Konfigurer DFS -filtjenester og krypter med BitLocker

Vi kommer til å behandle et spørsmål av vital betydning i vår rolle som administratorer, og det er et spørsmål som er knyttet til sikkerheten til informasjon i nettverket vårt, vi vet alle at organisasjoner må sikre sikkerheten og tilgjengeligheten av informasjon siden det er data som er ekstremt delikate, og hvis de blir stjålet, hacket eller en annen type situasjon, kan ikke bare få problemer for organisasjonen, men også for personen som er ansvarlig for systemområdet.

Før vi begynner, la oss se på hva Krypteringsperiode og hvilke fordeler det kan tilby oss; Kryptering er ganske enkelt å gjøre dataene vi har til en fil som er umulig å lese for en annen bruker som ikke er autorisert til å ha tilgang til dataene. Det er også dekrypteringsprosessen, som ikke er annet enn å konvertere de krypterte dataene til sin opprinnelige tilstand.

eksistere 3 typer algoritmer som skal krypteres:

SymmetriskDet er en som bruker en enkel nøkkel for å kryptere eller dekryptere en fil.

AsymmetriskDet er den som bruker to matematisk relaterte nøkler, med den ene er filen kryptert og med den andre dekryptert.

HashtypeDenne typen kryptering fungerer bare på en måte, det vil si at etter kryptering kan den ikke dekrypteres.

I dag inneholder Windows Server 2012 to (2) krypteringsteknologier

  • Filkrypteringssystem - Krypterende filsystem (EFS)
  • BitlLocker -enhetskryptering - BitLocker Drive Encryption

La oss starte med den praktiske delen, la oss gå til neste kapittel ved å klikke på neste.

1. Krypter eller dekrypter filer ved hjelp av EFS


Kan kryptere filer på NTFS -volumer og for bruk må brukeren ha tilgangskodene. Når vi åpner (med gyldig passord) vil en fil med EFS automatisk bli dekryptert, og hvis vi lagrer den, blir den dekryptert.

Krypter fil med EFS
Prosessen for kryptere en fil med EFS er følgende:

Vi må høyreklikke på mappen eller filen vi vil kryptere og velge alternativet Egenskaper:

I fanen generell vi velger alternativet Avanserte instillinger.

Alternativet vises Avanserte attributter.

Vi velger alternativet Krypter innhold for å beskytte data, klikker vi på Å akseptere.

Vi vil se at vår krypterte mappe er uthevet.

MerkHvis det er undermapper i mappen vi har, vil systemet spørre oss om vi vil bruke disse endringene til alle mappene (inkludert undermapper) eller bare til rotmappen når vi bruker endringene.

Vi velger det mest passende alternativet og klikker på Å akseptere.

Dekrypter fil eller mappe med EFS
For å dekryptere en fil eller mappe utfører vi følgende prosess:

Vi høyreklikker og velger egenskaper:

I fanen generell vi velger Avanserte instillinger:

Vinduet til Avanserte attributter og vi måtte fjern merket valget Krypter innhold for å beskytte data:

Vi klikker videre Å akseptere Y Søke om for å lagre endringene.

La oss huske disse viktige aspektene når vi arbeider med EFS -kryptering:

  • Vi kan bare kryptere mapper ved hjelp av NTFS -volumet.
  • Mappen blir dekryptert automatisk når vi flytter eller kopierer den til et annet NTFS -volum.
  • Filer som er systemrot kan ikke krypteres.
  • Å bruke EFS er ikke en garanti for at filene våre kan slettes, for å unngå dette må vi bruke NTFS -tillatelser.

2. Del EFS-beskyttede filer med andre brukere


Hvordan dele EFS -beskyttede filer med andre brukere? Dette er et svært etterspurt spørsmål på dette feltet, men ikke bekymre deg, det har en løsning. Når vi krypterer en fil med EFS kan bare brukeren som krypterte den ha tilgang til filen, men i de nyeste versjonene av NTFS kan vi legge til et sertifikat i vår krypterte fil eller mappe for å dele den med andre mennesker.

For å utføre denne prosessen må vi utføre følgende trinn:

Vi høyreklikker på mappen eller filen vi vil dele og velge Eiendommer.

I vinduet Egenskaper vi velger Avanserte instillinger.

Det vinduet av Avanserte attributter, må vi velge alternativet Detaljer.

Og i det viste vinduet legger vi bare til brukerne som det skal deles med, og klikker på Å akseptere.

I tilfelle noen som administrerte SAI -ene forlot organisasjonen eller glemte krypteringspassordet, kan vi bruke DRA (Data Recovery Agent-Data Recovery Agent).

For dette skal vi utføre følgende prosess:

  • Vi åpner vår Administrator for gruppepolicy (I vår serverbehandling eller serveradministrator, menyen Verktøy).
  • Vi distribuerer skogen og domenet.
  • Vi høyreklikker på Standardpolicy eller standardpolicy, velger vi Redigere:

Når redigeringsvinduet åpnes, går vi til følgende rute:

  • Datamaskinkonfigurasjon
  • Retningslinjer
  • Windows -alternativer
  • Sikkerhetsinnstillinger
  • Offentlige nøkkelpolicyer

Vi velger Filkrypteringssystem (Encrypting File System) og der høyreklikker vi og velger Lag Data Recovery Agent (Opprett Data Recovery Agent).

Vi klikker videre Filkrypteringssystem (Krypterende filsystemer), velger vi sertifikatene og lukker gruppeditoren.

3. Sertifikatbehandling


Når vi oppretter en fil for første gang, oppretter systemet automatisk krypteringssertifikatet. Vi kan ta en sikkerhetskopi av sertifikatet, for dette går vi til kommandoen eller tastene Utfør:

Windows + R

Og vi skriver inn følgende:

 certmgr.msc

I det viste vinduet velger vi Personell / sertifikater, i det viste sertifikatet høyreklikker vi og velger Å eksportere.

Eksportveiviseren åpnes, klikk på Neste.

Vi velger om vi vil sende den private nøkkelen:

Vi klikker videre Neste, velger vi formattypen og klikker på igjen Neste.

Vi klikker videre Neste, vi ser etter sertifikatet vårt og klikker på Fullfør

4. Filkryptering ved hjelp av Bitlocker


Med BitLocker (BDE-BitLocker Drive Encryption) Det er mulig å kryptere hele volumer, så hvis vi mister enheten, forblir dataene kryptert selv om de er installert et annet sted.

BDE bruker en ny funksjon kalt TPM-klarert plattformmodul - Pålitelig plattformsmodul, og dette gjør det mulig å ha større sikkerhet i tilfelle et eksternt angrep. BitLocker bruker TPM til å validere oppstart og oppstart av serveren, og garanterer at harddisken er i optimale forhold for sikkerhet og drift.

Det er noen Krav som vi må ta i betraktning for å implementere kryptering med BitLocker, disse er:

  • En datamaskin med TPM.
  • En flyttbar lagringsenhet, for eksempel en USB, så i tilfelle datamaskinen ikke har TPM, lagrer TPM nøkkelen på den enheten.
  • Minimum 2 partisjoner på harddisken.
  • BIOS -kompatibel med TPM, hvis ikke mulig, må vi oppdatere BIOS ved hjelp av BitLocker.

TPM er tilgjengelig i følgende versjoner av Windows for personlige datamaskiner:

  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows 8 Pro
  • Windows 8 Enterprise

BitLocker brukes ikke ofte på servere, men det kan øke sikkerheten ved å kombinere den med Cluster Failover.

Bit Locker kan støtte følgende formater:

  • FAT16
  • FAT32
  • NTFS
  • SATA
  • ATA, etc.

BitLocker støtter ikke:

  • CD- eller DVD -systemfiler
  • iSCI
  • Fiber
  • blåtann

BitLocker bruker fem driftsmoduser i driften:

TPM + PIN (Personal Identifier Number) + PassordSystemet krypterer informasjonen med TPM, i tillegg må administratoren angi PIN -koden og passordet for å få tilgang

TPM + nøkkelSystemet krypterer informasjonen med TPM, og administratoren må oppgi en tilgangsnøkkel

TPM + PINSystemet krypterer informasjonen med TPM, og administratoren må oppgi sin tilgangsidentifikasjon

Bare nøkkelAdministratoren må oppgi passordet for å få tilgang til å administrere

Bare TPMIngen handling kreves av administratoren

5. Slik installerer du Bitlocker


Prosessen for å installere denne funksjonen er som følger:

Vi går til Server Administrator eller Server Manager og velger Legg til roller og funksjoner ligger i hurtigstart eller i menyen Få til:

FORSTØRRE

I vinduet som vises klikker vi på Neste, vi velger Rolle eller funksjonsbasert installasjon, klikker vi på igjen Neste:

I det neste vinduet velger vi serveren vår og klikker på Neste, i rollevinduet klikker vi på Neste fordi vi skal legge til en funksjon som ikke er en rolle. I vinduet til Velg funksjoner vi velger alternativet BitLocker -stasjonskryptering.

Som vi ser i det høyre panelet har vi en kort oppsummering av funksjonene til denne funksjonen, vi klikker på Neste. Et vindu vil vises med en oppsummering av hva vi skal gjøre:

Vi klikker videre Installere for å starte prosessen:

En gang vår BitLocker -funksjon vi må starte serveren på nytt.

6. Finn ut om datamaskinen vår har TPM


Trusted Platform Module er den kjente (TPM). I BitLocker brukes TPM -brikken for å beskytte kryptering og autentiseringsnøkler ved å gi integritet med tillit.

For å finne ut om vi har TPM -alternativet, må vi gå til Kontrollpanel og vi velger alternativet Sikkerhet:

Når vinduet for Sikkerhet vi velger Bitlocker -stasjonskryptering.

Vi vil se at i nedre venstre panel har vi muligheten til TPM -ledelse.

Vi klikker på dette alternativet, TPM -ledelse og vi vil se om teamet vårt har denne funksjonen installert:

7. BitLocker -aktivering


Til aktiver BitLocker vi må gå til:
  • Kontrollpanel
  • Sikkerhet
  • Bitlocker -stasjonskryptering

Vi velger alternativet Aktiver BitLockervil aktiveringsprosessen begynne:

Systemet vil indikere noen av følgende alternativer:

I dette eksemplet velger vi Skriv inn et passord

Systemet vil fortelle oss hva vi skal gjøre med passordet vårt:

I vårt tilfelle velger vi Lagre i filen:

Vi lagrer passordet vårt og klikker på Neste, der forteller systemet oss hvilken type kryptering vi vil utføre, hele enheten eller bare diskplass, vi velger i henhold til vår konfigurasjon.

Vi velger og klikker på Neste og til slutt fortsetter vi med å kryptere enheten vår.

Merk følgendeHvis datamaskinen av en eller annen årsak ikke klarer TPM -testen, kan vi kjøre følgende prosess for å aktivere BitLocker:

  • Vi utfører kommandoen gpedit.msc i Løpe
  • Vi går inn på følgende rute: Datakonfigurasjon / administrative maler / Windows -komponenter / Bitlocker -stasjonskryptering / operativsystemstasjoner.
  • Vi dobbeltklikker på dette siste alternativet.
  • Vi aktiverer retningslinjene ved å klikke på Muliggjøre.
  • Vi sparer, og vi kan utføre vår aktivering uten problemer.

Hva er BitLocker To Go?Bitlocker To Go er en funksjonalitet som lar oss kryptere våre flash -stasjoner, for dette må vi følge det forrige trinnet ved å velge flash -stasjonen.

BitLocker forhåndsprovisjoneringDette alternativet lar deg konfigurere Bitlocker fra før installasjonen av operativsystemet, for dette må vi konfigurere Windows Preinstallation Environment Win PE -alternativet med kommandoen Manage -bde -on x:

Som et sammendrag kan vi si at vi har verktøy som gir oss større sikkerhet for våre filer og mapper, alt med det formål å bevare integriteten.

Hvis du vil ha mer informasjon om DFS, ikke glem å besøke Microsofts offisielle nettsted.

Krypter Windows 10 -disker med BitLocker

wave wave wave wave wave