Windows 2000 Server và Professional, Windows XP Professional, Windows Server 2003, Windows Vista, và Windows Server 2008, tất cả đều hỗ trợ vấn đề mã hóa dữ liệu trên máy tính.. Tất cả c
Trang 1Điều khiển mã hóa hệ thống file (EFS) bằng Group Policy
Nguồn : quantrimang.com
Mã hóa hệ thống file (EFS) là một tính năng hữu dụng cho việc bảo vệ dữ liệu được lưu trên các máy tính Windows EFS là một tùy chọn hoàn toàn miễn phí và được nhóm vào trong các hệ điều hành kể từ Windows 2000
Giống như các vấn đề khác, EFS cũng có những cải thiện đáng kể trong từng phiên bản Với các ưu điểm về công nghệ, nó càng mang tính thực tế đối với việc sử dụng EFS trong môi trường lưu trữ dữ liệu của bạn Tuy vậy, bạn có thể không muốn hỗ trợ EFS mọi nơi, chính vì vậy cần thu hẹp phạm vi và kiểm soát nơi nó được sử dụng Bởi vậy giải pháp lợi dụng Group Policy để giúp quản lý EFS được đưa ra nhằm giải quyết vấn đề này
Hai tầng quản lý EFS
EFS có hai mức cấu hình Mức đầu tiên được thiết lập ở máy, đây là mức tuyên
bố có được sử dụng hay không Mức thứ hai là mức file và thư mục, mức này thực hiện mã hóa dữ liệu
Windows 2000 (Server và Professional), Windows XP Professional, Windows Server 2003, Windows Vista, và Windows Server 2008, tất cả đều hỗ trợ vấn đề
mã hóa dữ liệu trên máy tính Mặc định, tất cả các máy tính này đều hỗ trợ mã hóa dữ liệu bằng EFS Rõ ràng, đây là một thứ không mang tính tích cực vì một
số dữ liệu hoặc một số máy tính đôi khi không cần mã hóa dữ liệu
Các máy tính không cần mã hóa dữ liệu đang được nói đến là các máy tính cho phép người dùng mã hóa dữ liệu Tất cả các máy tính hỗ trợ mã hóa dữ liệu mặc định và bất kỳ người dùng nào cũng có thể mã hóa thì dữ liệu có thể được mã hóa trên desktop nội bộ cũng như được chia sẻ trên mạng Hình 1 minh chứng tùy chọn này, nơi dữ liệu có thể được mã hóa trên máy tính Windows XP
Professional
Trang 2Hình 1: Mã hóa là một thuộc tính của dữ liệu
Để truy cập vào tùy chọn mã hóa thể hiện trong hình 1, bạn chỉ cần truy cập vào các thuộc tính của file và thư mục muốn mã hóa, thực hiện bằng việc kích chuột phải vào đối tượng, sau đó chọn Properties Tiếp đó chọn nút Advanced trong hộp thoại Properties, khi đó hộp thoại Advanced Attributes sẽ xuất hiện
Kiểm soát sự hỗ trợ của EFS đối với các máy tính trong miền Active
Directory
Khi một máy tính nào đó gia nhập vào một miền AD thì nó sẽ được kiểm soát về
sự hỗ trợ của EFS Để thay thế Default Domain Policy được lưu trong Active Directory sẽ kiểm soát khả năng này, tất cả các máy tính được gia nhập vào miền Active Directory của Windows đều hỗ trợ EFS, đơn giản chỉ cần việc gia nhập vào miền
Tuy nhiên có một vấn đề ở đây là các miền của Windows 2000 lại quản lý cấu hình này trong Default Domain Policy khác so với các miền của Windows Server
2003 và Windows Server 2008
Các miền Windows 2000 điều khiển EFS
Các máy tính Windows 2000 hỗ trợ EFS khác với các hệ điều hành về sau này, đây là lý do tại sao cấu hình cho EFS lại khác ở bên trong Default Domain
Policy Với Windows 2000, khóa để kích hoạt và vô hiệu hóa EFS tất cả đều được dựa trên chứng chỉ agent khôi phục dữ liệu của EFS hiện có trong Default Domain Policy Mặc định, tài khoản quản trị viên sẽ có chứng chỉ này và được
Trang 3cấu hình như một agent khôi phục dữ liệu (Nếu không có chứng chỉ nào để khôi phục dữ liệu thì EFS sẽ thất bại)
Để truy cập vào cấu hình này trong Default Domain Policy, bạn hãy theo đường dẫn này khi soạn thảo GPO trong Group Policy Editor:
Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Encrypted Data Recovery Agents
Tại đây, bạn sẽ thấy EFS File Encryption Certificate cho quản trị viên, xem thể hiện trong hình 2
Hình 2: Miền Windows 2000 thể hiện File Encryption Certificate của EFS với một
tên của người dùng, Administrator
Cấu hình này là tất cả những gì các máy tính có khả năng mã hóa file Để
remove khả năng này, bạn phải xóa chứng chỉ Administrator từ GPO Nếu bạn muốn về sau cung cấp EFS cho một số máy tính trong Active Directory, hãy thực hiện theo các bước dưới đây:
1 Tạo một GPO mới và liên kết nó đến đơn vị tổ chức có tất cả các máy tính cần
hỗ trợ mã hóa
2 Truy cập vào nút Encrypted Data Recovery Agents trong GPO và bổ sung
thêm chứng chỉ hỗ trợ khôi phục dữ liệu EFS
Thao tác này sẽ cung cấp cho các máy tính bị ảnh hưởng bởi GPO khả năng sử
Trang 4dụng EFS cho dữ liệu được lưu trữ trên các máy tính
Với các miền của Windows 2003 và 2008
Các miền mới hơn và các hệ điều hành mới (sau Windows 2000) đều hỗ trợ EFS với cách tính năng gần như tương tự, chỉ có một số sự thay đổi dưới đây:
1 Không có agent khôi phục dữ liệu nào được cần thiết để mã hóa trên các máy tính Windows 2000
2 EFS không được kiểm soát cùng với sự bao gộp chứng chỉ agent khôi phục
dữ liệu trong GPO
3 EFS hỗ trợ đa người dùng truy cập vào các file đã được mã hóa
Chính vì vậy, với các miền Windows 2003 và 2008, bạn sẽ có một tập các nhiệm
vụ khác để thực hiện việc kiểm soát EFS cho các máy tính nằm trong miền Tuy vậy việc thiết lập vẫn nằm trong Default Domain Policy Đường dẫn mới mà bạn cần để truy cập sẽ là:
Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Encrypting File System
Lúc này thay vì chỉnh agent khôi phục dữ liệu, bạn chỉ cần kích chuột phải vào
nút Encrypting File System Từ menu chuột phải, bạn hãy chọn Properties Trong cửa sổ Properties, bạn sẽ thấy có một hộp kiểm “Allow users to encrypt
files using Encrypting File System (EFS)” - cho phép người dùng có thể mã
hóa các file bằng EFS (đối với Windows 2003) Các miền của Windows 2008 có
nhiều thay đổi về mặt giao diện, cung cấp sự hỗ trợ cho EFS từ trang thuộc tính này được thể hiện như trong hình 3 bên dưới
Trang 5Hình 3: Windows Server 2008 cho phép kiểm soát EFS
Lưu ý trên tab General, có một nút chọn “Don’t allow” Đây chính là cấu hình có
thể được thiết lập để vô hiệu hóa EFS trên tất cá các máy tính trong miền Cũng lưu ý thêm rằng có nhiều thiết lập được cung cấp trong hộp thoại này cũng liên quan đến việc điều khiển EFS
Bạn cũng có thể nhắm đến các máy tính nào đó trong miền bằng cách thực hiện theo các bước ở trên đối với phần Windows 2000
Kết luận
EFS thực sự là một thành phần rất hữu dụng và ưu việt Nó có thể mã hóa dữ liệu đã được lưu trong các máy tính Windows Sự mã hóa này sẽ giúp bảo vệ chống lại những người dùng và kẻ tấn công muốn truy cập dữ liệu trái phép EFS là một quá trình hai bước, bước đầu tiên EFS phải được kích hoạt trên máy tính Đây là bước có thể được kiểm soát bởi Group Policy, và khi các máy tính
Trang 6gia nhập một miền nào đó Administrator có thể kích hoạt hoặc vô hiệu hóa EFS trên bất kỳ máy tính nào trong miền bằng cách cấu hình GPO Bằng cách vô hiệu hóa EFS đối với tất cả các máy tính trong miền và sau đó tạo, cấu hình một GPO mới thì lúc đó chỉ có các máy đã được chỉ định mới có thể sử dụng EFS
