Budeme se zabývat otázkou zásadního významu v naší roli správců a je to problém, který souvisí s bezpečností informací v naší síti, všichni víme, že organizace musí zajistit bezpečnost a dostupnost informací, protože existuje data, která jsou extrémně citlivá a v případě jejich odcizení, hacknutí nebo jiného typu situace mohou způsobit problémy nejen organizaci, ale také osobě odpovědné za oblast systémů.
Než začneme, podívejme se, co Šifrovací termín a jaké výhody nám může nabídnout; Šifrování jednoduše mění data, která máme, na soubor, který nelze přečíst pro jiného uživatele, který nemá oprávnění k přístupu k uvedeným datům. Existuje také proces dešifrování, který není ničím jiným než převedením šifrovaných dat do původního stavu.
existovat 3 typy šifrovacích algoritmů:
SymetrickýJe to ten, který používá jednoduchý klíč k šifrování nebo dešifrování souboru.
AsymetrickýJe to ten, který používá dva matematicky související klíče, jedním je soubor šifrován a druhým dešifrován.
Typ hashTento typ šifrování funguje pouze jedním způsobem, to znamená, že po šifrování jej nelze dešifrovat.
Windows Server 2012 dnes obsahuje dvě (2) šifrovací technologie
- Systém šifrování souborů - Systém šifrování souborů (EFS)
- Šifrování zařízení BitlLocker - Šifrování disku BitLocker
Začněme praktickou částí, přejdeme na další kapitolu kliknutím na další.
1. Šifrujte nebo dešifrujte soubory pomocí EFS
Smět šifrovat soubory na svazcích NTFS a pro jeho použití musí mít uživatel přístupové kódy, když otevřeme (s platným heslem) soubor s EFS bude automaticky dešifrován a pokud jej uložíme, bude dešifrován.
Šifrovat soubor pomocí EFS
Proces pro zašifrujte soubor pomocí EFS je následující:
Musíme pravým tlačítkem kliknout na složku nebo soubor, který chceme zašifrovat, a vybrat možnost Vlastnosti:
V záložce Všeobecné volíme možnost Pokročilé možnosti.
Zobrazí se možnost Pokročilé atributy.
Vybíráme možnost Za účelem ochrany dat šifrovat obsah, klikneme na Přijmout.
Uvidíme, že je zvýrazněna naše šifrovaná složka.
PoznámkaPokud se ve složce, kterou máme, nacházejí podsložky, systém se nás při aplikaci změn zeptá, zda chceme tyto změny použít na všechny složky (včetně podsložek) nebo pouze na kořenovou složku
Vybereme nejvhodnější možnost a klikneme na Přijmout.
Dešifrujte soubor nebo složku pomocí EFS
K dešifrování souboru nebo složky provedeme následující postup:
Klikneme pravým tlačítkem a vybereme vlastnosti:
V záložce Všeobecné vybíráme si Pokročilé možnosti:
Okno z Pokročilé atributy a museli bychom zrušte zaškrtnutí možnost Za účelem ochrany dat šifrovat obsah:
Klikneme na Přijmout Y Aplikovat k uložení změn.
Pamatujme si při práci s těmito důležitými aspekty EFS šifrování:
- Složky můžeme šifrovat pouze pomocí svazku NTFS.
- Složka bude dešifrována automaticky, když ji přesuneme nebo zkopírujeme na jiný svazek NTFS.
- Soubory, které jsou kořenem systému, nelze šifrovat.
- Použití EFS není zárukou, že naše soubory lze odstranit, abychom tomu zabránili, musíme použít oprávnění NTFS.
2. Sdílejte soubory chráněné EFS ostatním uživatelům
Jak sdílet soubory chráněné EFS ostatním uživatelům? Toto je v této oblasti velmi žádaná otázka, ale nebojte se, má řešení. Když zašifrujeme soubor pomocí EFS, přístup k uvedenému souboru bude mít pouze uživatel, který jej zašifroval, ale v nejnovějších verzích systému NTFS můžeme do našeho šifrovaného souboru nebo složky přidat certifikát a sdílet jej s ostatními lidmi.
K provedení tohoto procesu musíme provést následující kroky:
Klikneme pravým tlačítkem na složku nebo soubor, který chceme sdílet, a vybereme si Vlastnosti.
V okně Vlastnosti vybíráme si Pokročilé možnosti.
Tam je okno Pokročilé atributy, musíme vybrat možnost Podrobnosti.
A do zobrazeného okna jednoduše přidáme uživatele, se kterými se bude sdílet, a klikneme na Přijmout.
V případě, že někdo, kdo spravoval SAI, opustil organizaci nebo zapomněl šifrovací heslo, můžeme použít DRA (Data Recovery Agent-Data Recovery Agent).
Za tímto účelem provedeme následující postup:
- Otevíráme naše Správce zásad skupiny (V našem Správci serveru nebo Správci serveru nabídka Nástroje).
- Nasazujeme doménové struktury a doménu.
- Klikneme pravým tlačítkem Výchozí zásady nebo výchozí zásady domény, vybíráme Upravit:
Jakmile se otevře okno pro úpravy, přejdeme na následující trasu:
- Konfigurace počítače
- Opatření
- Možnosti systému Windows
- Bezpečnostní nastavení
- Zásady veřejného klíče
Vybíráme si Systém šifrování souborů (Encrypting File System) a tam klikneme pravým tlačítkem a vybereme Vytvořte agenta pro obnovu dat (Vytvořit agenta pro obnovu dat).
Klikneme na Systém šifrování souborů (Encrypting File Systems), vybereme certifikáty a zavřeme editor skupiny.
3. Správa certifikátů
Když vytvoříme soubor poprvé, systém automaticky vytvoří šifrovací certifikát. K uvedenému certifikátu můžeme vytvořit zálohu, k tomu přejdeme na příkaz nebo klíče Execute:
Windows + R.
A zadáme následující:
certmgr.msc
V zobrazeném okně vybereme Personál / Certifikáty, v zobrazeném certifikátu klikneme pravým tlačítkem a vybereme Exportovat.
Otevře se průvodce exportem, klikněte na Další.
Vybíráme, zda chceme poslat soukromý klíč:
Klikneme na další, vybereme typ formátu a znovu klikneme na Další.
Klikneme na další, hledáme náš certifikát a klikneme na Dokončit
4. Šifrování souborů pomocí Bitlockeru
S BitLocker (BDE-BitLocker Drive Encryption) Je možné šifrovat celé svazky, takže pokud přijdeme o naše zařízení, data zůstanou šifrována, i když budou nainstalována někde jinde.
BDE používá novou funkci s názvem TPM-Trusted Plattform Module - Modul důvěryhodné platformy„a to umožňuje větší zabezpečení v případě externího útoku. BitLocker používá TPM k ověření spouštění a spouštění serveru a zaručuje, že pevný disk je v optimálních podmínkách zabezpečení a provozu.
Tam jsou nějací Požadavky, které musíme vzít v úvahu při implementaci šifrování pomocí nástroje BitLocker, tyto jsou:
- Počítač s TPM.
- Vyměnitelné úložné zařízení, například USB, takže v případě, že počítač nemá modul TPM, TPM uloží klíč na toto zařízení.
- Minimálně 2 oddíly na pevném disku.
- BIOS kompatibilní s TPM, pokud to není možné, musíme aktualizovat náš BIOS pomocí nástroje BitLocker.
TPM je k dispozici v následujících verzích systému Windows pro osobní počítače:
- Windows 7 Ultimate
- Windows 7 Enterprise
- Windows 8 Pro
- Windows 8 Enterprise
BitLocker se na serverech běžně nepoužívá, ale může zvýšit bezpečnost kombinací s převzetím služeb při selhání clusteru.
Bit Locker může podporovat následující formáty:
- FAT16
- FAT32
- NTFS
- SATA
- ATA atd
BitLocker nepodporuje:
- Systémové soubory CD nebo DVD
- iSCI
- Vlákno
- Bluetooth
BitLocker používá ve svém provozu 5 operačních režimů:
TPM + PIN (osobní identifikační číslo) + hesloSystém šifruje informace pomocí TPM, pro přístup navíc musí správce zadat svůj PIN a heslo
Klíč TPM +Systém šifruje informace pomocí TPM a správce musí poskytnout přístupový klíč
TPM + PINSystém šifruje informace pomocí TPM a administrátor musí poskytnout svou přístupovou identifikaci
Pouze klíčSprávce musí zadat heslo pro přístup ke správě
Pouze TPMAdministrátor nevyžaduje žádnou akci
5. Jak nainstalovat Bitlocker
Proces instalace této funkce je následující:
Přejdeme na Správce serveru nebo Správce serveru a vybereme Přidejte role a funkce umístěné v rychlém spuštění nebo v nabídce Spravovat:
ZVĚTŠIT
V zobrazeném okně klikneme na další, vybíráme si Instalace na základě rolí nebo funkcí, klikneme znovu na další:
V dalším okně vybereme náš server a klikneme na další, v okně role klikneme na další protože přidáme funkci, nikoli roli. V okně Vyberte funkce volíme možnost Šifrování disku BitLocker.
Jak vidíme na pravém panelu, máme stručný souhrn funkcí této funkce, klikneme na Další. Zobrazí se okno se souhrnem toho, co budeme dělat:
Klikneme na Nainstalujte spusťte proces:
Jednou naše Funkce BitLocker musíme restartovat server.
6. Zjistěte, zda má náš počítač modul TPM
Modul důvěryhodné platformy je známý (TPM). V nástroji BitLocker se čip TPM používá k ochraně šifrovacích a ověřovacích klíčů zajištěním důvěryhodnosti integrity.
Abychom zjistili, zda máme možnost TPM, musíme přejít na Kontrolní panel a vybereme možnost Bezpečnostní:
Jakmile okno Bezpečnostní vybíráme si Šifrování disku Bitlocker.
Uvidíme, že v levém dolním panelu máme možnost Správa TPM.
Klikneme na tuto možnost, Správa TPM a uvidíme, jestli náš tým má tuto funkci nainstalovanou:
7. Aktivace nástroje BitLocker
Na povolit BitLocker musíme jít na:
- Kontrolní panel
- Bezpečnostní
- Šifrování disku Bitlocker
Vybíráme možnost Povolte nástroj BitLocker, začne proces povolení:
Systém zobrazí některé z následujících možností:
V tomto případě vybereme Zadejte heslo
Systém nám řekne, co máme dělat s naším heslem:
V našem případě si vybereme Uložit do souboru:
Uložíme heslo a klikneme na další, tam nám systém říká, jaký typ šifrování chceme provést, celou jednotku nebo pouze místo na disku, vybereme podle naší konfigurace.
Vybíráme a klikáme další a nakonec přistoupíme k šifrování naší jednotky.
PozornostPokud z nějakého hardwarového důvodu náš počítač neprojde testem TPM, můžeme aktivovat BitLocker aktivací následujícího postupu:
- Provedeme příkaz gpedit.msc v Běh
- Vstupujeme na následující trasu: Konfigurace počítače / Šablony pro správu / Součásti systému Windows / Šifrování jednotky Bitlocker / Ovladače operačního systému.
- Na tuto poslední možnost dvakrát klikneme.
- Zásady povolíme kliknutím na Umožnit.
- Ukládáme a můžeme bez problémů provést naši aktivaci.
Co je BitLocker To Go?Bitlocker To Go je funkce, která nám umožňuje šifrovat naše flash disky, proto musíme při výběru flash disku postupovat podle předchozího kroku.
Předběžné zřízení nástroje BitLockerTato možnost vám umožňuje konfigurovat Bitlocker z doby před instalací operačního systému, k tomu musíme nakonfigurovat volbu Windows PE Instalační prostředí Win PE pomocí příkazu Manage -bde -on x:
V souhrnu můžeme říci, že máme nástroje, které nám zajišťují větší zabezpečení našich souborů a složek, a to vše za účelem zachování jejich integrity.
Pokud chcete více informací o DFS, nezapomeňte navštívit oficiální web společnosti Microsoft.
Šifrujte disky Windows 10 pomocí nástroje BitLocker
