Управление шифрованной файловой системой (EFS) с помощью групповой политики

Опубликовано: 10 Апреля, 2023

Шифрованная файловая система (EFS) — это мощное средство защиты данных, хранящихся на компьютерах с Windows. EFS бесплатна и включена в каждую операционную систему, начиная с Windows 2000. Как и во всем, существуют достижения в области технологий, и EFS ничем не отличается. С развитием технологий более реалистично использовать EFS для большей части вашей среды хранения данных. Однако вы можете не захотеть поддерживать EFS везде, поэтому вам нужно сузить область и контролировать, где ее можно использовать. Таким образом, это идеальное решение для использования преимуществ групповой политики для управления EFS.



Два этапа управления EFS


EFS имеет два уровня конфигурации. Первый уровень устанавливается на уровне компьютера, что определяет, будет ли он вообще поддерживаться и доступен. Второй уровень находится на уровне папки и файла, который выполняет шифрование данных.


Windows 2000 (Server и Professional), Windows XP Professional, Windows Server 2003, Windows Vista и Windows Server 2008 поддерживают шифрование данных, хранящихся на компьютере. По умолчанию все эти компьютеры поддерживают шифрование данных с помощью EFS. Конечно, это может быть негативным моментом, так как некоторые данные или некоторые компьютеры не должны шифровать данные из-за логистики.


Я имею в виду логистику, позволяющую пользователям шифровать данные. Поскольку все компьютеры поддерживают шифрование по умолчанию, и любой пользователь может шифровать, данные могут быть зашифрованы на локальном рабочем столе, а также в данных, которые совместно используются в сети. На рис. 1 показан вариант шифрования данных на компьютере с Windows XP Professional.


Изображение 24370
Рисунок 1: Шифрование данных — это свойство данных


Чтобы получить доступ к параметру шифрования, показанному на рисунке 1, вам просто нужно получить доступ к свойствам файла или папки, которые вы хотите зашифровать, щелкнув объект правой кнопкой мыши и выбрав «Свойства». Затем нажмите кнопку «Дополнительно» в диалоговом окне «Свойства», которое, в свою очередь, отобразит диалоговое окно «Дополнительные атрибуты».


Управление поддержкой EFS для компьютеров в домене Active Directory


Когда компьютер присоединяется к домену Active Directory, он больше не контролирует, поддерживает ли он EFS. Вместо этого этой возможностью управляет политика домена по умолчанию, хранящаяся в Active Directory. Все компьютеры, присоединенные к домену Windows Active Directory, поддерживают EFS, просто присоединившись к домену.


Предостережение заключается в том, что домены Windows 2000 обрабатывают эту конфигурацию в политике домена по умолчанию иначе, чем домены Windows Server 2003 и Windows Server 2008.


Домены Windows 2000 Управление EFS


Компьютеры Windows 2000 поддерживают EFS иначе, чем более поздние операционные системы, поэтому конфигурация EFS отличается в политике домена по умолчанию. Для Windows 2000 ключ к включению и отключению EFS основан на том, что сертификат агента восстановления данных EFS включен в политику домена по умолчанию. По умолчанию учетная запись администратора имеет этот сертификат и настроена как агент восстановления данных. (Если нет сертификата для восстановления данных, EFS не работает.)


Чтобы получить доступ к этой конфигурации в политике домена по умолчанию, следуйте по этому пути после редактирования объекта групповой политики в редакторе групповой политики:


Конфигурация компьютераПараметры WindowsПараметры безопасностиПолитики открытого ключаАгенты восстановления зашифрованных данных


В этом месте вы увидите сертификат шифрования файлов EFS для администратора, как показано на рисунке 2.


Изображение 24371
Рис. 2. В доменах Windows 2000 сертификат шифрования файлов EFS отображается так же, как и имя пользователя, например «Администратор».


Именно эта конфигурация предоставляет всем компьютерам возможность шифровать файлы. Чтобы удалить эту возможность, вы должны просто удалить сертификацию администратора из объекта групповой политики. Если вы хотите предоставить EFS только нескольким компьютерам в Active Directory, выполните следующие действия:



  1. Создайте новый объект групповой политики и привяжите его к организационному подразделению, содержащему все компьютеры, которым необходимо поддерживать шифрование.
  2. Получите доступ к узлу агентов восстановления зашифрованных данных в объекте групповой политики и добавьте сертификат, поддерживающий восстановление данных EFS.

Это предоставит компьютерам, затронутым объектом групповой политики, возможность использовать EFS для данных, хранящихся на компьютерах.


Домены Windows 2003 и 2008 Управление EFS


Более новые домены и операционные системы (более поздние, чем Windows 2000) поддерживают EFS аналогичным образом, но имеют некоторые уникальные отличия.



  1. Агент восстановления данных не требуется для шифрования на компьютерах после Windows 2000.
  2. EFS не контролируется включением сертификата агента восстановления данных в объект групповой политики.
  3. EFS поддерживает многопользовательский доступ к зашифрованным файлам.

Таким образом, для доменов Windows 2003 и 2008 у вас будет другой набор задач, которые необходимо выполнить, чтобы управлять EFS для компьютеров в домене. Однако этот параметр все еще существует в политике домена по умолчанию. Новый путь, к которому вам нужно будет получить доступ:


Конфигурация компьютераПараметры WindowsПараметры безопасностиПолитики открытого ключаШифрование файловой системы


Теперь вместо изменения агента восстановления данных вам нужно будет щелкнуть правой кнопкой мыши узел Encrypting File System. В отображаемом пункте меню выберите Свойства. Оттуда вы увидите флажок «Разрешить пользователям шифровать файлы с помощью шифрованной файловой системы (EFS)» в ваших доменах Windows 2003. Домены Windows Server 2008 радикально изменили интерфейс, предоставив детальную поддержку EFS на этой странице свойств, как показано на рис. 3.


Изображение 24372
Рисунок 3. Windows Server 2008 обеспечивает детальный контроль над EFS


Обратите внимание, что на вкладке «Общие» есть переключатель «Не разрешать». Это конфигурация, которую можно настроить для отключения EFS на всех компьютерах в домене. Также обратите внимание, что в этом диалоговом окне доступно множество других настроек для управления EFS.


Вы также можете настроить таргетинг на определенные компьютеры в домене, выполнив шаги, перечисленные выше в разделе домена Windows 2000.


Резюме


EFS очень мощный и полезный. Он может шифровать данные, хранящиеся на компьютерах с Windows. Шифрование поможет защититься от пользователей или злоумышленников, которые пытаются получить доступ к данным, но не имеют доступа или возможности расшифровать данные. EFS — это двухэтапный процесс, так как сначала на компьютере должна быть включена EFS. Это можно контролировать с помощью групповой политики, когда компьютеры присоединяются к домену. Администраторы имеют право включать или отключать EFS на любом компьютере в домене, настроив объект групповой политики. Если отключить EFS для всех компьютеров в домене, а затем создать и настроить новый объект групповой политики, только указанные компьютеры смогут использовать EFS.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023