Două etape ale managementului EFS
EFS are două niveluri de configurare. Primul nivel este instalat la nivel de computer, ceea ce determină dacă acest sistem de fișiere va fi suportat și dacă acesta va fi disponibil. Al doilea nivel este nivelul de dosare și fișiere, acest strat efectuează criptarea datelor.
Logistica despre care vorbesc aici este permisiunea unui utilizator de a cripta datele. Deoarece toate calculatoarele suportă în mod implicit criptarea datelor și fiecare utilizator le poate cripta, datele pot fi criptate pe computerul local, precum și datele partajate în rețea. Figura 1 prezintă opțiunile pentru care datele pot fi criptate pe un computer Windows XP Professional.
Figura 1: Criptarea datelor este proprietatea lor
Pentru a accesa opțiunea de criptare, așa cum se arată în figura 1, trebuie doar să selectați proprietățile fișierului sau folderul pe care doriți să criptați prin apăsarea butonului din dreapta al mouse-ului și aduce meniul contextual „Proprietăți“ obiect criptat. Apoi apăsați pe butonul „Advanced“ din caseta de dialog Properties, care, la rândul său, va afișa o casetă de dialog „Atribute suplimentare“.
Monitorizarea suportului EFS pentru computerele dintr-un domeniu Active Directory
Când un computer se alătură unui domeniu Active Directory, nu mai este posibil să controlați opțiunea de suport EFS pe acesta. În schimb, această caracteristică monitorizează politica de domeniu implicită stocată în Active Directory. Toate computerele care fac parte din domeniul Windows Active Directory suportă EFS, doar conectându-se la acesta.
Configurație computer \ Setări Windows \ Setări de securitate \ Politici cheie publică \ Agenți de recuperare date criptate
În acest moment veți vedea EFS fișier de criptare Certificat pentru administrator, așa cum este prezentat în figura 2.
Această setare este ceea ce oferă tuturor computerelor capacitatea de a cripta fișierele. Pentru a dezactiva această funcție, pur și simplu trebuie să eliminați certificatul de administrator de la GPO. Dacă apoi decideți să activați această caracteristică pe un număr limitat de computere din Active Directory, va trebui să urmați acești pași:
- Creați un nou GPO și conectați-l la unitatea organizațională care conține toate computerele care au nevoie de suport pentru criptarea fișierelor.
- Accesați fila "Agenți de recuperare fișiere criptată" din GPO și adăugați un certificat care acceptă recuperarea datelor EFS.
Acest lucru va oferi calculatoarelor care sunt acoperite de GPO cu capacitatea de a utiliza EFS pentru datele stocate pe aceste computere.
Configurație computer \ Setări Windows \ Setări de securitate \ Politici cheie publică \ Sistem de fișiere criptate
Rețineți că fila "General" are un buton opus cu numele "Nu permite". Această opțiune poate fi utilizată pentru a dezactiva suportul EFS pe toate computerele de domeniu. De asemenea, rețineți că mulți alți parametri de control EFS sunt disponibili în această casetă de dialog.
concluzie
EFS este o opțiune foarte puternică și utilă. Poate cripta datele stocate pe computerele Windows. Criptarea va ajuta la protejarea datelor de la utilizatori sau de la hackeri care încearcă să le acceseze, dar care nu au capacitatea de a decripta aceste date. EFS este un proces de doi pași, în primul rând EFS trebuie să fie activat pe computer. Această opțiune poate fi controlată prin utilizarea politicii de grup sau atunci când computerul este inclus în domeniu. Administratorii au dreptul să activeze sau să dezactiveze EFS pe orice computer de domeniu utilizând configurația GPO. Dacă dezactivați EFS pentru toate computerele și apoi creați și configurați un nou GPO, numai anumite computere pot utiliza EFS.