6

Я хочу зашифровать некоторые файлы, используемые службой Windows, работающей как локальная система (т.е. используя учетную запись NT AUTHORITY\SYSTEM ). Поскольку BitLocker, похоже, не работает с программным RAID, EFS, похоже, является подходящим вариантом. Тем не менее, cipher /adduser не любит использовать в SYSTEM:

cipher /adduser /user:SYSTEM filename.ext

Ошибка при поиске сертификата пользователя в доменных службах Active Directory: указанный домен либо не существует, либо с ним невозможно связаться.

Я использую Windows 8.1.

У меня также есть некоторые уже зашифрованные файлы, к которым мне нужно дать доступ SYSTEM. Что я могу сделать?

1 ответ1

8

Это работает на каждом воплощении Windows начиная с 7 (и, возможно, ранее), а также версий сервера тоже.

Учетная запись SYSTEM действительно может использовать EFS, но по умолчанию она не имеет сертификата EFS. Единственный человек, который может зарегистрировать сертификат для SYSTEM, это SYSTEM, поэтому вам нужно получить PsExec. В командной строке администратора с доступным psexec.exe запустите psexec /s /i cmd.exe чтобы создать командную строку, работающую как SYSTEM.

Прежде чем мы начнем

Обратите внимание, что разрешение SYSTEM доступа к зашифрованному файлу означает, что любой, кто имеет физический доступ к машине, может расшифровать этот файл. Обычно сертификаты EFS защищены паролем пользователя, но пароль SYSTEM должен храниться на диске, потому что никто не вводит его пароль. Поэтому эти процедуры целесообразны только в том случае, если вы беспокоитесь о безопасности резервного копирования за пределами площадки, где ключ компьютера недоступен.

Если вы хотите, чтобы только SYSTEM имел доступ к файлам

Используйте приглашение SYSTEM для шифрования файлов. Это можно сделать с помощью утилиты cipher которая поставляется с Windows. cipher /e за которым следует имя файла, шифрует этот файл, делая его доступным только для SYSTEM. Для шифрования каталога используется команда cipher /e /s: с именем целевого каталога, разбитым прямо напротив этого двоеточия.

Если вы хотите предоставить SYSTEM доступ к уже зашифрованным файлам

При первом шифровании файла (для любой учетной записи) выдается сертификат / ключ EFS. Чтобы создать скретч-файл, сделайте echo. > scratch.txt в подсказке СИСТЕМЫ. Зашифруйте этот файл с помощью cipher /e scratch.txt . Вы можете сжечь этот дополнительный файл, если хотите, сертификат готов. Сертификатами EFS можно управлять в оснастке MMC «Сертификаты»; вам нужно открыть оснастку для компьютера (не для пользователя) или просто запустить certlm.msc . Вы найдете сертификаты интереса под доверенными людьми.

Теперь, когда вы хотите предоставить SYSTEM доступ к зашифрованному файлу / каталогу, откройте командную строку как владелец файла. Запустите cipher /adduser /certhash: с отпечатком EFS целевого пользователя на двоеточии без пробелов. (Дважды щелкните запись в окне MMC «Сертификаты» и перейдите на вкладку «Сведения», чтобы увидеть отпечаток.) Целевое имя файла является дополнительным параметром, и /s:<dir> прежнему работает, если вы применяете это к папке.

Примеры команд

Шифрование файла: cipher /e filename.ext
Шифрование папки: cipher /e /s:Important
Добавление пользователя в файл: cipher /adduser /certhash:6cc1ce89aac7b6f794733e1b6b54a564a9bed9de filename.ext

Дополнительная информация: «Как это работает: шифрованная файловая система», ссылка на cipher.exe на TechNet.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .