Читаем Домашний доктор для вашего ПК полностью

Для создания резервной копии ключей восстановления следует запустить консоль управления (ММС). Напоминаю, что для этого следует воспользоваться строкой «Выполнить» в меню Пуск – нажать кнопку Пуск, выбрать команду «Выполнить», ввести «mmc» и нажать кнопку OK. В появившемся меню «Консоль» следует выбрать команду «Добавить/удалить оснастку» и нажать кнопку «Добавить». В группе «Добавить изолированную оснастку» надо выбрать «Сертификаты» и нажать кнопку «Добавить». Затем следует установить переключатель в положение «Моей учетной записи пользователя» и нажать «Готово». Завершая процедуру, надо кликнуть по кнопке «Закрыть», а затем – ОК. После этого надо дважды кликнуть «Сертификаты» – «Текущий пользователь», дважды «Личные» и также дважды – «Сертификаты». После этого надо выбрать сертификат, имеющий текст «Восстановление файлов» в столбце «Назначение». Этот сертификат следует кликнуть правой кнопкой мыши и выбрать «Все задачи», а затем «Экспорт», после чего остается только следовать инструкциям мастера экспорта сертификатов для экспорта сертификата и связанного закрытого ключа в файл формата. pfx.

Эта операция должна быть выполнена с учетной записью агента восстановления, у которого есть сертификат восстановления и закрытый ключ в личных хранилищах.

Перед внесением любых изменений в политику восстановления, используемую по умолчанию, следует проверить безопасность ключей восстановления, используемых по умолчанию. В домене ключи восстановления, используемые по умолчанию, хранятся на первом контроллере домена. Напоминаю, что администратор домена по умолчанию является агентом восстановления.

Чтобы добавить агента восстановления для локального компьютера

Для того чтобы добавить агента восстановления для локального компьютера следует нажать кнопку Пуск, выбрать команду «Выполнить», вести «mmc» и нажать OK. В открывшейся консоли управления следует выбрать команду «Добавить/удалить оснастку» и нажать кнопку «Добавить». Затем в группе «Добавить изолированную оснастку» надо выбрать «Групповая политика» и нажать кнопку «Добавить». После этого надо проверить, чтобы в поле «Объект групповой политики» был отображен «Локальный компьютер». Теперь можно нажимать кнопку «Готово», затем кликнуть кнопку «Закрыть» и – OK. После этого в дереве консоли следует отыскать подузел «Политики открытого ключа»: «Политика «Локальный компьютер» – «Конфигурация компьютера» – «Конфигурация Windows» – «Параметры безопасности» – «Политики открытого ключа». Затем в области сведений надо кликнуть правой кнопкой мыши «Агенты восстановления шифрованных данных» и выбрать команду «Добавить» в контекстном меню, а затем – просто следовать инструкциям мастера добавления агента восстановления.

Для выполнения этой процедуры необходимо войти в систему с учетной записью «Администратор» или члена группы «Администраторы». Если компьютер подключен к сети, то параметры сетевой политики могут запретить выполнение данной процедуры.

Добавление агента восстановления из файла идентифицирует пользователя как USER_UNKNOWN. Это происходит потому, что имя не сохраняется в файле.

Перед добавлением или созданием агента восстановления необходимо задать конфигурацию групповой политики на компьютере. Мастеру добавления агента восстановления сообщается имя пользователя с опубликованным сертификатом восстановления. Другим способом является использование мастера для поиска файлов с расширением. cer, содержащих сведения о добавляемом агенте восстановления.

Чтобы изменить политику восстановления для локального компьютера

Для того чтобы изменить политику восстановления для локального компьютера, следует запустить консоль управления (это делается точно так же, как и в предыдущем пункте: Пуск – «Выполнить» – «mmc» – ОК), после чего в меню «Консоль» выбирается та же команда: «Добавить/удалить оснастку» – «Добавить». В группе «Добавить изолированную оснастку» надо выбрать объект «Групповая политика» и нажать кнопку «Добавить». Здесь, так же как и раньше, следует проверить, чтобы в поле «Объект групповой политики» был отображен «Локальный компьютер», после чего можно нажимать на кнопку «Готово», затем – «Закрыть» и – OK.

После этого следует обратиться к объекту «Политика «Локальный компьютер»» и выбрать там подузел «Политики открытого ключа» (этот подузел находится все там же: «Политика «Локальный компьютер»» – «Конфигурация компьютера» – «Конфигурация Windows» – «Параметры безопасности» – «Политики открытого ключа». Далее – в деревер консоли надо выбрать узел «Агенты восстановления шифрованных данных» и выполнить одно из следующих действий.

Для назначения пользователя дополнительным агентом восстановления с помощью мастера добавления агента восстановления надо кликнуть кнопку «Добавить».

Для запроса нового сертификата восстановления файлов с помощью мастера запроса сертификатов следует нажать кнопку «Создать». Чтобы выполнить эту процедуру, необходимо иметь соответствующие разрешения на запрос сертификата и центр сертификации должен быть настроен на выпуск сертификатов такого типа.