Напомним, что CER-файл, необходимый для добавления агента восстановления, создается соответствующим пользователем с помощью команды cipher /R: <путь к каталогу и имя СЕЯ-файла>.
Настройка системы шифрования EFSКак и другие компоненты операционной системы Windows Vista, параметры системы шифрования можно изменить либо с помощью стандартных окон операционной системы, либо непосредственно с помощью реестра.
Настройка с помощью оснастки gpedit.msc
Оснастка gpedit.msc содержит специальный подраздел Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Политики открытого ключа → Шифрующая файловая система EFS. С помощью команды Свойства контекстного меню данного подраздела можно отобразить окно Свойства: Шифрующая файловая система (EFS), позволяющее настроить основные параметры работы шифрования EFS. Данное окно состоит всего из двух вкладок, с помощью которых можно редактировать значения параметров ветви реестра HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies \Microsoft\Windows NT\CurrentVersion\EFS. Большинство элементов данного окна редактируют биты параметра REG_DWORD-типа Ef sOptions.
• Общие – сразу же обратите внимание на переключатель Шифрование файлов с помощью шифрующей файловой системы (EFS). Пока данный переключатель не будет установлен в положение Разрешить, параметры, изменяемые с помощью окна Свойства: Шифрующая файловая система (EFS), активными не будут. После того как вы сделаете все параметры окна активными, можно изменить настройки EFS, устанавливаемые с помощью следующих флажков:
– Шифровать содержимое папки «Документы» пользователя – указывает, что содержимое каталога Документы пользовательского профиля должно автоматически шифроваться;
– Требовать смарт-карту для EFS – определяет, разрешено ли шифровать содержимое смарт-карт с помощью EFS;
– Создать кэшируемый пользовательский ключ из смарт-карты – указывает, будут ли создаваться пользовательские ключи шифрования, поддерживающие хранение зашифрованных данных на смарт-картах;
– Включить шифрование файла подкачки – определяет, будет ли шифроваться содержимое файла подкачки;
– Отображать уведомления об архивации ключа при создании или изменении пользовательского ключа – указывает, будет ли отображаться уведомление в области уведомлений при создании или изменении пользовательского ключа шифрования.
На вкладке Общие также присутствует поле Сертификаты, которое позволяет указать, разрешено ли EFS создавать пользовательские сертификаты, а также указать размер ключа, используемого при шифровании алгоритмом RSA. Размер ключа хранится в параметре REG_DWORD-типа RsaKeyLength.
• Кэш – позволяет определить события, при которых кэш, содержащий расшифрованный FEK, будет очищаться. По умолчанию операционная система Windows Vista помещает сгенерированный FEK в специальный кэш, чтобы не генерировать его при каждом выполнении процесса шифрования (генерация FEK является сложной и ресурсоемкой операцией).
Можно указать очистку кэша при блокировке сеанса, а также после истечения определенного времени, в течение которого операция шифрования больше не выполнялась. Время, после истечения которого кэш будет очищен, хранится в параметре REG_DWORD-типа CacheTimeout.
Настройка параметров шифрования с помощью реестра
После того как вы зашифруете каталог или файл, его название станет зеленого цвета. Вы можете и сами указать цвет, который примет название зашифрованного файла. Для этого достаточно воспользоваться параметром REGBI NARY-типа AltEncryptionColor, расположенным в ветви реестра HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Explorer. Он имеет следующий формат: RGB 0, где R, G и В представляют собой красную, зеленую и синюю компоненты цвета, на которые отводится по одному байту параметра. Операционная система также позволяет вообще отключить изменение цвета зашифрованных файлов. Для этого вам не понадобится знание реестра. Достаточно снять флажок Отображать сжатые или зашифрованные файлы NTFSflpyrnM цветом в поле Дополнительные параметры вкладки Вид окна Свойства папки. Данное окно можно вызвать с помощью одноименной команды меню Упорядочить любой папки.
По умолчанию операционная система Windows Vista автоматически шифрует все файлы и каталоги, перемещаемые в уже зашифрованный каталог. Чтобы отключить такое поведение операционной системы, нужно параметру REGDWORD-типа NoEncryptOnMove, расположенному в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, присвоить значение 1.
Можно также полностью отключить подсистему EFS на данном компьютере. Для этого достаточно присвоить значение 1 параметру REGDWORD-типа Ntf s-DisableEncrypt ion ветви системного реестра HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\FileSystem. Данный параметр можно изменить и с помощью программы командной строки fsutil.ехе, которую мы рассмотрели в разд. 7.3.Работа с механизмом BitLocker Drive Encryption
Нововведением операционной системы Windows Vista является мастер Шифрование диска BitLocker, доступ к которому можно получить с помощью одноименного значка папки Панель управления. Данный мастер позволяет зашифровать не отдельный файл, а весь раздел диска, после чего на лету расшифровывать его содержимое, если к содержимому данного диска обращается аутентифицированный пользователь. Шифрование содержимого диска выполняется с помощью 128– или 256-разрядного алгоритма шифрования Advanced Encryption Standard (AES). При этом вы можете пользоваться как знакомым по предыдущим операционным системам Windows способом шифрования файлов и папок на основе файловой системы EFS, так и механизмом Шифрование диска BitLocker. Например, файлы и папки на разделах диска, которые не являются загрузочными, можно шифровать с помощью EFS, а загрузочный раздел – с помощью механизма Шифрование диска BitLocker. При этом, поскольку ключи шифрования EFS хранятся на загрузочном разделе, безопасность их хранения будет повышена.
Работа мастера Шифрование диска BitLocker тесно связана с чипом ТРМ, однако вы можете использовать его и на компьютерах, не имеющих данного чипа. В этом случае необходимо использовать USB-носитель.
Примечание
По умолчанию использование BitLocker на компьютерах без чипа ТРМ запрещено. Однако это можно изменить с помощью специальной групповой политики. Данная политика будет описана ниже.
Основное окно мастера состоит из списка разделов жесткого диска компьютера, напротив которых отображается информация о том, зашифровано ли содержимое данного раздела. Если мастер Шифрование диска BitLocker может выполнить шифрование содержимого данного раздела, то под ним отображается ссылка Включить BitLocker. После выбора этой ссылки перед вами отобразится мастер Шифрование диска BitLocker, представленный на рис. 7.4. В операционной системе Windows Vista с помощью мастера Шифрование диска BitLocker можно выполнить шифрование только загрузочного раздела операционной системы, хотя с помощью сценариев можно зашифровать и другие разделы.
Рис. 7.4. Мастер шифрования содержимого раздела диска
Мастер содержит следующие возможности.
• Запрашивать USB-ключ запуска при запуске – если вы решили зашифровать содержимое раздела, то необходимо воспользоваться данной кнопкой, чтобы сохранить загрузочный ключ (он будет запрашиваться при попытке запуска операционной системы, если вы шифруете загрузочный раздел) на USB-носителе, который нужно будет выбрать из списка USB-носителей, подключенных к компьютеру.
После того как вы нажмете кнопку Сохранить, загрузочный ключ будет сохранен на USB-носителе, а вам будет предложено установить пароль восстановления. Пароль восстановления создается автоматически (вы его не вводите), а вы можете также сохранить его на USB-носителе или в папке, отобразить на экране либо распечатать на принтере.
Это последний шаг мастера шифрования выбранного раздела диска. После того как вы сохраните пароль восстановления и нажмете кнопку Зашифровать, начнется процесс шифрования раздела диска. Учтите, что в случае большого объема раздела диска процесс шифрования может занять много времени (шифруются не только используемые кластеры раздела диска, а полностью весь раздел диска, независимо от того, сколько места на нем используется). Также учтите, что для работы механизма Шифрование диска BitLocker операционная система обязательно создает дополнительный раздел объемом 1,5 Гбайт.
• Запрашивать PIN-код при запуске – позволяет установить загрузочный PIN.
• Использовать BitLocker без дополнительных ключей – разрешает отключить механизм использования загрузочного ключа или ПИН-кода при выполнении загрузки с зашифрованного раздела.
Программа fveupdate.exeРасположение: %systemroot%\system32\fveupdate.ехе.
В операционной системе Windows Vista присутствует программа командной строки, предназначенная для работы с механизмом Шифрование диска BitLocker и чипом ТРМ. К сожалению, ее параметры недокументированны, поэтому для их работы необходимо, чтобы механизм Шифрование диска BitLocker был включен, а на материнской плате присутствовал чип ТРМ.
Данная программа имеет следующие параметры, выполняющие запрос на обслуживание.
• /memtest – программы memtest.ехе.
• /bootmgr – загрузочного меню.
• /windowsbootenvironment – программ загрузки операционной системы winload.ехе и winresume.ехе.
Работа с WMIДля работы с BitLocker можно также использовать новый класс репозитария управления CIM. Он содержит обширный набор методов, которые предоставляют доступ к основным возможностям работы механизма Шифрование диска BitLocker. Он находится в пространстве имен \\. \root\cimv2\Security\ MicrosoftVolumeEncryption и называется Win32_EncryptableVolume. Класс поддерживает следующие свойства.
• DevicelD, тип: string – является ключевым. Оно определяет уникальный идентификатор раздела.