Ми ћемо се позабавити питањем од виталног значаја у нашој улози администратора, а то је питање које се односи на сигурност информација у нашој мрежи, сви знамо да организације морају осигурати сигурност и доступност информација будући да постоји подаци који су изузетно деликатни и ако су украдени, хаковани или нека друга врста ситуације могу изазвати проблеме не само за организацију већ и за особу задужену за област система.
Пре него што почнемо, погледајмо шта је Термин шифровања и какве нам користи може понудити; Шифрирање једноставно претвара податке које имамо у датотеку коју је немогуће прочитати за другог корисника који није овлаштен за приступ тим подацима. Постоји и процес дешифровања, који није ништа друго до претварање шифрованих података у првобитно стање.
постоје 3 врсте алгоритама за шифровање:
СиметричноТо је онај који користи једноставан кључ за шифровање или дешифровање датотеке.
АсиметричнаТо је онај који користи два математички повезана кључа, једним је датотека шифрована, а другим се дешифрује.
Хасх типеОва врста шифрирања функционира само на један начин, односно након шифрирања не може се дешифрирати.
Данас Виндовс Сервер 2012 укључује две (2) технологије шифровања
- Систем за шифровање датотека - Шифровање датотечног система (ЕФС)
- БитлЛоцкер шифровање уређаја - БитЛоцкер шифровање диск јединице
Почнимо са практичним делом, идемо на следеће поглавље кликом на следеће.
1. Шифрујте или дешифрујте датотеке помоћу ЕФС -а
Може шифрирање датотека на НТФС свескама а за његову употребу корисник мора имати приступне кодове, када отворимо (са важећом лозинком) датотека са ЕФС -ом ће се аутоматски дешифровати, а ако је сачувамо биће дешифрована.
Шифрујте датотеку помоћу ЕФС -а
Процес за шифрирање датотеке помоћу ЕФС -а је следеће:
Морамо десним тастером миша кликнути на фасциклу или датотеку коју желимо да шифрујемо и изабрати опцију Својства (уреди):
На картици Генерал ми бирамо опцију Напредне опције.
Опција ће се приказати Напредни атрибути.
Бирамо опцију Шифрирајте садржај ради заштите података, кликнемо на Да прихвати.
Видећемо да је наша шифрована фасцикла истакнута.
БелешкаАко унутар директоријума који имамо имамо подмапе, систем ће нас приликом примене промена питати да ли желимо да применимо ове промене на све фасцикле (укључујући подмапе) или само на основни директоријум
Бирамо најприкладнију опцију и кликнемо на Да прихвати.
Дешифрујте датотеку или фасциклу помоћу ЕФС -а
Да бисмо дешифровали датотеку или фасциклу, извршавамо следећи процес:
Кликните десним тастером миша и изаберите својства:
На картици Генерал ми бирамо Напредне опције:
Прозор од Напредни атрибути и морали бисмо поништите избор опција Шифрирајте садржај ради заштите података:
Кликнемо на Да прихвати И Применити да бисте сачували промене.
Сетимо се ових важних аспеката при раду са ЕФС шифровање:
- Мапе можемо шифрирати само помоћу НТФС волумена.
- Фасцикла ће се аутоматски дешифровати када је преместимо или копирамо на други НТФС волумен.
- Датотеке које су системски корен не могу се шифровати.
- Коришћење ЕФС -а није гаранција да се наше датотеке могу избрисати, да бисмо то избегли, морамо да користимо НТФС дозволе.
2. Делите датотеке заштићене ЕФС-ом са другим корисницима
Како да делите датотеке заштићене ЕФС -ом са другим корисницима? Ово је веома тражено питање у овој области, али не брините, оно има решење. Када датотеку шифрујемо помоћу ЕФС -а, само корисници који су је шифровали могу имати приступ тој датотеци, али у најновијим верзијама НТФС -а можемо додати сертификат нашој шифрованој датотеци или фасцикли да бисмо је поделили са другим људима.
Да бисмо извршили овај процес, морамо извршити следеће кораке:
Десним тастером миша кликните на фасциклу или датотеку да бисте је поделили и изабрали Пропертиес.
У прозору Својства (уреди) ми бирамо Напредне опције.
Тамо је прозор Напредни атрибути, морамо изабрати опцију Детаљи.
И у приказаном прозору једноставно додајемо кориснике са којима ће се делити и кликните на Да прихвати.
У случају да је неко ко је управљао ВРИ напустио организацију или заборавио лозинку за шифровање, можемо користити ДРА (Дата Рецовери Агент-Дата Рецовери Агент).
За то ћемо извршити следећи процес:
- Отварамо наше Администратор смерница групе (У нашем менаџеру сервера или администратору сервера, мени Алати).
- Размештамо шуму и домен.
- Кликните десним тастером миша на Подразумеване смернице или подразумеване смернице домена, бирамо Уредити:
Када се прозор за уређивање отвори, идемо на следећу руту:
- Конфигурација рачунара
- Политике
- Виндовс опције
- Безбедносне поставке
- Политике јавних кључева
Ми бирамо Систем за шифровање датотека (Шифровање датотечног система) и тамо кликнемо десним тастером миша и изаберемо Креирајте агента за опоравак података (Креирајте агента за опоравак података).
Кликнемо на Систем за шифровање датотека (Шифровање датотечних система), бирамо сертификате и затварамо уређивач групе.
3. Управљање сертификатима
Када први пут креирамо датотеку, систем ће аутоматски креирати сертификат за шифровање. Можемо да направимо резервну копију наведеног сертификата, за ово идемо на наредбу Екецуте или кључеве:
Виндовс + Р.
И уносимо следеће:
цертмгр.мсц
У приказаном прозору бирамо Особље / сертификати, у приказаном сертификату кликнемо десним тастером миша и изаберемо За извоз.
Отвориће се чаробњак за извоз, кликните на Следећи.
Бирамо да ли желимо да пошаљемо приватни кључ:
Кликнемо на Следећи, бирамо врсту формата и поново кликнемо на Следећи.
Кликнемо на Следећи, тражимо наш сертификат и кликнемо на Финализе
4. Шифрирање датотека помоћу Битлоцкера
Витх БитЛоцкер (БДЕ-БитЛоцкер шифровање диск јединице) Могуће је шифровање читавих свезака, па ако изгубимо уређај, подаци ће остати шифровани чак и ако су инсталирани на другом месту.
БДЕ користи нову функцију која се зове Модул платформе од поузданог ТПМ-а - Поуздани модул платформе, и то омогућава већу сигурност у случају спољног напада.БитЛоцкер користи ТПМ за проверу покретања и покретања сервера и гарантује да је чврсти диск у оптималним условима безбедности и рада.
Постоје неке Захтеви које морамо узети у обзир да бисмо имплементирали шифровање помоћу БитЛоцкера, су:
- Рачунар са ТПМ -ом.
- Уклоњиви уређај за складиштење, попут УСБ -а, па у случају да рачунар нема ТПМ, ТПМ складишти кључ на том уређају.
- Најмање 2 партиције на чврстом диску.
- БИОС компатибилан са ТПМ -ом, ако то није могуће, морамо ажурирати наш БИОС користећи БитЛоцкер.
ТПМ је доступан у следећим верзијама оперативног система Виндовс за личне рачунаре:
- Виндовс 7 Ултимате
- Виндовс 7 Ентерприсе
- Виндовс 8 Про
- Виндовс 8 Ентерприсе
БитЛоцкер се обично не користи на серверима, али може повећати сигурност комбиновањем са преласком кластера.
Бит Лоцкер може подржати следеће формате:
- ФАТ16
- ФАТ32
- НТФС
- САТА
- АТА, итд
БитЛоцкер не подржава:
- Системске датотеке ЦД -а или ДВД -а
- иСЦИ
- Влакно
- Блуетоотх
БитЛоцкер у свом раду користи 5 режима рада:
ТПМ + ПИН (лични идентификациони број) + лозинкаСистем шифрира информације помоћу ТПМ -а, додатно администратор мора да унесе свој ПИН и лозинку за приступ
ТПМ + кључСистем шифрира информације помоћу ТПМ -а и администратор мора да обезбеди приступни кључ
ТПМ + ПИНСистем шифрира информације помоћу ТПМ -а и администратор мора да му достави приступну идентификацију
Само кључАдминистратор мора да унесе лозинку за приступ за управљање
Само ТПМАдминистратор не захтева ништа
5. Како инсталирати Битлоцкер
Поступак инсталирања ове функције је следећи:
Идемо на Сервер Администратор или Сервер Манагер и бирамо Додајте улоге и функције који се налази у брзом покретању или у менију Управљати:
ЕНЛАРГЕ
У приказаном прозору кликнемо на Следећи, ми бирамо Инсталација заснована на улогама или функцијама, поново кликнемо на Следећи:
У следећем прозору бирамо наш сервер и кликнемо на Следећи, у прозору улоге на који кликнемо Следећи јер ћемо додати функцију а не улогу. У прозору од Изаберите функције ми бирамо опцију БитЛоцкер шифровање диск јединице.
Као што видимо на десном панелу имамо кратак преглед функција ове функције, кликните на Следећи. Појавиће се прозор са резимеом онога што ћемо урадити:
Кликнемо на Инсталирај да започнете процес:
Некада наше БитЛоцкер функција морамо поново покренути сервер.
6. Утврдите да ли наш рачунар има ТПМ
Модул поуздане платформе је познато (ТПМ). У БитЛоцкер -у, ТПМ чип се користи за заштиту кључева за шифровање и потврду идентитета обезбеђујући интегритет са поверењем.
Морамо да одемо да бисмо утврдили да ли имамо опцију ТПМ Контролна табла и ми бирамо опцију Сигурност:
Једном прозор од Сигурност ми бирамо Битлоцкер диск шифровање.
Видећемо да у доњем левом окну имамо опцију ТПМ манагемент.
Кликнемо на ову опцију, ТПМ манагемент и видећемо да ли наш тим има инсталирану ову функцију:
7. БитЛоцкер активација
До омогућите БитЛоцкер морамо ићи на:
- Контролна табла
- Сигурност
- Битлоцкер диск шифровање
Бирамо опцију Омогућите БитЛоцкер, процес омогућавања ће започети:
Систем ће назначити неке од следећих опција:
У овом примеру бирамо Унесите лозинку
Систем ће нам рећи шта да радимо са нашом лозинком:
У нашем случају ми бирамо Сачувај у датотеку:
Сачувамо лозинку и кликните на Следећи, тамо нам систем говори коју врсту шифровања желимо да извршимо, целу јединицу или само простор на диску, које бирамо према нашој конфигурацији.
Бирамо и кликнемо на Следећи и на крају настављамо са шифровањем наше јединице.
ПажњаАко из неког хардверског разлога наш рачунар не прође ТПМ тест, можемо покренути следећи процес да бисмо омогућили активирање БитЛоцкера:
- Извршавамо наредбу гпедит.мсц у Трцати
- Улазимо на следећу руту: Конфигурација рачунара / Административни предлошци / Виндовс компоненте / Битлоцкер диск шифровање / Дискови оперативних система.
- Двапут кликнемо на ову последњу опцију.
- Омогућавамо смернице кликом на Омогући.
- Штедимо и можемо без проблема извршити активацију.
Шта је БитЛоцкер то го?Битлоцкер То Го је функција која нам омогућава шифровање наших флеш дискова, за то морамо да следимо претходни корак одабира флеш диска.
БитЛоцкер пред-обезбеђивањеОва опција вам омогућава да конфигуришете Битлоцкер од пре инсталације оперативног система, за то морамо да конфигуришемо опцију Виндовс ПЕ за окружење прединсталације Виндовс помоћу наредбе Манаге -бде -он к:
Укратко, можемо рећи да имамо алате који нам пружају већу сигурност за наше датотеке и фасцикле, а све у сврху очувања њиховог интегритета.
Ако желите више информација о ДФС -у, не заборавите да посетите званичну веб локацију компаније Мицрософт.
Шифрујте Виндовс 10 дискове помоћу БитЛоцкера
