- Multipathing
- Vlans
- Архитектура автоматического архивирования и восстановления
- Восстановление данных и восстановление ключей
- Добавление дополнительных dns имен
- Документация
- Дополнительные настройки менеджера
- Менеджмент-интерфейс хостов
- Миграция базы данных kms exchange
- Настройка ssl
- Настройка аутентификации через ad
- Настройка управления питанием
- Ручное архивирование и обновление ключей
- Статьи
- Установка сертификатов
- Широкие возможности
- Шифрование файлов windows
Multipathing
В производственной среде система хранения должна быть подключена к хосту несколькими независимыми путями множественного ввода-вывода. Как правило, в CentOS (и следовательно oVirt’е) проблем со сборкой множественных путей к устройству не возникает (find_multipaths yes). О дополнительных настройках для FCoE написано во
. Стоит обратить внимание на рекомендацию производителя СХД — многие рекомендуют использовать политику round-robin, по умолчанию же в Enterprise Linux 7 используется service-time.
Vlans
Подробнее о сетях стоит почитать в
. Возможностей много, здесь опишем подключение виртуальных сетей.
Для подключения других подсетей их сперва следует описать в конфигурации: Network -> Networks -> New, здесь обязательным полем является только имя; чекбокс VM Network, разрешающий машинам использовать эту сеть, включен, а для подключения тега надо включить Enable VLAN tagging, прописать номер VLAN и нажать Ок.
Теперь нужно пройти в хосты Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks. Добавленную сеть из правой части Unassigned Logical Networks перетащить влево в Assigned Logical Networks:

Рис. 4 — перед добавлением сети.
Рис. 5 — после добавления сети.
Для массового подключения нескольких сетей к хосту удобно при создании сетей присваить им метку(и), и добавлять сети по меткам.
После создания сети хосты перейдут в состояние Non Operational, пока на закончится добавление сети на все узлы кластера. Такое поведение вызывается признаком Require All на вкладке Cluster при создании новой сети. В случае, когда сеть нужна не на всех узлах кластера, этот признак можно отключить, тогда сеть при добавлении хосту будет справа в секции Non Required и можно выбрать, подключать ли ее к конкретному хосту.

Рис. 6 — выбор признака требования сети.
Архитектура автоматического архивирования и восстановления
После того как было разрешено автоматическое архивирование ключей при каждом запросе архивирования секретного ключа, центр CA случайным образом генерирует симметричный ключ, соответствующий стандарту 3DES (Triple Data Encryption Standard), который используется для шифрования секретного ключа PKI клиента.
Затем CA с помощью открытого ключа KRA, сконфигурированного для автоматического архивирования, производит шифрование симметричного ключа. Если было выбрано более одного агента KRA, то CA шифрует симметричный ключ, применяя ключи шифрования каждого из агентов KRA. Пошаговое описание процесса архивирования приведено ниже.
- Клиент PKI запрашивает AD о центре сертификации CA. Клиент выполняет целевой поиск записей CA в контейнере Enrollment Services в контексте именования конфигурации. В результате AD возвращает клиенту имя и расположение центра CA.
- Клиент PKI запрашивает у CA копию его сертификата CA Exchange. CA возвращает клиенту сертификат.
- Клиент PKI проверяет подлинность сертификата и его формат, проверяет подпись, а также удостоверяется в том, что сертификат не аннулирован.
- Клиент PKI шифрует клиентский секретный ключ, для чего используется открытый ключ сертификата CA Exchange. Используя протокол управления сертификатами с синтаксисом криптографических сообщений Certificate Management protocol with Cryptographic Message Syntax (CMC), клиент добавляет к данным шифрованный блок и направляет файл в формате CMC в центр CA.
- Центр CA дешифрует секретный ключ клиента с помощью секретного ключа, ассоциированного с сертификатом CA Exchange, а затем шифрует секретный ключ сформированным случайным образом симметричным 3DES-ключом.
- Центр CA проверяет, образуется ли криптографическая пара между секретным ключом в файле формата CMC и открытым ключом в запросе сертификата. При этом CA проверяет подлинность подписи в запросе, используя для этого открытый ключ, направленный вместе с запросом.
- Центр CA шифрует симметричный ключ, для чего используется один или несколько (в зависимости от конфигурации CA) открытых ключей агентов KRA.
- Центр CA сохраняет в своей базе данных шифрованный блок, содержащий шифрованный секретный ключ клиента и симметричный ключ шифрования.
- Центр CA обрабатывает запрос сертификата, высылает сертификат пользователю и помещает сертификат в соответствующий каталог (если этот параметр был выбран в шаблоне сертификата).
В этом процессе используется сертификат CA Exchange, с помощью которого обеспечивается конфиденциальность и защита целостности данных при передаче клиентом секретного ключа для его архивирования в CA. В новом шаблоне сертификата среды Windows 2003 задается содержимое сертификата.
Сертификат CA Exchange физически размещается в атрибутах объекта AD CN=-Xchg, DC=. Секретный ключ сертификата находится в защищенной части реестра сервера CA. Из соображений безопасности пара «сертификат CA Exchange — ключ» имеет непродолжительное время жизни, равное 7 дням.
Клиентские секретные ключи и симметричные ключи хранятся в шифрованном виде в базе данных центра сертификации Windows 2003 CA. Клиентские секретные ключи отображаются в столбце RawArchivedKey, а симметричные ключи — в столбце KeyRecoveryHashes базы данных CA. Чтобы просмотреть эти столбцы и всю структуру схемы базы данных CA, нужно набрать в командной строке:
certutil -schema
Для того чтобы определить, имеются ли в базе данных CA секретные ключи сертификатов, можно воспользоваться оснасткой Certification Authority, как показано на экране 3. Для этого в контейнере CA Issue Certificates нужно добавить для отображения столбец Archived Key.
Восстановление данных и восстановление ключей
Восстановление данных — это процесс в инфраструктуре PKI, с помощью которого выполняется дешифрация данных после потери секретного ключа. Данная служба необходима при работе с постоянно сохраняемыми данными, безопасность которых обеспечивается с помощью технологии шифрования.
Невозможность расшифровки таких данных после потери ключа приводит к потере данных. Восстановление данных может выполняться вслед за восстановлением ключа: после того, как пользователь и авторизованный администратор получают доступ к секретному ключу пользователя, тот с помощью данного ключа может расшифровать симметричные ключи, применявшиеся для шифрования данных.
Но можно проводить восстановление данных и независимо от восстановления секретных ключей. Хорошим примером применения восстановления данных независимо от восстановления секретных ключей пользователя может служить шифрующая файловая система (EFS) в Windows 2003 и Windows 2000.
В случае если необходимо обеспечить возможность восстановления данных независимо от восстановления секретных ключей пользователей, предварительно формируется специальная группа администраторов, называемая Data Recovery Agents, которая обладает соответствующими полномочиями для дешифрации данных.
Если при планировании развертывания инфраструктуры PKI необходимо обеспечить восстановление данных, то при выработке решения нужно учитывать следующее.
- Восстановление данных требуется в тех случаях, когда структура организации такова, что либо требуется независимый доступ к шифрованным данным пользователей, либо не разрешен доступ к секретным ключам пользователей.
- Если имеется доступ к секретным ключам и не требуется (или не разрешен) доступ к шифрованным данным пользователя, будет вполне достаточно восстановления ключей.
- Если в организации не разрешается доступ к шифрованным данным или к секретным ключам пользователей, тогда не поможет ни восстановление ключей, ни восстановление данных.
Добавление дополнительных dns имен
Это потребуется, когда к менеджеру необходимо подключиться по альтернативному имени (CNAME, псевдоним или просто короткое имя без доменного суффикса). Из соображений безопасности менеджер допускает подключение только по разрешенному списку имен.
Создаем файл конфигурации:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.confследующего содержания:
Документация
Для архивирования файлов нужно выбрать файлы и опцию
Архивирование
.

Можно задать каталог для сохранения архива документов, выбрав в операциях опцию Сохранить результат в каталоге. При установке флага становится доступно поле выбора каталога.

Если флаг не установлен, то полученный архив сохраняется во временную папку TEMP, расположенную в каталоге пользователя в папке ./Trusted/CryptoARM GOST/.
Опция
Сохранить копию в Документах
служит для сохранения копии полученного после операции файла в специальный каталог Documents, расположенный в папке пользователя в каталоге ./Trusted/CryptoARM GOST/. Документы из данного каталога доступны в пункте меню
Документы
.
Выбранные параметры архивирования можно сохранить и использовать при последующих запусках приложения. Процесс сохранения и изменения параметров описан в пункте
Управление параметрами операции
.
При нажатии на кнопку Выполнить
происходит архивирование выбранных файлов. Исходные файлы и полученный архив отображаются в отдельном мастере Результаты операций.

Если архивируется несколько файлов, то архиву автоматически задается имя archived.zip. Если архивируется один файл, то к имени файла добавляется расширение zip.
Для каждого документа доступны операции:
Просмотр – выполняется открытие файла через приложение, которое ассоциировано с его расширением. Для подписанных файлов открывается оригинал документа.
Перейти к файлу
– выполняется открытие каталога, в котором располагается файл.

Для списка документов доступно контекстное меню, позволяющее выделить файлы по типу операции.
Документы из результатов операции можно Открыть в мастере Подписи и шифрования для выполнения других операций или Сохранить копию вДокументах. Операция Сохранить копию в Документах служит для сохранения копии полученного после операции файла в специальный каталог Documents, расположенный в папке пользователя в каталоге ./Trusted/CryptoARM GOST/. Документы из данного каталога доступны в пункте меню Документы.
После выполнения операции мастер подписи и шифрования очищается от добавленных в него файлов. Результаты операций сохраняются до выполнения следующей операции или до закрытия приложения. Результаты последней операции доступны в меню Подпись и шифрование – Результаты операции.
Дополнительные настройки менеджера
Для удобства работы поставим дополнительные пакеты:
$ sudo yum install bash-completion vimДля включения автодополнения команд bash-completion следует перевойти в bash.
Менеджмент-интерфейс хостов
— современный административный интерфейс для Linux систем. В данном случае выполняет роль, близкую web-интерфейсу ESXi.

Рис. 3 — внешний вид панели.
Устанавливается очень просто, нужны пакеты cockpit и плагин cockpit-ovirt-dashboard:
$ sudo yum install cockpit cockpit-ovirt-dashboard -y
Включение Cockpit:
$ sudo systemctl enable --now cockpit.socketНастройка брандмауэра:
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanentМиграция базы данных kms exchange
Служба KMS (Key Management Service) не входит в комплект поставки Microsoft Exchange Server 2003, поэтому если имеется работающая KMS в среде Exchange 2000 Server и планируется миграция на Exchange 2003, базу данных архивированных ключей KMS потребуется перенести в базу данных архивированных ключей центра сертификации Windows 2003 Server.
Затем необходимо настроить Windows 2003 CA для архивирования ключей, как описано в основной статье. Для выполнения переноса базы необходимо также удостовериться, что сертификат Export Signing доступен. Сертификат Export Signing представляет собой копию сертификата сервера CA Machine Authentication, а секретный ключ, ассоциированный с этим сертификатом, потребуется для обеспечения защиты данных базы KMS в процессе ее экспорта и передачи в структуру Windows 2003 CA.
Данный сертификат должен быть доступен на той системе KMS, с которой будет производиться миграция данных. Если сервер CA не имеет сертификата Machine Authentication, то его необходимо получить до запуска процесса миграции. Сертификат Machine Authentication размещается в локальном хранилище сертификатов компьютеров сервера CA.
Для того чтобы скопировать данный сертификат на компьютер KMS, следует экспортировать его с сервера CA в формате Public-key Cryptography Standards (PKCS) #12 (данная процедура описана в основной статье), после чего сохранить файл в системном каталоге на компьютере KMS.
При необходимости в Windows 2003 CA следует разрешить импорт независимых сертификатов, поскольку импорт сертификатов и ключей, выданных другими центрами CA в базу данных Windows 2003 CA, будет возможен только при условии, что в данном центре разрешен импорт сторонних сертификатов и секретных ключей. Для того чтобы это сделать, требуется ввести в командной строке консоли сервера CA следующую команду:
certutil setreg caKRAFlags KRAF_ENABLEFOREIGN
Настройка ssl
Полная официальная инструкция — в
, Appendix D: oVirt and SSL — Replacing the oVirt Engine SSL/TLS Certificate.
Сертификат может быть как нашего корпоративного ЦС, так и от внешнего коммерческого центра сертификации.
Важное замечание: сертификат предназначен для подключения к менеджеру, не повлияет на взаимодействие между Engine и узлами — они будут использовать самоподписанные сертификаты, выданные Engine.
Требования:
Настройка аутентификации через ad
oVirt имеет встроенную базу пользователей, но также поддерживаются внешние LDAP провайдеры, в т.ч. AD.
Простейший путь для типовой конфигурации — запуск мастера и перезапуск менеджера:
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine$
sudo ovirt-engine-extension-aaa-ldap-setup
Available LDAP implementations:
…
3 — Active Directory
…
Please select:
3
Please enter Active Directory Forest name:
example.com
Please select protocol to use (startTLS, ldaps, plain)
[startTLS]
:
Please select method to obtain PEM encoded CA certificate (File, URL, Inline, System, Insecure):
URL
URL:
wwwca.example.com/myRootCA.pem
Enter search user DN (for example uid=username,dc=example,dc=com or leave empty for anonymous):
CN=oVirt-Engine,CN=Users,DC=example,DC=com
Enter search user password:
*password*
[ INFO ] Attempting to bind using ‘CN=oVirt-Engine,CN=Users,DC=example,DC=com’
Are you going to use Single Sign-On for Virtual Machines (Yes, No)
[Yes]
:
Please specify profile name that will be visible to users
[example.com]
:
Please provide credentials to test login flow:
Enter user name:
someAnyUser
Enter user password:
…
[ INFO ] Login sequence executed successfully
…
Select test sequence to execute (Done, Abort, Login, Search)
[Done]
:
[ INFO ] Stage: Transaction setup
…
CONFIGURATION SUMMARY
…
Мастер создает файлы
Настройка управления питанием
Позволяет выполнить, например, аппаратный сброс машины, если Engine не сможет продолжительное время получить ответ от Host’а. Реализуется через Fence Agent (агент ограждения).
Compute -> Hosts -> HOST — Edit -> Power Management, далее включить «Enable Power Management» и добавить агента — «Add Fence Agent» -> .
Указываем тип (напр., для iLO5 надо указать ilo4), имя/адрес ipmi интерфейса, а также имя/пароль пользователя. Пользователя рекомендуется создать отдельного (напр., oVirt-PM) и, в случае с iLO выдать ему привилегии:
Не спрашивайте почему именно так, подобрано опытным путем. Консольный fencing agent требует меньшего набора прав.
При настройке списков контроля доступа следует иметь ввиду, что агент запускается не на engine, а на «соседнем» хосте (так называем Power Management Proxy), т.е., если в кластере окажется только один узел, управление питанием работать не будет.
Ручное архивирование и обновление ключей
У пользователей инфраструктуры открытых ключей PKI среды Windows есть несколько возможностей резервного копирования своих секретных ключей шифрования вручную. Обычно для этих целей используют файлы формата Public-Key Cryptography Standards (PKCS) #12 (.PFX).
- Открыть с помощью оснастки Certificates консоли MMC соответствующее персональное хранилище сертификатов; щелкнуть правой кнопкой мыши на том сертификате или секретном ключе, для которого будет выполняться резервное копирование, затем выбрать из контекстного меню All Tasks, Export. При этом запускается мастер Certificate Export Wizard. Затем нужно установить флажки Yes, export the private key и Enable strong protection (requires IE 5.0 NT 4.0 SP4 and above). Если установлен второй флажок, тогда мастер попросит пользователя ввести пароль для защиты содержимого файла .PFX. Флажок Delete private key if export is successful устанавливать не следует.
- Запустить Microsoft Internet Explorer (IE) 6.0 и выбрать из меню Tools пункт Internet Options. В диалоговом окне Internet Options следует выбрать вкладку Content, затем открыть диалоговое окно Certificates, для чего требуется нажать Certificates. Выберите сертификат секретного ключа, который пользователю необходимо экспортировать, затем нажмите Export (при этом запустится Cerftificate Export Wizard). Установите те же самые флажки, которые описаны выше.
Пользователи также могут архивировать свои секретные ключи шифрования через Microsoft Outlook. Программа Outlook не сохраняет ключи в файле .PFX, здесь используется специальный файл экспорта Outlook, который имеет расширение .EPF. Данное расширение исторически унаследовано из технологии защищенной почты:
аббревиатура EPF означает Entrust Profile. Одна из причин, по которой Outlook до сих пор использует этот формат, заключается в том, что он поддерживает сертификаты X.509 версии 1, которые применялись в предыдущей реализации инфраструктуры Exchange Key Management Service (KMS). Как и для файлов .PFX, здесь можно использовать пароль для защиты содержимого файла .EPF.
Чтобы экспортировать секретные ключи шифрования из Outlook, нужно выбрать Tools, Options из меню Outlook и перейти на вкладку Security. Нажмите кнопку ImportExport в нижней части окна Security, чтобы открыть диалоговое окно ImportExport Digital ID. В этом окне следует выбрать Export your Digital ID to a file, после чего требуется выбрать Digital ID секретного ключа пользователя, который необходимо экспортировать, и ввести имя файла и пароль. Флажок Delete Digital ID from System устанавливать не следует.
Статьи
- Введение
- Установка менеджера (ovirt-engine) и гипервизоров (hosts)
- Дополнительные настройки — Мы здесь
- Базовые операции
Установка сертификатов
Копируем файлы и обновляем списки доверия:
Широкие возможности
Инфраструктура Windows 2003 PKI предоставляет пользователям новые гибкие возможности централизованного автоматического управления процессами архивирования и восстановления ключей. Новая служба архивирования и восстановления ключей в Windows 2003 PKI является намного более зрелой по сравнению с предыдущими реализациями инфраструктуры PKI.
Шифрование файлов windows
ÏШИФРОВАНИЕ ПАПКИ
Шифрование файлов и папок выполняется установкой для них свойств шифрования так же, как устанавливаются атрибуты Read Only (Только чтение), Archive (Архивный) или Hidden (Скрытый). При шифровании папки пользователем все файлы и вложенные в нее папки, созданные в ней или добавленные, тоже автоматически шифруются. Рекомендуется использовать шифрование на уровне папки.

Рис.1. Окно отображения дополнительных атрибутов
Чтобы зашифровать папку необходимо:
1. Щелкните правой кнопкой мыши папку или файл, которые требуется зашифровать, и щелкните Свойства.
2. На вкладке Общие щелкните Дополнительно или Другие.
3. Установите флажок Шифровать содержимое для защиты данных и нажмите кнопку ОК.
После подтверждения запроса на шифрование папки (кнопка ОК) и закрытия диалоговых окон отобразится запрос на необходимость применения шифрования папки ко всем вложенным в нее файлам и папкам. Если подтверждение будет получено, система зашифрует все файлы и вложенные папки. Если же нет, то все файлы и вложенные папки останутся незашифрованными. Однако все добавляемые в нее при последующей работе файлы и папки будут зашифрованы.
После выбора опции шифрования и нажатия на кнопку ОК будет запущен процесс шифрования содержимого папки (рис.2). На этом процесс шифрования папки завершается.

Рис.2. Окно применения атрибутов
ÏШИФРОВАНИЕ ФАЙЛА
Если шифруется отдельный файл, то система запросит подтверждение необходимости зашифровать не только сам файл, но и содержащую его папку (рис. 3). При получении подтверждения все добавляемые впоследствии в эту папку файлы и вложенные папки также будут зашифрованы.

Рис.3. Окно предупреждение при шифровании
Можно также отметить флажком режим, при котором выполняется шифрование только для файла.
ÏСОЗДАНИЕ АРХИВА КЛЮЧА ШИФРОВАННЫХ ДАННЫХ
При шифровании объекта система создает специальный сертификат, который представляет собой файл с хранящимся в нем криптографическим ключом. Данный сертификат связан с копией операционной системы Windows, которая установлена на компьютере пользователя, а также с учетной записью пользователя, который зашифровал объект.
Если по каким-либо причинам пользователь теряет доступ к своей учетной записи, он не может получить доступ к зашифрованным файлам. Чтобы предотвратить потерю важной информации, ОС Windows при создании сертификата пользователя предлагает выполнить архивацию ключа шифрования данных. Впервые Windows напоминает о необходимости этой процедуры, когда пользователь создает свой первый шифрованный объект.

Рис.4. Уведомление об архивации ключа шифрования
В области оповещений появляется значок (рис. 4), при щелчке по которому будет отображено окно Шифрующая файловая система (EFS), в котором пользователь может выбрать одно из следующих действий:
· Архивировать сейчас (рекомендуется) – позволяет запустить мастер экспорта сертификатов и создать резервную копию сертификата и ключа;
· Отложить архивацию – система будет периодически напоминать пользователю о необходимости создания резервной копии сертификата и ключа;
· Не архивировать – продолжение работы без запуска мастера экспорта сертификатов, однако пользователь может вручную запустить его, открыв окно свойств шифрованного файла (но не папки).
При выборе первого варианта (что настоятельно рекомендуется сделать) будет запущен мастер экспорта сертификатов, первый шаг которого является ознакомительным. Здесь следует нажать кнопку Далее и перейти к выбору формата файла сертификата (рис. 5). Мастер предлагает выбрать Файл обмена личной информацией – PKCS #12 (.PFX), который применяется для перемещения сертификатов и их закрытых ключей с одного компьютера на другой или с компьютера на съемный носитель. В целях безопасности данный формат является единственным форматом, поддерживаемым в данных версиях Windows для экспорта сертификата и связанного закрытого ключа .

Рис. 5. Выбор формата файла сертификата
Можно также установить флажок Включить по возможности все сертификаты в путь сертификата, что позволит выполнить экспорт не только сертификата пользователя, но и сертификатов центров сертификации, которые участвовали в создании ключа пользователя. Эту возможность целесообразно использовать в доменах Мiсrosоft Windows при существующей инфраструктуре центров сертификации, однако на компьютерах, которые принадлежат рабочим группа, эта функция не требуется.
После нажатия кнопки Далее мастер предложит ввести пароль, которым будет защищен файл сертификата, а на следующем шаге пользователь должен будет указать папку, в которой необходимо сохранить файл.
На этом экспорт сертификата завершен. Мастер отобразит последнее диалоговое окно (рис.6), в котором пользователь должен подтвердить выбранные опции и, если они правильны, нажать кнопку Готово.

Рис. 6.Уведомление об архивации ключа шифрования
Теперь пользователю необходимо записать полученный файл на оптический носитель или съемный диск и хранить в надежном месте. Также нужно помнить, что для открытия данного файла потребуется пароль, который был введен на одном из этапов мастера экспорта сертификатов.
ÏРЕЗУЛЬТАТ ШИФРОВАНИЯ
Если открыть зашифрованный файл или папку попытается другой пользователь, он получит сообщение системы о том, что данный пользователь не обладает достаточными для этого полномочиями.
Шифрование папки не препятствует просмотру другими пользователями системы списка файлов и папок, которые находятся в зашифрованной папке. Другими словами, любой пользователь может открыть зашифрованную кем-то папку и просмотреть имена файлов, которые в ней находятся. Чтобы предотвратить такие действия, следует корректно настроить NТFS-разрешения папок и файлов. Для этого. следует открыть Свойства папки и в закладке Безопасность настроить соответствующие разрешения.
ÏРАСШИФРОВКА ДАННЫХ
Для того чтобы расшифровать файл, необходимо снять соответствующий атрибут файла или папки.
1. Щелкните правой кнопкой мыши папку или файл, которые требуется расшифровать, и щелкните Свойства.
2. Перейдите на вкладку Общие и нажмите кнопку Дополнительно.
3. Снимите флажок Шифровать содержимое для защиты данных и нажмите кнопку ОК.
В результате будет отображено окно Подтверждение изменения атрибутов, в котором нужно выбрать, для каких объектов будет выполняться расшифровка.
Теперь файлы, находящиеся в папке, защищены от постороннего доступа лишь NТFS-разрешениями.
ÏИСПОЛЬЗОВАНИЕ КОМАНДЫ CIPHER
Файлы и папки также могут быть зашифрованы или расшифрованы при помощи команды cipher. Чтобы получить сведения об этой команде, следует воспользоваться командной строкой Windows, в которой набрать команду cipher с ключом /?, в результате отобразится окно с ее описанием.
Синтаксис команды:
cipher [{/el/d}] [/s:каталог] [/а] [/i] [/f] [/q] [/h] [/k] [/u[/n]]
[путь [ … ]] | [/r:имя_файла_без_расширения] | [/w:путь]
Команда имеет следующие параметры:
/е – шифрует указанные папки;
/d – расшифровывает указанные папки;
/s: каталог – указывается шифруемая папка;
/а – выполняет операцию шифрования и над файлами, и над каталогами;
/i – продолжает выполнение указанной операции после возникновения ошибок;
/f – выполнение шифрования или расшифровывания указанных объектов;
/q – запись в отчет только важных сведений;
/h – отображение скрытых и системных файлов;
/k – создание ключа шифрования файла пользователя, при этом все остальные параметры команды не учитываются;
/u – обновление ключа шифрования файла пользователя или ключа агента восстановления (применяется вместе с параметром /n);
/n – запрет обновления ключей и поиск всех зашифрованных файлов на локальных дисках. Используется только с параметром /u;
/r: имя_файла_без_расширения – создание нового сертификата агента восстановления и закрытого ключа, с записью их в файлах с именем, которое указывается в параметре имя_файла_без_расширения;
/w:путь – удаление данных из неиспользуемых разделов тома.
Параметр путь служит для указания на любой каталог нужного тома.
Команда cipher, заданная без параметров, отображает состояние шифрования текущей папки и всех находящихся в ней файлов.
При использовании команды cipher имеется возможность использовать несколько имен папок и подстановочные знаки. Параметры, указываемые в ней, должны быть разделены между собой хотя бы одним пробелом.
Так, чтобы зашифровать папку Data, расположенную в папке Soft на диске D:, нужно выполнить следующую команду:
cipher /е D:SoftData
Чтобы зашифровать файл Users.doc, находящийся в папке Data, необходимо ввести:
cipher /е /а D:SoftDataUsers.doc
После выполнения шифрования текстового файла пользователю выдается сообщение о том, что преобразование файла из обычного текстового формата в зашифрованный текст может оставлять фрагменты прежнего незашифрованного текста в неиспользуемом дисковом пространстве, поэтому рекомендуется использовать команду cipher с ключом /w:путь для очистки диска после преобразования.
ÏВОССТАНОВЛЕНИЕ ДОСТУПА К ДАННЫМ
При возникновении ситуации, когда у пользователя отсутствует доступ к его учетной записи, которая применялась для шифрования файлов, у него также отсутствует доступ к зашифрованным файлам. Это может произойти, если пользователь забыл пароль к учетной записи или в случае переустановки операционной системы.
В такой ситуации единственным способом восстановления зашифрованных данных является импорт в новую учетную запись пользователя сертификата с ключом (который хранится в файле, созданном мастером экспорта сертификатов).
Для выполнения этого действия необходимо нажать кнопку Пуск и выбрать команду Выполнить (если она отсутствует, можно воспользоваться комбинацией клавиш Windows R). Далее следует ввести команду certmgr.msc, в результате чего будет запущена консоль управления сертификатами, которая позволит выполнить импорт (рис. 7).
Рис. 7. Консоль управления сертификатами
В консоли управления сертификатами следует открыть хранилище Личное и в его контекстном меню Действие выбрать группу команд Все задачи, а затем команду Импорт.
В результате будет запущен мастер импорта сертификатов, на первом шаге которого следует нажать кнопку Далее и перейти к выбору файла сертификата. Здесь следует нажать на кнопку Обзор и в появившемся окне открыть папку, которая содержит файл сертификата. В том случае, если файл не будет отображен в списке, а пользователь уверен, что папка выбрана правильно, следует изменить тип отображаемых в окне файлов (например, можно выбрать пункт Все файлы (*.*)).
После того как пользователь выберет файл и нажмет кнопку Далее, мастер вначале предложит ввести пароль, который требуется для открытия файла сертификатов, а затем попросит указать хранилище, в которое следует поместить сертификат (рис.8).

Рис. 8. Указание хранилища сертификата
На этом импорт сертификата завершен. Мастер отобразит последнее окно, в котором пользователь должен нажать кнопку Готово.
Теперь пользователь может открыть любой файл, который он шифровал.
ÏДЕЛЕГИРОВАНИЕ ДОСТУПА К ДАННЫМ
Если существует необходимость разрешить какому-либо пользователю доступ к зашифрованным файлам, нужно добавить сертификат этого пользователя в хранилище сертификатов (или создать его на локальном компьютере) и сконфигурировать уровень доступа для файла.
Наиболее простой способ создать сертификат пользователя – попросить его зашифровать какой-либо файл (естественно, это не должен быть важный документ или что-либо подобное). Если сертификат пользователя создается на компьютере, отличном от того, на котором хранятся зашифрованные документы, требуется выполнить операцию экспорта сертификата, затем перенести его на целевой компьютер и импортировать.
Можно создать сертификат и при помощи задачи Управление сертификатами шифрования файлов, которая доступна из окна Учетные записи пользователей (рис. 9).

Рис. 9. Окно Учетные записи пользователей
Рассмотрим следующую ситуацию. Пользователь с учетной записью Admin создал файл и зашифровал его. Теперь он желает предоставить право доступа к файлу пользователю, имеющему учетную запись User. Для этого пользователь User должен создать свой сертификат, после чего пользователю Admin нужно открыть свойства зашифрованного файла, на вкладке Общие нажать кнопку Другие, а в появившемся диалоговом окне Дополнительные атрибуты нажать кнопку Подробно.
В появившемся окне Пользовательский доступ указаны сертификаты тех пользователей, которые должны иметь возможность расшифровки файла (рис.10). По умолчанию там присутствует сертификат того пользователя, который инициировал шифрование файла.

Рис. 10. Перечень пользователей,
имеющих право расшифровки файла
Итак, пользователю Admin нужно добавить сертификат пользователя User, для чего в этом окне следует нажать кнопку Добавить и в появившемся окне Безопасность Windows или Шифрующая файловая система (EFS) выбрать сертификат пользователя User.
Теперь к зашифрованному файлу имеют доступ оба пользователя – Admin и User.
Программа Hide Folder
Hide Folder – надежная и удобная для пользователя программа использующая шифрование для защиты важных файлов, папок и дисков пользователя. Она препятствует несанкционированному доступу к секретной информации и программам. Защищенные папки становятся полностью невидимыми, недоступными, либо доступными лишь для чтения.

Рис.10. Окно программы Hide Folder
Программа препятствует переименованию, изменению, удалению, копированию, переносу защищенных папок и их содержания, а так же запрещает доступ к ним и делает их невидимыми в системе. Hide Folder позволяет пользователю определить программы, для которых доступ к защищенным областям будет разрешен (например проверка на вирус, утилиты для диска и т.д.). Как видно из рис.10, для удобства работы все основные функции, которые могут потребоваться пользователю, вынесены на панель инструментов. Рассмотрим назначение каждой из представленных кнопок.
ОГРАНИЧЕНИЕ ДОСТУПА
Кнопка Защита вызывает окно выбора объекта для ограничения доступа (рис.11).
При защите диска следует в поле выбора имени диска при помощи кнопки
указать соответствующий диск и в области Метод защиты выбрать опцию Скрывать (скрыто, нет доступа).

Рис.11. Окно выбора защищаемого ресурса
Для ограничения доступа к папке необходимо выбрать Папку. Для установки защиты следует в поле Путь или маска указать путь и имя защищаемой папки.
После этого необходимо выбрать один из основных режимов доступа:
Не защищать;
Скрывать;
Блокировать;
Скрывать и блокировать;
Только чтение.
Для защиты файла все настройки выполняются аналогичным образом. Отличием является только то, что необходимо указывать путь непосредственно к файлу.
Пункт Маска позволяет защитить группу объектов (папок и файлов), указав маску, с помощью которой они будут выбираться. В поле Путь или маска указать путь к диску или папке, на объекты которых будет накладываться маска. Так, чтобы выбрать для защиты все объекты в корневом каталоге диска С:, которые начинаются на букву «g», необходимо ввести маску с:g*.
Категория доступа для выбранных по маске объектов настраивается так же, как и для папок/файлов. Затем нужно подтвердить выбранные настройки нажатием на кнопку ОК.
При этом управление передается основному окну программы.
Здесь отображается путь к объекту, определенный для него доступ и отмечены назначенные разрешения:
– запрет на выполнение действия;
– разрешение на выполнение действия.
