„Chraňte svá digitální data“, ozývá se ze všech stran. Přesto varování nevnímáme a často zanedbáváme. Omílané téma má své opodstatnění, toho ale doznáme, když už je příliš pozdě. Podívejte se, jak svůj digitální život včas chránit.
Co však dělat v případě, když se rozhodnete danému uživatelskému účtu práva agenta obnovení odebrat? I na tento případ systém EFS myslí a ve skutečnosti stačí daný uživatelský účet připravit o privátní klíč, který jsme společně s certifikátem pro agenta obnovení generovali v minulých dílech. Během importování privátního klíče agenta obnovení danému uživateli (v našem případě lokálnímu administrátorovi), jsme zaškrtli volbu Označit tento klíč jako exportovatelný, která je pro odebrání práv agenta obnovení zcela klíčová. Nyní totiž bude možné privátní klíč exportovat a současně jej pro daného uživatele smazat z úložiště privátních klíčů:
- Stiskněte klávesovou zkratku Win + R, vepište certmgr.msc a stiskněte Enter.
- V konzoli pro správu certifikátů v levém podokně klikněte na složku Osobní a Certifikáty.
- Vyhledejte certifikát, který má ve sloupci Zamýšlené účely uvedeno Obnovení souborů. Ikona certifikátu ponese také malý zámek na znamení toho, že se jedná o privátní klíč.
- Klikněte na něj pravým tlačítkem a zvolte Všechny úkoly -> Exportovat.
- V průvodci exportem certifikátu klikněte na Další, zvolte Ano, exportovat privátní klíč a pokračujte tlačítkem Další.
- V dalším okně ponechte výchozí nastavení formátu (PFX) a zaškrtněte volbu Odstranit privátní klíč v případě úspěšného exportu. Díky této volbě bude odstraněn privátní klíč uživatele z lokálního úložiště. Pokračujte tlačítkem Další.
- V dalším okně vyplňte heslo pro exportovaný klíč a klikněte na Další.
- Zadejte jméno pro exportovaný soubor (.pfx) a zvolte Další.
- V posledním okně si prohlédněte cestu k exportovanému souboru a klikněte na Dokončit.
- V podokně s certifikáty byste u daného certifikátu již měli vidět ikonu bez malého zámku. (Pokud vidíte stále stejnou ikonu, klikněte na složku Certifikáty pravým tlačítkem a zvolte Aktualizovat).
Nyní již nebude mít vybraný uživatel právo dešifrovat soubory zašifrované ostatními uživateli (změna se však projeví až po restartování počítače). Agent obnovení přesto stále běží a operační systém šifruje data i pro něj, pouze nemá nyní nikdo importovaný privátní klíč agenta obnovení, proto nelze data obnovovat. Vyexportovaný privátní klíč (soubor .pfx) si dobře zálohujte (například na vyměnitelné médium) a z počítače jej smažte. Můžete jej vybranému uživateli importovat až tehdy, kdy bude potřeba nějaká data obnovit.
Problematika agenta obnovení je tímto u konce, dovolme i přesto závěrem dvě poznámky:
- Dvojici certifikát a privátní klíč pro agenta obnovení může za pomocí nástroje cipher kupodivu vytvořit libovolný uživatel (tedy nemusí být lokální administrátor). Dokonce si sám může vygenerovaný privátní klíč .pfx importovat. To je mu však stále k ničemu, neboť nemá právo otevřít konzoly Místní zásady a zabezpečení a vytvořit agenta obnovení (za pomocí vygenerovaného certifikátu .cer).
- Microsoft doporučuje pro agenta obnovení (uživatele, který má importovaný privátní klíč agenta obnovení) vyhradit specifický uživatelský účet nebo dokonce samostatný počítač. Pro ještě vyšší bezpečí navíc doporučuje danému uživateli v roli agenta obnovení privátní klíč importovat pouze v případě potřeby obnovy dat a poté klíč opět exportovat a z počítače smazat (a ponechat pouze jeho kopii na vyměnitelném médiu). Pro běžného uživatele přesto postačí, pokud bude pro obnovení využívat účet lokálního administrátora.
Nyní už víme, jak s šifrovacím systémem EFS prakticky pracovat. V příštím pokračování proto nahlédneme pod pokličku EFS a vysvětlíme si, jak a proč to vlastně celé funguje.