Windows juhend: Kuidas EFS küpeerimist

From ICO wiki
Jump to navigationJump to search

Mis on EFS?

EFS ehk Encrypting File System ehk eesti keeles failisüsteemi krüptimine on üks Microsoft Windowsi funktsioonidest, mis lisandus NTFS versioonis 3.0. Antud tehnoloogia võimaldab eeldatavalt konfidentsiaalse sisuga failide krüpteerimist võimalike ebasoovitavate isikute eest, kes võivad füüsiliselt arvutile ligi pääseda. EFS on kasutusel kõikides Windowsi versioonides alates Windows 2000st, kuid seda eelkõige ärikasutajatele mõeldud versioonides (Business, Enterprise, Ultimate, Server, Professional).

Kuidas EFS toimib?

EFS kasutab toimimiseks kahte tüüpi võtit: sümmeetrilist(üks võti on failide krüpteerimiseks) ja asümmeetrilist(2võtit on krüpteerimisvõtme kaitsmiseks). Kusjuures erinevates versioonides toimib süsteem ka natukene erinevalt, kuid sellest tuleb juttu natuke hiljem.

Olulised faktid EFSi puhul:

  • Krüpteerimine ei toimu aplikatsiooni tasemel, vaid failisüsteemi tasemel, mistõttu krüpteerimine ja dekrüpteerimine on kasutaja ning aplikatsiooni jaoks läbipaistev. Iga krüpteerimiseks märgistatud kataloogi tõstetav või tekitatav fail krüpteeritakse. Kui kasutaja üritab faili avada, siis peab ta omama võtit ning selle puudumisel saab teate „access denied.“
  • Krüpteerimise sümmeetriline võti krüpteeritakse avaliku võtmega krüpteerimise avalikust võtmepaarist ning dekrüpteerimiseks on vaja ka privaatvõtit. Võtmepaar seotakse kasutaja identiteediga ja tehakse kättesaadavaks kasutajale, kellel on ligipääs kasutaja ID-le ning paroolile.

Kui privaatvõti saab kahjustada või on kadunud, siis ka krüpteerimise teostanud isik kaotab ligipääsu faili sisule. Sel juhul päästab hädast välja taastusagent – seda muidugi juhul kui see on loodud. Nagu ütleb Microsoft, siis „EFS on suurepärane krüpteerimissüsteem, sest puudub tagauks.“

  • Krüpteerimisvõtmeid saab arhiveerida (exportida süsteemivälisele meedia seadmele). Selle abil saabki tagada endale ligipääsu ka algse võtme vigastamise või kaotamise puhul.
  • Krüpteeritud failid ei püsi transportimisel krüpteerituna juhul kui see salvestatakse või avatakse kataloogis kaughaldus serveris. Samas kui kasutada WebDAVi abi ning salvestada failid Web kataloogi, siis on EFS krüpteering võimalik säilitada ka võrgus transportimiseks.
  • Süsteem vastab FIPS 140 standardile, mis on Ameerika valitsuse poolt paika pandud sensitiivsete materjalide säilitamiseks.

EFS Agentide loomine

1. Tuleb luua sobiv turvalisuse grupp.

1.1	Selleks tuleb klikkida start menüül ja üles otsida „Administrative Tools“ ning valida „Active Directory Users and Computers.“
1.2	Tuleb teha vasakul paanil topeltklikk oma domeenil ja parem klikk organisatsiooni üksusel kuhu sa soovid grupi luua – vali „New“ and kliki „Group“-il.
1.3	Sisesta grupi nimi ja vajutada OK.
1.4	Tee parem klikk äsja loodud grupil ja kliki menüü punktil „Properties“ ning vali „members“ sakk. Seal sakil kliki „Add“ nupul selleks, et avada „Select Users, Contacts or Computers“ aken. 
1.5	Avanenud aknas sisesta „Enter the object names to select“ kasti kasutajanimi, mida sa soovid EFS taastusagendina kasutada ja kliki „Check names“, siis kliki OK, et kasutaja lisada ja korda käesolevat   punkti iga kasutaja jaoks.

PS! Kui on soov sertifikaadid hoida Active Directory’s, siis võib selle ja järgmise punkti vahele jätta.

2. Registreerimise määramine grupile.

2.1	Kliki taaskord Start Menüül, siis „Administrative Tools“ ja vali „Active Directory Sites and Services“, et avaneks manageerimise konsool. 
2.2	„View“ menüüst vali „Show services node.“ Selle tagajärjel peaks teenuste konteiner ilmuma „Sites“ alla. 
2.3	Vasakult tuleks laiendada „Services | Public Key Services | Certificate Templates“, samas paremalt paanist tuleks paremklikk teha EFS Recovery’l ja klikkida „properties.
2.4	Seejärel kliki „Security“ sakil, vajuta „Add“, et avada „Select users, computers or groups“ aken. 
2.5	Kirjuta eelmises punktis loodud grupi nimi ja taaskord „Check names“ ja seejärel OK. Kui vaja, siis eemalda üleliigsed grupid ja vajuta OK ning sulge „Active Directory sites and services“ konsool.

3. EFS Taastamisagendi malli muutmine

3.1	Nagu ka eelnevatel kordadel, siis jälle Start menüü ning seekord valida „Run“.
3.2	Kirjuta avanenud aknasse „mmc“ ja vajuta OK, et kasutada Microsoft Management Console’i.
3.3	MMC-s „File“ menüü alt vali „Add/Remove Snap-In.
3.4	Vajuta „Add“ ja Snap-In’ide nimekirjast vali „Certificates Templates“ ning kliki „Add“.
3.5	Sulge „Add Standalone Snap-In“ aken ja seejärel vajuta OK.
3.6	MMC-s peaks nüüd vasakul pool olema „Console Root“ all nähtav „Certificate Templates.“ Vali see ning paremale poole nimekirja peaks ka tekkima „Certificate Templates.“ 
3.7	Tee paremklikk sertifikaadil, mille nimi on „EFS Recovery Agent“ ja vali „Duplicate certificate.“
3.8	Avanenud aknas saad mallile nime anda. Kusjuures jälgi, et „Publish Certificate in Active Directory“ ees oleks linnuke märgitud ning teised väljad võid jätta muutmata.
3.9	Vali „Security“ sakk ja lisa turvagrupp, mille sa tekitasid ning anna sellele vajalikud õigused (Read, Write, Enroll). Seejärel vajuta OK ja sulge ning salvesta mall.

4. Luba taastuspoliis ja taastusagentide lisamine. Kui sa oled domeeni administraatorina sisse logitud, siis saad täita järgmised punktid, kuid pea meeles, et vaikimisi on domeeni admin juba määratud taastusagendiks. Antud punkt on siiski teistele inimestele vastatavate õiguste andmiseks!

4.1	Ava Start menüü ja otsi üles „Administrative Tools“ ning vali „Active Directory Users and Computers“
4.2	Tee paremklikk domeenil või konteineril, kuhu sa tahad taastusagendi määrata ja seejärel vali „properties.“
4.3	Vali „Group Policy“ sakk. Edasi vali „Default Domain Policy“ või mõni muu konteineri poliitika ning kliki „Edit“. Selle tagajärel avaneb grupipoliitika muutmise aken.
4.4	Ava „Computer configuration“ -> „Windows Settings“ -> „Security Settings“ ja kliki „Public Key Policies.“
4.5	Tee paremklikk „Encrypting File System“ konteineril ja vali „Add Data recovery Agent“ ning vajuta „Next“.
4.6	Vali taastusagendid. Kui sertifikaadid on lisatud Active Directory’sse, siis saad kasutada „Browse Directory“ nuppu ja lisada kasutajate kontod. Samas kui neid pole seal, siis tuleks kasutada „Browse Folders“ nuppu, et need sertifikaadid üles otsida.
4.7	Kliki „Next“ ja kui oled kokkuvõtte üle vaadanud, siis  „Finish“

EFS kasutamine

(teen hilinemisega, sest piltidega, aga windows8’s – hetkel paraku läpaka kõvaketas ütles üles)

Probleemid

Kasutatud materjalid