Задание №3: общий доступ к зашифрованным файлам.

Шифрованная файловая система EFS.

Цель: изучить работу шифрованной файловой системы EFS: особенности шифрования, файлов и папок, предназначение и работа агента восстановления, способы хранения ключевой информации.

Оборудование: виртуальная машина с предустановленной ОС Windows. На виртуальной машине создано две учетных записи: администратор (пустой пароль), std (пароль «1»).

Задание №1: включение режима шифрования.

– Зарегистрируйтесь в ОС под учетными данными пользователя Std;

– Создайте на рабочем столе папку «Top_Secret_FIO», а внутри нее несколько папок и текстовых файлов;

– Для любого файла внутри папки «Top_Secret_FIO» включите режим шифрования (Свойства — Дополнительно — Шифровать содержимое для защиты данных), далее в появившемся окне выбрать «Зашифровать только файл»;

– Откройте зашифрованный файл, напишите в нем текст и сохраните;

– Необходимо проверить, что с зашифрованным файлом может работать только пользователь Std (зайти из-под учетной записи Администратора и проверить доступ к файлу, так же как и в лабораторных 2,3,4.);

– Зайти под учетной записью Std и целиком зашифровать папку «Top_Secret_FIO», проверить, что стало с режимом шифрования для всех вложенных файлов и папок;

– Зайти под учетной записью Администратор и вторично проверить, может ли пользователь Администратор прочесть что-нибудь из содержимого папки «Top_Secret_FIO»;

– Зайти под учетной записью Std и снять режим шифрования для папки «Top_Secret_FIO», затем проверить, каким стал режим шифрования для вложенных файлов и папок.

Задание №2: создание агента восстановления EFS.

– Создать для пользователя Администратор сертификат агента восстановления (из командной строки запустить утилиту «cipher» с ключом (через пробел) «/R:keyfile» , ввести некоторый пароль (запишите его себе в отчет) для защиты файла-сертификата; после выполнения утилиты cipher будет создано для файла «keyfile.cer», «keyfile.pfx»);

– Установить закрытый ключ агента восстановления (запустить файл «keyfile.pfx», следовать инструкциям программы);

– Установить сертификат агента восстановления (Панель управления — Администрирование — Локальная политика безопасности — Политики открытого ключа — Файловая система EFS, создать Агента восстановления, по запросу программу указать файл «keyfile.cer»);

– Проверить, появился ли у пользователя Администратор доступ к зашифрованным файлам пользователя Std (попытайтесь открыть файл);

– Из-под пользователя Std внести какие-либо изменения в зашифрованные файлы и сохранить эти изменения, проверить появился ли доступ к зашифрованным файлам у агента восстановления;

– На основании всего второго задания сделать вывод о том, на каком этапе жизненного цикла операционной системы необходимо создавать агента восстановления?

Задание №3: Общий доступ к зашифрованным файлам.

Операционная система Microsoft Windows XP позволяет предоставлять общий доступ к зашифрованным файлам в файловой системе EFS. Можно назначать разрешения на доступ к зашифрованным файлам для отдельных пользователей. Возможность назначать разрешения для пользователей существует только для файлов. Назначение разрешений на доступ к папкам для нескольких пользователей не поддерживается ни в Microsoft Windows 2000, ни в Windows XP. Кроме того, в файловой системе EFS не поддерживается использование групп.

После шифрования файла в интерфейсе появляется новая кнопка, с помощью которой можно разрешить общий доступ к нему. Для добавления новых пользователей файл необходимо зашифровать и сохранить. Пользователей можно добавлять из локального компьютера либо из службы каталогов Active Directory, если пользователь имеет допустимый сертификат для файловой системы EFS. Возможность назначать разрешения для пользователей существует только для файлов. Назначение разрешений на доступ к зашифрованным папкам в файловой системе EFS для нескольких пользователей не поддерживается. Кроме того, для файлов можно добавлять только отдельных пользователей. Файловая система EFS не поддерживает использование групп.

Эта процедура относится только к Windows XP. В Windows 2000 невозможно зашифровать файл для нескольких пользователей.

Для того, чтобы реализовать общий доступ к зашифрованным файлам выполните следующие действия:

1. Запустите проводник и выберите зашифрованный файл, для которого нужно добавить дополнительных пользователей.

2. Щелкните файл правой кнопкой мыши и выберите пункт «Свойства».

3. Нажмите кнопку Дополнительно, чтобы получить доступ к параметрам файловой системы EFS.

4. Чтобы добавить пользователей, нажмите кнопку Подробно.

5. Нажмите кнопку Добавить. Откроется диалоговое окно Добавить, содержащее список EFS-совместимых сертификатов, находящихся в личном хранилище и хранилищах сертификатов Другие пользователи и Доверенные лица.

P.S. Если в списке нет нужного пользователя, нажмите кнопку Найти пользователя и выполните поиск. Появится окно Выбор пользователя. В этом диалоговом окне перечислены допустимые сертификаты EFS, отвечающие условиям поиска. Если для указанного пользователя не будут найдены допустимые сертификаты, появится сообщение о том, что выбранному пользователю не соответствует ни один подходящий сертификат. В этом случае пользователи должны отправить вам копию своего сертификата, которую можно будет импортировать. После этого можно добавить для этих пользователей разрешение на доступ к файлу.

6. Выберите сертификат пользователя, которого необходимо добавить, и нажмите кнопку ОК. На вкладке Подробно появится список пользователей, которые получат доступ к зашифрованному файлу, и их сертификатов EFS.

7. Убедитесь, что пользователи имеют совместный доступ к зашифрованному файлу.

Примечание. Любой пользователь, который может расшифровывать файл и имеет права на запись для этого файла, имеет возможность удалять других пользователей из списка.

Week 2, continued


Похожие статьи.

Понравилась статья? Поделиться с друзьями: