|
Użycie Polityki Grupowej do kontroli miejsc, gdzie technologia EFS może być użyta.
System Szyfrowania Plików (EFS: Encrypting File System) jest potężną opcją ochrony danych, przechowywanych na komputerach z systemem Windows. EFS jest darmowy i od wprowadzenia systemu Windows 2000 jest dołączany do każdego systemu operacyjnego. Jak wszędzie, tak i w przypadku EFS, następuje postęp w technologii. Wraz z nim użycie EFS jest bardziej realistyczne dla większej części środowiska przechowywania danych. Możesz jednak nie zechcieć korzystać z EFS wszędzie, więc musisz zawęzić zasięg i kontrolować miejsca, gdzie technologia ta może być używana. I dlatego idealnym rozwiązaniem jest wykorzystanie Polityki Grupowej do pomocy w zarządzaniu EFS.
Dwa etapy zarządzania EFS
EFS ma dwa poziomy konfiguracji. Pierwszy z nich ustalany jest na poziomie komputera, co determinuje fakt/który dyktuje czy będzie on obsługiwany i dostępny, czy nie. Drugi znajduje się na poziomie folderów oraz plików i wykonuje szyfrowanie na danych.
Windows 2000 (Server i Professional), Windows XP Professional, Windows Server 2003, Windows Vista oraz Windows Server 2008: wszystkie one obsługują szyfrowanie danych przy użyciu EFS. Oczywiście może to być wadą, ponieważ część danych lub niektóre komputery nie powinny szyfrować danych z powodów logistycznych.
Logistyka, którą mam na myśli, jest tym, co umożliwia użytkownikom szyfrowanie danych. Ponieważ wszystkie komputery obsługują szyfrowanie domyślnie i każdy użytkownik może szyfrować, dane mogą być zaszyfrowane na lokalnym pulpicie jak również na danych, które są udostępniane w sieci. Rysunek 1 ilustruje opcję, w której dane mogą być zaszyfrowane na komputerze z systemem Windows XP Professional.
Rysunek 1: Szyfrowanie danych jest właściwością danych
Aby dostać się do opcji szyfrowania, pokazanej na rysunku 1, musisz tylko wejść do właściwości pliku lub folderu, który chcesz zaszyfrować poprzez kliknięcie prawym przyciskiem myszy na obiekt, a następnie wybrać Properties. Teraz wybierz przycisk Advanced w oknie dialogowym Properties, które z kolei pokaże okno dialogowe Advanced Attributes.
Kontrola obsługi EFS dla komputerów w domenie Active Directory
Gdy komputer łączy się z domeną Active Directory, nie sprawuje już kontroli nad tym czy obsługuje EFS. Zamiast tego zdolność tę kontroluje Default Domain Policy przechowywana w Active Directory. Wszystkie komputery, które są połączone z domeną Windows Active Directory obsługują EFS, właśnie dzięki samemu połączeniu z domeną.
Należy zauważyć, że domeny Windows 2000 radzą sobie z konfiguracją w Default Domain Policy w inny sposób niż domeny Windows Server 2003 oraz Windows Server 2008.
Kontrola domen Windows 2000 poprzez EFS
Komputery z Windows 2000 obsługują EFS w inny sposób niż późniejsze systemy operacyjne i to dlatego konfiguracja dla EFS wygląda inaczej w Default Domain Policy. Dla Windowsa 2000 klucz do włączania i wyłączania EFS mieści się na certyfikacie agenta odzyskiwania danych, który jest dołączony do Default Domain Policy. Domyślnie konto administratora posiada ten certyfikat i jest skonfigurowane jako agent odzyskiwania danych. (Jeśli nie ma certyfikatu dla odzyskiwania danych, system szyfrowania plików EFS nie będzie działał.)
Aby mieć dostęp do tej konfiguracji w Default Domain Policy, przejdź tę ścieżkę (follow this path), gdy edytujesz GPO w Group Policy Editor:
Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Encrypted Data Recovery Agents
W tym miejscu zobaczysz certyfikat EFS File Encryption Certificate dla Administratora, jak pokazuje rysunek 2.
Rysunek 2: Domeny Windows 2000 pokazują EFS File Encryption Certificate tak, jak wygląda nazwa użytkownika, np. Administrator
Ta konfiguracja dostarcza wszystkim komputerom możliwości szyfrowania plików. Aby usunąć tę możliwość, powinieneś jedynie usunąć certyfikat administratora z GPO. Gdybyś chciał następnie mieć EFS tylko na niektórych komputerach w Active Directory, postępuj według następujących kroków:
- Stwórz nowy GPO i połącz go z jednostką organizacyjną, posiadającą wszystkie komputery, które mają obsługiwać szyfrowanie.
- Wejdź do węzła Encrypted Data Recovery Agents w GPO i dodaj certyfikat, który obsługuje odzyskiwanie danych EFS.
Dzięki temu komputery, które podlegają temu GPO, będą miały możliwość wykorzystania EFS dla danych, które są przechowywane na tych komputerach.
Kontrola domen Windows 2003 i 2008 poprzez EFS
Nowsze domeny i systemy operacyjne (te późniejsze od Windowsa 2000) obsługują EFS w podobny sposób, istnieje jednak parę wyjątkowych różnic.
- Agent odzyskiwania danych nie jest wymagany do szyfrowania na wewnętrznym teście po włączeniu komputerów z Windows 2000.
- EFS nie jest kontrolowane przez inkluzję certyfikatu agenta odzyskiwania danych w GPO.
- EFS obsługuje wielokrotny dostęp użytkownika do zaszyfrowanych plików.
Dlatego też dla domen Windowsa 2003 i 2008 będziesz mieć inny zestaw zadań do wykonania, aby kontrolować EFS dla komputerów opartych na domenie. Jednak ustawienie nadal istnieje w Default Domain Policy. Nową ścieżką, do której musisz wejść, jest:
Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Encrypting File System
Teraz, zamiast modyfikowania agenta odzyskiwania danych, będziesz musiał kliknąć prawym przyciskiem myszy na węzeł Encrypting File System. Z wyświetlonego menu opcji wybierz Properties. Zobaczysz tam pole wyboru, mówiące „Allow users to encrypt files using Encrypting File System (EFS)” /„Zezwól użytkownikom na szyfrowanie plików przy użyciu Encrypting File System (EFS)”/ na swoich domenach Windowsa 2003. Domeny Windows Server 2008 mają radykalnie zmieniony interfejs, dostarczający szczegółowej obsługi EFS ze strony Property, jak pokazuje rysunek 3.
Rysunek 3: Windows Server 2008 dostarcza szczegółowej kontroli nad EFS
Zauważ, że w zakładce General jest przycisk opcji, który mówi „Don’t allow” /”Nie zezwalaj”/. Jest to konfiguracja, która może być ustawiona do wyłączenia EFS na wszystkich komputerach w domenie. Zauważ także, że istnieje dużo innych ustawień dostępnych w tym oknie dialogowym do kontroli EFS.
Możesz również wybrać poszczególne komputery w domenie, postępując według kroków opisanych powyżej w sekcji domeny Windowsa 2000.
Podsumowanie
EFS jest skuteczny oraz pomocny. Może szyfrować dane przechowywane na komputerach z systemem Windows. Szyfrowanie będzie pomocne przy ochronie przed użytkownikami lub atakującymi, którzy próbują dostać się do danych, lecz nie posiadają dostępu lub możliwości odszyfrowania danych. EFS jest procesem dwustopniowym, ponieważ najpierw EFS musi zostać włączony na komputerze. Może być to kontrolowane przez politykę grupową, a dzieje się tak, gdy komputery łączą się z domeną. Administratorzy mogą włączyć lub wyłączyć EFS na którymkolwiek komputerze w domenie poprzez skonfigurowanie GPO. Wyłączenie EFS na wszystkich komputerach w domenie, a następnie stworzenie i skonfigurowanie nowego GPO, umożliwia korzystanie z EFS tylko konkretnym komputerom.
|
