За допомогою технології EFS будь-який користувач Windows може надійно захистити свої приватні дані шляхом їх шифрування. У попередній статті ми докладно розглядали практичне застосування технології EFS для шифрування даних. Доступ будь-яких інших користувачів до зашифрованих папок і файлів неможливий.

Щоб надати іншим користувачам можливість розшифрувати зашифровані за допомогою EFS файли або щоб мати можливість роботи з зашифрованими файлами на іншому комп’ютері, необхідно експортувати сертифікат EFS і імпортувати його в інший обліковий запис / на інший комп’ютер.

Визначити обліковий запис, зашифрований файл можна за допомогою команди:

cipher /c c:SecretDataprinter.xlsx

Як ви бачите, даний файл зашифрований користувачем root. Користувач, зашифрував файл за допомогою efs

Щоб у користувача з’явилася можливість роботи з файлом, зашифрованим з допомогою EFS необхідно, щоб в локальному сховищі сертифікатів користувача зберігався сертифікат EFS з закритим ключем користувача, який зашифрував файл (або закритий ключ сертифіката агента відновлення Recovery Agent). Сертифікат може бути експортований тільки самим користувачем (в даному прикладі root) і переданий разом з паролем захисту сертифіката іншому користувачеві, якому необхідно надати право роботи з зашифрованими даними (ще раз нагадаємо, що при примусової зміни пароля користувача-власника сертифіката, вивантажити коректний сертифікат з EFS ключем не вийде).

Спочатку потрібно перенести EFS-сертифікат і пов’язаний з ним закритий ключ на комп’ютер, що містить зашифровані файли. Сертифікат та ключ зберігаються в отриманому від власника-сертифіката .pfx файлі (досить просто скопіювати цей файл).

Примітка. Імпорт сертифіката повинен виконуватися з-під облікового запису, що володіє правами локального адміністратора.

Щоб імпортувати EFS сертифікат двічі клацніть по pfx файлу, в результаті чого запуститься майстер імпорту сертифіката. Вкажіть, що сертифікат імпортується для поточного користувача (Current User) Майстер експорту сертифіката

Перевірте шлях до файлу сертифіката. Шлях до файлу pfx сертифіката efs

Далі необхідно вказати пароль захисту сертифіката, зазначений при експорті.

Якщо необхідно можна відзначити опції захисту закритого ключа:

  • Увімкніть надійний захист приватного ключа – при кожному використанні сертифіката буде запитуватися пароль захисту секретного ключа (рекомендується)
  • Позначте цей ключ як експортний – дозволити надалі експортувати даний ключ
  • Включіть усі розширені властивості – імпортувати все розширені атрибути (опція повинна бути обрана обов’язково) efs пароль захисту закритого ключа

Потім необхідно вибрати сховище сертифіката. Оберіть Помістіть усі сертифікати до наступного сховищаe і натисніть на кнопку огляд (Перегляньте).

Вкажіть, що сертифікат буде зберігається в особистому (Особистий) Сховище і натисніть гаразд.

залишилося натиснути Далі і Готово. У разі успішного імпортування сертифіката з’явиться повідомлення

Імпорт був успішним

успішний імпорт сертифіката

Після того, як EFS сертифікат імпортовано, він з’явиться в консолі управління сертифікатами (certmgr.msc) в розділі Особистий. консоль управління сертифікатами

Після імпорту сертифіката з під поточного облікового запису можна прозоро працювати з даними, зашифрованими EFS, або повністю розшифрувати дані, знявши атрибут Шифрувати вміст для захисту даних.

Примітка. Щоб система (обліковий запис SYSTEM) могла працювати з зашифрованими файлами, EFS сертифікат користувача необхідно також імпортувати в розділ Personal сертифікатів локального комп’ютера (certmgr.msc -> Certificates (Local Computer)).

Leave a Reply

Your email address will not be published. Required fields are marked *