Описанная процедура хорошо подходит для того, чтобы запретить пользователю — агенту по восстановлению информации — получать доступ к зашифрованным файлам пользователей. Однако от данной процедуры есть еще одна дополнительная польза: происходит копирование личного ключа в безопасное место, то есть резервирование информации. И если вы снимите галочку рядом с пунктом Удалить закрытый ключ после успешного экспорта в окне, то результатом работы мастера станет обыкновенное резервирование информации — вы получите копию ваших личных приватных ключей. И это означает, что вы сделали резервирование информации. И если вдруг что-то случится с вашими личными ключами алгоритма RSA, то вы всегда сможете их восстановить с вашей резервной копии. И это очень важно, так как наше оборудование не вечно, существуют ошибки в программном обеспечении, а также заметную роль играет пресловутый человеческий фактор.
Однако сохранение данного личного ключа не поможет вам в случае, если разрушится ваша операционная система по тем или иным причинам. Все дело в том, что кроме личного ключа для работы агента по восстановлению информации требуется еще и сертификат агента по восстановлению. Так что сейчас мы займемся именно этим — разберемся, как можно сохранять всю информацию агента по восстановлению, чтобы даже в случае краха системы была возможность восстановить все до единого бита пользовательские данные.
И чтобы сделать такое резервирование информации, нам необходимо будет воспользоваться еще раз уже известной нам программой Local Security Settings (Пуск\Панель управления\Администрирование\Локалы1ая политика безопасности). Также, если у вас сделаны соответствующие настройки интерфейса системы, данная программа может быть найдена в Пуск\Все программы\Администрирование. После запуска данной программы переходим в ветвь Политики открытого ключа и выбираем подраздел Файловая система EFS, а потом вызываем правым щелчком мыши контекстное меню, из которого выбираем Все задачи\Экспорт.
После щелчка по этому контекстному меню появится стартовое окно мастера экспорта.
Щелкая по кнопке Далее, увидим следующее окно, в котором выберем формат экспортируемой информации Файлы в DER-кодировке Х.509 (.CER).
После очередного щелчка на кнопке Далее, получим следующее окно с вопросом системы о месте сохранения данных.
Указываем посредством кнопки Обзор место сохранения экспортируемой информации и, нажимая кнопку Далее, переходим к следующему окну.
В данном, последнем окне мастера, мы видим результирующие режимы экспорта и место хранения экспортируемой информации. И для начала экспортирования мастером необходимо лишь нажать кнопку Готово.
Стоит ли лишний раз говорить о том, какую ценность представляет собой экспортированная информация? Ведь с ее помощью любой человек на любой операционной системе Windows ХР сможет легко получить доступ к любым зашифрованным файлам ваших пользователей. И поэтому вы должны очень тщательно и вдумчиво поразмышлять над тем, где вы будете хранить ваши ключи, а также кто будет еще, возможно, иметь к ним доступ. Безопасность ваших пользователей в ваших руках! Подумайте над этим! Все зависит от вас, и только от вас.
Источник: