Difference between revisions of "Windows juhend: Kuidas EFS küpeerimist"

From EIK wiki
 
Line 154: Line 154:
  
 
[[Category: Windows-tööjaamade haldamine]]
 
[[Category: Windows-tööjaamade haldamine]]
 +
[[Category: Windows-tööjaamade haldamine 2012]]

Latest revision as of 16:47, 9 September 2013

Mis on EFS?[1]

EFS ehk Encrypting File System ehk eesti keeles failisüsteemi krüptimine on üks Microsoft Windowsi funktsioonidest, mis lisandus NTFS versioonis 3.0. Antud tehnoloogia võimaldab eeldatavalt konfidentsiaalse sisuga failide krüpteerimist võimalike ebasoovitavate isikute eest, kes võivad füüsiliselt arvutile ligi pääseda. EFS on kasutusel kõikides Windowsi versioonides alates Windows 2000st, kuid seda eelkõige ärikasutajatele mõeldud versioonides (Business, Enterprise, Ultimate, Server, Professional).

Kuidas EFS toimib?

EFS kasutab toimimiseks kahte tüüpi võtit: sümmeetrilist(üks võti on failide krüpteerimiseks) ja asümmeetrilist(2võtit on krüpteerimisvõtme kaitsmiseks). Kusjuures erinevates versioonides toimib süsteem ka natukene erinevalt, kuid sellest tuleb juttu natuke hiljem.

Olulised faktid EFSi puhul[2]:

  • Krüpteerimine ei toimu aplikatsiooni tasemel, vaid failisüsteemi tasemel, mistõttu krüpteerimine ja dekrüpteerimine on kasutaja ning aplikatsiooni jaoks läbipaistev. Iga krüpteerimiseks märgistatud kataloogi tõstetav või tekitatav fail krüpteeritakse. Kui kasutaja üritab faili avada, siis peab ta omama võtit ning selle puudumisel saab teate „access denied.“
  • Krüpteerimise sümmeetriline võti krüpteeritakse avaliku võtmega krüpteerimise avalikust võtmepaarist ning dekrüpteerimiseks on vaja ka privaatvõtit. Võtmepaar seotakse kasutaja identiteediga ja tehakse kättesaadavaks kasutajale, kellel on ligipääs kasutaja ID-le ning paroolile.

Kui privaatvõti saab kahjustada või on kadunud, siis ka krüpteerimise teostanud isik kaotab ligipääsu faili sisule. Sel juhul päästab hädast välja taastusagent – seda muidugi juhul kui see on loodud. Nagu ütleb Microsoft, siis „EFS on suurepärane krüpteerimissüsteem, sest puudub tagauks.“

  • Krüpteerimisvõtmeid saab arhiveerida (exportida süsteemivälisele meedia seadmele). Selle abil saabki tagada endale ligipääsu ka algse võtme vigastamise või kaotamise puhul.
  • Krüpteeritud failid ei püsi transportimisel krüpteerituna juhul kui see salvestatakse või avatakse kataloogis kaughaldus serveris. Samas kui kasutada WebDAVi abi ning salvestada failid Web kataloogi, siis on EFS krüpteering võimalik säilitada ka võrgus transportimiseks.
  • Süsteem vastab FIPS 140 standardile, mis on Ameerika valitsuse poolt paika pandud sensitiivsete materjalide säilitamiseks.

EFS Agentide loomine[3]

1. Tuleb luua sobiv turvalisuse grupp.

1.1	Selleks tuleb klikkida start menüül ja üles otsida „Administrative Tools“ ning valida „Active Directory Users and Computers.“
1.2	Tuleb teha vasakul paanil topeltklikk oma domeenil ja parem klikk organisatsiooni üksusel kuhu sa soovid grupi luua – vali „New“ and kliki „Group“-il.
1.3	Sisesta grupi nimi ja vajutada OK.
1.4	Tee parem klikk äsja loodud grupil ja kliki menüü punktil „Properties“ ning vali „members“ sakk. Seal sakil kliki „Add“ nupul selleks, et avada „Select Users, Contacts or Computers“ aken. 
1.5	Avanenud aknas sisesta „Enter the object names to select“ kasti kasutajanimi, mida sa soovid EFS taastusagendina kasutada ja kliki „Check names“, siis kliki OK, et kasutaja lisada ja korda käesolevat   punkti iga kasutaja jaoks.

PS! Kui on soov sertifikaadid hoida Active Directory’s, siis võib selle ja järgmise punkti vahele jätta.

2. Registreerimise määramine grupile.

2.1	Kliki taaskord Start Menüül, siis „Administrative Tools“ ja vali „Active Directory Sites and Services“, et avaneks manageerimise konsool. 
2.2	„View“ menüüst vali „Show services node.“ Selle tagajärjel peaks teenuste konteiner ilmuma „Sites“ alla. 
2.3	Vasakult tuleks laiendada „Services | Public Key Services | Certificate Templates“, samas paremalt paanist tuleks paremklikk teha EFS Recovery’l ja klikkida „properties.
2.4	Seejärel kliki „Security“ sakil, vajuta „Add“, et avada „Select users, computers or groups“ aken. 
2.5	Kirjuta eelmises punktis loodud grupi nimi ja taaskord „Check names“ ja seejärel OK. Kui vaja, siis eemalda üleliigsed grupid ja vajuta OK ning sulge „Active Directory sites and services“ konsool.

3. EFS Taastamisagendi malli muutmine

3.1	Nagu ka eelnevatel kordadel, siis jälle Start menüü ning seekord valida „Run“.
3.2	Kirjuta avanenud aknasse „mmc“ ja vajuta OK, et kasutada Microsoft Management Console’i.
3.3	MMC-s „File“ menüü alt vali „Add/Remove Snap-In.
3.4	Vajuta „Add“ ja Snap-In’ide nimekirjast vali „Certificates Templates“ ning kliki „Add“.
3.5	Sulge „Add Standalone Snap-In“ aken ja seejärel vajuta OK.
3.6	MMC-s peaks nüüd vasakul pool olema „Console Root“ all nähtav „Certificate Templates.“ Vali see ning paremale poole nimekirja peaks ka tekkima „Certificate Templates.“ 
3.7	Tee paremklikk sertifikaadil, mille nimi on „EFS Recovery Agent“ ja vali „Duplicate certificate.“
3.8	Avanenud aknas saad mallile nime anda. Kusjuures jälgi, et „Publish Certificate in Active Directory“ ees oleks linnuke märgitud ning teised väljad võid jätta muutmata.
3.9	Vali „Security“ sakk ja lisa turvagrupp, mille sa tekitasid ning anna sellele vajalikud õigused (Read, Write, Enroll). Seejärel vajuta OK ja sulge ning salvesta mall.

4. Luba taastuspoliis ja taastusagentide lisamine. Kui sa oled domeeni administraatorina sisse logitud, siis saad täita järgmised punktid, kuid pea meeles, et vaikimisi on domeeni admin juba määratud taastusagendiks. Antud punkt on siiski teistele inimestele vastatavate õiguste andmiseks!

4.1	Ava Start menüü ja otsi üles „Administrative Tools“ ning vali „Active Directory Users and Computers“
4.2	Tee paremklikk domeenil või konteineril, kuhu sa tahad taastusagendi määrata ja seejärel vali „properties.“
4.3	Vali „Group Policy“ sakk. Edasi vali „Default Domain Policy“ või mõni muu konteineri poliitika ning kliki „Edit“. Selle tagajärel avaneb grupipoliitika muutmise aken.
4.4	Ava „Computer configuration“ -> „Windows Settings“ -> „Security Settings“ ja kliki „Public Key Policies.“
4.5	Tee paremklikk „Encrypting File System“ konteineril ja vali „Add Data recovery Agent“ ning vajuta „Next“.
4.6	Vali taastusagendid. Kui sertifikaadid on lisatud Active Directory’sse, siis saad kasutada „Browse Directory“ nuppu ja lisada kasutajate kontod. Samas kui neid pole seal, siis tuleks kasutada „Browse Folders“ nuppu, et need sertifikaadid üles otsida.
4.7	Kliki „Next“ ja kui oled kokkuvõtte üle vaadanud, siis  „Finish“

EFS kasutamine[4]

Efs1.png

1. EFS kasutamine on ülimalt lihtne. Kõige pealt tuleb teha paremklikk failil või kataloogil ja valida "Properties"


Efs2.png

2. Avanenud aknas tuleb valida "Advanced"


Efs3.png

3. Selles aknas tuleb märkida linnuke "Encrypt contents to secure data" ette. Seejärel vajutada OK.


Efs4.png

4. Tuleb vajutada OK või Apply olenevalt, mida edasi soovitakse teha.


Efs5.png

5. Peale OK/Apply vajutamist küsitakse, et mida täpselt krüpteerida tuleb - ainult fail või ka kataloog, milles vastav fail asub. Kui valik tehtud, siis tuleb OK vajutada.


Efs6.png

6. Kui kõik läks õigesti, siis esmakordsel krüpteerimisel tekib alla kella juurde selline balloonike.


Efs7.png

7. Kuuenda punkti balloonil klikkides avaneb selline aken. Soovitav on valida esimene punkt.


Efs8.png

8. Kui valiti seitsmenda punkti pildil esimene valik, siis avaneb selline dialoog, kus tuleb vajutada "Next"


Efs9.png

9. Küsitakse mis formaadis sertifikaat eksporditakse. Tuleb vajutada "Next"


Efs10.png

10. Tuleb sisestada parool, millega kaitstakse ära Teie võtmepaar. Taaskord vajalik vajutada "Next"


Efs11.png

11. Valida asukoht ja failinimi kuhu ja mis nimega see sertifikaat eksporditakse. Jällegi jätkamiseks "Next"


Efs12.png

12. Näidatakse kokkuvõtet, mida tehakse. Vajuta "Finish"


Efs13.png

13. Kui kõik läks õigesti, siis krüpteeritud failid/kataloogid näevad välja rohelised nagu antud pildil.


Efs14.png

14. Kui proovida võõra kontoga faili sisu näha, siis avaneb selline vaade.

Krüpteerimine ja sertifikaadi varundamine

Kuidas failid krüpteeritakse?[5]

Failide krüpteerimiseks kasutatakse algoritmi, mis paigutab ümber, paiskab segi ja kodeerib andmed. Võtmepaar luuakse juhuslikult sel hetkel, kui sa krüpteerid oma esimese faili. Võtmepaar koosneb, nagu juba eelpool mainitud, avalikust ja privaatsest võtmest. Neid kasutatakse krüpteerimiseks ning dekrüpteerimiseks. Kui võti läheb kaduma ja taastusagent puudub, siis pole võimalik andmeid enam kätte saada.


Miks sa peaksid sertifikaadid varundama?[6]

Varundama peaks justnimelt sellepärast, et vigastatud või kaduma läinud sertifikaadiga andmetele pole võimalik hiljem ligi pääseda. Kindlasti tuleks varundatud sertifikaadid panna kuskile kindlasse kohta. Samas saab muidugi luua ka eespool kirjeldatud viisil taastusagente, mis võimaldavad andmetele siiski ligi pääseda.


Kuidas sertifikaati varundada?[7]

  • Ava Internet Explorer
  • „Tools“ menüüst vali „Internet Options“
  • „Content“ saki alt otsi välja „Certificates“ sektsioon ja vali „Certificates“.
  • Vali „Personal“ sakk.

NB! Seal võib olla mitmeid erinevaid sertifikaate erinevateks otstarveteks.

  • Vali sertifikaate ühekaupa kuni „Certificate Intended Purposes“ väli näitab „Encrypting File System.“ See on sertifikaat, mis genereeriti sinu esimese kataloogi krüpteerimisel.
  • Vali „Export“, misjärel avaneb „Certificate Export Wizard ja kliki „Next.“
  • Võtme eksportimiseks vajuta „Yes, export the private key“ ja taaskord „Next.“
  • Vali „Enable Strong protection“ ja kliki „Next“ ning sisesta parool. Parool on vajalik privaatvõtme kaitsmiseks!
  • Sisesta asukoht kuhu sa soovid võtme salvestada – floppy, CD või mõni koht kõvakettal. Kui HDD feilib või taasformaaditakse, siis võti ja varundatud võti lähevad kõvakettal kaotsi. Seejärel kliki „Next.“


Kasutatud materjalid