Задание №2: Создание агента восстановления данных

Агент восстановления данных – это пользователь, который может расшифровать данные, в случае если что-то случиться с закрытым ключом пользователя зашифровавшего эти данные.

Для создания агента восстановления данных, необходимо сначала создать сертификат восстановления файлов, а затем назначить пользователя, который будет агентом восстановления данных.

Чтобы сгенерировать сертификат восстановления файлов, выполните следующие действия:

1. Войдите в систему как администратор.
2. В командной строке введите команду cipher/r:имя_файла_без_разширения, где имя_файла_без_разширения (например – agent) – имя, которое будет присвоено сохраняемому файлу сертификата (вводится без расширения). Дополнительную информацию о команде cipher можно получить в разделе «Дополнительно».
3. Введите пароль, который будет использоваться для защиты создаваемых файлов. После этого в каталоге Documents and Settings\Имя пользователя будут сгенерированны файлы с расширением .pfx и .cer с именем, которое вы задали.
   
   Внимание: эти файлы позволяют любому пользователю стать агентом восстановления. Поэтому обязательно скопируйте их на съемный носитель и обеспечьте безопасное хранение, после чего удалите файлы с жесткого диска.

Чтобы назначить агента восстановления, выполните следующие действия:

1. Создайте учетную запись пользователя recovery_agent, добавьте его в группу «Администраторы» и войдите с этой учетной записью в систему.
2. Используя оснастку «Сертификаты» (для запуска оснастки введите certmgr.msc в командной строке), перейдите к вкладке «Личные».
3. Щелкнув правой кнопкой мыши, выберите «Все задачи – Импорт» (см. рисунок), чтобы вызвать мастер импорта сертификатов. Нажмите кнопку «Далее».

Введите путь и имя файла сертификата шифрования (файл .pfx) который вы ранее экспортировали. (Нажав кнопку «Обзор», выберите сначала в поле «Тип файлов» – «Все файлы», чтобы файлы .pfx отображались в окне выбора, затем нажмите «Открыть».) Нажмите кнопку «Далее».

4. Введите пароль который вы использовали при создании этого сертификата, а затем установите флажок «Пометить ключ как экспортируемый…». Нажмите кнопку «Далее».
5. Выберите «Поместить все сертификаты в следующее хранилище – Личные». Затем нажмите кнопку «Далее» и «Готово». На экране должно отобразиться сообщение об успешном выполнении операции.
6. Откройте оснастку «Локальные параметры безопасности» (для запуска оснастки введите secpol.msc в командной строке), перейдите к вкладке «Политики открытого ключа – Файловая система EFS».
7. Щелкнув по вкладке правой кнопкой мыши, выберите «Добавить агент восстановления» (см. рисунок), чтобы вызвать мастер добавления агента восстановления. Нажмите кнопку «Далее».

В окне «Выбор агентов восстановления» нажмите кнопку «Обзор папок» и перейдите к месту, где лежит созданный вами .cer-файл. (Кнопка «Обзор каталога» позволяет просматривать каталог Active Directory.) Выделите нужный файл и нажмите кнопку «Открыть».

8. Теперь окно «Выбор агентов восстановления» показывает, что пользователь «USER_UNKNOWN» готов стать агентом восстановления. Нажмите кнопку «Далее», затем кнопку «Готово».
9. Текущий пользователь назначен агентом восстановления данных для всех зашифрованных файлов в вашей системе.