Конфигурирайте DFS файлови услуги и шифроване с BitLocker

Ще се справим с въпрос от жизненоважно значение в ролята ни на администратори и това е въпрос, свързан със сигурността на информацията в нашата мрежа, всички знаем, че организациите трябва да гарантират сигурността и наличността на информация, тъй като има Данните, които са изключително деликатни и ако са откраднати, хакнати или друг вид ситуация, могат да създадат проблеми не само за организацията, но и за лицето, отговарящо за системната област.

Преди да започнем, нека разгледаме какво Термин за криптиране и какви ползи може да ни предложи; Шифроването е просто превръщане на данните, които имаме, във файл, който е невъзможно да се прочете за друг потребител, който не е упълномощен да има достъп до тези данни. Съществува и процесът на декриптиране, който не е нищо повече от преобразуване на шифрованите данни в първоначалното им състояние.

съществуват 3 вида алгоритми за криптиране:

СиметричноТой е този, който използва прост ключ за шифроване или декриптиране на файл.

АсиметричниТой е този, който използва два математически свързани ключа, с единия файлът е криптиран, а с другия е декриптиран.

Тип хешТози тип криптиране работи само по един начин, тоест след криптиране не може да бъде декриптиран.

Днес Windows Server 2012 включва две (2) технологии за криптиране

  • Система за криптиране на файлове - Шифроваща файлова система (EFS)
  • Шифроване на устройство BitlLocker - Шифроване на устройство BitLocker

Нека започнем с практическата част, нека преминем към следващата глава, като кликнете върху следващата.

1. Шифроване или декриптиране на файлове с помощта на EFS


Може шифроване на файлове на NTFS томове и за неговото използване потребителят трябва да има кодовете за достъп, когато отворим (с валидната парола) файл с EFS автоматично ще бъде декриптиран и ако го запазим, той ще бъде декриптиран.

Шифроване на файл с EFS
Процесът за шифроване на файл с EFS е следното:

Трябва да кликнете с десния бутон върху папката или файла, които искаме да шифроваме, и да изберете опцията Свойства (редактиране):

В раздела общ избираме опцията Разширени опции.

Опцията ще се покаже Разширени атрибути.

Избираме опцията Шифроване на съдържание за защита на данните, кликваме върху Да приеме.

Ще видим, че нашата криптирана папка е маркирана.

ЗабележкаАко има подпапки в папката, която имаме, при прилагане на промените системата ще ни попита дали искаме да приложим тези промени към всички папки (включително подпапки) или само към основната папка

Избираме най -подходящата опция и кликваме върху Да приеме.

Декриптирайте файл или папка с EFS
За да декриптираме файл или папка, извършваме следния процес:

Щракваме с десния бутон и избираме свойства:

В раздела общ ние избираме Разширени опции:

Прозорецът на Разширени атрибути и ще трябва премахнете отметката опцията Криптирайте съдържанието, за да защитите данните:

Кликваме върху Да приеме Y Приложи за да запазите промените.

Нека си припомним тези важни аспекти, когато работим с EFS криптиране:

  • Можем да шифроваме папки само с помощта на NTFS тома.
  • Папката ще бъде декриптирана автоматично, когато я преместим или копираме в друг NTFS том.
  • Файловете, които са корен на системата, не могат да бъдат шифровани.
  • Използването на EFS не е гаранция, че нашите файлове могат да бъдат изтрити, за да избегнем това, трябва да използваме разрешения за NTFS.

2. Споделяйте файлове, защитени с EFS, на други потребители


Как да споделяте файлове, защитени с EFS, на други потребители? Това е много търсен въпрос в тази област, но не се притеснявайте, той има решение. Когато шифроваме файл с EFS, само потребителят, който го е шифровал, може да има достъп до споменатия файл, но в най -новите версии на NTFS можем да добавим сертификат към нашия криптиран файл или папка, за да го споделим с други хора.

За да извършим този процес, трябва да извършим следните стъпки:

Щракнете с десния бутон върху папката или файла, за да споделите и изберете Имоти.

В прозореца Свойства (редактиране) ние избираме Разширени опции.

Там прозорецът на Разширени атрибути, трябва да изберем опцията Подробности.

И в показания прозорец просто добавяме потребителите, с които ще бъде споделен, и кликваме върху Да приеме.

В случай, че някой, който е управлявал ВОИ, е напуснал организацията или е забравил паролата за криптиране, можем да използваме DRA (Агент за възстановяване на данни-Агент за възстановяване на данни).

За целта ще извършим следния процес:

  • Отваряме нашите Администратор на групови правила (В нашия сървър мениджър или администратор на сървъра, меню Инструменти).
  • Разгръщаме гората и домейна.
  • Щракваме с десния бутон върху Политика по подразбиране или Политика по подразбиране за домейн, ние избираме редактиране:

След като се отвори прозорецът за редактиране, отиваме на следния маршрут:

  • Компютърна конфигурация
  • Политики
  • Опции на Windows
  • Настройки на сигурността
  • Политики за публични ключове

Ние избираме Система за шифроване на файлове (Шифроваща файлова система) и там щракваме с десния бутон и избираме Създайте агент за възстановяване на данни (Създаване на агент за възстановяване на данни).

Кликваме върху Система за шифроване на файлове (Шифроване на файлови системи), избираме сертификатите и затваряме редактора на групата.

3. Управление на сертификати


Когато създаваме файл за първи път, системата автоматично ще създаде сертификата за криптиране. Можем да направим резервно копие на споменатия сертификат, за това отиваме до командата Execute или клавишите:

Windows + R

И въвеждаме следното:

 certmgr.msc

В показания прозорец избираме Персонал / сертификати, в показания сертификат щракваме с десния бутон и избираме За износ.

Съветникът за експортиране ще се отвори, щракнете върху Следващия.

Избираме дали искаме да изпратим частния ключ:

Кликваме върху Следващия, избираме типа формат и кликваме отново върху Следващия.

Кликваме върху Следващия, търсим нашия сертификат и кликваме върху Завършете

4. Шифроване на файлове с помощта на Bitlocker


С BitLocker (BDE-BitLocker Шифроване на устройства) Възможно е да се шифроват цели томове, така че ако загубим устройството си, данните ще останат криптирани, дори ако са инсталирани някъде другаде.

BDE използва нова функция, наречена Модул на доверената платформа на TPM - Модул за надеждна платформа, и това позволява да има по -голяма сигурност в случай на външна атака.BitLocker използва TPM за валидиране на зареждането и стартирането на сървъра и гарантира, че твърдият диск е в оптимални условия за сигурност и работа.

Има няколко Изисквания, които трябва да вземем предвид, за да внедрим криптиране с BitLocker, това са:

  • Компютър с TPM.
  • Сменяемо устройство за съхранение, като USB, така че в случай, че компютърът няма TPM, TPM съхранява ключа на това устройство.
  • Минимум 2 дяла на твърдия диск.
  • BIOS съвместим с TPM, ако не е възможно, трябва да актуализираме BIOS с помощта на BitLocker.

TPM се предлага в следните версии на Windows за персонални компютри:

  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows 8 Pro
  • Windows 8 Enterprise

BitLocker не се използва често на сървъри, но може да повиши сигурността, като го комбинира с прехвърляне на клъстери.

Bit Locker може да поддържа следните формати:

  • FAT16
  • FAT32
  • NTFS
  • SATA
  • ATA и др

BitLocker не поддържа:

  • Системни файлове на CD или DVD
  • iSCI
  • Фибри
  • Bluetooth

BitLocker използва 5 режима на работа в своята работа:

TPM + ПИН (личен идентификационен номер) + паролаСистемата криптира информацията с TPM, освен това администраторът трябва да въведе своя ПИН и парола за достъп

TPM + ключСистемата шифрова информацията с TPM и администраторът трябва да предостави ключ за достъп

TPM + ПИНСистемата шифрова информацията с TPM и администраторът трябва да предостави идентификацията си за достъп

Само ключАдминистраторът трябва да предостави парола за достъп за управление

Само TPMНе се изискват действия от администратора

5. Как да инсталирате Bitlocker


Процесът на инсталиране на тази функция е както следва:

Отиваме до администратора на сървъра или мениджъра на сървъра и избираме Добавете роли и функции намира се в бързото стартиране или в менюто Управление:

Увеличете

В показания прозорец кликваме върху Следващия, ние избираме Инсталация, базирана на роли или функции, кликваме отново върху Следващия:

В следващия прозорец избираме нашия сървър и кликваме върху Следващия, в прозореца на ролята, върху който кликваме Следващия защото ще добавим функция, а не роля. В прозореца на Изберете функции избираме опцията Шифроване на устройство BitLocker.

Както виждаме в десния панел имаме кратко резюме на функционалностите на тази функция, кликваме върху Следващия. Ще се покаже прозорец с обобщение на това, което ще направим:

Кликваме върху Инсталирай за да стартирате процеса:

Някога нашият Функция BitLocker трябва да рестартираме сървъра.

6. Определете дали компютърът ни има TPM


Модул надеждна платформа е познатото (TPM). В BitLocker чипът TPM се използва за защита на ключовете за криптиране и удостоверяване чрез осигуряване на цялостност с увереност.

За да определим дали имаме опцията TPM, трябва да отидем Контролен панел и избираме опцията Сигурност:

След като прозорецът на Сигурност ние избираме Шифроване на Bitlocker устройство.

Ще видим, че в долния ляв панел имаме възможност да Управление на TPM.

Кликваме върху тази опция, Управление на TPM и ще видим дали нашият екип има инсталирана тази функция:

7. Активиране на BitLocker


Да се активирайте BitLocker трябва да отидем на:
  • Контролен панел
  • Сигурност
  • Шифроване на Bitlocker устройство

Избираме опцията Активирайте BitLocker, процесът на активиране ще започне:

Системата ще посочи някои от следните опции:

В този пример ние избираме Въведете парола

Системата ще ни каже какво да правим с нашата парола:

В нашия случай избираме Запазване във файл:

Запазваме паролата си и кликваме върху Следващия, там системата ни казва какъв тип криптиране искаме да извършим, цяло устройство или само дисково пространство, което избираме според нашата конфигурация.

Избираме и кликваме върху Следващия и накрая пристъпваме към криптиране на нашата единица.

ВниманиеАко по някаква хардуерна причина компютърът ни не премине TPM теста, можем да стартираме следния процес, за да активираме BitLocker да бъде активиран:

  • Изпълняваме командата gpedit.msc в Бягай
  • Влизаме в следния маршрут: Компютърна конфигурация / Административни шаблони / Компоненти на Windows / Шифроване на Bitlocker устройство / Операционни системи.
  • Щракваме два пъти върху тази последна опция.
  • Активираме политиката, като кликнете върху Активиране.
  • Ние спестяваме и можем да изпълним нашето активиране без проблеми.

Какво е BitLocker To Go?Bitlocker To Go е функционалност, която ни позволява да шифроваме нашите флаш устройства, за това трябва да следваме предишната стъпка, избирайки флаш устройството.

Предварително предоставяне на BitLockerТази опция ви позволява да конфигурирате Bitlocker от преди инсталирането на операционната система, за това трябва да конфигурираме опцията Win PE Environment за предварително инсталиране на Windows с командата Manage -bde -on x:

Като обобщение можем да кажем, че имаме инструменти, които ни осигуряват по -голяма сигурност за нашите файлове и папки, всички с цел запазване на тяхната цялост.

Ако искате повече информация за DFS, не забравяйте да посетите официалния уебсайт на Microsoft.

Шифроване на дискове на Windows 10 с BitLocker

wave wave wave wave wave