Создание агента восстановления
Описываемая ниже процедура должна выполняться на автономном компьютере, на котором планируется использование системы EFS. Сначала необходимо создать сертификат агента восстановления (лучше использовать административную учетную запись, хотя, строго говоря, это не обязательно), импортировать его, а затем назначить политику восстановления.
Чтобы создать сертификат агента восстановления:
- Войдите в систему как администратор.
- В окне консоли введите команду cipher /R:имяФайла – без расширения.
- Введите и подтвердите пароль, защищающий личный ключ.
В текущем каталоге будут созданы два файла: с расширением .сer (содержит только сгенерированный ключ) и с расширением .pfx (содержит и ключ, и сертификат агента восстановления). Для большей сохранности перепишите файлы на дискету.
Для импорта сертификата, с помощью которого можно восстанавливать индивидуальные файлы пользователей:
- Зарегистрируйтесь в системе как администратор.
- Запустите оснастку Certificates, откройте узел Personal.
- Импортируйте созданный РЕХ-файл.
Чтобы определить политику агента восстановления для любых операций шифрования:
- Запустите оснастку Local Security Settings.
- Выберите узел Public Key Policies › Encrypting File System (Политики открытого ключа › Файловая система EPS).
- В контекстном меню выполните команду Add Data Recovery Agent (Добавить агента восстановления данных).
- В окне мастера Add Recovery Agent Wizard (Мастер добавления агента восстановления) нажмите кнопку Browse Folders (Обзор папок) и выберите местоположение созданного ранее файла сертификата с расширением сеr. (Имя пользователя будет неизвестно, поскольку оно не хранится в файле – это нормальная ситуация.)
- Нажмите кнопку Next (Далее) и на следующей странице мастера – Finish (Готово).
Сертификат будет импортирован и его владелец станет агентом восстановления на данном компьютере. Обратите внимание на то, что в столбце Intended Purposes (Назначение) импортированного сертификата указано File Recovery (Восстановление файлов).
Теперь можно использовать шифрование информации, не опасаясь потери "ключа" к ней.