Контроль шифрованого файлової системи (encrypting file system - efs) за допомогою групової політики

Дві стадії управління EFS

EFS має два рівні настройки. Перший рівень встановлений на комп'ютерному рівні, який визначає, чи буде підтримуватися ця файлова система, і чи буде вона доступна. Другий рівень - це рівень папок і файлів, цей рівень виконує шифрування даних.

Логістика, про яку я говорю тут, являє собою дозвіл користувачам шифрувати дані. Оскільки всі комп'ютери підтримують шифрування даних за замовчуванням, і кожен користувач може їх зашифрувати, дані можуть бути зашифровані на локальному комп'ютері, так само як і дані, спільно використовуються в мережі. На малюнку 1 показані опції, при яких дані можуть бути зашифровані на комп'ютері Windows XP Professional.

Контроль шифрованого файлової системи (encrypting file system - efs) за допомогою групової політики

Малюнок 1: Шифрування даних - це їх властивість

Щоб отримати доступ до опції шифрування, як показано на малюнку 1, вам потрібно лише вибрати властивості файлу або папки, яку ви хочете зашифрувати шляхом натискання правою клавішею і виклику контекстного меню «Властивості» шифруемого об'єкта. Потім натиснути кнопку «Додатково» в діалоговому вікні властивостей, яке в свою чергу покаже діалогове вікно «Додаткові атрибути».

Контролювання підтримки EFS для комп'ютерів домена Active Directory

Коли комп'ютер приєднується до домену Active Directory, на ньому більше неможливо контролювати опцію підтримки EFS. Замість цього дану можливість контролює політика домену за замовчуванням, що зберігається в Active Directory. Всі комп'ютери, що входять до складу домену Windows Active Directory підтримують EFS, просто входячи до його складу.

Конфігурація комп'ютера \ Параметри Windows \ Параметри безпеки \ Політики публічних ключів \ Агенти відновлення зашифрованих даних

У цьому місці ви побачите сертифікат шифрування файлів EFS для адміністратора, як показано на малюнку 2.

Контроль шифрованого файлової системи (encrypting file system - efs) за допомогою групової політики

Ця установка є тим, що надає всім комп'ютерам можливість шифрувати файли. Щоб відключити цю можливість, вам потрібно просто видалити сертифікацію адміністратора з об'єкта GPO. Якщо ви потім вирішите включити таку можливість на обмеженій кількості комп'ютерів в Active Directory, вам потрібно буде слідувати цим крокам:

  1. Створіть новий GPO і зв'яжіть його з організаційною одиницею, що містить всі комп'ютери, яким потрібна підтримка шифрування файлів.
  2. Увійдіть у вкладку «Агенти відновлення зашифрованих файлів» в GPO і додайте сертифікат, який підтримує EFS відновлення даних.

Це надасть комп'ютерів, на які поширюється GPO, можливість використання EFS для даних, що зберігаються на цих комп'ютерах.

Конфігурація комп'ютера \ Параметри Windows \ Параметри безпеки \ Політики публічних ключів \ Шифрована файлова система

Контроль шифрованого файлової системи (encrypting file system - efs) за допомогою групової політики

Зверніть увагу, що на вкладці «Загальні» є протилежна кнопка з назвою 'Не дозволяти'. Цей параметр може використовуватися для відключення підтримки EFS на всіх комп'ютерах домену. Також зверніть увагу на те, що в цьому діалоговому вікні є безліч інших параметрів контролю EFS.

висновок

EFS є дуже потужною і корисною опцією. Вона може шифрувати дані, що зберігаються на комп'ютерах Windows. Шифрування допоможе захистити дані від користувачів або хакерів, які намагаються отримати до них доступ, але не мають можливості розшифрувати ці дані. EFS являє собою процес з двох кроків, по-перше EFS необхідно активувати на комп'ютері. Ця опція може контролюватися за допомогою групової політики, або коли комп'ютер включається в домен. Адміністратори мають право активувати або відключити EFS на будь-якому комп'ютері домену за допомогою настройки GPO. При відключенні EFS для всіх комп'ютерів і подальшому створенні та налаштування нового об'єкта GPO тільки певні комп'ютери зможуть використовувати EFS.