За допомогою технології EFS будь-який користувач Windows може надійно захистити свої приватні дані шляхом їх шифрування. У попередній статті ми докладно розглядали практичне застосування технології EFS для шифрування даних. Доступ будь-яких інших користувачів до зашифрованих папок і файлів неможливий.
Щоб надати іншим користувачам можливість розшифрувати зашифровані за допомогою EFS файли або щоб мати можливість роботи з зашифрованими файлами на іншому комп'ютері, необхідно експортувати сертифікат EFS і імпортувати його в інший обліковий запис / на інший комп'ютер.
Визначити обліковий запис, зашифрований файл можна за допомогою команди:
cipher / c c: \ SecretData \ printer.xlsx
Як ви бачите, даний файл зашифрований користувачем root.
Щоб у користувача з'явилася можливість роботи з файлом, зашифрованим з допомогою EFS необхідно, щоб в локальному сховищі сертифікатів користувача зберігався сертифікат EFS з закритим ключем користувача, який зашифрував файл (або закритий ключ сертифіката агента відновлення Recovery Agent). Сертифікат може бути експортований тільки самим користувачем (в даному прикладі root) і переданий разом з паролем захисту сертифіката іншому користувачеві, якому необхідно надати право роботи з зашифрованими даними (ще раз нагадаємо, що при примусової зміни пароля користувача-власника сертифіката, вивантажити коректний сертифікат з EFS ключем не вийде).
Спочатку потрібно перенести EFS-сертифікат і пов'язаний з ним закритий ключ на комп'ютер, що містить зашифровані файли. Сертифікат та ключ зберігаються в отриманому від власника-сертифіката .pfx файлі (досить просто скопіювати цей файл).
Примітка. Імпорт сертифіката повинен виконуватися з-під облікового запису, що володіє правами локального адміністратора.Щоб імпортувати EFS сертифікат двічі клацніть по pfx файлу, в результаті чого запуститься майстер імпорту сертифіката. Вкажіть, що сертифікат імпортується для поточного користувача (Current User)
Перевірте шлях до файлу сертифіката.
Далі необхідно вказати пароль захисту сертифіката, зазначений при експорті.
Якщо необхідно можна відзначити опції захисту закритого ключа:
- Enable strong private key protection - при кожному використанні сертифіката буде запитуватися пароль захисту секретного ключа (рекомендується)
- Mark this key as exportable - дозволити надалі експортувати даний ключ
- Include all extended properties - імпортувати все розширені атрибути (опція повинна бути обрана обов'язково)
Потім необхідно вибрати сховище сертифіката. Виберіть Place all certificates in the following store і натисніть на кнопку огляд (Browse).
Вкажіть, що сертифікат буде зберігається в особистому (Personal) Сховище і натисніть OK.
залишилося натиснути Next і Finish. У разі успішного імпортування сертифіката з'явиться повідомлення
The import was successfulПісля того, як EFS сертифікат імпортовано, він з'явиться в консолі управління сертифікатами (certmgr.msc) в розділі Personal.
Після імпорту сертифіката з під поточного облікового запису можна прозоро працювати з даними, зашифрованими EFS, або повністю розшифрувати дані, знявши атрибут Encrypt contents to secure data.
Примітка. Щоб система (обліковий запис SYSTEM) могла працювати з зашифрованими файлами, EFS сертифікат користувача необхідно також імпортувати в розділ Personal сертифікатів локального комп'ютера (certmgr.msc -> Certificates (Local Computer)).