Witam
Chciałbym się dowiedzieć jak to w końcu jest z tym szyfrowaniem w XP. Czytałem już wiele stron i książek, ale nie jest tam ten problem do końca wyjaśniony. Chodzi mi konkretnie o potwierdzenie, czy dobrze zrozumiałem to co przeczytałem:
1. Przy pierwszym użyciu EFS użytkownik otrzymuje klucz publiczny.
2. Osoba, która zaszyfrowała plik może dodać nowych użytkowników, użytkownicy ci jeśli mają uprawnienia administracyjne to mogą usunąć prawa do odszyfrowania pliku przez klucze pozostałych użytkowników (czyli osoba X szyfruje plik i dodaje certyfikat osoby Y, a osoba Y pozbawia możliwości szyfrowania osobę X (Y musi być administratorem).
3. DRA powinien być utworzony na koncie nie używanym na codzień do administracji, ale z uprawnieniami administratora.
4. Należy zalogować się na konto używane przez DRA, utworzyć jego klucz publiczny do pliku/folderu (cipher /R), skopiować klucz na nośnik, schować nośnik i usunąć klucz z HDD.
5. Podczas konfiguracji nowo zainstalowanego systemu (lokalnego) najlepiej jest z konta DRA utworzyć jakiś folder, włączyć dla niego szyfrowanie i przydzielić użytkownikowi z ograniczonymi uprawnieniami (konto, które będzie używane przez użytkownika komputera) odpowiednie uprawnienia (bez uprawnień do wyłączenia szyfrowania i usunięcia katalogu). Następnie przeprowadzić operacje z punktu 4.
6. Jeśli trzeba plik odzyskać, to należy odnaleźć nośnik i importować umieszczone na nim klucze.
A teraz pytania:
1. Zakładając, że mamy zabezpieczyć komputer typu laptop czy dobrze jest założyć konto agenta DRA czy po prostu używać konto admina do tego celu (zakładając, że użytkownik laptopa korzysta tylko z konta z ograniczeniami).
2. Jeśli jednak korzysta się z osobnego konta dla DRA, to czy można po zapisaniu na nośnik certyfikatów po prostu usunąć to konto?
3. Jak zmusić użytkownika, by ważne dane umieszczał tylko i wyłącznie w części zaszyfrowanej? Czy odebrać mu prawa dostępu do tworzenia jakichkolwiek plików poza folderem szyfrowanym?
Z góry dziękuję za odpowiedzi i pozdrawiam.
Chciałbym się dowiedzieć jak to w końcu jest z tym szyfrowaniem w XP. Czytałem już wiele stron i książek, ale nie jest tam ten problem do końca wyjaśniony. Chodzi mi konkretnie o potwierdzenie, czy dobrze zrozumiałem to co przeczytałem:
1. Przy pierwszym użyciu EFS użytkownik otrzymuje klucz publiczny.
2. Osoba, która zaszyfrowała plik może dodać nowych użytkowników, użytkownicy ci jeśli mają uprawnienia administracyjne to mogą usunąć prawa do odszyfrowania pliku przez klucze pozostałych użytkowników (czyli osoba X szyfruje plik i dodaje certyfikat osoby Y, a osoba Y pozbawia możliwości szyfrowania osobę X (Y musi być administratorem).
3. DRA powinien być utworzony na koncie nie używanym na codzień do administracji, ale z uprawnieniami administratora.
4. Należy zalogować się na konto używane przez DRA, utworzyć jego klucz publiczny do pliku/folderu (cipher /R), skopiować klucz na nośnik, schować nośnik i usunąć klucz z HDD.
5. Podczas konfiguracji nowo zainstalowanego systemu (lokalnego) najlepiej jest z konta DRA utworzyć jakiś folder, włączyć dla niego szyfrowanie i przydzielić użytkownikowi z ograniczonymi uprawnieniami (konto, które będzie używane przez użytkownika komputera) odpowiednie uprawnienia (bez uprawnień do wyłączenia szyfrowania i usunięcia katalogu). Następnie przeprowadzić operacje z punktu 4.
6. Jeśli trzeba plik odzyskać, to należy odnaleźć nośnik i importować umieszczone na nim klucze.
A teraz pytania:
1. Zakładając, że mamy zabezpieczyć komputer typu laptop czy dobrze jest założyć konto agenta DRA czy po prostu używać konto admina do tego celu (zakładając, że użytkownik laptopa korzysta tylko z konta z ograniczeniami).
2. Jeśli jednak korzysta się z osobnego konta dla DRA, to czy można po zapisaniu na nośnik certyfikatów po prostu usunąć to konto?
3. Jak zmusić użytkownika, by ważne dane umieszczał tylko i wyłącznie w części zaszyfrowanej? Czy odebrać mu prawa dostępu do tworzenia jakichkolwiek plików poza folderem szyfrowanym?
Z góry dziękuję za odpowiedzi i pozdrawiam.
). Do tego celu (zabezpieczenia laptopa) polecam darmowego truecrypta (