Hướng dẫn bảo mật win2003 phần 5a EFS

I. Mục đích : Dùng Certificate để mã hóa hệ thống file (Encrypt File System). Tạo Recovery Agent để phục hồi dữ liệu khi user bị mất Certificate II. Chuẩn bị : - 1 máy chạy Windows XP - Tạo 1 user có username và password là u1/123 - Logon bằng user này, trên drive C: , tạo thư mục tên TestEFS, III. Thực hiện : 1. Mã hóa thư mục TestEFS, sau đó tạo file u1.txt

Dùng Certificate để mã hóa hệ thống file (Encrypt File System)

Tạo Recovery Agent để phục hồi dữ liệu khi user bị mất Certificate

II Chuẩn bị :

- 1 máy chạy Windows XP

- Tạo 1 user có username và password là u1/123

- Logon bằng user này, trên drive C: , tạo thư mục tên TestEFS, III Thực hiện :

1 Mã hóa thư mục TestEFS, sau đó tạo file u1.txt

a Logon U1 Start  Run

 mmc  OK

b Chọn menu File 

Add/Remove Snap-in … 

Certificates  Add 

Close  OK.

 Hiện tại trong Personal

chưa có gì cả !!!

Chọn menu File  Save 

Desktop Đặt tên file là

Certificate_u1

c Mở Windows Explorer 

tạo thư mục C:\TestEFS

Click nút phải chuột trên thư

mục TestEFS  Properties

TRUNG TÂM ĐÀO TẠO MẠNG MÁY TÍNH NHẤT NGHỆ

105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu , Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com Email: info@nhatnghe.com

d Trong màn hình TestEFS

Properties  Advanced.

Trong màn hình Advanced

Attributes  đánh dấu chọn

ô Encrypt contents to

secure data  OK 

Apply  OK

e Trong thư mục TestEFS,

tạo 1 file tên u1.txt với nội

dung là “Day la file cua u1”

f Double click biểu tượng

Certificate_u1 trên desktop

 Lúc này, trong

Certificates của Personal có

1 certificate của U1

ĐÂY LÀ CERTIFICATE

“SELF SINGING” CỦA U1

2 Administrator không mở được file này.

Logon Administrator, mở file

C:\TestEFS\u1.txt  không

mở được

Vào Start menu  Run 

cmd

b Tại màn hình Command

Prompt, gõ các lệnh sau:

- CD \

- MD ABC

- CD ABC

- Trong ABC, đánh lệnh

cipher /r:filename (VD :

cipher /r:local_recover) và

Enter.

Chương trình sẽ tạo ra 2 file

.CER và PFX

Sau đó quay về Windows

4 Áp policy để Recovery Agent có khả năng đọc các file bị mã hóa

a Logon administrator Vào

Start  Run  gõ

gpedit.msc  OK

b Chọn Computer

Configuration  Windows

Settings  Security

Settings  Public Key

Policies  Click nút phải

TRUNG TÂM ĐÀO TẠO MẠNG MÁY TÍNH NHẤT NGHỆ

105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu , Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com Email: info@nhatnghe.com

c Màn hình Welcome …

xuất hiện  Next.

Trong màn hình Select

Recovery Agents  chọn

Browse Folders

d Tìm đến thư mục C:\ABC

 chọn file

local_recover.cer  Open

(Lưu ý : file cer)

e Trong màn hình Select Recovery Agents  Next

f Trong màn hình Completing the Add Recovery Agent Wizard  Finish

Thoát ra Command prompt, gõ lệnh : gpupdate /force

g Vào Start  Open : mmc

– OK  Trong màn hình

Console1  Menu File –

Add\Remove Snap-in 

Add  Certificates  Chọn

My user account  Finish

– OK

i Để ý trong Personal chưa

có gì

k Màn hình Welcome …

xuất hiện  Next Chỉ đến

thư mục C:\ABC – Chọn file

có biểu tượng chìa khóa (có

phần mở rộng là *.pfx)

l Trong màn hình File to

Import , nhấn Next

m Trong màn hình

Password, chọn ô Mark this

key as exportable … 

Next … Finish

TRUNG TÂM ĐÀO TẠO MẠNG MÁY TÍNH NHẤT NGHỆ

105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu , Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com Email: info@nhatnghe.com

n Kết quả sau khi

import certificate như

hình bên

5 U1 tạo file mới : Logon U1, tạo file mới C:\TestEFS\u2.txt

6 Kiểm tra chức năng Recovery Agent

a Admin mở file u2.txt 

mở được.

b Admin mở file u1.txt 

không mở được.

c Logon U1, mở file u1.txt,

rồi đóng lại

d Logon Administrator, mở

lại file u1.txt

I Mục đích : Tương tự EFS trên WorkGroup

II Chuẩn bị :

- 1 máy làm Domain Controller

- Install Enterprise CA

- Đặt password cho Administrator là 123

- Tạo User có username/password u2/123

- Cho u2 quyền logon locally

- Tạo thư mục C:\TestEFS

III Thực hiện :

1 Logon bằng user u2 Tạo 1 file u2.txt Encrypt file này

a Logon U2, đặt thuộc tính

Encrypt cho thư mục C:\

TestEFS

(Tương tự trên XP)

Tạo file C:\TestEFS\u2.txt

b Sau khi mã hóa file xong,

click nút phải chuột trên

u2.txt  properties 

Advanced  Details

TRUNG TÂM ĐÀO TẠO MẠNG MÁY TÍNH NHẤT NGHỆ

105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu , Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com Email: info@nhatnghe.com

c Trong màn hình

Encryption Detail …, để ý

trong phần Data Recovery

Agents For This File As

Defined By Recovery Policy

 có Administrator 

Admin sẽ đọc được file mà

u2 mã hóa (Default).

Nhấn OK để thoát ra.

d Vào Administrative

Tools  Chuột phải trên

Certification Authority 

chọn Run as 

UserName/Password:

Administrator/123

e Trong thư mục Issued

Certificates  chú ý thấy u2

tự xin 1 certificate dùng cho

việc mã hóa

Thoát ra khỏi màn hình

Certificate Authority –

không cần lưu lại

2 Logon Administrator, mở file C:\TestEFS\u2.txt  mở được  Trong hệ thống Domain, Administrator mặc nhiên là Recovery Agent