Jak na šifrování dat a ochranu systému - 8. díl

20. 7. 2013

Sdílet

 Autor: © Qilux - Fotolia.com
Dnešní díl věnujeme postupu, jakým přidělit jednotlivým uživatelům právo obnovovat zašifrované soubory.

„Chraňte svá digitální data“, ozývá se ze všech stran. Přesto varování nevnímáme a často zanedbáváme. Omílané téma má své opodstatnění, toho ale doznáme, když už je příliš pozdě. Podívejte se, jak svůj digitální život včas chránit.

 

 | následující díl >>

 

Pakliže jste úspěšně prošli postupem v minulém díle, běží již na vašem systému agent obnovení, pro nějž bude operačním systémem automaticky šifrovat všechna data, která si kterýkoliv z uživatelů zašifruje. Kdo má však nyní (kromě vlastníka dat) právo se zašifrovanými daty pracovat, případně je odšifrovat? Ačkoliv agent obnovení běží, v tuto chvíli může k zašifrovaným datům přistoupit stále pouze ten uživatel, který je zašifroval.

Aby bylo možné využít výhod agenta obnovení, je nutné nejprve pod některým uživatelským účtem importovat privátní klíč agenta obnovení. Je to soubor racert.pfx, který jsme vygenerovali společně s certifikátem racert.cer v minulém díle. Privátní klíč lze importovat libovolnému účtu (i více účtům současně), avšak je nadmíru vhodné import provést pouze pod tím účtem, který bude pro obnovování dat vyhrazený.

To může být typicky lokální administrátor nebo speciálně vytvořený účet. Sám Microsoft dokonce doporučuje vytvořit hned dva nebo více agentů obnovení a vyhradit pro ně zvláštní počítače (s vlastními instalacemi OS Windows), které se využijí pouze v případě potřeby obnovy dat. To však pro naše účely nebude nutné a pověříme právy agenta obnovení účet lokálního administrátora.

Ukažme si vše na příkladu. Lokální administrátor (účet Jan) si usmyslí, že se nabourá do souboru ucetnictvi.txt (vytvořený v minulých dílech) Štaflíka a Špagekty, jimž počítač pronajímá. Soubor však nemůže otevřít, protože jej Štaflík šifroval pouze pro sebe a Špagetku. Administrátor se tedy pověří právy agenta obnovení:

 

  1. Klikněte dvakrát na privátní klíč racert.pfx, čímž spustíte Průvodce importem certifikátu.
  2. Zvolte možnost Aktuální uživatel a klikněte na Další.
  3. Opět klikněte na Další a zadejte heslo, které jste zvolili při generování certifikátu a privátního klíče nástrojem cipher. Zaškrtněte volbu Označit tento klíč jako exportovatelný (kvůli možnosti pozdějšího odebrání práv agenta obnovení) a klikněte na Další.
    sifr_recovery_agent_import
  4. V následujícím okně ponechte nastavení Automaticky vybrat úložiště certifikátů a klikněte na Další.
  5. Import potvrďte tlačítkem Dokončit.

 

Pokud byste se nyní pokusili otevřít soubor ucetnictvi.txt, zjistíte, že stále nemáte přístup.

sifr_ucetnictvi_denied

Je to proto, že byl soubor zašifrován uživatelem Štaflík ještě před tím, než jsme vytvořili agenta obnovení. Aby bylo možné pomocí agenta obnovení přistoupit i k dříve zašifrovaným souborům, je nutné, aby každý uživatel, který doposud šifroval, pomocí nástroje cipher aktualizoval zašifrované soubory. Přihlasme se na účet Špagetky a proveďme:

 

  1. Stiskněte klávesovou zkratku Win+R, vepište cmd a potvrďte klávesou Enter.
  2. V příkazovém řádku zadejte příkaz cipher /U a stiskněte Enter.
  3. Aktualizace (šifrování všech doposud zašifrovaných dat také certifikátem agenta obnovení) je poměrně časově náročná akce v závislosti na počtu doposud šifrovaných souborů. Ve výpisu si můžete všimnout řádku D:\data\S&S\ucetnictvi.txt: Encryption updated, který říká, že se podařilo úspěšně aktualizovat šifrování souboru ucetnictvi.txt pro agenta obnovení.
    sifr_cipher_update

 

Z účtu lokálního administrátora, jehož jsme určili jako agenta obnovení, je již nyní možné soubor ucetnictvi.txt otevřít.

ICTS24

 

V dalším díle si ukážeme, jak lokálnímu administrátorovi (nebo jinému účtu) odebrat práva agetna obnovení.