nhatphuc
05-28-2008, 10:10 AM
1) EFS là gì ?
EFS là viết tắt của Encrypting File System. EFS có từ thời Windows 2000/2003/2008 trên dòng server và WIndows 2000/XP/Vista trên dòng máy trạm. EFS được sử dụng như một lớp bảo vệ dữ liệu bên ngoài lớp bảo vệ NTFS cho truy xuất nội bộ và NTFS + File Sharing Permission cho truy cập qua phần chia sẻ hay NTFS + IIS Web Permission cho truy cập qua web.
2) EFS kiểm soát việc truy cập dữ liệu ra sao ?
EFS về bản chất sử dụng chứng chỉ điện tử (digital certificate) do nền tảng khóa công khai PKI cung cấp để kiểm soát việc ai được truy cập vào tập tin/ thư mục được EFS bảo vệ.
EFS sử dụng các thuật toán DESX/3DES/AES với số lượng bit lên đến 256 bit để bảo vệ mã cá nhân (Private Key). Hiện có một số công cụ tự nhận là bẻ khóa được EFS nhưng bản chất ko pải là giải mã được mã khóa cá nhân mà chỉ dùng cách tấn công Brutal Force đề quét ra chuỗi khóa Private Key. Tuy nhiên bạn cần một máy tính siêu mạnh để thực hiện việc bẻ khóa một tài liệu được bảo vệ ở chế độ 256 bit.
3) EFS mã hóa tài liệu ra sao ?
EFS Component Driver sẽ kiểm tra tính tương tác với NTFS.
EFS Driver tìm kiếm chữ kí Private Key của người mã hóa tài liệu trong Local Cert Store.
Nếu ko tìm thấy EFS Driver sẽ đăng kí để lấy chữ kí private key cho người dùng từ CA.
Nếu EFS Driver tiếp tục ko kết nối được với CA nó sẽ tự tạo ra một chứng chỉ (self-signing)
EFS tạo ra khóa FEK và mã hóa nội dung tài liệu với thuật toán DESX/3DES/AES.
EFS tiếp tục dùng khóa công khai của người dùng đễ mã hóa tiếp khóa FEK với thuật toán RSA
EFS sẽ lưu khóa FEK đã mã hóa trong Header DDF của tập tin mã hóa. Nếu quản trị đã cấu hình DRA thì khóa của agent này cũng sẽ được lưu trong DDF.
Khi người dùng truy cập tập tin mã hóa thì pải có sẵn chứng chỉ private key thì mới xem được tập tin.
DRA phải import Private key mới có thể mở mã hóa của tài liệu được bảo vệ bởi EFS
4) EFS được sử dụng trong những tình huống an ninh nào ?
- Bảo vệ tài liệu trên máy tính cá nhân:
Máy tính cá nhân bị mất cắp và hacker ko thể bẻ khóa mật khẩu buộc pải sử dụng công cụ để reset mật khẩu tài khoản. Nếu chỉ dùng NTFS thì hacker hoàn toàn có thể truy cập dữ liệu. Với EFS nó sẽ kiểm tra chữ kí điện tử và nếu password bị thay đổi nó sẽ lập tức khóa quyền truy cập.
Máy tính cá nhân bị mất cắp và hacker sử dụng OS thứ 2 để truy cập dữ liệu như WinPE/Linux chạy trên CD hoặc đơn giản là xóa OS hiện tại và cài lại một OS khác. Nếu chỉ dùng NTFS thì hacker hoàn toàn có thể truy cập dữ liệu. Với những tài liệu được bảo vệ bằng EFS sẽ được bảo vệ triệt để.
Nhiều tài khoản quản trị trên một máy tính thì việc bảo vệ hữu hiệu chỉ có thể là EFS. Mọi người đều biết NTFS ko thể ngăn chặn 1 user quản trị truy cập trái phép thông qua việc đoạt quyền Owner trên tập tin/thư mục.Note: EFS là công cụ duy nhất để bảo vệ dữ liệu khi máy bị mất cắp trên Windows 2000/2003 và Windows 2000/XP. trên Windows 2008/Vista thì ta có thể sử dụng kết hợp EFS và BitLocker để protect cả HDD của HĐH.
- Tăng tính an toàn trong môi trường làm việc:
Bảo vệ tài liệu cá nhân: trong môi trường AD thì người dùng với tài khoản có thể đăng nhập local (local logon) trên máy tính bất kì trong Forest nếu ko bị GPO khóa đăng nhập trên máy đó. Nên biện pháp EFS sẽ bảo vệ dữ liệu rơi vào tay những kẻ ác ý.
Bảo vệ trong môi trường làm việc nhóm: nhóm làm việc có thể sử dụng EFS để đảm bảo tài liệu được chia sẻ trên File Server được an toàn khỏi những con mắt dòm ngó của những người dùng nguy hiểm hoặc thậm chí là của Admin.
Bảo vệ tài liệu được lưu offline trên máy: tính năng Offline cho phép người dùng lưu local nội dung data trên máy chủ file. EFS cũng cho phép mã hóa bảo vệ những tài liệu này.Note: EFS ko thể mã hóa và bảo vệ tài liệu được chia sẻ qua hình thức http, Sharepoint, OCS, Email.
Note: Trên Windows Server 2008, EFS có thể sử dụng kết hợp với Smart Card để tăng tính bảo an tối đa để bảo vệ và xác thực việc truy cập dữ liệu. Khi đó chứng nhận Private Key của người dùng sẽ được lưu trên thẻ Smart Card.
4) EFS ko được sử dụng trong trường hợp nào ?
EFS ko thể bảo vệ tập tin mã hóa chuyển từ file server đến máy người dùng trong mạng. Khi đó phải sử dụng IPSec để bảo vệ dữ liệu truyền trên mạng.
EFS ko thể mã hóa dữ liệu trên bản FAT16/32.
EFS ko thể sử dụng với MOSS để mã hóa dữ liệu. Giải pháp là dùng IRM trên MOSS 2007 hoặc RMS trên Windows 2003 Family hoặc AD RMS trên WIndows Server 2008.5) EFS làm việc với môi trường ko có PKI hay ko ?
EFS có thể làm việc cả dưới môi trường có hoặc ko có PKI:
Ko có PKI: trong môi trường này còn được gọi là Standalone tức chính bản thân máy tính đó sẽ issue chứng nhận cho người dùng khởi tạo mã hóa.
Có PKI: EFS sẽ xin chứng chỉ private key từ PKI được store trên Root CA (Standalone/Enterprise)/ Issue CA hoặc lấy từ AD.Note: Việc triển khai EFS trong môi trường domain là khuyến cao để tăng tính tập trung khi cấp phát chứng chỉ và việc quản lý DRA. Ngoài ra việc sử dụng Domain cho EFS cũng là khuyến cáo nếu muốn sử dụng EFS trong tình huống làm việc nhóm.
6) EFS cần cân nhắc trước khi triển khai ?
EFS sử dụng Private key của người dùng cho việc xác thực quyền truy cập. Vì vậy nếu người dùng mất Private key do mất Profile, mất mật khẩu, bị xóa tài khoản, máy tính bị cài lại thì sẽ ko thể truy cập vào file bị mã hóa được nữa.
EFS mặc định trên Windows 2000 cấu hình DRA là Administrator Local cho trường hợp Stand-alone hoặc Domain Admin với môi trường Domain. Nhưng EFS trên Wins XP/Vista và Wins 2k3/2k8 thì mặc định ko cần DRA vì vậy nếu người dùng ko được đào tạo sẽ tạo ra nguy cơ mất dữ liệu rất lớn khi dùng Windows XP/Vista.
EFS gặp nhiều khó khăn trong việc triển khai chia sẻ với các hệ thống cũ như Windows 9x hoặc trên nền tảng không phải Microsoft.
EFS ko bảo vệ dữ liệu truyền qua mail, qua MOSS, OCS.
EFS ko mã hóa dữ liệu truyển gửi qua mạng từ file server đến máy trạm.7) Triển khai Stand-alone EFS trên Windows XP/Vista ra sao ?
Mặc định EFS được bật và có thể sử dụng với bài hướng dẫn (http://support.microsoft.com/kb/307877).
Triển khai DRA:
Logon bằng tài khoản DRA (phải là admin local)
Sử dụng cipher /r để tạo ra private key cho DRA.
Sử dụng cipher /u để re-active DRA cho những tập tin được mã hóa trước khi có DRA.
Backup private key và xóa đi.
Khôi phụ tài liệu EFS:
Logon bằng tài khoản DRA và copy trở lại private key từ backup.
Sử dụng Secpol.msc (Local Policy) để add private key của DRA theo bước "In the Local Security Settings MMC/ Public Key Policies/ Encrypting File System"
Sử dụng Certmgr.msc để import private vào phần Personal.
Truy cập vào tập tin EFS và giải mã.
8) Đâu là giải pháp hiệu quả nhất cho việc triển khai EFS trên môi trường Stand-alone ?
Khóa EFS trên những máy tính ko cần thiết sử dụng EFS bằng Local Policy hoặc Registry để tránh nguy cơ mất mát dữ liệu do vô tình mã hóa bằng EFS.
EFS dựa trên mật khẩu người dùng để kiểm tra chứng chỉ private key vì vậy nếu mật khẩu bị thay đổi sẽ ko thể truy cập vào tài liệu. Vì vậy cần tạo đĩa sao lưu mật khẩu với tính năng password-reset disk có trên Windows Xp/Vista.
Sử dụng ít nhất số lượng DRA để tăng độ tin cậy cho việc bảo an bằng EFS.
Xóa private key của DRA khỏi máy khi đã thực hiện backup.
Thực hiên việc mã hóa bằng EFS ở mức folder sẽ hiệu quả hơn là ở mức tập tin.
Sử dụng cipher với môi trường cluster.9) Triển khai EFS trong môi trường PKI và domain Windows Server 2003/2008 ra sao ?
Triển khai PKI với việc cài đặt dịch vụ Certificate Authority.
Triển khai Stand-alone Root Ca trên một máy ko join domain.
Triển khai Enterise Sub CA trên Domain Controller hoặc trên một CA Server.
Cấu hình template cho việc cấp phát chứng chỉ cho việc sử dụng EFS.
vào CA MMC từ Admin Tool.
Vào CA Template/ Manage.
Nhân bản Basic EFS template và set permission cho phòng ban cần sử dụng EFS chẳng hạn HR User với các quyền Read, Enroll và Autoenroll để CA tự cấp phát chứng chỉ cho người dùng khi họ khởi tại mã hóa.
Triển khai EFS cho domain với GPO:
Tạo từng EFS GPO cho từng phòng ban cần thiết theo OU.
Cấu hình để GPO cho phép người dùng tự động enroll chứng chỉ để khởi tạo mã hóa (User Configuration/Windows Settings/Security Settings/Public Key Policies)
Triển khai DRA cho phòng Ban HR
Vào OU HR tạo 1 tài khoản DRA-HR-EFS.
Cấu hình template cho việc cấp phát chứng chỉ EFS Recovery Agent.
vào CA MMC từ Admin Tool.
Vào CA Template/ Manage.
Nhân bản EFS Recovery Agent template và publish lên AD sau đó set permission cho tài khoản DRA-HR-EFS cần khôi phục EFS với các quyền Read, Enroll để CA tự cấp phát chứng chỉ cho người dùng khi họ khởi tại mã hóa
Đăng nhập bằng tài khoản DRA-HR-EFS.
Request chứng chỉ bằng Certmgr.msc hoặc qua web với http://ca-server/certsrv (http://ca-server/certsrv).
Import chứng chỉ từ thư mục Personal và xóa chứng chỉ khỏi máy.
Kiểm tra lại xem chứng chỉ cho DRA-HR-EFS trong AD USer and Computer với Mode view là Advance Feature.
Triển khai EFS Recovery GPO cho phòng ban HR:
Config EFS GPO cho HR OU hoặc tạo mới một EFS Recovery GPO.
Thêm Recovery Agent DRA-HR-EFS bằng cách tìm kiếm và add chứng chỉ của user này.
Phục hồi dữ liệu EFS
Log on với tài khoàn DRA cho phòng ban ví dụ DRA-HR-EFS.
Dùng Certmgr.msc để kiểm tra chứng chỉ cho DRA-HR-EFS từ thư mục Personal.
Giải mã tập tin bị mã hóa.
10) Đâu là giải pháp hiệu quả nhất cho việc triển khai EFS trên môi trường PKI + domain ?
Sử dụng GPO để khóa EFS cho những phòng ban ko cần thiết.
Survey và pilot EFS kĩ lưỡng trước khi áp dụng vào cty.
Ghi nhận những sự cố an ninh và những yêu cầu từ phía người dùng cuối.
Xem xét EFS với nhu cầu an ninh và chính sách an ninh hiện tại.
Thực hiện testing và viết chính sách an ninh cho EFS.
Xây dựng mô hình lab ảo giả lập môi trường thật để thử nghiệm và ghi nhận kết quả vào form survey.
Viết Procudure triển khai, sử dụng, khôi phục sự cố.
Đào tạo cho người dùng cuối hiểu biết về EFS.
Triển khai 2 DRA ví dụ 1 domain admin default và 1 DRA tại từng phòng ban.
Bảo vệ chứng chỉ của DRA với việc triển khai máy trạm phục hồi.
Backup file cần giải mã bằng NtBackup.
Phục hồi trên máy trạm chuyên dụng cho việc phục hồi.
Giải mã tập tin bằng khóa của DRA
Microsoft Vietnam
EFS là viết tắt của Encrypting File System. EFS có từ thời Windows 2000/2003/2008 trên dòng server và WIndows 2000/XP/Vista trên dòng máy trạm. EFS được sử dụng như một lớp bảo vệ dữ liệu bên ngoài lớp bảo vệ NTFS cho truy xuất nội bộ và NTFS + File Sharing Permission cho truy cập qua phần chia sẻ hay NTFS + IIS Web Permission cho truy cập qua web.
2) EFS kiểm soát việc truy cập dữ liệu ra sao ?
EFS về bản chất sử dụng chứng chỉ điện tử (digital certificate) do nền tảng khóa công khai PKI cung cấp để kiểm soát việc ai được truy cập vào tập tin/ thư mục được EFS bảo vệ.
EFS sử dụng các thuật toán DESX/3DES/AES với số lượng bit lên đến 256 bit để bảo vệ mã cá nhân (Private Key). Hiện có một số công cụ tự nhận là bẻ khóa được EFS nhưng bản chất ko pải là giải mã được mã khóa cá nhân mà chỉ dùng cách tấn công Brutal Force đề quét ra chuỗi khóa Private Key. Tuy nhiên bạn cần một máy tính siêu mạnh để thực hiện việc bẻ khóa một tài liệu được bảo vệ ở chế độ 256 bit.
3) EFS mã hóa tài liệu ra sao ?
EFS Component Driver sẽ kiểm tra tính tương tác với NTFS.
EFS Driver tìm kiếm chữ kí Private Key của người mã hóa tài liệu trong Local Cert Store.
Nếu ko tìm thấy EFS Driver sẽ đăng kí để lấy chữ kí private key cho người dùng từ CA.
Nếu EFS Driver tiếp tục ko kết nối được với CA nó sẽ tự tạo ra một chứng chỉ (self-signing)
EFS tạo ra khóa FEK và mã hóa nội dung tài liệu với thuật toán DESX/3DES/AES.
EFS tiếp tục dùng khóa công khai của người dùng đễ mã hóa tiếp khóa FEK với thuật toán RSA
EFS sẽ lưu khóa FEK đã mã hóa trong Header DDF của tập tin mã hóa. Nếu quản trị đã cấu hình DRA thì khóa của agent này cũng sẽ được lưu trong DDF.
Khi người dùng truy cập tập tin mã hóa thì pải có sẵn chứng chỉ private key thì mới xem được tập tin.
DRA phải import Private key mới có thể mở mã hóa của tài liệu được bảo vệ bởi EFS
4) EFS được sử dụng trong những tình huống an ninh nào ?
- Bảo vệ tài liệu trên máy tính cá nhân:
Máy tính cá nhân bị mất cắp và hacker ko thể bẻ khóa mật khẩu buộc pải sử dụng công cụ để reset mật khẩu tài khoản. Nếu chỉ dùng NTFS thì hacker hoàn toàn có thể truy cập dữ liệu. Với EFS nó sẽ kiểm tra chữ kí điện tử và nếu password bị thay đổi nó sẽ lập tức khóa quyền truy cập.
Máy tính cá nhân bị mất cắp và hacker sử dụng OS thứ 2 để truy cập dữ liệu như WinPE/Linux chạy trên CD hoặc đơn giản là xóa OS hiện tại và cài lại một OS khác. Nếu chỉ dùng NTFS thì hacker hoàn toàn có thể truy cập dữ liệu. Với những tài liệu được bảo vệ bằng EFS sẽ được bảo vệ triệt để.
Nhiều tài khoản quản trị trên một máy tính thì việc bảo vệ hữu hiệu chỉ có thể là EFS. Mọi người đều biết NTFS ko thể ngăn chặn 1 user quản trị truy cập trái phép thông qua việc đoạt quyền Owner trên tập tin/thư mục.Note: EFS là công cụ duy nhất để bảo vệ dữ liệu khi máy bị mất cắp trên Windows 2000/2003 và Windows 2000/XP. trên Windows 2008/Vista thì ta có thể sử dụng kết hợp EFS và BitLocker để protect cả HDD của HĐH.
- Tăng tính an toàn trong môi trường làm việc:
Bảo vệ tài liệu cá nhân: trong môi trường AD thì người dùng với tài khoản có thể đăng nhập local (local logon) trên máy tính bất kì trong Forest nếu ko bị GPO khóa đăng nhập trên máy đó. Nên biện pháp EFS sẽ bảo vệ dữ liệu rơi vào tay những kẻ ác ý.
Bảo vệ trong môi trường làm việc nhóm: nhóm làm việc có thể sử dụng EFS để đảm bảo tài liệu được chia sẻ trên File Server được an toàn khỏi những con mắt dòm ngó của những người dùng nguy hiểm hoặc thậm chí là của Admin.
Bảo vệ tài liệu được lưu offline trên máy: tính năng Offline cho phép người dùng lưu local nội dung data trên máy chủ file. EFS cũng cho phép mã hóa bảo vệ những tài liệu này.Note: EFS ko thể mã hóa và bảo vệ tài liệu được chia sẻ qua hình thức http, Sharepoint, OCS, Email.
Note: Trên Windows Server 2008, EFS có thể sử dụng kết hợp với Smart Card để tăng tính bảo an tối đa để bảo vệ và xác thực việc truy cập dữ liệu. Khi đó chứng nhận Private Key của người dùng sẽ được lưu trên thẻ Smart Card.
4) EFS ko được sử dụng trong trường hợp nào ?
EFS ko thể bảo vệ tập tin mã hóa chuyển từ file server đến máy người dùng trong mạng. Khi đó phải sử dụng IPSec để bảo vệ dữ liệu truyền trên mạng.
EFS ko thể mã hóa dữ liệu trên bản FAT16/32.
EFS ko thể sử dụng với MOSS để mã hóa dữ liệu. Giải pháp là dùng IRM trên MOSS 2007 hoặc RMS trên Windows 2003 Family hoặc AD RMS trên WIndows Server 2008.5) EFS làm việc với môi trường ko có PKI hay ko ?
EFS có thể làm việc cả dưới môi trường có hoặc ko có PKI:
Ko có PKI: trong môi trường này còn được gọi là Standalone tức chính bản thân máy tính đó sẽ issue chứng nhận cho người dùng khởi tạo mã hóa.
Có PKI: EFS sẽ xin chứng chỉ private key từ PKI được store trên Root CA (Standalone/Enterprise)/ Issue CA hoặc lấy từ AD.Note: Việc triển khai EFS trong môi trường domain là khuyến cao để tăng tính tập trung khi cấp phát chứng chỉ và việc quản lý DRA. Ngoài ra việc sử dụng Domain cho EFS cũng là khuyến cáo nếu muốn sử dụng EFS trong tình huống làm việc nhóm.
6) EFS cần cân nhắc trước khi triển khai ?
EFS sử dụng Private key của người dùng cho việc xác thực quyền truy cập. Vì vậy nếu người dùng mất Private key do mất Profile, mất mật khẩu, bị xóa tài khoản, máy tính bị cài lại thì sẽ ko thể truy cập vào file bị mã hóa được nữa.
EFS mặc định trên Windows 2000 cấu hình DRA là Administrator Local cho trường hợp Stand-alone hoặc Domain Admin với môi trường Domain. Nhưng EFS trên Wins XP/Vista và Wins 2k3/2k8 thì mặc định ko cần DRA vì vậy nếu người dùng ko được đào tạo sẽ tạo ra nguy cơ mất dữ liệu rất lớn khi dùng Windows XP/Vista.
EFS gặp nhiều khó khăn trong việc triển khai chia sẻ với các hệ thống cũ như Windows 9x hoặc trên nền tảng không phải Microsoft.
EFS ko bảo vệ dữ liệu truyền qua mail, qua MOSS, OCS.
EFS ko mã hóa dữ liệu truyển gửi qua mạng từ file server đến máy trạm.7) Triển khai Stand-alone EFS trên Windows XP/Vista ra sao ?
Mặc định EFS được bật và có thể sử dụng với bài hướng dẫn (http://support.microsoft.com/kb/307877).
Triển khai DRA:
Logon bằng tài khoản DRA (phải là admin local)
Sử dụng cipher /r để tạo ra private key cho DRA.
Sử dụng cipher /u để re-active DRA cho những tập tin được mã hóa trước khi có DRA.
Backup private key và xóa đi.
Khôi phụ tài liệu EFS:
Logon bằng tài khoản DRA và copy trở lại private key từ backup.
Sử dụng Secpol.msc (Local Policy) để add private key của DRA theo bước "In the Local Security Settings MMC/ Public Key Policies/ Encrypting File System"
Sử dụng Certmgr.msc để import private vào phần Personal.
Truy cập vào tập tin EFS và giải mã.
8) Đâu là giải pháp hiệu quả nhất cho việc triển khai EFS trên môi trường Stand-alone ?
Khóa EFS trên những máy tính ko cần thiết sử dụng EFS bằng Local Policy hoặc Registry để tránh nguy cơ mất mát dữ liệu do vô tình mã hóa bằng EFS.
EFS dựa trên mật khẩu người dùng để kiểm tra chứng chỉ private key vì vậy nếu mật khẩu bị thay đổi sẽ ko thể truy cập vào tài liệu. Vì vậy cần tạo đĩa sao lưu mật khẩu với tính năng password-reset disk có trên Windows Xp/Vista.
Sử dụng ít nhất số lượng DRA để tăng độ tin cậy cho việc bảo an bằng EFS.
Xóa private key của DRA khỏi máy khi đã thực hiện backup.
Thực hiên việc mã hóa bằng EFS ở mức folder sẽ hiệu quả hơn là ở mức tập tin.
Sử dụng cipher với môi trường cluster.9) Triển khai EFS trong môi trường PKI và domain Windows Server 2003/2008 ra sao ?
Triển khai PKI với việc cài đặt dịch vụ Certificate Authority.
Triển khai Stand-alone Root Ca trên một máy ko join domain.
Triển khai Enterise Sub CA trên Domain Controller hoặc trên một CA Server.
Cấu hình template cho việc cấp phát chứng chỉ cho việc sử dụng EFS.
vào CA MMC từ Admin Tool.
Vào CA Template/ Manage.
Nhân bản Basic EFS template và set permission cho phòng ban cần sử dụng EFS chẳng hạn HR User với các quyền Read, Enroll và Autoenroll để CA tự cấp phát chứng chỉ cho người dùng khi họ khởi tại mã hóa.
Triển khai EFS cho domain với GPO:
Tạo từng EFS GPO cho từng phòng ban cần thiết theo OU.
Cấu hình để GPO cho phép người dùng tự động enroll chứng chỉ để khởi tạo mã hóa (User Configuration/Windows Settings/Security Settings/Public Key Policies)
Triển khai DRA cho phòng Ban HR
Vào OU HR tạo 1 tài khoản DRA-HR-EFS.
Cấu hình template cho việc cấp phát chứng chỉ EFS Recovery Agent.
vào CA MMC từ Admin Tool.
Vào CA Template/ Manage.
Nhân bản EFS Recovery Agent template và publish lên AD sau đó set permission cho tài khoản DRA-HR-EFS cần khôi phục EFS với các quyền Read, Enroll để CA tự cấp phát chứng chỉ cho người dùng khi họ khởi tại mã hóa
Đăng nhập bằng tài khoản DRA-HR-EFS.
Request chứng chỉ bằng Certmgr.msc hoặc qua web với http://ca-server/certsrv (http://ca-server/certsrv).
Import chứng chỉ từ thư mục Personal và xóa chứng chỉ khỏi máy.
Kiểm tra lại xem chứng chỉ cho DRA-HR-EFS trong AD USer and Computer với Mode view là Advance Feature.
Triển khai EFS Recovery GPO cho phòng ban HR:
Config EFS GPO cho HR OU hoặc tạo mới một EFS Recovery GPO.
Thêm Recovery Agent DRA-HR-EFS bằng cách tìm kiếm và add chứng chỉ của user này.
Phục hồi dữ liệu EFS
Log on với tài khoàn DRA cho phòng ban ví dụ DRA-HR-EFS.
Dùng Certmgr.msc để kiểm tra chứng chỉ cho DRA-HR-EFS từ thư mục Personal.
Giải mã tập tin bị mã hóa.
10) Đâu là giải pháp hiệu quả nhất cho việc triển khai EFS trên môi trường PKI + domain ?
Sử dụng GPO để khóa EFS cho những phòng ban ko cần thiết.
Survey và pilot EFS kĩ lưỡng trước khi áp dụng vào cty.
Ghi nhận những sự cố an ninh và những yêu cầu từ phía người dùng cuối.
Xem xét EFS với nhu cầu an ninh và chính sách an ninh hiện tại.
Thực hiện testing và viết chính sách an ninh cho EFS.
Xây dựng mô hình lab ảo giả lập môi trường thật để thử nghiệm và ghi nhận kết quả vào form survey.
Viết Procudure triển khai, sử dụng, khôi phục sự cố.
Đào tạo cho người dùng cuối hiểu biết về EFS.
Triển khai 2 DRA ví dụ 1 domain admin default và 1 DRA tại từng phòng ban.
Bảo vệ chứng chỉ của DRA với việc triển khai máy trạm phục hồi.
Backup file cần giải mã bằng NtBackup.
Phục hồi trên máy trạm chuyên dụng cho việc phục hồi.
Giải mã tập tin bằng khóa của DRA
Microsoft Vietnam
