создайте архивную копию ключа и сертификата шифрования файлов что это
Azure Key Vault резервного копирования и восстановления
В этом документе показано, как создать резервную копию секретов, ключей и сертификатов, хранящихся в хранилище ключей. Резервное копирование позволяет создать автономную копию всех секретов на тот маловероятный случай, если доступ к хранилищу ключей будет утерян.
Обзор
Azure Key Vault автоматически предоставляет несколько функций для поддержания доступности и предотвращения потери данных. Создавайте резервные копии секретов, только если у вас есть для этого серьезное бизнес-обоснование. Создание резервной копии секретов в хранилище ключей может добавить значительные операционные трудности, как, например, обслуживание нескольких наборов журналов, разрешений и резервных копий по истечении срока действия секретов или при их смене.
Key Vault сохраняет доступность в аварийных сценариях и автоматически выполняет отработку отказа запросов в парный регион без вмешательства пользователя. Дополнительные сведения см. в статье Доступность и избыточность хранилища ключей Azure.
Если вам требуется защита от случайного или злонамеренного удаления секретов, настройте в хранилище ключей функции обратимого удаления и защиты от очистки. Дополнительные сведения см. в статье Общие сведения об обратимом удалении в Azure Key Vault.
Ограничения
Key Vault не поддерживает резервное копирование более 500 предыдущих версий ключа, секрета или объекта сертификата. Попытка резервного копирования ключа, секрета или объекта сертификата может привести к ошибке. Удалить предыдущие версии ключа, секрета или сертификата нельзя.
Сейчас Key Vault не поддерживает резервное копирование всего хранилища ключей в одной операции. Корпорация Майкрософт и команда Azure Key Vault не поддерживает попытки применить команды, перечисленные в этом документе, для автоматического создания резервных копий хранилища ключей, и предупреждает о возможном возникновении ошибок.
Учтите также приведенные ниже последствия.
Рекомендации по проектированию
При создании резервной копии объекта, хранимого в хранилище ключей (секрета, ключа или сертификата), он скачивается как зашифрованный большой двоичный объект. Этот большой двоичный объект невозможно расшифровать за пределами Azure. Чтобы получить пригодные для использования данные из этого большого двоичного объекта, необходимо восстановить его в хранилище ключей в той же подписке и географической области Azure.
Предварительные требования
Чтобы создать резервную копию объекта, сохраненного в хранилище ключей, вам потребуется следующее.
Создание резервной копии и восстановление с помощью портала Azure
Чтобы создать резервную копию объекта или восстановить его с помощью портала Azure, выполните перечисленные в этом разделе шаги.
Резервное копирование
Перейдите на портал Azure.
Выберите нужное хранилище ключей.
Перейдите к объекту (секрету, ключу или сертификату), резервную копию которого вы намерены создать.
Выберите Скачать резервную копию.
Выберите Скачать.
Храните зашифрованный большой двоичный объект в безопасном расположении.
Восстановить
Перейдите на портал Azure.
Выберите нужное хранилище ключей.
Перейдите к типу объекта (секрет, ключ или сертификат), который нужно восстановить.
Выберите Восстановить резервную копию.
Перейдите к расположению, где сохранен зашифрованный большой двоичный объект.
Как сделать резервную копию ключа шифрования EFS в Windows 10
Всякий раз, когда мы шифруем какие-либо данные, нам нужен простой ключ, чтобы разблокировать их. Ну, этот ключ это все. Этот ключ является основой безопасности на фронте пользователя. И поддержание его в безопасности – одна из самых важных задач, которые пользователь должен выполнить для своей цели. Один из способов сделать это – создать резервную копию ключа в разных местах. Это в конечном итоге поможет облегчить процесс восстановления файлов в случае их утери. Напомним, что шифрование файлов EFS работает только в версиях Windows 10 для Pro, Enterprise и Education. Пользователи Windows 10 Home или даже Windows XP Home или даже Windows 7 Home не поддерживаются этой функцией.
Мы видели, как шифровать или дешифровать данные с помощью шифрования EFS. Теперь давайте посмотрим, как сделать резервную копию вашего ключа шифрования EFS.
Как сделать резервную копию ключа шифрования EFS
Прежде всего, убедитесь, что у вас есть некоторые файлы, зашифрованные с помощью EFS, прежде чем пытаться создать резервную копию ключа для него.
1: Использование диспетчера сертификатов
На левой панели диспетчера сертификатов разверните папку с именем Personal. Нажмите на папку с именем Сертификаты.
Теперь на правой боковой панели вы увидите проблемы с сертификатами на этом компьютере. Щелкните правой кнопкой мыши на тот, который выдан на ваш счет
Нажмите Все задачи> Экспорт …
Теперь откроется еще одно окно, в котором вы увидите Мастер экспорта сертификатов . Нажмите Далее, чтобы продолжить.
Наконец, нажмите Далее .
Выберите путь для сохранения этой резервной копии и нажмите «Далее» .
Теперь вы получите сводную информацию обо всех деталях экспорта ключа шифрования EFS. Нажмите «Готово» для успешного экспорта.
Вы получите сообщение о том, что экспорт теперь был успешным.
Теперь вы можете взять этот файл с собой куда угодно, чтобы сохранить его в безопасности.
2: Использование командной строки
Теперь, если вы хотите получить резервную копию ключа зашифрованного файла с помощью EFS в Windows 10/8/7, введите следующую команду и нажмите Enter-
Теперь вы получите подтверждение, если вы уверены, что хотите создать резервную копию сертификатов, связанных с вашими файлами, зашифрованными с помощью шифрования EFS. Нажмите на ОК.
Теперь введите тот же пароль, чтобы подтвердить его, и затем нажмите Enter.
Наконец, файл с именем EFSCertificates.PRX будет сохранен на вашем рабочем столе.
3. Использование мастера экспорта сертификатов из списка значков системы
Теперь, после того как ваши файлы были зашифрованы, на системных значках в правой нижней части экрана появится маленький значок.
Нажмите Создать резервную копию сейчас (рекомендуется).
Теперь мастер экспорта сертификатов откроется так же, как в методе 1.
Внимательно следуйте инструкциям, описанным выше, и вы сможете успешно выполнить резервное копирование сертификата шифрования EFS.
Как происходит шифрование
Шифрование это наиболее действенный способ защиты файлов и каталогов от несанкционированного доступа. Шифрование используется не только в организациях. Возможно, вы имеете несколько криптовалютных кошельков и хотите зашифровать ключи к ним.
В Windows для шифрования используется шифрованная файловая система (Encrypting File System — EFS). Исключение составляют базовые домашние версии операционной системы.
EFS является частью файловой системы NTSF и не доступна для дисков с FAT32. EFS использует симметричный алгоритм шифрования, для шифрования генерируется случайный ключ. В свою очередь секретность этого ключа обеспечивает ассиметричное шифрование по алгоритму RSA (открытый ключ пользователя содержится в цифровом сертификате).
Схема доступа к зашифрованному содержимому следующая. Когда пользователю необходимо получить доступ к содержимому зашифрованного файла, драйвер шифрованной файловой системы прозрачно для него расшифровывает FEK, используя закрытый ключ пользователя, а затем с помощью соответствующего симметричного алгоритма на расшифрованном ключе
Схема 1: шифрование файла.
Схема 2: расшифрования файла.
Когда пользователь, который зашифровал файлы, заходит в Windows под своей учетной записью, он может работать с файлами. Другой пользователь, вошедший в систему, не сможет работать с зашифрованными файлами.
При шифровании каталога шифруются все файлы, находящиеся в нем.
Шифрование первого файла
Все изображения и описания процесса шифрования сделаны для Windows 7 Ultimate. Но частично вы можете видеть скрины с Windows 10. Так получилось, что пришлось доделывать на ПК. Но сути это не меняет. Для примера я создал два текстовых файла File1.txt и File2.txt.
Что бы зашифровать файл File1.txtнужно щелкнуть по нему правой кнопкой мыши и выбрать меню «Свойства», перейти на вкладку «Общие» и нажать кнопку «Другие», что приведет к открытию окна «Дополнительные атрибуты». Затем выбрать параметр «Шифровать содержимое для защиты данных».
Я создал файл в корне диска D, если ваш файл находится не в корне, а в какой-либо папке, то операционная система спросит у вас нужно ли шифровать только этот файл или зашифровать всю папку.
После шифрования название файла изменит цвет на зеленый.
Зашифровать второй файл можно аналогичным способом, под другой учетной записью для примера.
Создание архивной копии сертификата
После шифрования нужно создать архивную копию сертификата и ключа шифрования. Это необходимо для того, чтобы не потерять доступ к зашифрованным файлам.
Для этого нужно зайти в свойства файла, перейти дополнительные атрибуты и нажать кнопку «Подробности». Выбрать пользователя и нажать кнопку «Архивация ключа». Появится мастер экспорта сертификатов.
Далее следуйте указаниям мастера и делайте все как на изображениях.
После завершения работы мастера экспорт будет выполнен.
Для проверки того, что файл зашифрован вам нужно создать вторую учетную запись с обычным доступом и зайти под ней в операционную систему. После входа попробуйте открыть зашифрованный файл.
Вы получите ошибку доступа.
Если сертификат утерян
Мы сделали бекап, нам нужно сохранить его для дальнейшего использования, например переместим его на флешку. Представим, что по какой-то причине наш сертификат пропал из операционной системы. Давайте удалим сертификат вручную.
Для этого откроем сертификаты текущего пользователя — certmgr.msc.
В появившемся окне откройте раздел «Личное». Удалите сертификат текущего пользователя. После перезагрузки компьютера зашифрованный файл будет недоступен.
Для получения доступа нам нужно скопировать на компьютер сертификат с флешки. Затем запустить сертификаты текущего пользователя (certmgr.msc). Перейти в папку «Личное» и запустить мастер импорта сертификатов. С помощью подсказок мастера выполните импорт сертификата.
После этого доступ к зашифрованным файлам будет восстановлен.
Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.
Создаем резервную копию ключа шифрования EFS (сертификата) для предотвращения потери данных
Ключ шифрования EFS (сертификата) Windows
Шифрование файловой системы или EFS используют достаточно много людей, которые хотят себя обезопасить, но при этом не хотят вникать в тонкости самих инструментов. И их можно понять. Ведь кроме того, что любой продукт шифрования данных нужно уметь использовать, существует еще много жизненных моментов, которые необходимо учитывать (например, социальная инженерия). Более подробно вы можете узнать в статье Шифрования не достаточно.
Несмотря на всю прелесть EFS, все же есть один момент, на который Microsoft не дает однозначного ответа. При шифровании EFS связывает защищенные данные с вашим компьютером. Поэтому, если вы копируете свои данные на сторонний носитель, например, в целях создания резервной копии, то вы должны понимать, что эти данные вы сможете прочитать только на вашем компьютере. Т.е. перенести их куда-то в другую систему будет уже невозможно.
На самом деле, это ограничение еще жестче, чем кажется. Если вы создали резервную копию защищенных EFS файлов на внешнем диске, а затем переформатировали свой диск и переустановили Windows, то EFS не сможет прочитать эти файлы. Так как будет считать, что это другой компьютер. Таким образом, EFS создает потенциальную проблему потери данных при крахе системы. Конечно, вероятность возникновения такого события очень мала, но тем не менее она существует.
Примечание: Если подходить строго к организации безопасности, то EFS далеко не самая сильная система защиты. Но, она и предназначена для широкого круга пользователей, которым не нужна сверхсложная система защиты с кучей паролей и карт доступа. А нужна интегрированная система с простейшим способом использования, но, тем не менее, защищающая систему.
Само собой, Microsoft столкнулся с такой проблемой, и поэтому существует простая и легкая инструкция, как создать копию ключей EFS для предотвращения потери данных. Сама инструкция находится по адресу «http://windows.microsoft.com/en-GB/windows7/Back-up-Encrypting-File-System-EFS-certificate». Но, с введением новой политики Microsoft, доступна лишь зарегистрированным пользователям (регистрация бесплатна). Чтобы не отнимать ваше время, инструкция приведена ниже.
Создаем резервные копии сертификатов EFS
Примечание: Если вы не изменяли настройки, то имена зашифрованных файлов и папок в проводнике отображаются зеленым цветом. Так что если вы случайно обнаружили у себя, что часть ваших записей отображается зеленым цветом, то вероятно, на вашей системе используется EFS. В таком случае, вам настоятельно рекомендуется не откладывать создание резервной копии ваших ключей, а сделать их сразу после прочтения этих строк.
☕ Хотите выразить благодарность автору? Поделитесь с друзьями!
Шифрование файлов Windows
Шифрование файлов и папок выполняется установкой для них свойств шифрования так же, как устанавливаются атрибуты Read Only (Только чтение), Archive (Архивный) или Hidden (Скрытый). При шифровании папки пользователем все файлы и вложенные в нее папки, созданные в ней или добавленные, тоже автоматически шифруются. Рекомендуется использовать шифрование на уровне папки.
Рис.1. Окно отображения дополнительных атрибутов
Чтобы зашифровать папку необходимо:
1. Щелкните правой кнопкой мыши папку или файл, которые требуется зашифровать, и щелкните Свойства.
2. На вкладке Общие щелкните Дополнительно или Другие.
3. Установите флажок Шифровать содержимое для защиты данных и нажмите кнопку ОК.
После подтверждения запроса на шифрование папки (кнопка ОК) и закрытия диалоговых окон отобразится запрос на необходимость применения шифрования папки ко всем вложенным в нее файлам и папкам. Если подтверждение будет получено, система зашифрует все файлы и вложенные папки. Если же нет, то все файлы и вложенные папки останутся незашифрованными. Однако все добавляемые в нее при последующей работе файлы и папки будут зашифрованы.
После выбора опции шифрования и нажатия на кнопку ОК будет запущен процесс шифрования содержимого папки (рис.2). На этом процесс шифрования папки завершается.
Рис.2. Окно применения атрибутов
Если шифруется отдельный файл, то система запросит подтверждение необходимости зашифровать не только сам файл, но и содержащую его папку (рис. 3). При получении подтверждения все добавляемые впоследствии в эту папку файлы и вложенные папки также будут зашифрованы.
Рис.3. Окно предупреждение при шифровании
Можно также отметить флажком режим, при котором выполняется шифрование только для файла.
ÏСОЗДАНИЕ АРХИВА КЛЮЧА ШИФРОВАННЫХ ДАННЫХ
При шифровании объекта система создает специальный сертификат, который представляет собой файл с хранящимся в нем криптографическим ключом. Данный сертификат связан с копией операционной системы Windows, которая установлена на компьютере пользователя, а также с учетной записью пользователя, который зашифровал объект.
Если по каким-либо причинам пользователь теряет доступ к своей учетной записи, он не может получить доступ к зашифрованным файлам. Чтобы предотвратить потерю важной информации, ОС Windows при создании сертификата пользователя предлагает выполнить архивацию ключа шифрования данных. Впервые Windows напоминает о необходимости этой процедуры, когда пользователь создает свой первый шифрованный объект.
Рис.4. Уведомление об архивации ключа шифрования
В области оповещений появляется значок (рис. 4), при щелчке по которому будет отображено окно Шифрующая файловая система (EFS), в котором пользователь может выбрать одно из следующих действий:
Рис. 5. Выбор формата файла сертификата
Можно также установить флажок Включить по возможности все сертификаты в путь сертификата, что позволит выполнить экспорт не только сертификата пользователя, но и сертификатов центров сертификации, которые участвовали в создании ключа пользователя. Эту возможность целесообразно использовать в доменах Мiсrosоft Windows при существующей инфраструктуре центров сертификации, однако на компьютерах, которые принадлежат рабочим группа, эта функция не требуется.
После нажатия кнопки Далее мастер предложит ввести пароль, которым будет защищен файл сертификата, а на следующем шаге пользователь должен будет указать папку, в которой необходимо сохранить файл.
На этом экспорт сертификата завершен. Мастер отобразит последнее диалоговое окно (рис.6), в котором пользователь должен подтвердить выбранные опции и, если они правильны, нажать кнопку Готово.
Рис. 6.Уведомление об архивации ключа шифрования
Теперь пользователю необходимо записать полученный файл на оптический носитель или съемный диск и хранить в надежном месте. Также нужно помнить, что для открытия данного файла потребуется пароль, который был введен на одном из этапов мастера экспорта сертификатов.
Если открыть зашифрованный файл или папку попытается другой пользователь, он получит сообщение системы о том, что данный пользователь не обладает достаточными для этого полномочиями.
Шифрование папки не препятствует просмотру другими пользователями системы списка файлов и папок, которые находятся в зашифрованной папке. Другими словами, любой пользователь может открыть зашифрованную кем-то папку и просмотреть имена файлов, которые в ней находятся. Чтобы предотвратить такие действия, следует корректно настроить NТFS-разрешения папок и файлов. Для этого. следует открыть Свойства папки и в закладке Безопасность настроить соответствующие разрешения.
Для того чтобы расшифровать файл, необходимо снять соответствующий атрибут файла или папки.
1. Щелкните правой кнопкой мыши папку или файл, которые требуется расшифровать, и щелкните Свойства.
2. Перейдите на вкладку Общие и нажмите кнопку Дополнительно.
3. Снимите флажок Шифровать содержимое для защиты данных и нажмите кнопку ОК.
В результате будет отображено окно Подтверждение изменения атрибутов, в котором нужно выбрать, для каких объектов будет выполняться расшифровка.
Теперь файлы, находящиеся в папке, защищены от постороннего доступа лишь NТFS-разрешениями.
ÏИСПОЛЬЗОВАНИЕ КОМАНДЫ CIPHER
Файлы и папки также могут быть зашифрованы или расшифрованы при помощи команды cipher. Чтобы получить сведения об этой команде, следует воспользоваться командной строкой Windows, в которой набрать команду cipher с ключом /?, в результате отобразится окно с ее описанием.
Синтаксис команды:
Команда имеет следующие параметры:
Параметр путь служит для указания на любой каталог нужного тома.
Команда cipher, заданная без параметров, отображает состояние шифрования текущей папки и всех находящихся в ней файлов.
При использовании команды cipher имеется возможность использовать несколько имен папок и подстановочные знаки. Параметры, указываемые в ней, должны быть разделены между собой хотя бы одним пробелом.
Так, чтобы зашифровать папку Data, расположенную в папке Soft на диске D:, нужно выполнить следующую команду:
cipher /е D:\Soft\Data
Чтобы зашифровать файл Users.doc, находящийся в папке Data, необходимо ввести:
cipher /е /а D:\Soft\Data\Users.doc
После выполнения шифрования текстового файла пользователю выдается сообщение о том, что преобразование файла из обычного текстового формата в зашифрованный текст может оставлять фрагменты прежнего незашифрованного текста в неиспользуемом дисковом пространстве, поэтому рекомендуется использовать команду cipher с ключом /w:путь для очистки диска после преобразования.
ÏВОССТАНОВЛЕНИЕ ДОСТУПА К ДАННЫМ
При возникновении ситуации, когда у пользователя отсутствует доступ к его учетной записи, которая применялась для шифрования файлов, у него также отсутствует доступ к зашифрованным файлам. Это может произойти, если пользователь забыл пароль к учетной записи или в случае переустановки операционной системы.
В такой ситуации единственным способом восстановления зашифрованных данных является импорт в новую учетную запись пользователя сертификата с ключом (который хранится в файле, созданном мастером экспорта сертификатов).
Для выполнения этого действия необходимо нажать кнопку Пуск и выбрать команду Выполнить (если она отсутствует, можно воспользоваться комбинацией клавиш Windows+R). Далее следует ввести команду certmgr.msc, в результате чего будет запущена консоль управления сертификатами, которая позволит выполнить импорт (рис. 7).
Рис. 7. Консоль управления сертификатами
В консоли управления сертификатами следует открыть хранилище Личное и в его контекстном меню Действие выбрать группу команд Все задачи, а затем команду Импорт.
В результате будет запущен мастер импорта сертификатов, на первом шаге которого следует нажать кнопку Далее и перейти к выбору файла сертификата. Здесь следует нажать на кнопку Обзор и в появившемся окне открыть папку, которая содержит файл сертификата. В том случае, если файл не будет отображен в списке, а пользователь уверен, что папка выбрана правильно, следует изменить тип отображаемых в окне файлов (например, можно выбрать пункт Все файлы (*.*)).
После того как пользователь выберет файл и нажмет кнопку Далее, мастер вначале предложит ввести пароль, который требуется для открытия файла сертификатов, а затем попросит указать хранилище, в которое следует поместить сертификат (рис.8).
Рис. 8. Указание хранилища сертификата
На этом импорт сертификата завершен. Мастер отобразит последнее окно, в котором пользователь должен нажать кнопку Готово.
Теперь пользователь может открыть любой файл, который он шифровал.
ÏДЕЛЕГИРОВАНИЕ ДОСТУПА К ДАННЫМ
Если существует необходимость разрешить какому-либо пользователю доступ к зашифрованным файлам, нужно добавить сертификат этого пользователя в хранилище сертификатов (или создать его на локальном компьютере) и сконфигурировать уровень доступа для файла.
Можно создать сертификат и при помощи задачи Управление сертификатами шифрования файлов, которая доступна из окна Учетные записи пользователей (рис. 9).
Рис. 9. Окно Учетные записи пользователей
Рассмотрим следующую ситуацию. Пользователь с учетной записью Admin создал файл и зашифровал его. Теперь он желает предоставить право доступа к файлу пользователю, имеющему учетную запись User. Для этого пользователь User должен создать свой сертификат, после чего пользователю Admin нужно открыть свойства зашифрованного файла, на вкладке Общие нажать кнопку Другие, а в появившемся диалоговом окне Дополнительные атрибуты нажать кнопку Подробно.
В появившемся окне Пользовательский доступ указаны сертификаты тех пользователей, которые должны иметь возможность расшифровки файла (рис.10). По умолчанию там присутствует сертификат того пользователя, который инициировал шифрование файла.
Рис. 10. Перечень пользователей,
имеющих право расшифровки файла
Итак, пользователю Admin нужно добавить сертификат пользователя User, для чего в этом окне следует нажать кнопку Добавить и в появившемся окне Безопасность Windows или Шифрующая файловая система (EFS) выбрать сертификат пользователя User.
Программа Hide Folder
Hide Folder – надежная и удобная для пользователя программа использующая шифрование для защиты важных файлов, папок и дисков пользователя. Она препятствует несанкционированному доступу к секретной информации и программам. Защищенные папки становятся полностью невидимыми, недоступными, либо доступными лишь для чтения.
Рис.10. Окно программы Hide Folder
Программа препятствует переименованию, изменению, удалению, копированию, переносу защищенных папок и их содержания, а так же запрещает доступ к ним и делает их невидимыми в системе. Hide Folder позволяет пользователю определить программы, для которых доступ к защищенным областям будет разрешен (например проверка на вирус, утилиты для диска и т.д.). Как видно из рис.10, для удобства работы все основные функции, которые могут потребоваться пользователю, вынесены на панель инструментов. Рассмотрим назначение каждой из представленных кнопок.
ОГРАНИЧЕНИЕ ДОСТУПА
Кнопка Защита вызывает окно выбора объекта для ограничения доступа (рис.11).
При защите диска следует в поле выбора имени диска при помощи кнопки 
указать соответствующий диск и в области Метод защиты выбрать опцию Скрывать (скрыто, нет доступа).
Рис.11. Окно выбора защищаемого ресурса
Для ограничения доступа к папке необходимо выбрать Папку. Для установки защиты следует в поле Путь или маска указать путь и имя защищаемой папки.
После этого необходимо выбрать один из основных режимов доступа:
Не защищать;
Скрывать;
Блокировать;
Скрывать и блокировать;
Только чтение.
Для защиты файла все настройки выполняются аналогичным образом. Отличием является только то, что необходимо указывать путь непосредственно к файлу.
Пункт Маска позволяет защитить группу объектов (папок и файлов), указав маску, с помощью которой они будут выбираться. В поле Путь или маска указать путь к диску или папке, на объекты которых будет накладываться маска. Так, чтобы выбрать для защиты все объекты в корневом каталоге диска С:, которые начинаются на букву «g», необходимо ввести маску с:\g*.
Категория доступа для выбранных по маске объектов настраивается так же, как и для папок/файлов. Затем нужно подтвердить выбранные настройки нажатием на кнопку ОК.
При этом управление передается основному окну программы.
Здесь отображается путь к объекту, определенный для него доступ и отмечены назначенные разрешения: