Чтение онлайн

Для запроса нового сертификата восстановления файлов с помощью мастера запроса сертификатов следует нажать кнопку «Создать». Чтобы выполнить эту процедуру, необходимо иметь соответствующие разрешения на запрос сертификата и центр сертификации должен быть настроен на выпуск сертификатов такого типа.

Чтобы удалить политику EFS и всех агентов восстановления, надо нажать «Удалить политику». При выборе данного параметра пользователь не сможет шифровать файлы на компьютере. Перед изменением политики восстановления следует создать на гибком диске резервную копию ключей восстановления.

Для выполнения этой процедуры необходимо войти в систему с учетной записью «Администратор» или члена группы «Администраторы». Если компьютер подключен к сети, то параметры сетевой политики могут запретить выполнение данной процедуры.

Компьютер выпускает используемый по умолчанию самозаверяющий сертификат, который указывает на локального администратора как на агента восстановления по умолчанию. Если пользователь, который первый раз вошел в систему после установки, создает вторую учетную запись с помощью мастера создания нового пользователя, то вторая учетная запись становится агентом восстановления по умолчанию.

Если сертификат агента восстановления по умолчанию удален и другого агента в политике нет, компьютер будет иметь пустую политику восстановления. Пустая политика восстановления означает, что агента восстановления не существует. Это отключает EFS и, следовательно, запрещает пользователям шифровать файлы на этом компьютере.

В домене политика восстановления, используемая по умолчанию, внедряется при настройке первого контроллера домена. Администратор домена выпускает самозаверяющий сертификат, который указывает на администратора домена как на агента восстановления.

Чтобы изменить политику восстановления для домена, используемую по умолчанию, войдите в первый контроллер домена с учетной записью администратора.

Изменения в сертификат восстановления файла можно внести, щелкнув сертификат правой кнопкой мыши и затем нажав «Свойства». Например, сертификату можно дать понятное имя и ввести текстовое описание.

Чтобы добавить агента восстановления для домена

Для того чтобы добавить агента восстановления для домена, следует открыть оснастку «Пользователи и компьютеры Active Directory» (для запуска оснастки «Пользователи и компьютеры Active Directory» надо открыть подключение к удаленному рабочему столу контроллера домена Windows 2000 или рядового сервера, на котором установлены средства администрирования Windows 2000. Для выполнения данной процедуры необходимо войти в систему на сервере в качестве администратора домена) и кликнуть правой кнопкой домен, политику восстановления которого требуется изменить, а затем выбрать команду «Свойства». После этого надо открыть вкладку «Групповая политика», кликнуть правой кнопкой политику восстановления, которую требуется изменить, и выбрать команду «Изменить». В дереве консоли надо выбрать знакомый путь: «Агенты восстановления шифрованных данных» – «Конфигурация компьютера» – «Конфигурация Windows» – «Параметры безопасности» – «Политики открытого ключа» – «Агенты восстановления шифрованных данных». В области сведений надо кликнуть правой кнопкой, выбрать команду «Добавить» и затем просто следовать инструкциям.

Для выполнения этой процедуры необходимо войти в систему с учетной записью «Администратор» или члена группы «Администраторы». Если компьютер подключен к сети, то параметры сетевой политики могут запретить выполнение данной процедуры.

Данную операцию можно выполнить на любых сайтах, доменах и подразделениях из леса (совокупность деревьев директорий всех обслуживаемых компьютеров) Active Directory.

Добавление агента восстановления из файла идентифицирует пользователя как USER_UNKNOWN. Это происходит потому, что имя не сохраняется в файле.

Перед добавлением или созданием агента восстановления необходимо задать конфигурацию групповой политики на компьютере.

Чтобы изменить политику восстановления для домена

Для того чтобы изменить политику восстановления для домена, следует открыть оснастку «Пользователи и компьютеры Active Directory» (как это делается, описано в предыдущем пункте) и кликнуть правой кнопкой домен, политику восстановления которого требуется изменить, а затем выбрать команду «Свойства», после чего – открыть вкладку «Групповая политика». Теперь надо кликнуть правой кнопкой политику восстановления, которую требуется изменить, и выбрать команду «Изменить». Затем в дереве консоли надо выбрать «Агенты восстановления шифрованных данных» (путь тот же, что и в предыдущем разделе) и в области сведений правой кнопкой мыши кликнуть агента восстановления шифрованных данных, а затем выбрать соответствующую команду. Перед изменением политики восстановления следует создать на гибком диске резервную копию ключей восстановления. Чтобы увидеть сделанные изменения, надо кликнуть объект «Агенты восстановления шифрованных данных» правой кнопкой мыши.

Для выполнения описанной процедуры необходимо войти в систему с учетной записью «Администратор» или члена группы «Администраторы». Если компьютер подключен к сети, то параметры сетевой политики могут запретить выполнение данной процедуры.

В домене политика восстановления, используемая по умолчанию, внедряется при настройке первого контроллера домена. Администратор первого домена выдает самозаверяющий сертификат, который указывает на администратора домена как на агента восстановления. Чтобы изменить политику восстановления для домена, используемую по умолчанию, надо войти в первый контроллер домена с учетной записью администратора.

Чтобы создать резервную копию ключей восстановления, используемых по умолчанию, на гибком диске

Для того чтобы создать резервную копию ключей восстановления, следует запустить консоль управления (Пуск – «Выполнить» – «mmc» – ОК), затем в открывшемся «Консоль» выбрать команду «Добавить/удалить оснастку» и нажать кнопку «Добавить». Затем в группе «Добавить изолированную оснастку» надо выбрать «Сертификаты» и нажать кнопку «Добавить». После этого надо установить переключатель в положение «Моей учетной записи пользователя» и нажать «Готово» – «Закрыть» и ОК. Затем надо дважды кликнуть «Сертификаты – текущий пользователь», дважды – «Личные» и снова дважды «Сертификаты». После этого надо выбрать сертификат, имеющий текст «Восстановление файлов» в столбце «Назначение» и, кликнув сертификат правой кнопкой, выбрать «Все задачи», а затем «Экспорт». После этого можно спокойно следовать инструкциям мастера экспорта сертификатов для экспорта сертификата и связанного закрытого ключа в файл формата. pfx.

Эта операция должна быть выполнена с учетной записью агента восстановления, у которого есть сертификат восстановления и закрытый ключ в личных хранилищах.

Перед внесением любых изменений в политику восстановления, используемую по умолчанию, следует проверить безопасность ключей восстановления, используемых по умолчанию. В домене ключи восстановления, используемые по умолчанию, хранятся на первом контроллере домена. Администратор домена по умолчанию является агентом восстановления.

Одним из достоинств операционной системы Windows XP является возможность установки и использования нескольких (более чем одной) операционных систем.

Для того чтобы выбрать операционною систему, загружаемую по умолчанию (если на компьютере установлено более одной операционной системы), надо открыть компонент Панели управления «Система» и на вкладке «Дополнительно» в группе «Загрузка и восстановление» нажать кнопку «Настройка». После этого в группе «Загрузка операционной системы» в списке «Операционная система, загружаемая по умолчанию» надо выбрать операционную систему, которая должна будет запускаться по умолчанию при включении или перезагрузке компьютера. Теперь надо установить флажок «Отображать список операционных систем» и ввести число секунд, в течение которых должен отображаться этот список, прежде чем начнется автоматическая загрузка операционной системы, выбираемой по умолчанию.

Чтобы вручную отредактировать файл вариантов загрузки, надо нажать кнопку « Изменить» . При этом следует иметь в виду, что корпорация Майкрософт настоятельно рекомендует не изменять файл вариантов загрузки (boot.ini). Изменение этого файла может нарушить работоспособность компьютера. Поэтому мы помещаем здесь описание основных возможных вариантов загрузки на случай не предвиденных осложнений.

Если компьютер не загружается в обычном режиме, можно попробовать загрузить его в безопасном режиме. В безопасном режиме Windows использует настройки по умолчанию (монитор VGA, поддержка сети отсутствует, драйвер мыши Microsoft и минимальный набор драйверов устройств, необходимых для запуска Windows).