EFS može da se implementira na kompjuteru koji radi na Windows 2000, Windows Server 2003 ili Windows XP. Ovi kompjuteri mogu da budu članovi domena aktivnog direktorijuma, ili Stand-alone (sami za sebe). Na Stand-alone kompjuterima, EFS ne nudi sve mogućnosti ili sve prednosti koje nudi kompjuterima koji su članovi domena aktivnog direktorijuma. Na primer, ne možemo da koristimo objekte grupnih polisa (GPOs) da bismo definisali postavke i automatizovali Recovery Agente na Stand-alone kompjuteru.

U ovoj lekciji, naučićete da implementirate EFS na Stand-alone kompjuterima koji rade na Windows XP.

Kako EFS radi na stand-alone kompjuteru

Kada korisnik odluči da šifruje određeni fajl, EFS pokušava da locira digitalni sertifikat za EFS korišćenje tako da taj kompjuter može da odradi šifrovanje fajla. Kompjuter prvo pretražuje ostavu gde su smešteni sertifikati (Certificate store) u potrazi za sertifikatom koji korisnik koji je ulogovan na kompjuteru može koristiti za EFS. Ako sertifikat ne može da se pronađe u ličnoj ostavi za sertifikate, kompjuter će dalje pokušati da kontaktira Enterprise CA i od njega zatraži EFS sertifikat. U slučaju kada je u pitanju Stand-alone kompjuter, ne postoji enterprise CA, tako da će kompjuter generisati self-signed sertifikat za korišćenje EFS-a.

Kako rade Self-signed sertifikati

Pošto je u pitanju lokalni kompjuter koji je generisao i potpisao sertifikat za korišćenje sa EFS-om, staza sertifikacije (certification path) je ista kao Root CA. Kompjuter koji je generisao self-signed sertifikat koji koristi EFS ne veruje self-signed sertifikatu iz razloga što CA nema sertifikat u Trusted Root Certification Store-u. Čak i ako ne veruje self-signed sertifkatu, sertifikat se i dalje može koristiti sa EFS-om. Na primer, ako smo ulogovani na kompjuter pod imenom PC-1, nemamo EFS sertifikat, i ako pokušamo da šifrujemo fajl, kompjuter će generisati EFS sertifikat koji je potpisao PC-1. Neće biti sertifikata za PC-1 u Trusted Root Certification Store-u, a kao rezultat operativni sistem će označiti sertifikat kao nepoverljiv za taj operativni sistem. Self-signed sertifikati su validni u periodu od 100 godina, i nećemo imati potrebu da obnavljamo sertifikat. Možemo da generišemo novi Self-signed sertifikat pomoću komande cipher.exe /k na komandnoj liniji.

Opcije za šifrovanje podataka (Data encryption options)

Možemo da šifrujemo i dešifrujemo fajlove koristeći Windows Explorer ili cipher komandu. Da bismo šifrovali fajl, moramo imati Read & Write dozvolu za fajl ili folder koji sadrži fajlove koje želimo da šifrujemo.

U Windows Server 2003 i Windows XP po defoltu šifrovani fajlovi i folderi biće prikazani u alternativnoj boji. U Windows 2000, administrator je morao da omogući ovu karakteristiku.

Šifrovanje fajlova koristeći Windows Explorer

Da bismo šifrovali fajl ili folder koristeći Windows Explorer, potrebno je pristupiti naprednim atrubutima (Advanced Attributes) fajla i foldera i čekirati Encrypt contents to secure data. Kada smo šifrovali folder koristeći EFS, imamo opciju za šifrovanje samo foldera ili folder i sve njegove podfoldere i fajlove. Ako izaberemo prvu opciju, nijedan od fajlova koji se nalaze u folderu neće biti šifrovan, ali svi novi fajlovi koji budu kreirani unutar foldera biće šifrovani.

Šifrovanje fajlova koristeći cipher komandu

Koristimo cipher komandu za prikazivanje ili menjanje šifrovanja foldera i fajlova na NTFS volumenima. Korišćenje ove komande bez parametara, cipher će prikazati šifrovano stanje (Encryption state) trenutnog foldera i svih fajlova koji se u tom folderu nalaze. Da bismo videli paramtre koje možemo da koristimo zajedno sa cipher komandom, u komandnoj liniji otkucamo cipher /?. Nakon kucanja ove komande na ekranu će vam biti prikazani svi paramteri i objašnjenja.

Važno je napomenuti da sistemski fajlovi i svi fajlovi koji se nalaze u System Root folderu i svim njegovim podfolderima ne mogu se šifrovati.

Šta je Data Recovey Agent?

Izgradnja efektnog Data-recovery plana je izuzetno važno prilikom implementacije EFS-a u organizaciji. Efektna Data-recovery strategija nam može pomoći da osiguramo da možemo da pristupimo šifrovanim podacima bez privatnog ključa, na primer, ako zaposleni koji poseduje šifrovane podatke napusti kompaniju, ili kada korisnik izgubi svoje privatne ključeve.

Funkcija DRA

Data Recovery Agent (DRA) je korisnički nalog koji može da dešifruje fajlove koje su šifrovali drugi korisnici. Implementacija Data-Recovery strategije koristeći DRAs je veoma važna kada implementiramo EFS. Na primer, ako se dogodi da izgubimo naš File Encryption Sertifikat i privatni ključ, DRA će moći da oporavi podatke. DRA ima mogućnost da dešifruje fajlove koje je šifrovao korisnik zato što je javni ključ DRA dodatk u Recovery polje prilikom šifrovanja fajla.

DRA za Stand-alone kompjuter

Windows XP i Windows Server 2003 ne zahteva DRAs na novoinstaliranim kompjuterima u Workgroup okruženju ili u domenskom okruženju. Ako je kompjuter učlanjen u domen, svi korisnici, uključujući i lokalne korisnike, nasleđuju DRA od domena. Ipak, u Windows XP i Windows Server 2003, DRA mora da se kreira ručno na Stand-alone kompjuteru koristeći cipher.exe program.

Cipher.exe program kreira sve fajlove koji mogu da se importuju: .cer & .pfx fajlove. Ovi fajlovi mogu da se iskoriste kao DRA na lokalnom kompjuteru. .cer fajl je importovan u Local Group Policy objekat da bi dozvolio da se koristi kao DRA za taj lokalni kompjuter. .pfx fajl može da se koristi za oporavljanje podataka u slučaju gubitka sertifikata na lokalnom kompjuteru.

Implementacija DRA na Stand-alone kompjuteru

Da bismo implementirali DRA na Stand-alone kompjuteru potrebno je pratimo sledeće korake:

1. Da bismo kreirali DRA fajlove na Stand-alone kompjuteru, otvorimo komandnu liniju i upišemo cipher /r:Certificatename  gde je Certificatename ime sertifikata koji želimo da kreiramo.
2. Ulogujemo se u kompjuter kao DRA i konfigurišemo korisnički nalog kao DRA modifikovanjem Local Security Policy-e.
3. Da bismo dešifrovali fajlove kao DRA, potrebno je da se ulogujemo u kompjuter kao DRA i koristimo Certificates MMC snap-in da bismo dodali DRA sertifikat u Local Certificates ostavu (store). Nakon toga možemo da dešifrujemo šifrovane fajlove.

DRA može da dešifruje samo one fajlove koji su šifrovani nakon kreiranja i konfigurisanja DRA na kompjuteru.

Ishod resetovanja lokalnih lozinki (Resetting Local Passwords)

Windows 2000 je prvi klijentski operativni sistem koji podržava EFS. Jedan od potencijalnih problema EFS-a na Stand-alone kompjuterima je zahtev Windows-a 2000 za DRA. Defoltni DRA u Windows 2000 je korisnički nalog lokalnog administratora. Svako ko može da se uloguje u kompjuter kao Lokalni administrator moći će da dešifruje šifrovane fajlove na kompjuteru.

Password Reset karakteristika: Windows XP i Windows Server 2003 ne zahtevaju DRA za šifrovanje, i samim tim smanjuje se broj korisnika koji mogu da pristupe šifrovanim fajlovima. Ipak, kada administrator resetuje lozinku za korisnika, korisnik neće biti u mogućnosti da dešifruje ni jedan fajl nakon sledećeg prijavljivanja na kompjuter. Ova karakteristika štiti od potencijalnih offline napada i sprečava administratore koji žele da na neprimeren način pristupe šifrovanim fajlovima drugih korisnika.

Kada administrator resetuje lozinku pojavljuje se sledeći prozor:

Kreiranje Password Reset Disk-a

Password-reset disk je karakteristika koja je prvi put predstavljena u Windows XP i nakon toga unapređena u Windows Server 2003. Preporučuje se da, korisnici koji su implementirali Stand-alone, na kompjuterima uvek koriste Password-reset disk, zato što su svi nalozi lokalni na kompjuteru.

Da bismo kreirali Password-reset disk, korisnici moraju da se uloguju i da pristupe opcijama svog korisničkog naloga kroz Control Panel i nakon toga izaberu opciju Prevent a forgotten password. Forgoten Password Wizard će dalje voditi korisnika u kreiranju Password-reset diska. Password-reset disk bi trebalo da se smesti na sigurnu lokaciju, kao što je na primer sef.

Oporavljanje podataka nakon resetovanja lozinke

Da bi se podaci oporavili nakon resetovanja, potrebno je pratiti sledeće savete:

• Koristiti originalnu lozinku: Ovo je lozinka kojom se korisnik poslednji put uspešno ulogovao i nakon logovanja uspešno pristupio šifrovanim fajlovima. Da bismo oporavili podatke koristeći originalnu lozinku, potrebno je da se ulogujemo u kompjuter kao korisnik sa trenutnom lozinkom (promenjenom, novom lozinkom). Zatim pristupimo Propertisu korisničkog naloga kroz Control Panel, izaberemo opciju Change my password, i nakon toga pratimo instrukcije da bismo vratili lozinku u originalnu lozinku.
• Password Recovery disk: Ovaj Password Recovery disk, mora biti kreiran dok korisnik poseduje pristup fajlovima. Da bismo oporavili podatke koristeći password recovery disk, pokušamo da se ulogujemo kao korisnik, i promišljeno upišemo pogrešnu lozinku. Kliknemo na opciju Use Your password reset disk i nakon toga pratimo instrukcije da bismo oporavili lozinku.
• Iskoristimo arhiviranu kopiju korisnikovog privatnog ključa: Ako smo ranije odradili eksport korisnikovog EFS privatnog ključa iz njegovog korisničkog naloga, moći ćemo da importujemo ključ nazad u korisnikov nalog i oporavimo pristup šifrovanim fajlovima. 

Kako možemo da onemogućimo EFS na Stand-alone kompjuteru

Po defoltu, korisnici koji imaju mogućnost da se uloguju u kompjuter koristeći lokalni nalog, imaće mogućnost da šifruju fajlove za koje imaju NTFS dozvole Read & Write. U nekim organizacijama rizik gubljena podataka nepravilnim korišćenjem EFS-a prevazilazi prednosti koje pruža EFS. U takvim organizacijama administrator će možda morati da onemogući korišćenje EFS-a.

Isključivanje (onemogućavanje) EFS-a: Možemo da onemogućimo EFS na Stand-alone kompjuteru na jedan od sledeća dva načina:

• Konfiguracijom Local Security Polise: Da bismo onemogućili EFS, možemo da pristupimo Local Security polisi na svakom kompjuteru. Proširimo Public Key Policies, i nakon toga proširimo Encrypting File System. Desni klik Encrypting File System, i nakon toga kliknemo na Properties. Potrebno je da odčekiramo opciju Allow users to encrypt files using Encrypting File System i nakon toga kliknemo na OK.
• Modifikovanjem registry-ja na svakom kompjuteru: Da bismo onemogućili EFS, potrebno je da iskoritimo Registry Editor, pregledamo ključeve dok ne pronađemo HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\EFS. Kreiramo novi DWORD Value (iznos) pod imenom EfsConfiguration i postavimo iznos 1.

Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

Ime Nick Email Title Sigurnosni kod

CommentText

• Implementacija EFS-a u Standalone Windows XP okruženju 1

• Implementacija EFS-a u Standalone Windows XP okruženju 2

• Implementacija EFS-a u Standalone Windows XP okruženju 3

• Implementacija EFS-a u Standalone Windows XP okruženju 4