Điều khiển mã hóa hệ thống file (EFS) bằng Group Policy

Mã hóa hệ thống file (EFS) là một tính năng hữu dụng cho việc bảo vệ dữ liệu được lưu trên các máy tính Windows. EFS là một tùy chọn hoàn toàn miễn phí và được nhóm vào trong các hệ điều hành kể từ Windows 2000
Nội dung trích xuất từ tài liệu:
Điều khiển mã hóa hệ thống file (EFS) bằng Group PolicyĐiều khiển mã hóa hệ thống file (EFS) bằng Group PolicyNguồn:quantrimang.comMã hóa hệ thống file (EFS) là một tính năng hữu dụng cho việc bảo vệ dữliệu được lưu trên các máy tính Windows. EFS là một tùy chọn hoàn toànmiễn phí và được nhóm vào trong các hệ điều hành kể từ Windows 2000.Giống như các vấn đề khác, EFS cũng có những cải thiện đáng kể trong từngphiên bản. Với các ưu điểm về công nghệ, nó càng mang tính thực tế đối vớiviệc sử dụng EFS trong môi trường lưu trữ dữ liệu của bạn. Tuy vậy, bạn có thểkhông muốn hỗ trợ EFS mọi nơi, chính vì vậy cần thu hẹp phạm vi và kiểm soátnơi nó được sử dụng. Bởi vậy giải pháp lợi dụng Group Policy để giúp quản lýEFS được đưa ra nhằm giải quyết vấn đề này.Hai tầng quản lý EFSEFS có hai mức cấu hình. Mức đầu tiên được thiết lập ở máy, đây là mức tuyênbố có được sử dụng hay không. Mức thứ hai là mức file và thư mục, mức nàythực hiện mã hóa dữ liệu.Windows 2000 (Server và Professional), Windows XP Professional, WindowsServer 2003, Windows Vista, và Windows Server 2008, tất cả đều hỗ trợ vấn đềmã hóa dữ liệu trên máy tính. Mặc định, tất cả các máy tính này đều hỗ trợ mãhóa dữ liệu bằng EFS. Rõ ràng, đây là một thứ không mang tính tích cực vì mộtsố dữ liệu hoặc một số máy tính đôi khi không cần mã hóa dữ liệu.Các máy tính không cần mã hóa dữ liệu đang được nói đến là các máy tính chophép người dùng mã hóa dữ liệu. Tất cả các máy tính hỗ trợ mã hóa dữ liệu mặcđịnh và bất kỳ người dùng nào cũng có thể mã hóa thì dữ liệu có thể được mãhóa trên desktop nội bộ cũng như được chia sẻ trên mạng. Hình 1 minh chứngtùy chọn này, nơi dữ liệu có thể được mã hóa trên máy tính Windows XPProfessional. Hình 1: Mã hóa là một thuộc tính của dữ liệuĐể truy cập vào tùy chọn mã hóa thể hiện trong hình 1, bạn chỉ cần truy cập vàocác thuộc tính của file và thư mục muốn mã hóa, thực hiện bằng việc kích chuộtphải vào đối tượng, sau đó chọn Properties. Tiếp đó chọn nút Advanced tronghộp thoại Properties, khi đó hộp thoại Advanced Attributes sẽ xuất hiện.Kiểm soát sự hỗ trợ của EFS đối với các máy tính trong miền ActiveDirectoryKhi một máy tính nào đó gia nhập vào một miền AD thì nó sẽ được kiểm soát vềsự hỗ trợ của EFS. Để thay thế Default Domain Policy được lưu trong ActiveDirectory sẽ kiểm soát khả năng này, tất cả các máy tính được gia nhập vàomiền Active Directory của Windows đều hỗ trợ EFS, đơn giản chỉ cần việc gianhập vào miền.Tuy nhiên có một vấn đề ở đây là các miền của Windows 2000 lại quản lý cấuhình này trong Default Domain Policy khác so với các miền của Windows Server2003 và Windows Server 2008.Các miền Windows 2000 điều khiển EFSCác máy tính Windows 2000 hỗ trợ EFS khác với các hệ điều hành về sau này,đây là lý do tại sao cấu hình cho EFS lại khác ở bên trong Default DomainPolicy. Với Windows 2000, khóa để kích hoạt và vô hiệu hóa EFS tất cả đềuđược dựa trên chứng chỉ agent khôi phục dữ liệu của EFS hiện có trong DefaultDomain Policy. Mặc định, tài khoản quản trị viên sẽ có chứng chỉ này và đượccấu hình như một agent khôi phục dữ liệu. (Nếu không có chứng chỉ nào để khôiphục dữ liệu thì EFS sẽ thất bại)Để truy cập vào cấu hình này trong Default Domain Policy, bạn hãy theo đườngdẫn này khi soạn thảo GPO trong Group Policy Editor:Computer ConfigurationWindows SettingsSecurity SettingsPublic KeyPoliciesEncrypted Data Recovery AgentsTại đây, bạn sẽ thấy EFS File Encryption Certificate cho quản trị viên, xem thểhiện trong hình 2.Hình 2: Miền Windows 2000 thể hiện File Encryption Certificate của EFS với một tên của người dùng, Administrator.Cấu hình này là tất cả những gì các máy tính có khả năng mã hóa file. Đểremove khả năng này, bạn phải xóa chứng chỉ Administrator từ GPO. Nếu bạnmuốn về sau cung cấp EFS cho một số máy tính trong Active Directory, hãy thựchiện theo các bước dưới đây:1. Tạo một GPO mới và liên kết nó đến đơn vị tổ chức có tất cả các máy tính cầnhỗ trợ mã hóa.2. Truy cập vào nút Encrypted Data Recovery Agents trong GPO và bổ sungthêm chứng chỉ hỗ trợ khôi phục dữ liệu EFS.Thao tác này sẽ cung cấp cho các máy tính bị ảnh hưởng bởi GPO khả năng sửdụng EFS cho dữ liệu được lưu trữ trên các máy tính.Với các miền của Windows 2003 và 2008Các miền mới hơn và các hệ điều hành mới (sau Windows 2000) đều hỗ trợ EFSvới cách tính năng gần như tương tự, chỉ có một số sự thay đổi dưới đây:1. Không có agent khôi phục dữ liệu nào được cần thiết để mã hóa trên các máytính Windows 2000.2. EFS không được kiểm soát cùng với sự bao gộp chứng chỉ agent khôi phụcdữ liệu trong GPO.3. EFS hỗ trợ đa người dùng truy cập vào các file đã được mã hóa.Chính vì vậy, với các miền Windows 2003 và 2008, bạn sẽ có một tập các nhiệmvụ khác để thực hiện việc kiểm soát EFS cho các máy tính nằm trong miền. Tuyvậy việc thiết lập vẫn nằm trong Default Domain Policy. Đường d ...