Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4614 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Российский государственный социальный университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
ЛР ОТЧЕТ 3.doc
Скачиваний:
8
Добавлен:
13.11.2018
Размер:
220.67 Кб
Скачать
►Содержание►

51. Какие дополнительные возможности разграничения доступа к информационным ресурсам предоставляет шифрующая файловая система?

Задача шифрующей файловой системы — ограничение доступа к данным. И главное, что она позволяет ограничить доступ к ресурсу даже если злоумышленник получил физический доступ к важным данным (например, подключил наш жесткий диск к другому компьютеру). Так как эта система не просто устанавливает разграничение доступа для папок и файлов, а шифрует информацию, хранящуюся в них. При попытке открыть или скопировать зашифрованный файл или папку злоумышленник получит исчерпывающий ответ: «Нет доступа». 

Восстановление данных

Восстановление очень важно, если данные зашифрованы сотрудником, который ушел или потерял закрытый ключ. Восстановление данных доступно для шифрованной файловой системы (EFS) как часть общей политики безопасности для системы. Например, если утерян сертификат шифрования файлов и связанный закрытый ключ (из-за сбоя диска или по какой-либо другой причине), восстановление данных возможно с помощью лица, назначенного агентом восстановления. Организация может после увольнения сотрудника восстановить данные, зашифрованные им.

Политика восстановления

Файловая система EFS использует политики встроенного восстановления данных. Recovery policy — это политика открытого ключа, которая обеспечивает назначение одной или нескольких учетных записей пользователя агентами восстановления шифрованных данных.

Политика восстановления по умолчанию настроена локально для автономных компьютеров. Для компьютеров, которые являются частью сети, политика восстановления настраивается на уровне домена, организационной единицы или отдельного компьютера и применяется ко всем компьютерам, работающим под управлением Windows XP, в пределах области влияния. Центр сертификации (ЦС) выдает сертификаты восстановаления, и для управления ими используется оснастка «Сертификаты».

В доменеWindows XP политика восстановления, используемая по умолчанию, внедряется при настройке первого контроллера домена. Администратор домена выпускает самозаверяющий сертификат, который указывает на администратора домена, как на агента восстановления. Чтобы изменить политику восстановления для домена, используемую по умолчанию, войдите в первый контроллер домена с учетной записью администратора. В политику в любое время можно добавить дополнительных агентов восстановления и удалить исходного агента.

Поскольку подсистема безопасности Windows XP обрабатывает приведение в исполнение, репликацию и кэширование политики восстановления, пользователи могут реализовывать шифрование файлов на системах, которые временно работают автономно, например на переносном компьютере. Этот процесс аналогичен входу в учетную запись домена с помощью кешированных сведений. Дополнительные сведения см. Чтобы изменить политику восстановления для локального компьютера и Чтобы изменить политику восстановления для домена.

Агенты восстановления

Агентом восстановления называется пользователь, уполномоченный расшифровывать данные, зашифрованные другим пользователем. Агентам восстановления не нужны никакие другие разрешения для выполения задачи. Использование агента восстановления может потребоваться, например, если сотрудник покидает организацию и остающиеся после него данные нужно расшифровать. Прежде чем добавлять в домен агента восстановления, необходимо убедиться, что каждому агенту восстановления был выдан сертификат X.509 версии 3.

У каждого агента восстановления есть специальный сертификат с соответствующим закрытым ключом, позволяющий восстанавливать данные в области влияния политики восстановления. Агенту восстановления следует использовать команду Экспорт из объекта MMC «Сертификаты» для создания в безопасном месте резервной копии сертификата восстановления и закрытого ключа. После создания резервной копии следует использовать объект MMC «Сертификаты» для удаления сертификата восстановления. Если требуется выполнить для пользователя операцию восстановления, следует сначала восстановить сертификат восстановления и связанный закрытый ключ с помощью команды Импорт из объекта MMC «Сертификаты». После восстановления данных сертификат восстановления снова должен быть удален. Нет необходимости повторять процесс экспорта.

Чтобы добавить агентов восстановления в домен, нужно добавить их сертификаты к существующей политике восстановления. Инструкции по добавлению агентов восстановления в домен см. в Чтобы добавить агента восстановления в домен.

Сведения о добавлении и удалении агента восстановления не обновляются автоматически в существующих файлах системы EFS. Данные этих файлов обновляются при следующем открытии файла. Новые файлы используют текущие сведения агента восстановления.

Чтобы добавить агента восстановления для домена

  1. Откройте оснастку Пользователи и компьютеры Active Directory.

  2. Щелкните правой кнопкой домен, политику восстановления которого требуется изменить, и выберите команду Свойства.

  3. Откройте вкладку Групповая политика.

  4. Щелкните правой кнопкой политику восстановления, которую требуется изменить, и выберите команду Изменить.

  5. В дереве консоли выберите Агенты восстановления шифрованных данных.

Где?

  • Конфигурация компьютера

  • Конфигурация Windows

  • Параметры безопасности

  • Политики открытого ключа

  • Агенты восстановления шифрованных данных

  • В области сведений щелкните правой кнопкой, выберите команду Добавить и следуйте инструкциям.

    Примечания

    • Для выполнения этой процедуры необходимо войти в систему с учетной записью «Администратор» или члена группы «Администраторы». Если компьютер подключен к сети, то параметры сетевой политики могут запретить выполнение данной процедуры.

    • Для запуска оснастки «Пользователи и компьютеры Active Directory» откройте подключение к удаленному рабочему столу контроллера домена Windows 2000 или рядового сервера, на котором установлены средства администрирования Windows 2000. Для выполнения данной процедуры необходимо войти в систему на сервере в качестве администратора домена.

    • Данную операцию можно выполнить на любых сайтах, доменах и подразделениях из леса Active Directory.

    • Добавление агента восстановления из файла идентифицирует пользователя как USER_UNKNOWN. Это происходит потому, что имя не сохраняется в файле.

    • Перед добавлением или созданием агента восстановления необходимо задать конфигурацию групповой политики на компьютере. Для получения дополнительных сведений о групповой политике щелкните ссылку «См. также».

    12

    • Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
    Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности