szyfrowanie danych

Wysłany: Śro 17:27, 28 Mar 2007

Po ostatnich moich działaniach pomyślałem że to sie może komuś jeszcze przydać (sam walczyłem z tym jakiś czas)

zródło PC WORD KOMPUTER
link orginal Very Happy

odnośnie fotek, treść poniżej
[link widoczny dla zalogowanych]

Szyfrowanie na śniadanie

Szyfrowanie plików w Windows XP zostało uproszczone niemal "do bólu". Jeśli chcesz zaszyfrować dane, wystarczy zaznaczyć właściwy atrybut systemu plików i gotowe. Na mniej doświadczonych użytkowników ułatwienia te działają jak lep na muchy, bo wystarczy prosty reset hasła, a twoje pliki pozostaną na zawsze niedostępne. Musisz wiedzieć, jak postępować, żeby do tego nie dopuścić.

Z szyfrowaniem spotykasz się codziennie. Każda umowa licencyjna oprogramowania przypomina szyfr, do którego klucz znany jest tylko niektórym prawnikom. Patrząc na ekran telewizora, widzisz polityków skutecznie szyfrujących sens swoich wypowiedzi. Windows XP również umie szyfrować. Wbudowane mechanizmy systemu mają jednak tę istotną przewagę, że możesz je łatwo zrozumieć!

Gwałtowny wzrost sprzedaży laptopów oraz częste wykorzystywanie jednego komputera przez wiele osób świadczą o potrzebie umieszczenia funkcji szyfrowania plików w systemie operacyjnym. Szczelna ochrona prywatnych danych jest niemal konieczna. Windows oferuje sporo zabezpieczeń, takich jak firewall, hasła lub uprawnienia systemu plików NTFS. Jeśli jednak osoba nieuprawniona uzyska fizyczny dostęp do komputera, np. w wyniku kradzieży, te podstawowe zabezpieczenia łatwo obejdzie. Wystarczy, że posłuży się jednym z wielu ogólnodostępnych programów narzędziowych lub zainstaluje na dysku kolejną kopię Windows, a wszystkie pliki ma podane jak na dłoni. Dopiero połączenie NTFS z systemem szyfrowania plików (EFS - Encrypted File System) gwarantuje prawidłową ochronę danych.

Jak szyfrować pliki?

Ostrzeżenie o szyfrowaniu.
Pliki mogą zostać zaszyfrowane w Eksploratorze Windows lub za pomocą narzędzia wiersza poleceń CIPHER. Łatwiej korzystać z Eksploratora i zaznaczyć jeden z zaawansowanych atrybutów folderu lub pliku. Po utworzeniu katalogu, np. TopSecret, należy przejść do jego właściwości. W tym celu możesz posłużyć się menu podręcznym lub poleceniem Właściwości z menu Plik. Następnie musisz kliknąć przycisk Zaawansowane na karcie Ogólne. W nowym oknie dialogowym zaznacz Szyfruj zawartość, aby zabezpieczyć dane i dwukrotnie naciśnij OK.

Zalecane jest założenie oddzielnego folderu na zaszyfrowane dane. Może to być podkatalog w folderze Moje dokumenty lub na dowolnie wybranym woluminie NTFS. Szyfrowanie całego katalogu ułatwia zabezpieczenie plików. Każdy nowy dokument w folderze będzie automatycznie szyfrowany. Dzięki temu unikniesz problemów z tworzeniem nowych niezaszyfrowanych plików za pomocą umieszczanego w aplikacjach polecenia Zapisz jako. Podczas szyfrowania folderu z plikami lub podkatalogami Windows wyświetla okno dialogowe z pytaniem o zakres szyfrowanych danych. Możesz wybrać opcję Zastosuj zmiany tylko do tego folderu lub Zastosuj zmiany do tego folderu, podfolderów i plików. Jeśli zdecydujesz się objąć ochroną wyłącznie folder, wszystkie pliki znajdujące się w folderze i podfolderach pozostaną nienaruszone. Zaszyfrowany zostanie każdy nowy dokument.

Zaawansowane atrybuty systemu plików NTFS.
Możesz szyfrować pliki pojedynczo. Ustawienie atrybutu przebiega dokładnie tak samo, jak w przypadku folderów. Po wyświetleniu właściwości pliku wybierasz przycisk Zaawansowane i zaznaczasz odpowiedni atrybut. W czasie zamykania okna właściwości dokumentu, Windows ostrzega o możliwości nieświadomego rozszyfrowania pliku. Zgodnie z zaleceniami możesz wybrać szyfrowanie pliku i folderu nadrzędnego albo tylko pliku. Jeśli chcesz zapobiec wyświetlaniu podobnych ostrzeżeń podczas kolejnego szyfrowania dokumentów, zaznacz opcję Zawsze szyfruj tylko plik.

Rozszyfrowanie plików

Jedną z większych zalet szyfrowania EFS jest jego ścisła integracja z systemem operacyjnym. Dzięki temu nie musisz ręcznie rozszyfrowywać dokumentów podczas otwierania. Jeśli zaszyfrujesz dokument utworzony w Wordzie lub Excelu, po wybraniu polecenia Otwórz plik zostanie automatycznie rozszyfrowany i wyświetlony. Naturalnie osoby nieuprawnione nie będą mogły poznać zawartości dokumentu. Podczas zamykania dokumentu jest on powtórnie szyfrowany.

Ręczne rozszyfrowanie pliku lub folderu polega na odznaczeniu atrybutu Szyfruj zawartość, aby zabezpieczyć dane. Podobnie jak podczas nadawania atrybutu, w czasie rozszyfrowywania zawartości katalogu, możesz zastosować zmiany wyłącznie do folderu lub jego wszystkich obiektów. Pamiętaj, że domyślnie do rozszyfrowania plików są uprawnieni jedynie ci, którzy je zaszyfrowali. Nawet status administratora systemu nie daje dostępu do danych. Jeśli masz wystarczające uprawnienia NTFS (np. modyfikacja), możesz jedynie usunąć zaszyfrowane pliki.

NTFS systemu Windows XP nie pozwala na jednoczesne kompresowanie i szyfrowanie plików. Na szczęście atrybut szyfrowania jest ważniejszy. Jeśli będziesz chciał skompresować folder, w którym znajdują się zaszyfrowane pliki, nie zostaną one automatycznie rozszyfrowane.

Jak działa EFS?

Moduł Certyfikaty.
System szyfrowania plików opiera się na zawartych w Windows XP komponentach technologii PKI (Public Key Infrastructure). Technologia ta między innymi zapewnia bezpieczną komunikację sieciową, ochronę informacji przesyłanych przez Internet lub zabezpiecza wiadomości elektroniczne. Zrozumienie mechanizmów działania EFS nie jest trudne, wystarczy poznać podstawowe pojęcia związane z infrastrukturą klucza publicznego.

Na początku artykułu powiedzieliśmy, jak szyfrować i rozszyfrowywać pliki. Zaszyfrowanie polega na przekształceniu danych w taki sposób, że nawet po uzyskaniu bezpośredniego dostępu do pliku jego treść pozostaje nieczytelna. Utajnienie zawartości plików następuje wskutek połączonego działania algorytmów szyfrowania symetrycznego oraz niesymetrycznego. Dane są kodowane za pomocą algorytmów szyfrowania symetrycznego, np. DESX, AES 256 lub 3DES. Do zaszyfrowania i rozszyfrowania danych niezbędny jest wygenerowany przez Windows klucz szyfrowania. Każdy zaszyfrowany plik ma własny klucz, przechowywany w odpowiednim polu nagłówka. Utrata lub brak dostępu do klucza sprawia, że nie można poznać zawartości pliku. Jeśli klucz trafi w ręce osób niepowołanych, poufność danych staje pod znakiem zapytania. Dlatego ochrona klucza jest podstawowym wymogiem skutecznego działania systemu EFS. Do zaszyfrowania poufnych pól nagłówków plików Windows wykorzystuje algorytmy szyfrowania niesymetrycznego, np. RSA. Posługują się one powiązaną ze sobą parą kluczy - publicznym i prywatnym. W przeciwieństwie do algorytmów symetrycznych dane nie są szyfrowane i deszyfrowane tym samym kluczem. Do zaszyfrowania jest stosowany klucz publiczny, a do rozszyfrowania prywatny.

W nagłówkach plików systemu NTFS znajdują się pola związane z EFS. Każdy z plików ma dwa rodzaje pól: DDF (Data Decryption Fields) i DRF (Data Recovery Fields). DDF gromadzi klucze szyfrowania, tzw. FEK (File Encypion Key), zaszyfrowane kluczem publicznym użytkownika. Pole to może zawierać wiele wpisów. Dzięki temu system operacyjny umożliwia współdzielenie zaszyfrowanych plików kilku użytkownikom. Konfiguracja współdzielenia plików jest omówiona w dalszej części artykułu. Jeśli chcesz otworzyć plik, system odczytuje zawartość pola DDF i sięga do chronionego magazynu certyfikatów w celu pobrania twojego klucza prywatnego, którym rozszywrowuje klucz FEK. Po uzyskaniu klucza FEK można rozszyfrować cały plik lub tę jego część, której żądanie zostało przesłane przez system operacyjny. Pola DRF służą do przechowywania klucza FEK, zaszyfrowanego przez publiczne klucze agentów odzyskiwania. Jeśli utracisz certyfikaty użytkowników szyfrujących pliki, dane przechowywane w DRF zabezpieczą cię przed utratą dostępu do zasobów.

Na pierwszy rzut oka mechanizm szyfrowania wydaje się niepotrzebnie skomplikowany. Szyfrowanie i rozszyfrowanie pliku jednym kluczem, a następnie szyfrowanie klucza kolejnym kluczem może utrudniać zrozumienie działania EFS. Jednakże stosowanie takiego mechanizmu ma wiele zalet. Po pierwsze, każdy plik może mieć własny klucz szyfrowania. Zastosowanie algorytmów szyfrowania asymetrycznego powoduje, że klucz ten jest odpowiednio zabezpieczony. Użytkownik szyfrujący dane nie musi przechowywać dziesiątków lub setek kluczy. Podział na pola DDF i DRF wprowadza dodatkowy poziom bezpieczeństwa danych.
UWAGA!
Użytkownicy Windows XP, którzy często szyfrują pliki, mogą umieścić polecenie szyfrowania w menu podręcznym. W tym celu uruchom program REGEDIT (Start | Uruchom | Regedit | OK) i przejdź do klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced. Następnie z menu Edycja wybierz polecenie Nowy | Wartość DWORD i wpisz nazwę EncryptionContextMenu. Po naciśnięciu [Enter] z menu Edycja wybierz polecenie Modyfikuj, wprowadź wartość 1 i zamknij Edytor rejestru. Od tej chwili szyfrowanie następuje po kliknięciu obiektu prawym przyciskiem myszy i wskazaniu opcji Szyfruj.

Pamiętaj o dobrych hasłach!!!
Korzystanie z EFS ma sens wyłącznie w przypadku stosowania dobrych haseł logowania do systemu. Windows rozpoznaje osoby pracujące z systemem, stosując konta użytkowników. Jeśli pozostawisz konto bez hasła, każda osoba, która się na nie zaloguje, może zaszyfrować i rozszyfrować dowolny plik.
Wystaw sobie certyfikat

Zanim którykolwiek z użytkowników Windows będzie mógł szyfrować pliki, musi mieć odpowiedni certyfikat. Stosowane w technologii PKI certyfikaty to cyfrowe dokumenty potwierdzające tożsamość użytkownika. Pełnią one podobne funkcje, jak dowody osobiste. Certyfikaty mogą też być wystawiane komputerom lub usługom. Te, które spotykasz w Internecie, są przyznawane przez urzędy certyfikacji jak np. Thawte, Verisign itd. Ponieważ EFS jest usługą o zasięgu lokalnym, nie trzeba przypisywać użytkownikom certyfikatów wystawionych przez specjalistyczną firmę. Gdyby jednak system EFS był wykorzystywany w domenie Windows 2000 lub Server 2003, można go skonfigurować tak, żeby pracował z wykorzystaniem certyfikatów wystawionych przez urząd certyfikacji.

Okno Kreatora eksportu certyfikatu.
W warunkach domowych oraz w niewielkich grupach roboczych, Windows XP wystawia sobie certyfikaty sam, podczas pierwszego szyfrowania dowolnego pliku. Raz wystawiony certyfikat przynależy do użytkownika i z reguły nie jest zmieniany. Jeśli zajdzie potrzeba, możesz wygenerować nowy certyfikat za pomocą polecenia CIPHER z parametrem /K. Certyfikaty zawierają niezbędną do pracy z systemie EFS parę kluczy, prywatny i publiczny. Klucze są automatycznie umieszczane w odpowiednich magazynach systemu operacyjnego. Dla użytkowników cały proces jest niewidoczny.

Do zarządzania certyfikatami służy moduł Certyfikaty. Najprościej uruchomisz go, klikając Start | Uruchom i wpisując CERTMGR.MSC. Po uruchomieniu modułu widać foldery, m.in. Zaufane główne urzędy certyfikacji, Pośrednie urzędy certyfikacji, Zaufane osoby. W folderach możesz odnaleźć certyfikaty wystawione przez urzędy certyfikacji lub system operacyjny. Po dwukrotnym kliknięciu każdego z certyfikatów wyświetlane są jego właściwości, takie jak przeznaczenie, nazwa instytucji wystawiającej, data wygaśnięcia itd. Dla systemu EFS najważniejszy jest folder Osobisty. Windows umieszcza w nim automatycznie wygenerowany certyfikat dla systemu szyfrowania plików. Moduł Certyfikaty jest wykorzystywany głównie do eksportu i importu certyfikatów.

Nie zgub klucza

Opcje Kreatora eksportu certyfikatu.
Korzystanie z systemu EFS przynosi wymierne zyski. Twoje dane są skutecznie zabezpieczone. Musisz jednak pamiętać, że bez zachowania należytej ostrożności szyfrowanie plików może przynieść wymierne straty. Można powiedzieć, że EFS został wyposażony w tzw. efekt młotka. Jeśli będziesz uważał, wbijesz gwóźdź bez problemu. Jeśli trafisz w palec, na pewno będzie bolało. W wypadku EFS twoje pliki mogą zostać zaszyfrowane tak skutecznie, że sam nie będziesz mógł odczytać ich treści. Dochodzi do tego najczęściej po reinstalacji Windows. Gdy system zaczyna sprawiać problemy, kopiujesz dane na inną partycję, formatujesz wolumin i instalujesz Windows od nowa. Radość z przywrócenia stabilności systemu trwa krótko. Podczas próby odczytania zaszyfrowanych plików otrzymujesz niemiły komunikat o braku dostępu. Praca z systemem EFS jest możliwa, jeśli masz certyfikat. Gdy go utracisz, np. przez reinstalację, masz spory problem. Nie dojdzie do tego, jeśli wykonasz kilka prostych czynności. Ważne, żebyś o nich nie zapomniał.

Ponieważ bezpieczeństwo certyfikatu jest najważniejsze, musisz wykonać jego kopię zapasową.

Archiwizacja nie jest trudna. Bez problemu przeprowadzisz ją za pomocą modułu Certyfikaty. Po uruchomieniu konsoli Certyfikaty należy przejść do folderu Osobisty i odnaleźć w nim certyfikat wystawiony dla swojego konta. W kolumnie Zamierzone cele powinien widnieć opis System plików szyfrowania. Zaznacz certyfikat, przejdź do menu Akcja i wybierz polecenie Wszystkie zadania | Eksportuj, uruchamiając Kreator eksportu certyfikatów. W pierwszym oknie kreatora naciśnij przycisk Dalej. Następne okno służy do wyboru eksportu klucza prywatnego. Ponieważ twoim zadaniem jest zabezpieczenie się przed utratą certyfikatu, musisz zaznaczyć opcję Tak, eksportuj klucz prywatny. Po naciśnięciu przycisku Dalej zostaniesz przeniesiony do okna konfiguracji format eksportu. Eksportując certyfikat do archiwizacji, pozostaw domyślnie zaznaczone opcje i kliknij Dalej. W następnym oknie dwukrotnie wprowadź hasło chroniące certyfikat - jeśli system ulegnie uszkodzeniu, w czasie przywracania certyfikatu z kopii zapasowej będziesz musiał je podać. W ostatnim oknie kreatora zostaniesz poproszony o wpisanie nazwy i ścieżki dostępu do eksportowanego certyfikatu. Pozostawienie kopii certyfikatu na twardym dysku nie jest bezpieczne, należy ją zapisać na dyskietce, płycie CD lub DVD. Po naciśnięciu Zakończ system komunikuje, że operacja się powiodła.

Innym sposobem zabezpieczenia się przed utratą danych jest skorzystanie z dowolnej formy archiwizacji plików. W Windows XP możesz skorzystać z narzędzia Kopia zapasowa. Pamiętaj, że dane są archiwizowane bez wprowadzania zmiany ich atrybutów. Jeśli pliki były zaszyfrowane, po ich odtworzeniu i tak będziesz potrzebował swojego certyfikatu, dlatego najlepiej wykonywać kopię niezaszyfrowanych danych lub dodatkowo archiwizować certyfikat.

Agent odzyskiwania plików

Windows XP zawiera jeszcze jedną, dodatkową, formę ochrony zaszyfrowanych danych. Chcąc zabezpieczyć się przed utratą certyfikatu, skorzystaj z agenta odzyskiwania plików. Po instalacji systemu i zaszyfrowaniu dowolnego pliku tylko użytkownik, który go zaszyfrował, ma dostęp do danych. Jeśli plik zaszyfruje Jacek, tylko Jacek może go otworzyć. Skonfigurowanie Agenta odzyskiwania plików pozwala na odzyskanie plików zaszyfrowanych z dowolnego konta Windows nawet wtedy, gdy zostanie utracony certyfikat użytkownika. Agent jest wyposażony w uniwersalny klucz do wszystkich zaszyfrowanych plików. Jeśli masz doświadczenia z systemem EFS do Windows 2000, bezwzględnie pamiętaj, że XP domyślnie nie tworzy ani jednego agenta odzyskiwania plików i takie konto musisz założyć sam.

Procedura tworzenia agenta odzyskiwania plików jest dość prosta. Rozpoczynasz ją od założenia nowego konta użytkownika. Następnie zaloguj się na konto i wygeneruj certyfikat odzyskiwania danych. W tym celu użyj polecenia CIPHER, wpisując wierszu poleceń CIPHER /R:NazwaPliku, np. CIPHER /R:CertAgenta. Czynność ta spowoduje utworzenie pliku rozszerzeniem .cer i pliku z rozszerzeniem .pfx. Po wygenerowaniu certyfikatu musisz importować drugi plik do magazynu Agenta odzyskiwania certyfikatów. Na realizację tego zadania pozwala moduł Certyfikaty. Uruchom go, przejdź do folderu Osobiste i z menu Akcja wybierz Wszystkie zadania | Importuj. Spowoduje to uruchomienie Kreatora importu certyfikatów. W pierwszym oknie kreatora naciśnij Dalej i wskaż plik z certyfikatem. W oknie Import pliku kliknij przycisk Przeglądaj i wskaż lokalizację certyfikatu. Pamiętaj, że system wygenerował dwa pliki. Twoim zadaniem jest zaimportowanie informacji z pliku z rozszerzeniem .pfx. W oknie Otwieranie zmień typ pliku na Wymiana informacji osobistych (*.pfx;*.p12), wskaż plik i naciśnij Otwórz. Potem możesz śmiało kliknąć Dalej. W kolejnym oknie wpisz hasło związane z certyfikatem. Pamiętaj o zaznaczeniu opcji Oznacz ten klucz jako eksportowalny. Pozwoli to na późniejsze wykonanie kopii zapasowej lub transport kluczy. Naciśnij Dalej i wskaż folder Osobisty jako magazyn certyfikatu. Kliknięcie Dalej i Zakończ wieńczy pracę kreatora.

Import certyfikatu nie kończy procesu tworzenia agenta odzyskiwania. Następny etap to wskazanie konta agenta w module Zasady zabezpieczeń lokalnych. Dostęp do modułu uzyskasz po dwukrotnym kliknięciu ikony Narzędzia administracyjne w Panelu sterowania (widok klasyczny). Prostszym sposobem jest wpisanie SECPOL.MSC w oknie Uruchamianie i naciśnięcie OK. Po uruchomieniu modułu należy przejść do Zasady kluczy publicznych | System szyfrowania plików i z menu Akcja wybrać polecenie Dodaj agenta odzyskiwania danych. W drugim oknie kreatora naciśnij przycisk Przeglądaj foldery i wskaż lokalizację wygenerowanego poleceniem CIPHER pliku z rozszerzeniem .cer. Po naciśnięciu Dalej i Zakończ Windows XP ma utworzonego agenta odzyskiwania.
Reset hasła i tworzenie dyskietki ratunkowej

Wygenerowanie certyfikatu agenta za pomocą polecenia CIPHER.
Windows XP jest pierwszym systemem Microsoftu, w którym użytkownik może utworzyć dysk resetowania hasła. Na pierwszy rzut oka nowość ta wydaje się zaskakująca. Dlaczego NT i Windows 2000 nie zawierały dysku resetowania, a Windows XP został w niego wyposażony? Ma to związek z systemem szyfrowania plików. NTFS wbudowany w Windows NT nie ma go, system EFS zadebiutował dopiero w Windows 2000 i zasada jego działania, oprócz drobnych rozszerzeń, pozostała niezmieniona. Poprzednia wersja systemu pozwalała jednak na łatwy dostęp do zaszyfrowanych danych. W Windows 2000 nawet po zaszyfrowaniu plików oraz zabezpieczeniu dostępu do konta dobrym hasłem nie mogłeś spać spokojnie. Dowolna osoba mająca fizyczny dostęp do komputera mogła za pomocą jednego z wielu dostępnych w Internecie narzędzi, zresetować hasło, a następnie spokojnie zalogować się na twoje konto. Jeśli zalogowała się poprawnie, pracowała z twoim certyfikatem, dzięki czemu mogła bez kłopotu otwierać wszystkie zaszyfrowane pliki. W Windows XP wyeliminowano tę lukę. Po resecie hasła dostęp do zaszyfrowanych plików zostaje zabroniony. To bardzo niebezpieczne posunięcie, dlatego też w celu ograniczenia liczby resetów haseł, wprowadzono dwa elementy wspierające pamięć użytkowników systemu. Pierwszym jest możliwość ustawienia wskazówek dotyczących haseł. Jeśli w oknie logowania naciśniesz ikonę ze znakiem zapytania, Windows wyświetli podpowiedź wpisaną podczas zakładania hasła. Drugim sposobem jest wspomniany wcześniej dysk resetowania hasła.

Zmiana hasła użytkownika ze wskazówką dotyczącą hasła.
Tworzenie dysku resetowania hasła nie wymaga uprawnień administratora Windows. Po zalogowaniu się do systemu należy przejść do Panelu sterowania i dwukrotnie kliknąć ikonę Konta użytkowników, wybrać z listy użytkowników swoje konto i w sekcji Zadania pokrewne (lewa, górna część okna) kliknąć skrót Zapobiegaj zapominaniu haseł. W uruchomionym przez system kreatorze naciśnij Dalej i włóż dyskietkę do stacji. Ostatnią czynnością jest wprowadzenie aktualnego hasła i kreator kończy działanie. Wygenerowaną dyskietkę należy przechowywać w bezpiecznym miejscu. Gdy zapomnisz hasła, będzie ci potrzebna. Po błędnym wprowadzeniu hasła w oknie powitalnym systemu możesz wybrać opcję Użyj dysku resetowania hasła.

Współdzielenie zaszyfrowanych plików

Szyfrowanie powoduje, że dostęp do plików mają tylko ci, którzy zaszyfrowali dane. Windows XP umożliwia zmianę tej zasady i przyznanie dostępu wielu użytkownikom systemu. Operacja jest przeprowadzana w Eksploratorze Windows.

Po uruchomieniu Eksploratora zaznacz zaszyfrowany plik i wyświetl jego właściwości. Na karcie Ogólne kliknij przycisk Zaawansowane. Okno Atrybuty zaawansowane na wysokości pola wyboru Szyfruj zawartość, aby zabezpieczyć dane zawiera przycisk Szczegóły. Naciśnięcie go powoduje wyświetlenie kolejnego okna dialogowego. W jego górnym panelu odnajdziesz listę użytkowników mających dostęp do pliku oraz przyciski Dodaj i Usuń. Kliknięcie przycisku Dodaj wyświetli listy certyfikatów innych użytkowników. Wybierz na niej użytkownika, któremu chcesz udostępnić zaszyfrowany plik. Po naciśnięciu OK konfiguracja współdzielenia jest zakończona.

Udostępnianie zaszyfrowanego pliku kolejnemu użytkownikowi.
Udzielenie dostępu innym użytkownikom wiąże się z jednym, niekiedy istotnym problemem. Osoba, z którą współdzielisz dostęp, ma równorzędne uprawnienia do pliku, co oznacza, że oprócz przeglądania zaszyfrowanych zasobów może bez najmniejszych przeszkód usunąć twoje konto z listy uprawnionych do otwierania pliku lub anulować atrybut szyfrowania pliku.

Wyłączenie systemu EFS

System szyfrowania plików użytkownikom Windows może wydać się zbędny. Jeśli szyfrowanie nie jest ci do niczego potrzebne lub chcesz zabezpieczyć się przed skutkami jego zastosowania, wystarczy wyłączyć EFS.

Zmiana ustawień systemu szyfrowania wymaga edycji rejestru Windows. Przed wprowadzeniem modyfikacji zalecane jest wykonanie kopii zapasowej bazy ustawień XP. Edycję rejestru rozpoczyna uruchomienie narzędzia REGEDIT. W tym celu musisz nacisnąć przycisk Start, przejść do polecenia Uruchom i w pole Otwórz wpisać REGEDIT. Po uruchomieniu edytora znajdź klucz: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\EFS, zaznacz go i z menu Edycja wybierz polecenie Nowy | Wartość DWORD. Jako nazwę wartości wprowadź EfsConfiguration i naciśnij Enter. Następnie z menu Edycja wybierz polecenie Modyfikuj. W pole Dane wartości wpisz 1. Zamknij edytor i zrestartuj komputer. Jeśli nie popełniłeś żadnej literówki, próba zaszyfrowania dowolnego pliku powinna zakończyć się komunikatem: "Wystąpił błąd podczas stosowania atrybutów do pliku XXX. Dla tego komputera szyfrowanie plików jest wyłączone". Jeśli chcesz przywrócić obsługę systemu EFS, musisz powtórnie otworzyć rejestr i w wartości "EFSConfiguration" wpisać 0.
UWAGA!
Szybciej sporządzisz archiwum za pomocą narzędzia CIPHER. W wierszu polecenia należy wpisać CIPHER /X i wprowadzić nazwę pliku, np.

CIPHER /X KopiaCertEFS. Po dwukrotnym wpisaniu hasła, system utworzy zawierający certyfikat plik KopiaCertEFS.PFX, który możesz bez przeszkód przenieść na dyskietkę lub inny nośnik.

Ochrona klucza prywatnego
Utworzenie Agenta odzyskiwania plików zabezpiecza przed skutkami utraty osobistych certyfikatów, ale wiąże się z pewnym ryzykiem. Konto agenta jest wyposażone w klucz otwierający wszystkie zaszyfrowane pliki. Jeśli ktoś włamie się na nie, uzyska dostęp do klucza prywatnego i będzie mógł poznać treść każdego pliku. Niebezpieczeństwo to można wyeliminować w prosty sposób - eksportując związany z agentem klucz prywatny. Zaloguj się na konto agenta. Po uruchomieniu modułu Certyfikaty przejdź do folderu Osobiste, zaznacz certyfikat Odzyskiwanie plików. Następnie z menu Akcja wybierz Wszystkie zadania | Eksportuj. Podczas eksportu pamiętaj o zaznaczaniu dwóch opcji: Tak, eksportuj klucz prywatny oraz Usuń klucz prywatny, jeśli eksport został zakończony pomyślnie. Zapisz plik na dyskietce lub płytce i bezwzględnie usuń go z dysku. Wyeksportowanego certyfikatu użyj wtedy, gdy będziesz musiał odzyskać dostęp do zaszyfrowanych plików.