Posts Tagged ‘Group Policy’

Cum folosim Group Policy pentru a controla Encrypting File System (EFS)

Azi am fost intrebat cum poti cripta si controla securitatea datelor pe un server Windows. Am spus ceva legat de criptarea datelor si de Group Policy, fara sa fiu insa prea clar in explicatii. Dindu-mi seama ca aceea a fost o intrebare buna, mi-am zis ca merita un raspuns putin mai detaliat, asa ca m-am pus pe scris articolul de fata :)
Encrypting File System (EFS) este o opțiune puternica si (mai ales) gratuita, pentru protejarea datelor stocate pe computerele Windows. EFS a fost inclusa in fiecare sistem de operare de la Windows 2000 incoace. EFS poate fi utilizata securizarea mediului de stocare a datelor. Cu toate acestea, s-ar putea sa nu doriti sa folositi EFS peste tot si sa doriti sa ii restrangeti aria de utilizare si sa aveti control asupra utilizarii EFS. Astfel, puteti sa va folositi de GPO pentru a gestiona EFS.

Cele două etape de Management EFS

EFS are două niveluri de configurare. Primul nivel este stabilit la nivel de calculator, ce prevede dacă va fi sau nu va fi chiar suportata și disponibila aceasta optiune. Al doilea nivel este la nivel de folder și fișier, care realizează criptarea de date.

Windows 2000 (Server și Professional), Windows XP Professional, Windows Server 2003, Windows Vista și Windows Server 2008, toate aceste OS suporta criptarea datelor care se afla pe computer. In mod implicit, toate aceste calculatoare accepta criptarea datelor folosind EFS. Desigur, acest lucru poate fi un lucru negativ, pentru ca unele date sau unele calculatoare nu ar trebui să cripteze date din cauza logisticii.

Si prin logistica ma refer la faptul de a permite utilizatorilor sa cripteze date. Din moment ce toate computerele accepta criptarea în mod implicit și orice utilizator poate cripta,iar datele pot fi criptate pe desktop (local), precum și date care sunt partajate în rețea. Figura 1 ilustreaza opțiunea în cazul în care datele pot fi criptate pe un computer cu Windows XP Professional.

1

Pentru a accesa opțiunea de criptare prezentata în figura 1, aveti nevoie doar sa accesati proprietățile fișierului sau dosarul (folderul) pe care doriți sa-l criptati prin click-dreapta pe obiect, apoi selectand Properties. Apoi, selectati butonul Advanced din caseta de dialog Properties, care va arata la randul sau, caseta de dialog Atribute avansate.

Controlul suportului de EFS pentru calculatoare într-un domeniu Active Directory

Atunci cand un calculator se alatura unui domeniu Active Directory, el nu mai are controlul asupra faptului daca accepta sau nu accepta EFS. În schimb, politica de domeniu implicita stocata în Active Directory (Default Domain Policy) controleaza aceasta capacitate. Toate computerele care sunt integrate intr-un domeniu Windows Active Directory suporta EFS. suport de domeniu Active Directory, prin simpla aderarea la domeniul.

Problema este ca domeniile din Windows 2000 se ocupa de aceasta configuratie Default Domain Policy in mod diferit decat Windows Server 2003 si Windows Server 2008 (da, va veti intreba cine mai utilizeaza azi servere avind pe ele Windows 2000 server instalat. Ei bine, credeti sau nu, am intilnit anul trecut 2 cazuri de genul asta).

Windows 2000 – Controlul asupra EFS

In Windows 2000 EFS va fi suportat diferit diferit decat in sistemele de operare de mai tarziu, motiv pentru care configuratia EFS este diferita în Default Domain Policy. Pentru Windows 2000, cheia pentru activarea si dezactivarea EFS este tot pe baza certificatului de agent de recuperare EFS, inclusa în Default Domain Policy. În mod implicit, contul de Administrator are acest certificat si este configurat ca agent de recuperare de date. (Daca nu exista nici un certificat de recuperare de date, EFS esueaza.)

Pentru a accesa aceasta configuratie în Default Domain Policy,, urmati calea în Group Policy Editor:

Computer Configuration \ Windows Settings \ Security Settings \ politici publice cheie \ criptate agenti de recuperare de date

În aceasta locatie, veti vedea EFS File Encryption Certificate for the Administrator, ca figura 2.

2

Aceasta configuratie este cea care ofera tuturor computerelor posibilitatea de a cripta fisiere. Pentru a elimina aceasta capacitate, ar trebui sa stergeti doar Administrator Certification din GPO. Daca ati dori sa oferiti EFS la doar cateva computere în Active Directory, ar trebui sa urmati acesti pasi:

Creati un nou GPO si legati-l la o unitate organizationala (OU) care contine toate calculatoarele care au nevoie sa suporte criptare.
Accesati Encrypted Data Recovery Agents node în GPO si adaugati într-un certificat care suporta recuperarea de date EFS.
Acest lucru va oferi calculatoarelor la care se aplica GPO abilitatea de a utiliza EFS pentru datele care sunt stocate pe computerele respective.

Windows 2003 si 2008 – controlul asupra EFS

Cele mai noi domenii si sisteme de operare (cele aparute mai tarziu decat Windows 2000) suporta EFS într-un mod similar, dar cu unele diferente specifice.

Nu mai este nevoie de agent de recuperare de date pentru criptare (cum era in Windows 2000).
EFS nu mai este controlat prin includerea certificatului de agent de recuperare de date în GPO.
EFS suporta accesul utilizatorilor multipli la fisierele criptate.
Prin urmare, pentru Windows 2003 si Windows 2008, vom avea un set diferit de taskuri de efectuat, în scopul de a controla EFS pe computerele din domeniu. Setarea exista in continuare in Default Domain Polic, dar noua cale pe care va trebui sa o accesati este:

Computer Configuration \ Windows Settings \ Security Settings \ Politici Publice cheie \ Encrypting File System

Acum, în loc de a modifica data recovery agent, va trebui sa faceti clic dreapta pe Encrypting File System node. Din optiunea meniului afisat, selectati Properties. De acolo, va aparea o caseta de validare (check box) care spune „Allow users to encrypt files using Encrypting File System (EFS)” pentru domeniile voastre Windows 2003. In Windows Server 2008 interfata s-a schimbat radical, oferind suport granular de EFS din Property, asa cum se arata în figura 3.

3

Nota Observati ca pe tab-ul General exista un buton radio cu mentiunea „Nu permiteti”. Aceasta optiune dezactiveaza EFS pe TOATE computerele din domeniu. De asemenea acolo veti observa si multe alte optiuni disponibile pentru controlul EFS.

Aveți posibilitatea de a viza, de asemenea, doar anumite calculatoare din domeniu, urmand pasii de mai sus in sectiunea de domeniu Windows 2000.

In concluzie: EFS este un instrument foarte puternic și util. Se pot cripta datele stocate pe computerele Windows. Criptarea va ajuta la protejarea impotriva utilizatorilor sau atacatorilor care incearca sa acceseze datele, dar nu au acces sau capacitatea de a decripta datele. EFS este un proces in două etape, dar in primul rand EFS trebuie să fie activat pe computer. Aceasta poate fi controlata prin Politicile de grup (GPO), și este activa de indata ce calculatoarele adera la un domeniu. Administratorii au puterea de a activa sau dezactiva EFS pe orice calculator in domeniul prin configurarea unui GPO. Prin dezactivarea EFS pentru toate calculatoarele din domeniu si apoi crearea si configurarea unui nou GPO, calculatoare specificate nu mai pot utiliza EFS.