XP pod kontrolou

1. 12. 2007

Sdílet

Tajné utility pro správu Windows XP Jak to tak často bývá, jen málokdy máte počítač pouze pro sebe. Musíte s...


Tajné utility pro správu Windows XP


Jak to tak často bývá, jen málokdy máte počítač pouze pro sebe. Musíte se o něj dělit se svými blízkými nebo s kolegy v práci. Protože za počítač svým způsobem zodpovídáte, chcete si být naprosto jisti, že žádný z uživatelů na něm neprovádí žádné nepravosti. Dosud to nebylo nic snadného – své o tom vědí všichni, kdo se starají o počítače domácích uživatelů, nebo třeba instruktoři různých počítačových kurzů. V našem článku vám nabízíme několik utilit, s nimiž bude ochrana počítače doslova hračkou.
Počítač nemusí sloužit pouze vám, může jej klidně používat spousta lidí, například pro práci, surfování na internetu nebo třeba na hraní. Bývá to obvykle případ nějaké menší firmy, kde na vašem počítači mohou pracovat třeba nově přijatí zaměstnanci, nebo právě váš počítač může sloužit jako ten, který mohou všichni ostatní používat pro surfování na internetu nebo přehrávání multimédií.
Za stav počítače však odpovídáte pouze vy, a tak logicky chcete zabránit tomu, aby do počítače pronikly nějaké škodlivé programy, aby celý systém někdo totálně překonfiguroval, popřípadě aby na něm někdo prohlížel internetové stránky s podezřelým obsahem.
Pomocí nové utility pro Windows XP od Microsoftu však pohodlně omezíte jednotlivé uživatelské účty tak, že každý bude moci na tomto počítači provádět pouze to, co mu povolíte vy – a to jak lokálně, tak na internetu. V článku se také dozvíte, jak rozluštit zašifrované soubory a jak chránit systém před nechtěnými změnami.

1. Program Steadystate ve Windows XP spolehlivě záplatuje všechny nedostatky

Zcela nová utilita od Microsoftu s názvem Steadystate 2.0 umožní na počítači striktně a bez jakýchkoliv výjimek nastavit pravidla pro používání vašeho počítače jinými uživateli – všichni totiž budou smět pouze tam, kam jim to vy sami povolíte. Jenom tak si vy, jako osoba odpovědná za svůj počítač, budete jisti, že žádný jiný uživatel na vašem počítači nenapáchá žádné škody. Navíc omezení, která pro něj nastavíte, by při běžné práci prakticky neměl nijak zaznamenat. Utilitu vám nabízíme jako soubor STEADYSTATE_SETUP_ENU.EXE o velikosti 3,37 MB, popřípadě si ji můžete stáhnout na internetové adrese www.microsoft.com/windows/products/winfamily/sharedaccess/default.mspx.
Například pokud se bude jednat o počítač doma v obývacím pokoji, který obsahuje soubory s hudbou či filmy, pak se od něj očekává víceméně pouze to, že je dokáže přehrát. Počítač umístěný v restauraci by zase měl umět přehrát nějaké soubory s hudbou, dále umožnit uživateli surfovat po internetu a zahrát si nějakou hru. Počítač v místnosti, kde se odehrávají počítačová školení, by pak měl umožnit uživateli spustit program podle tématu školení, třeba editor pro tvorbu internetových stránek a internetový prohlížeč.
Na počítači je najdete, ale jsou dobře ukryty: Teoreticky vzato se v každém počítači s operačním systémem Windows 2000/XP dají použít pro zabezpečení před ne¬oprávněnými zásahy Zásady skupiny a následně nastavení přístupových práv NTFS, takže uživatel nebude v konečném důsledku moci na počítači provádět takřka vůbec nic, žádné škodlivé programy nebudou mít šanci se do počítače dostat. Předpokládá se ovšem znalost manipulace s uživatelskými účty, přístupovými právy souborového systému NTFS a konzolou GPEDIT.MSC, což není právě jednoduché. Další problém přichází, pokud máte na domácím počítači pouze OS Windows XP Home, který z výše uvedených možností zabezpečení nabízí jen minimum.
Co dokáže program Steadystate: Tato nová utilita od Microsoftu poskytuje velmi komfortní přístup ke všem prostředkům pro zabezpečení Windows XP, jež doposud vyžadovaly znalosti na poměrně vysoké úrovni. Pomocí ní se možnosti omezení uživatelských účtů nastavuji daleko jednodušeji – ve Windows XP Home to lze takto provést úplně poprvé. Utilita kombinuje nastavení Zásad skupiny daného systému, přístupová práva k systému souborů NTFS a také tzv. mandatorní profily, tedy účty, které se pak již nedají měnit. Nesmíme zapomenout ani na soubor cache pro obsah diskového oddílu, který má zachytit stav disku předtím, než jej začne kterýkoliv z uživatelů používat. Bez této funkce by se jednalo pouze o utilitu pro konfiguraci systému. Jde tedy o to, že jakmile se vytvoří politiky nebo mandatorní profily, běží již vše nezávisle na programu Steadystate. Utilita pracuje na třech základních úrovních.

1. Zásady skupiny: Při soukromém používání počítače si většinou u jednotlivých účtů vystačíme s nastavením Zásad skupiny (politik). Jejich pomocí se dají možnosti daného uživatelského účtu omezit natolik, že v podstatě nelze provádět v systému žádné závažnější zásahy, nelze připojovat žádné vnější disky, nepřístupná je i většina vnitřních disků či diskových oddílů, povoleno je spuštění pouze několika aplikací a navíc je omezena i doba, po kterou může uživatel pod daným uživatelským účtem pracovat.

2. Ochrana profilu: Možnost Lock profile (Uzamknout profil) způsobí, že se daný účet přidá k mandatorním profilům, které se nedají trvale měnit. Tato možnost je zajímavá třeba pro počítače, na nichž probíhají školení, při nichž chceme uživatelům povolit na počítačích provádět jakékoliv změny (například změnu rozlišení obrazovky, vytvoření zástupce programu apod.), ale při příštím přihlášení je zase chceme automaticky odstranit tak, aby byl počítač opět v původní konfiguraci.

3. Ochrana systémového diskového oddílu: Možnost Protect the Hard Disk (Ochrana pevného disku) povolí funkci, která se týká všech uživatelských účtů na počítači, tedy i účtu správce systému. Jde o to, že se všechny změny provedené na systémovém diskovém oddílu po restartu počítače nebo po určité době odstraní, a počítač se tak vrátí zpět do původního stavu. Tato volba se hodí pro testovací počítače a počítače, na nichž probíhají školení. Utilita Steadystate zde pracuje s vlastním ovladačem, který všechny přístupy do systémového diskového oddílu přesměruje do obrovského vyrovnávacího souboru (cache). Tyto tři zmíněné funkce se dají požívat buď jednotlivě, nebo můžete použít pouze některou z nich.
Co se týče systémových požadavků, u utility Steadystate jsou tak mírné, že je splní každý počítač, na němž běží Windows XP. Utilita je ostatně stavěna pouze pro Windows XP (Home či Professional). Ve Windows 2000 či Vistě ji nespustíte. Microsoft doporučuje před instalací utility Steadystate odstranit případného předchůdce tohoto programu – Shared Computer Toolkit. Při instalaci programu Steadystate se vyžaduje provedení kontroly pravosti vašeho operačního systému – jedná se kontrolu v rámci programu MS Genuine Advantage.

2. Jak zřídit uživatelské účty pomocí programu Steadystate

Uživatelské účty s omezeným oprávněním spolupracují s programem Steadystate nejspolehlivěji, pokud je vytvoříte prostřednictvím právě tohoto programu, místo abyste použili v systému dříve vytvořené uživatelské účty. Také doporučujeme nenastavovat příliš mnoho změn v uživatelských účtech najednou. Vy jako správce počítače si musíte vyhradit dostatek času k tomu, abyste pečlivě prošli všechna nastavení a s rozmyslem vybrali všechna omezení, jež potřebujete nastavit. Hodně času ušetříte i tehdy, pokud budete čas od času přecházet mezi účtem správce počítače a účtem, pro nějž omezení nastavujete. Funkci naprosté většiny nastavení poznáte přímo podle jejich názvů. Na následujících řádcích vám představíme pouze ty, které jsou obzvlášť důležité, a ty, jež patří mezi ty složitější:

1. Systémová nastavení: Z úvodní stránky programu se dostanete na stránku Global Computer Settings. Zde naleznete položku Set Computer Restrictions, kde máte možnost provést několik nastavení týkajících se přímo celého systému. Tak například varianta Prevent users from creating folders and files on drive C: (Zabránit uživatelům vytvářet soubory a složky na disku C:) platí pro všechny uživatelské účty s omezeným oprávněním. Všimněte si, že toto nastavení má přednost před nastaveními v jednotlivých uživatelských účtech – pokud v nich něco povolíte, pak toto nastavení povolenou funkci opět zakáže. Možnost Prevent write access to USB storage… platí obecně pro celý systém, tedy i pro uživatelský účet správce systému.
Prostřednictvím položky Add a New User na úvodní stránce aplikace vytvoříte nový uživatelský účet, podobně jako v Ovládacích panelech při poklepání na ikonku Uživatelské účty. Nyní máte na výběr pouze položku User Location, pomocí níž můžete v případě potřeby nový uživatelský účet vytvořit jinde než na systémovém diskovém oddílu. Po vytvoření nového uživatelského účtu se opět vrátíte na úvodní stránku. Zde poklepejte na název nově vytvořeného účtu, kde pak můžete nastavit parametry, jež budou platit pro každého jednotlivého uživatele, který se pod vytvořeným uživatelským účtem přihlásí.
Obecná nastavení uživatelských účtů: Pod položkou User Settings/General najdete možnost Lock Profile. Ta je pro domácí uživatele v naprosté většině případů zcela nezajímavá. V žádném případě ji nedoporučujeme hned napoprvé povolovat. Jde o to, abyste si zatím ponechali možnost vytvořený uživatelský účet s omezeným oprávněním vyladit podle svých potřeb (odkazy na pracovní ploše, úprava vhledu). Prostřednictvím položky Lock Profile totiž vytvoříte tzv. mandatorní profil. V tomto profilu uživatel zdánlivě může provádět vše, co potřebuje, ale pozor – provedené změny se při odhlášení ze systému automaticky odstraní a účet se vrátí do původního stavu.
Tato možnost je k dispozici už od Windows NT 4.0. Při ní se soubor registru pro příslušného uživatele – soubor NTUSER.DAT – přejmenuje na NTUSER.MAN. Přípona MAN zde zastupuje slovo mandatorní (nutný). Na základě této přípony systém rozpozná, že nastavení uvedená v tomto souboru se považují za standardní.
Přesné nastavování omezení: V menu User Settings/Windows Restrictions byste rozhodně neměli vybírat mezi jednotlivými úrovněmi (High, Medium nebo Low), ale naopak byste měli projít množství nejrůznějších nastavení. Například určitě nedoporučujeme povolit zásadu Allow only programs in the Program Files and Windows folder to run, pokud samozřejmě chcete uživatelům povolit spouštět i programy, které nejsou uloženy ve složkách %programfiles% nebo %windir% nebo spouštět programy stažené z internetu. To samé platí i pro zásadu Prevent users from saving files to the desktop. Pokud například pomocí funkce Hide Drives skryjete všechny diskové jednotky, musí přesto mít uživatel možnost někam svoje soubory uložit – pak byste mu měli povolit alespoň uložení souborů na pracovní plochu. O něco komplikovanější stav nastane v okamžiku, kdy použijeme pro uživatelský účet funkci Lock Profile, ale zároveň budeme chtít uživateli umožnit někam uložit jím vytvořené soubory. V tomto případě byste měli mít zásadu Prevent users from saving files to the desktop určitě povolenu (protože soubory na pracovní ploše se stejně jako jiné soubory po restartu počítače odstraní), ale zato byste měli prostřednictvím funkce Hide Drives povolit ukládání minimálně na jeden diskový oddíl. Dávejte však pozor na to, abyste v těchto případech omylem nezakázali pomocí výše uvedeného nastavení zápis na celý disk C:. Pod odkazem User Settings najdete na záložce Feature Restrictions položku Microsoft Office Restrictions. V ní doporučujeme povolit možnost Disable Macro menu, čímž ztížíme přístup ke konfiguraci počítače i zkušenějším uživatelům.
Zákaz spouštění aplikací: Spouštění aplikací se dá zakázat pod odkazem User settings na záložce Block Programs. Není nutné zakazovat přímo jednotlivé aplikace – stačí na záložce Windows Restrictions zakázat spuštění všech komponent shellu (mimo jiné i použití příkazu Spustit v nabídce Start, skrytí disků nebo používání aplikací využívajících správce souborů, například Word). Jen pouze pokud nebudete chtít použít již zmíněný postup, můžete na záložce Block Programs v seznamu spustitelných souborů EXE zakázat ty programy, které nesmí uživatelé spouštět.
Pokud máte aktivovanou možnost Allow only programs in the Program Files and Windows folder to run, můžete spouštět pouze aplikace, které se nachází v těchto složkách. Stačí se tedy ujistit, že všechny programy, jež budete chtít uživatelům zakázat, se nachází v jedné z těchto složek. O tyto aplikace se pak musíte postarat zvlášť na záložce Windows Restrictions.
Poslední dodělávky: Hotovo? Uvidíte, že se nějaké možnosti pro doladění určitě objeví. Jakmile testovací profil spustíte poprvé, možná vás napadne, co by se dalo vylepšit. Podle našich zkušeností se vyplatí na počátku nepoužívat pro profil příliš silná omezení, abyste ho pokud možno mohli alespoň trochu poupravit přímo v něm. Objekty jako jsou složky, soubory či odkazy můžete na vámi požadované místo umístit mimo testovací profil kdykoliv, tedy přímo z uživatelského účtu správce.

3. Nastavení pravidel pro surfování na internetu a zaznamenávání činnosti uživatelů
Chcete si být jisti, že se vaše ratolest při surfování na internetu nedostane na stránky s pornografií? I pro tento případ nabízí program Steadystate řešení. V něm provedená nastavení bohužel fungují pouze v Internet Exploreru. Pokud budete mít v počítači nastaven jiný prohlížeč, třeba Firefox, budete muset tento program blokovat.
Co je povoleno? Po klepnutí na odkaz User Settings a následně na záložku Feature Restrictions můžete vybranému uživateli omezit přístup k internetu pouze na vámi povolené stránky. Umístěte zatržítko před položku Prevent Internet Access (except Web Sites below). Tento tzv. whitelist, neboli seznam povolených internetových stránek, zadejte do textového políčka s názvem Web Addresses Allowed. Aby filtr správně fungoval, musíte zadat adresy internetových stránek bez výrazu http:// a musí být odděleny pouze čárkou. Whitelist, který bude kupříkladu obsahovat adresy www.pcw.cz a www.gamestar.cz, povolí uživateli přistoupit pouze na tyto stránky. Při pokusu o zadání jakékoliv jiné adresy se pak zobrazí hlášení o chybě při připojení. Nezávisle na zadaných nastaveních můžete na záložce Feature Restrictions v sekci Internet Explorer Restrictions zakázat zobrazení položek menu a omezit tím funkce celého Internet Exploreru. Prostřednictvím jednoho ze tří přepínačů – Low, Medium nebo High Restrictions – povolujete vždy jednu sadu zásad skupiny. Při výběru položky Low Restrictions se třeba při ukončení Internet Exploreru odstraňují dočasné soubory internetu. Kromě toho zůstává položka Možnosti Internetu v menu Nástroje nedostupná.
Po výběru položky Medium Restrictions se zakáže funkce automatického dokončování, dialogové okno pro vyhledávání souborů a několik panelů nástrojů. Přepínač High Restrictions umožňuje zákaz režimu celé obrazovky, položky Zobrazit zdrojový kód a menu Oblíbené položky.
Vedení protokolů o činnosti uživatelů na internetu: Předpokládejme, že v tuto chvíli nechceme svoje děti při surfování na internetu nijak omezovat, ale spíše chceme zjistit, jaké stránky navštěvují. Pak potřebujeme provést několik nastavení a postarat se o to, aby se při ukončení internetového prohlížeče (Internet Exploreru) neodstraňovaly soubory, které se při surfování v počítači nashromáždily. Vyberte proto na úvodní stránce aplikace uživatele, jehož činnost budete chtít sledovat, a na záložce Feature Restrictions zrušte zatržítko před položkou Empty the Temporary Internet Files Folder then Internet Explorer is closed. Nezapomeňte zároveň na záložce General zrušit zatržítko před položkou Lock profile to prevent user from making permanent changes. V opačném případě se při odhlášení žádná z provedených změn v počítači neuloží.
Obsah historie navštívených stránek v Internet Exploreru nejsnáze načtete pomocí nástroje Index.dat Suite 2.10.0. Tento nástroj vám nabízíme popřípadě si jej můžete stáhnout na internetové stránce support.it-mate.co.uk jako soubor IDSUITE_SETUP.EXE o velikosti 2,66 MB. V hlavním okně programu pak do políčka Search in zadejte písmenko disku, na němž se vyskytuje složka s vaším profilem (složka Documents and Settings). Poté stiskněte tlačítko Find. Po chvíli se objeví seznam s výsledky vyhledávání. Z něj vyberte tuto položku:
Documents and Settings<uživatelské jméno>AppDataLocalMicrosoftWindowsHistoryHistory.IE5index.dat
a klepněte na ni pravým tlačítkem myši. Objeví se kontextové menu, z něhož vyberte příkaz View File Contents/Using Internal Viewer. V novém okně se pak objeví seznam všech navštívených internetových stránek daného uživatele.
Internet Explorer v režimu přes celou obrazovku (tzv. kiosk mode): Pokud se má nějaký uživatelský účet používat výlučně pro surfování na internetu, pak se nabízí pro Internet Explorer tzv. kiosk mode. Tento režim nainstalujete tak, že ve svém uživatelském účtu správce systému otevřete složku Documents and Settings<uživatelský účet s omezeným oprávněním>nabídka StartProgramyPo spuštění, do něj umístíte zástupce programu Internet Explorer (většinou se jedná o zástupce programu C:Program FilesInternet ExplorerIexplore.EXE. Na záložce Zástupce pak do políčka Cíl zadejte parametr ve tvaru -k www.google.cz, čímž nastavíte internetový prohlížeč v kiosk mode a zároveň domovskou stránku na www.google.cz. Jako domovskou stránku samozřejmě můžete použít libovolnou jinou internetovou adresu.
Pokud navíc v programu Steadystate vyberete na záložkách Windows Restrictions a Feature Restriction přepínač High Restrictions, pak budete moci v tomto uživatelském účtu pouze surfovat na internetu. Po skončení surfování se z tohoto uživatelského účtu dostanete pouze přes klávesovou zkratku <Alt><F4>, kterou Internet Explorer ukončíte. Poté klepnete do nabídky Start/Odhlásit.

4. Ochrana celého systému před provedením nechtěných změn

Pokud v programu Steadystate vyberete ty správné položky, zabráníte tím i zkušenému uživateli v tom, aby ve vašem systému mohl provádět nějaké nežádoucí změny. Potřebná nastavení však naštěstí nejsou v systému nijak zvlášť hluboko.
Jedná se z větší části víceméně o položky registru, které dokáží zajistit skrytí některých položek menu, popřípadě zabránit spuštění programů. Samotné rozhraní API (Application Programming Interface) je stále plně funkční, ale jeho funkce jsou jakoby zmrazeny. Uživatelský účet s omezeným oprávněním nastaveným pomocí programu Steadystate můžeme přirovnat k autu, kterému chybí plynový pedál a volant, ale nemá nijak omezený výkonný motor. Každý, kdo vlastní vhodný nástroj, může takové auto bez problémů rozpohybovat.
Abyste v maximální míře omezili riziko napáchání škod nebo nežádoucích změn zkušenými uživateli nebo i viry, využijte toho, že Microsoft do nástroje Steadystate zabudoval další ochranný prvek. Steady-state totiž dokáže zálohovat obsah celého diskového oddílu do souboru cache. Znamená to tedy, že všechny změny, které se v systému provedou, a to i změny provedené správcem systému, se po restartu počítače ztratí. Tato funkce nalezne zřejmě největší uplatnění u testovacích počítačů, popřípadě u počítačů, na nichž probíhají nejrůznější školení. Na nich se instaluje velké množství aplikací, na druhou stranu je ale žádoucí, aby po ukončení testování nebo školení byly počítače opět v původním stavu.
Pokud byste chtěli tuto funkci vyzkoušet, nezapomeňte, že ze všeho nejdříve musíte na systémový diskový oddíl instalovat co nejvíce aplikací, které budete potřebovat. Dále musíte složku, jež bude obsahovat soubory vytvořené uživateli, umístit na jiný diskový oddíl, neboť jen tam přežijí další restart počítače.
Povolení ochrany diskového oddílu: Na úvodní stránce programu Steadystate naleznete položku Protect the Harddisk. Po klepnutí na ni se otevře dialogové okno. Pokud zde vyberete přepínač On, vytvoří se velký soubor kontejneru, který si vyžádá minimálně polovinu volného místa na pevném disku. Aby funkci bylo vůbec možné povolit, musí být na disku minimálně 4 GB volného místa. Kromě toho je nutné celý diskový oddíl předem defragmentovat, aby volné místo na pevném disku představovalo co největší souvislý blok.
Po vytvoření souboru cache a instalaci ovladače se ještě můžete rozhodnout, v jakých intervalech se mají změny do původního stavu provádět. Jako standard je nastaveno vracení změn při každém restartu počítače. Pokud místo této volby použijete možnost Retain changes temporarily, budete moci zadat datum a čas, kdy se má diskový oddíl uvést do výchozího stavu. Chcete-li instalovat nějaké aplikace, které mají být k dispozici po restartu počítače, pak nezbývá nic jiného, než použít tuto možnost.
Po celou dobu, kdy budete poté s počítačem pracovat, zapisuje ovladač programu Steadystate všechny změny v systému a vytvořené soubory do souboru kontejneru a po restartu nebo po uplynutí nastaveného časového intervalu je pak automaticky odstraní, čímž diskový oddíl uvede do původního stavu.
Povolení aktualizací: Pokud ochranu diskového oddílu používáte delší dobu, pak byste se měli prostřednictvím volby Schedule Software Updates v programu Steadystate postarat o to, aby se do systému instalovaly všechny aktualizace, nikoliv aby probíhaly pouze do souboru cache.

5. Jak otevřít ve vašem operačním systému chráněné soubory?

Windows XP Professional nabízí na diskovém oddílu zformátovaném systémem souborů NTFS kromě možnosti nastavení přístupových práv NTFS ještě další stupeň zabezpečení, a to v podobě šifrování EFS (Encrypting Filesystem). Ve Windows XP Home je tento mechanizmus deaktivovaný. O způsobu, jak jej aktivovat, píšeme v rámečku Vyšší úroveň zabezpečení pro Windows XP Home.
Šifrování EFS: Chcete-li šifrovat soubor pomocí EFS, pak klepněte pravým tlačítkem myši na daný soubor a z kontextového menu vyberte příkaz Vlastnosti. Na záložce Obecné klepněte na tlačítko Upřesnit a zde umístěte zatržítko před položkou Šifrovat obsah a zabezpečit tak data. Na počítači, který například používají vaše děti pro surfování, byste měli určitě mít přístup k zašifrovaným souborům všech uživatelů. K tomu účelu musíte nejpozději před prvním zašifrováním vytvořit agenta obnovování dat s účtem Administrator. Spusťte proto počítač v nouzovém režimu a přihlaste se jako uživatel Administrator. Nový certifikát vytvoříte tak, že na příkazovém řádku (spustíte jej příkazem Start/Spustit, když do políčka Otevřít zadáte příkaz cmd) napíšete následující příkazy:
cd /d c:
cipher /r:Administrator
Vytvořený certifikát pak najdete v souboru C:ADMINISTRATOR.CER. Ten identifikuje uživatele Administrator jako majitele veřejného klíče, pomocí něhož se data na počítači šifrují.
Těď poklepáním na tento soubor certifikát nainstalujte. Ten se uloží do úložiště důvěryhodných kořenových certifikátů. Nyní ještě musíte nového Agenta obnovování dat – to je totiž u Microsoftu oficiální název služby správy klíčů – zadat do zásad skupiny místního počítače. Klepněte proto znovu do nabídky Start/Spustit a do políčka Otevřít zadejte příkaz GPEDIT.MSC. V dialogovém okně Zásady skupiny se přesuňte do položky Konfigurace počítače/Nastavení systému Windows/Nastavení zabezpečení/Zásady veřejných klíčů/Šifrování systému souborů. Poté klepněte v pravé polovině okna Zásad skupiny na volné místo pravým tlačítkem myši a z kontextového menu vyberte položku Přidat Agenta obnovování dat. Nyní pomocí průvodce přidejte soubor ADMINISTRATOR.CER. Tak může Agent obnovování dat se svým privátním klíčem v případě nouze v systému rozšifrovat jakákoliv data šifrovaná metodou EFS. Soukromý klíč se rovněž ukládá společně s certifikátem, a sice v podobě souboru ADMINISTRATOR.PFX. Kvůli bezpečnosti doporučujeme tento klíč přesunout na nějaké externí médium, například na vyměnitelný disk USB.
Speciální nástroj: Pokud jste zapomněli včas vytvořit Agenta obnovování dat, pak pomůže už jen speciální nástroj – třeba Advanced EFS Recovery 3.20 od firmy Elcomsoft. Zkušební verzi tohoto nástroje naleznete jako soubor AEFSDR.ZIP o velikosti
1,23 MB, popřípadě si jej můžete stáhnout na adrese www.elcomsoft.com/aefsdr.html. Utilita umožňuje správcům sítí nebo IT manažerům, kteří se dostanou do kontaktu se ztracenými nebo poškozenými šifrovanými soubory, aby dokázali šifrované soubory rozšifrovat. Zdarma dostupná zkušební verze dokáže rozšifrovat pouze první bajt souborů zašifrovaných pomocí EFS.
Pro rozšifrování souborů šifrovaných pomocí EFS však musíte znát heslo uživatele pro přihlášení do Windows, který soubor zašifroval. Nezáleží přitom vůbec na tom, zda byl třeba uživatelský účet samotný mezitím odstraněn nebo zda se třeba změnilo heslo.
Ovládání programu Advanced EFS Recovery je velmi jednoduché. Nejprve utilitu nainstalujete, přičemž nebudete zadávat registrační číslo. Při prvním spuštění se objeví dialogové okno, v němž máte možnost si program objednat. Zde stiskněte tlačítko Zrušit, čímž se dostanete do testovací verze programu.
Všechny potřebné údaje pak zadáte pomocí průvodce. Nejprve se utilita pokusí vyhledat všechny klíče EFS. Většinou stačí, pokud program prohledá systémový diskový oddíl. Poté budete vyzváni k zadání uživatelského jména a hesla pro přihlášení do Windows. Nicméně důležité je pouze heslo uživatele, který soubor zašifroval. Nakonec zadáte, na kterých diskových oddílech má utilita zašifrované soubory hledat. Po tomto kroku naleznete rozšifrované kopie všech nalezených zašifrovaných souborů ve složce, kterou jste si zvolili.

XP pod kontrolou: přehled utilit

Program Operační systém Internetová adresa Název a velikost souboru
Advanced EFS Data Recovery 3.20 Windows 2000, XP, Vista www.elcomsoft.com/aefsdr.html a aefsdr.zip (1,23 mb)
Index.dat Suite 2.10.0 Windows 2000, XP, Vista support.it-mate.co.uk a idsuite_setup.exe (2,66 MB)
pcwXPProme Windows XP Home PCWXPPROME.ZIP (19,4 KB)
Steadystate 2.0 Windows XP www.microsoft.com/windows/products/winfamily/sharedaccess/default.mspx a STEADYSTATE_SETUP_ENU.EXE (3,37 MB)

Vyšší úroveň zabezpečení pro Windows XP Home

Ve verzi Windows XP Home budete záložky týkající se možnosti zabezpečení a šifrování hledat marně. Microsoft je tam totiž úmyslně nezařadil. Ale i přesto Windows XP Home šifrování i zabezpečení souborů podporují. Ostatně se o tom můžete přesvědčit, pokud tento operační systém spustíte v nouzovém režimu. vám nabízíme utilitu PCWXPPROME.EXE, která dokáže tyto záložky do Windows XP Home doplnit. Utilitu najdete jako soubor PCWXPPROME.ZIP o velikosti 19,4 KB. Po rozbalení archivu stačí spustit soubor s příponou EXE. Program provede všechna potřebná nastavení a původní konfiguraci uloží do souboru PRODUCTOPTIONS.ORG. Tento soubor se musí nacházet ve stejné složce jako utilita, pokud by bylo někdy později třeba vrátit systém do původního stavu. Po restartu počítače ze svých Windows XP Home vlastně vytvoříte verzi XP Prome – tedy něco mezi Home a Professional. Pokud se budete v budoucnu potřebovat vrátit k původní konfiguraci Windows, jednoduše spusťte utilitu ještě jednou.