Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
Подтверждение изменения атрибутов
Выбраны следующие изменения атрибутов: зашифровать
Применить эти атрибуты только к этой папке или также ко всем вложенным папкам и файлам?
О Только к этой папке
® fe .Э.Т.РЙ папке и ко всем вложенным папкам и файлам]
Рис. 5.19. Подтверждение изменения атрибута шифрования папки
шифрованного файла все созданные на его основе временные файлы также будут зашифрованы);
возможность вызова функций шифрования и расшифрования
с помощью контекстного меню Проводника Windows и програм
мы командной строки cipher;
возможность доступа к открытому ключу обмена пользовате
ля со стороны операционной системы только во время сеанса его
работы в системе.
Пользователь сообщает шифрующей файловой системе Windows о необходимости шифрования папки или файла с помощью дополнительных атрибутов этих объектов, доступных по команде контекстного меню Свойства | Другие (рис. 5.18). Состояние выключателя «Шифровать содержимое для защиты данных» определяет необходимость шифрования информации в данном объекте. При изменении этого состояния EFS запрашивает пользователя о подтверждении изменения атрибута шифрования, а также о том,
Предупреждение при шифровании
Выбранный для шифрования файл находится в незашифрованной папке. После модификации файл может стать дешифрованным.
Поскольку при сохранении в зашифрованную папку файлы по умолчанию шифруются, рекомендуется зашифровать и файл, и содержащую его папку.
Выберите одну из следующих возможностей. О Зашифровать файл и содержащую его папку
| | Всегда шифровать только файл
Рис. 5.20. Предупреждение при шифровании отдельного файла
распространяется это изменение только на папку или также на все вложенные в нее файлы и папки (рис. 5.19).
При изменении атрибута шифрования для отдельного файла шифрующая файловая система также запрашивает пользователя о подтверждении этого изменения и предлагает выбрать один из двух вариантов: зашифровать (расшифровать) только один файл или применить новое значение атрибута шифрования ко всей содержащий файл папке (рис. 5.20). Если выбранный для шифрования файл находится в незашифрованной папке (и наоборот), то после модификации этого файла значение его атрибута шифрования может автоматически измениться. Поэтому рекомендуется изменять значение атрибута шифрования для всей папки.
Перед шифрованием файла EFS обеспечивает генерацию случайного сеансового ключа (см. подразд. 5.2), после чего зашифровывает файл по алгоритму DESX (см. подразд. 4.4) экспортирует из криптопровайдера сеансовый ключ в блобе, зашифрованном с помощью открытого ключа обмена пользователя, и записывает этот блоб вместе с самим зашифрованным файлом в качестве одного из его атрибутов.
Перед расшифрованием зашифрованного файла EFS обеспечивает импорт блоба с сеансовым ключом шифрования файла в криптопровайдер, используя при этом секретный ключ обмена пользователя. После этого выполняется расшифрование файла.
В операционной системе Windows 2000 не обеспечивается возможность совместного доступа к зашифрованному файлу со стороны нескольких пользователей, а также передача по сети зашифрованных файлов. Поэтому для исключения угрозы потери зашифрованных пользователем данных, например из-за невозможности его входа в систему, администратор должен применять политику обязательного использования агента восстановления данных (Data Recovery Agent, DRA).
Политика восстановления зашифрованных данных определяется в рамках домена. Пара ключей обмена для агента восстановления создается после включения соответствующего параметра политики безопасности, после чего открытый ключ из этой пары реплицируется на все компьютеры домена, а секретный ключ сохраняется у администратора или на специально выделенном для этого компьютере. При использовании политики восстановления зашифрованных данных сеансовый ключ, на котором был зашифрован файл, экспортируется из CSP еще один раз — теперь в блобе, зашифрованном на открытом ключе агента восстановления, и это блоб записывается в качестве еще одного атрибута зашифрованного файла. При необходимости восстановления зашифрованного файла сеансовый ключ импортируется в криптопровайдер с использованием секретного ключа агента восстановления.