Bármelyik eset is áll elő a lényeg azonos: helyre kell állítani a másik fél által titkosított adatokat. Mit lehet tenni? Ha tudjuk a felhasználó bejelentkezési nevét és jelszavát, szerencsénk van. Lépjünk be az adataival és távolítsuk el a titkosítási attribútumokat. És ha nem tudjuk? Ekkor jönnek a helyreállító ügynökök, akik szintén rendelkeznek a visszafejtéshez szükséges jogosultsággal. Szó sincs biztonsági résről vagy az Encrypted File System (EFS) kijátszásáról, megkerüléséről. A fejlesztők építették be a lehetőséget végszükség esetére és részét képezi a titkosítási rendszer áltat definiált házirendnek. Az ügynökök olyan rendszergazdák, amelyek X.509 bizonyítvánnyal (tanúsítvánnyal) rendelkeznek, amely lehetővé teszi a mások által titkosított adatok visszafejtését. Alapértelmezésben a rendszer telepítését végző "Rendszergazda" ("Administrator") fiók van felruházva helyreállító joggal, de más fiókokat is felvehetünk a listába. A gyakorlatban ez azt jelenti, hogy ha egy felhasználó fájlokat kódol a rendszergazda képes lesz elolvasni. Fordítva viszont nem működik. Tehát a rendszergazda által titkosított állományokat a felhasználók nem képesek értelmezni.
Mi kell ahhoz, hogy egy fiókot helyreállító ügynökké konfiguráljunk? Rendelkezni kell egy személyes kulccsal és egy X.509 bizonyítvánnyal. A kulcs adva van minden felhasználónak a bizonyítványt viszont igényelni kell és ehhez szükség van a hálózatban elérhető bizonyítvány szolgáltatásra.
X.509 bizonyítványok igénylése
Az igénylést a felhasználónak kell végrehajtani a következő lépések végrehajtásával:
Indítsuk el az MMC konzol keretet (Start > Futtatás > mmc (Start > Run > mmc)). Kattintsunk sorrendben a Konzol > Beépülő modul hozzáadása/eltávolítása > Hozzáadás > Bizonyítványok > Hozzáadás > Befejezés > Bezárás > OK (Console > Add/Remove Snap-in > Add > Certificates > Add > Finish > Close > OK) elemekre. A megjelent beépülő modul kezeli az adott felhasználó összes bizonyítványát.
A farendszert kibontva lépjünk a Személyes > Bizonyítványok (Personal > Certificates) mappába, ha csak a "Személyes" ("Personal") mappa létezik, akkor oda és a konzol jobb oldalán kattintsunk egy üres helyre a jobboldali egérgombbal, majd lépjünk Az összes feladat > Új bizonyítvány kérése (All Tasks > Request New Certificate) menüre. Elindul egy varázsló, az első oldalról lépjünk tovább. A következő oldalon meglévő sablonok közül kell kiválasztani az igénylés céljának megfelelőt. Jelen esetben az "EFS-helyreállító ügynök"-re ("EFS Recovery Agent") van szükségünk. Írjunk be egy rövid nevet és leírást, ami a konzolban fog megjelenni a bizonyítvány mellett. Az utolsó oldalon kattintsunk a "Bezárás" ("Close") gombra. A varázsló most felveszi a kapcsolatot a hálózat bizonyítvány szolgáltatását végző kiszolgálójával és beterjeszti a felhasználó igényét. Ha elérhető a kiszolgáló, rögtön megérkezik a válasz: "A bizonyítvány kérelem sikeres volt" ("The certificate request was successful"). Kattintsunk a "Bizonyítvány telepítése" ("Install Certificate") gombra és visszatérünk az MMC konzolhoz. Megjelent a listában az új elem a "Kívánt célok" ("Intended Purposes") oszlopban a "Fájl helyreállítása" ("File Recovery") felirattal.
Az adott felhasználó ezzel még nem vált helyreállító ügynökké, de a feltétel adva van hozzá.
X.509 bizonyítvánnyal rendelkező felhasználó felruházása helyreállító ügynöki jogkörrel
A rendszergazdára vár a feladat, hogy elvégezze a felhasználó jogosítását.
Active Directory tartományi hálózatban az egyik tartományvezérlőn tudjuk végrehajtani a szükséges lépéseket. Indítsuk el a Felügyeleti eszközök > Active Directory - felhasználók és számítógépek (Administrative Tools > Active Directory Users and Computers) MMC konzolt. A faszerkezetben kattintsuk a tartomány gyökerére a jobboldali egérgombbal és válasszuk a "Tulajdonságok" ("Properties") menüt. Haladjunk végig a következő lépéseken, hogy eljussunk a csoportházirend megfelelő pontjára:
Csoportházirend > Szerkesztés > Számítógép konfigurációja > Windows beállításai > Biztonsági beállítások > Nyilvános kulcs irányelvei > Titkosított adatot helyreállító ügynökök (Group Policy > Edit > Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Encrypted Data Recovery Agents)
Alapértelmezésben a mappa egyetlen felhasználói fiókot tartalmaz (Rendszergazda - Administrator), amely az ablak jobb oldalán jelenik meg. Kattintsunk alatta egy üres helyre a jobboldali egérgombbal és lépjünk a "Hozzáadás" ("Add") pontra. Ugyanide jutunk az Új > Titkosított helyreállító ügynök (New > Encrypted Recovery Agent) menüvel is.
Ismét egy varázsló lesz segítségünkre, aminek az első oldalról ismét lépjünk tovább. A második oldalon található listában lehet felvenni az új ügynököket. Kattintsunk a "Könyvtár tallózása" ("Browse Directory") gombra. Megjelenik egy ablak, amivel a címtár objektumai között kereshetünk, különböző feltételek szerint. Ha kitöltetlenül hagyjuk a mezőket és rákattintunk a "Keresés most" ("Find Now") gombra, akkor az összes felhasználói csoport és fiók megjelenik. Válasszuk ki, amelyiket ügynökké akarjuk előléptetni és nyomjuk le az "OK" gombot. Amennyiben rendelkezik a szükséges bizonyítvánnyal megjelenik az LDAP szintaxis szerinti neve a listában, ha nem, akkor hibaüzenetet kapunk.
Utolsó lépésben frissíteni kell a házirendet: várjuk meg amíg automatikus frissül vagy indítsuk újra a tartományvezérlőt.
Figyelem!
Az újonnan létrehozott helyreállító ügynök ezután már képes lesz a mások által titkosított fájlokhoz hozzáférni, de csak azokhoz, amelyeket ügynökké válása után titkosítottak! Ennek okán a tartományvezérlő telepítése utáni első feladatok egyike legyen az ügynöki jogkörök létrehozása. Ha erre nincs lehetőség, akkor a felhasználóknak el kell távolítani, majd vissza kell helyezni a titkosítási attribútumot a kezelésük alá eső állományokról. Ugyanis ilyenkor az aktuálisan érvényes házirend szerint frissül az EFS fájlrendszer.
Bizonyítvány mentése
Biztonsági mentés céljából az igényelt bizonyítványt fájlba menthetjük, floppyra, CD-re másolhatjuk. Tartsuk szem előtt, hogy az adathordozó idegen kézbe kerülése visszaélésre ad lehetőséget.
A csoportházirend fenti ügynök listájában kattintsunk az ügynök nevére a jobboldali egérgombbal és lépjünk Az összes feladat > Exportálás (All Tasks > Export) menüre. Az elindult varázsló második oldalán kiválaszthatjuk a mentés formátumát. Gyakorlatilag nincs teendőnk, mert bármelyik megfelel. Ezután határozzuk meg a fájl nevét, elérési útját és gyakorlatilag végeztünk is.