznych, prawym przyciskiem myszy kliknij System szyfrowania plików i wybierz polecenie W³aœciwoœci). Jeœli komputer jest czêœci¹ domeny, to nadrzêdne zasady mog¹ zmieniæ ustawienia zabezpieczeñ lokalnych, które kontroluj¹ jedynie lokalne obiekty. Je eli domyœlna zasada domeny pozwala na stosowanie systemu EFS, to bêdzie on w dalszym ci¹gu dostêpny. Oczywiœcie mo esz tak e wy³¹czyæ obs³ugê EFS w zasadach dla ca³ej domeny, wy³¹czaj¹c w ten sposób system EFS we wszystkich komputerach domeny. Informacje na temat u ywania systemu EFS w œrodowisku domen znajdziesz w podrêczniku Microsoft Windows 2000 Server Resource Kit (Microsoft Press, 2000). Zalecenia dotycz¹ce szyfrowania plików Niew³aœciwe wdro enie systemu EFS mo e podwa yæ celowoœæ stosowania zabezpieczeñ. Na przyk³ad musisz pamiêtaæ, e programy do edycji plików mog¹ zostawiæ na dysku niezaszyfrowane pliki tymczasowe. Lub te, co gorsza, mo esz niechc¹cy straciæ dostêp do zaszyfrowanych przez siebie plików. Aby unikn¹æ takich sytuacji, zawsze stosuj siê do poni szych zaleceñ: Zaszyfruj folder Moje dokumenty oraz wszystkie inne foldery, w których przechowujesz dokumenty. Dziêki temu bêdziesz mia³ pewnoœæ, e pliki utworzone w programach Microsoft Office s¹ zaszyfrowane. Zaszyfruj foldery %Temp% i %Tmp%. W ten sposób zaszyfrujesz wszystkie pliki tymczasowe. Zawsze szyfruj ca³e foldery, nie poszczególne pliki. Gdy zaszyfrowany jest ca³y folder, wszystkie pliki w tym folderze równie s¹ szyfrowane. Wiele programów zapisuje nowe kopie edytowanych plików. Kopia ta bêdzie zaszyfrowana, jeœli zaszyfrowany bêdzie ca³y folder, natomiast jeœli zaszyfrujesz jedynie oryginalny plik, to utworzona kopia nie zostanie zaszyfrowana. Wyeksportuj i zabezpiecz prywatne klucze do kont odzyskiwania, a nastêpnie usuñ je z komputera. Uniemo liwisz w ten sposób dostêp do twoich plików przy u yciu konta agenta odzyskiwania danych. Wyeksportuj osobiste certyfikaty szyfrowania dla wszystkich kont. Nie niszcz certyfikatów odzyskiwania przy zmianie zasad agenta odzyskiwania. Zatrzymaj certyfikat do czasu, a upewnisz siê, e wszystkie pliki chronione tym certyfikatem zosta³y uaktualnione. Drukuj¹c zaszyfrowane pliki, nie u ywaj plików buforowych lub te zaszyfruj folder, w którym pliki te s¹ tworzone. Zabezpiecz plik stronicowania, tak aby Windows nadpisywa³ go przy zamykaniu systemu. (Patrz ramka Zabezpieczanie pliku stronicowania na stronie 448).