در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش راه اندازی Data Recovery Agent در ویندوز سرور برای رمزگشایی

در این جلسه نحوه ایجاد یک Data Recovery Agent ونحوه رمزگشائی اطلاعات در Windows را آموزش می دهیم.با آمدن فایل سیستم NTFS در ویندوز قابلیتی بوجود آمد به نام Encrypt File System با به اختصار با آن EFS گفته می شود. این قابلیت می تواند فایلهای مهم یک User را رمزگذاری کند و امنیت آنها را فراهم کند.

اساس کار EFS استفاده از Certificate می باشد. یعنی اطلاعات خود را بر اساس الگوریتم های که در Certificate موجود می باشد رمزگذاری می کند. در سازمانهای که زیر ساخت کلید عمومی یا PKI راه اندازی نشده باشد User هنگام رمزگذاری کردن اطلاعات برای خود یک Self-Signe Certificate ایجاد می کند و با استفاده از آن اطلاعات خود را رمزگذاری می کند.

  • نکته: وقتی Userی یک Self-Signe Certificate برای خود ایجاد می کند از اطلاعات به کار رفته در User name and Password خود استفاده می کند و این Certificate را ایجاد می کند. در نتیجه اگر به هر دلیلی User/Pass آن User از بین رفت یا یکPassword جدید برای خود ست کند کلید خصوصی Self-Singe Certificate از بین میرود و کاربر قادر به رمزگشائی اطلاعات خود نمی باشد. در چنین مواقعی آن کاربر بیچاره دست به دامن Admin می شود و اگر آن ادمین برای چنین لحظاتی برنامه ای یا سیاستهای نداشته باشد باید....!!!... ...... آره D:

سازمانی که اغلب پرسنل آن اطلاعات مهم خود را رمزگذاری می کنند و CA Server در ساختار نداشته باشند از Self-Signe Certificate خود استفاده می کنند. و در مواقعی که Self-Signe Certificate آنها از بین رود بیشتر اطلاعات مهم سازمان از بین می رود.برای غلبه کردن بر این مشکلات در چنین سناریوها باید چنین Certificateهای مدیریت شود و مکانیزمی وجود داشته باشد که اگر کاربری Certificate آن از بین رفت بتواند آن اطلاعات را بازیابی کند. طبق معمول مایکروسافت برای چنین سناریوهای مکانیزم و توصیه های دارد.

استفاده از ساختار PKI در چنین سازمانهای

ایجاد Data Recover Agent برای بازیابی اطلاعات رمزگذاری شده.اولین قدم در چنین سناریوهای ایجاد یک CA Server و Publish کردن سرتیفیکت مخصوص رمزگذاری اطلاعات می باشد. برای نصب و کانفیگ CA Server به آموزشهای ADCS رجوع کنید و برای Publish کردن چنین Certificateی قسمت ششم این آموزشها را مطالعه کنید.بعد از نصب و کانفیگ CA Server و اعمال Certificate رمزگذاری بر روی کاربران سازمان نوبت به تنظیم Data Recovery Agent می رسد.

Data Recovery Agent

Data Recovery Agent به Userهای گفته می شود که توانائی رمزگشائی کردن اطلاعات کاربران را داشته باشند. که بصورت پیش فرض Local Administrator هر Workstation و در دومین Administrator روت دومین این وظیفه را دارند.

The local admin on a standalone PC or the first logon admin on a DC is the recovery agent by default. However, this can be modified. You can remove the default recovery agent and assign any one as the recovery agent.

قدم اول:

تنظیم EFS Recovery Agent در CA Server

نکته: بیشتر تنظیمات Certificate Template را در قسمت ششم از سری آموزش های ADCS توضیح دادم. اگر با تنظیمات زیر مشکلی داشته باشید به آن قسمتها رجوع کنید و مشکل خود را رفع کنید.

ایجاد Data Recover Agent برای رمزگشائی کردن فایلهای کاربران در Domain

ایجاد Data Recover Agent برای رمزگشائی کردن فایلهای کاربران در Domain

ایجاد Data Recover Agent برای رمزگشائی کردن فایلهای کاربران در Domain

به گروه مورد نظر مجوز Enroll and Auto-Enrollment و Read می دهم.

نکته خیلی مهم: در تب Compatibility در قسمت Certificate Authority and Certificate recipient هر دو را بر روی Windows server 2003 و Windows XP /Server 2003 تنظیم کنید.

ایجاد Data Recover Agent برای رمزگشائی کردن فایلهای کاربران در Domain

بعد از ایجاد تنظیمات بالا باید این Certificate را به CA Server معرفی کنیم. برای اینکار مراحل زیر را دنبال کنید.

ایجاد Data Recover Agent برای رمزگشائی کردن فایلهای کاربران در Domain

قدم بعدی لاگین کردن با کاربری که عضو گروه ی که بر روی آن Certificate Template مجوز Enroll داشته باشد و اعمال کردن EFS Recovery Agent بر روی کاربر مورد نظر می باشد. چون این کاربر عضو گروه یه که مجوز Auto-Enrollment بر روی آن Certificate دارد فقط دستور gpupdate /force را اجرا کنید. خود به خود این Certificate بر روی آن کاربر اعمال می شود.

ایجاد Data Recover Agent برای رمزگشائی کردن فایلهای کاربران در Domain

قدم بعدی Export کردن این Data Recovery Agentهمراه با کلید خصوصی می باشد برای اینکار در کادر بالا

ایجاد Data Recover Agent برای رمزگشائی کردن فایلهای کاربران در Domain

ایجاد Data Recover Agent برای رمزگشائی کردن فایلهای کاربران در Domain

دقیقا مانند مراحل بالا این Certificate را Export کنید. و بعد از آن این فایل را بر روی یک Removable Storage با نام DRA ذخیره کنید.

نکته: هر کسی به این Certificate دسترسی داشته باشد می تواند به تمام اطلاعات رمزگذاری شده سازمان دسترسی داشته باشد. پس حواستون به این Certificate مهم باشه.

نکته: Best Practice مایکروسافت می گوید بعد از Export کردن این Certificate آن را پاک کنید.

قدم بعدی اضافه کردن Data Recover Agent می باشد. برای اینکار کنسول Group Policy Management را اجرا کنید:

ایجاد Data Recover Agent برای رمزگشائی کردن فایلهای کاربران در Domain

ایجاد Data Recover Agent برای رمزگشائی کردن فایلهای کاربران در Domain

همانطور که می بینید Data Recovery Agent پیش فرض ایجاد شده بود. ولی من دوست ندارم مدیر کل ساختار Active Directory این وظیفه پیش پا افتاده رو به عهده بگیره پس آن را پاک می کنم. وکاربر قبلی که مجوز و Certificate مربوطه بر روی آن اعمال شده است را اضافه میکنم.

ایجاد Data Recover Agent برای رمزگشائی کردن فایلهای کاربران در Domain

ایجاد Data Recover Agent برای رمزگشائی کردن فایلهای کاربران در Domain

ایجاد Data Recover Agent برای رمزگشائی کردن فایلهای کاربران در Domain

Data Recovery Agent من ایجاد شده.

الان فرض کنید کاربری اطلاعات خود را رمزگذاری کرده بود و بعد از مدتی آن کاربر به قسمت دیگری منتقل شد و ما User آن را پاک کردیم. در نتیجه با هر ترفندی نمی شود اطلاعات آن را رمزگشائی کرد و پیغام Access denied دریافت می کنیم.

جالبه بدونید وقتی که شما DRA را ایجاد کردید هر کاربری که اطلاعات خود را رمزگذاری میکند در کادر مخصوصه نمایش می دهد که علاوه بر آن کاربر چه کسی می تواند این اطلاعات را ریکاوری کند.

ایجاد Data Recover Agent برای رمزگشائی کردن فایلهای کاربران در Domain

برای ریکاوری کردن این اطلاعات با کاربری که Data Recovery Agent می باشد به آن سیستم (سیستمی که اطلاعات رمزگذاری شده بر روی آن است) لاگین می کنم. و Certificateی که قبلا Export کردم را بر روی این سیستم نصب می کنم.

ایجاد Data Recover Agent برای رمزگشائی کردن فایلهای کاربران در Domain

بعد از Import کردن Certificate قبلی به راحتی می توانید محتویات آن فایل رمزگذاری شده را ببینید و آن را رمزگشائی کنید.

ایجاد Data Recover Agent برای رمزگشائی کردن فایلهای کاربران در Domain

آنهای که به هر دلیلی با راه اندازی این قابلیت مشکلی داشته باشند میتوانند لینک زیر را مطالعه کنند:

EFS Recovery Agent Fails to Decrypt Cert installed, thumbprint matches What am I missing?

https://social.technet.microsoft.com/Forums/office/en-US/76ff42e7-055f-469c-9636-05aa454ca974/efs-recovery-agent-fails-to-decrypt-cert-installed-thumbprint-matches-what-am-i-missing?forum=w7itprogeneral

در آخر این مقاله چند سوال برام پیش اومده و دوست دارم آنها را از شما بپرسم (اگر برای کسی مهم باشه جواب بده)

  1. آیا روش بالا می تواند درایوهای که با BitLocker رمزگذاری شده را ریکاور کند؟
  2. وقتی داشتم Policyی بالا را اعمال می کردم در همان صفحه چشمم به این گذینه افتاد:

ایجاد Data Recover Agent برای رمزگشائی کردن فایلهای کاربران در Domain

این دقیقا چکار میکنه؟

ما را از دعای خیرتون توی این ماه پر برکت بی نصیب نگذارید.

نویسنده: احمد جهلولی

#ایجاد_dra_در_دومین #ایجاد_دیتا_ریکاوری_ایجنت_در_دومین #ایجاد_dra_در_ویندوز_سرور_2012r2 #سرتیفیکت_سرور #آموزش_dra #آموزش_ایجاد_دیتا_ریکاوری_ایجنت
3 نظر
احمد جهلولی

سوالات رو باز هم خودم جواب میدم.

  1. آیا روش بالا می تواند درایوهای که با BitLocker رمزگذاری شده را ریکاور کند؟

جواب= خیر

What's Data Recovery Agents with BitLocker?

Data recovery agents are individuals whose public key infrastructure (PKI) certificates have been used to create a BitLocker key protector, so those individuals can use their credentials to unlock BitLocker-protected drives. Data recovery agents can be used to recover BitLocker-protected operating system drives, fixed data drives, and removable data drives. However, when used to recover operating system drives, the operating system drive must be mounted on another computer as a data drive for the data recovery agent to be able to unlock the drive. Data recovery agents are added to the drive when it is encrypted and can be updated after encryption occurs.

Using Data Recovery Agents with BitLocker

https://technet.microsoft.com/en-us/library/dd875560(v=ws.10).aspx

How to use Bitlocker Data Recovery Agent to unlock Bitlocker Protected Drives

https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/

Setting up Data Recovery Agent for Bitlocker

https://blogs.technet.microsoft.com/askcore/2015/10/16/setting-up-data-recovery-agent-for-bitlocker/
navid4558

با سلام

همانطور که می دانید گزارشات مالی، مشخصات و طراحی های محصولات، فایل قرارداد ها، فایل های مولتی مدیا و ایمیل های محرمانه جزو اطلاعات و دارایی های سازمان محسوب میشود. لذا لازم است تا حتی خارج از شبکه سازمان، این اطلاعات محافظت شده باقی بمانند. ( به عنوان مثال اطلاعات کپی شده بر روی لب تاپ با فلش توسط افراد متفرقه قابل مشاهده نباشد). لازم است تا یک فایل خاص برای گروه های خاص و یا نفرات خاصی از مجموعه قابل مشاهده باشد، یا کاربران فقط حق خواندن آن را داشته باشند و نتوانند آن را کپی یا پرینت کنند. با این شیوه اطمینان خاصل می شود که اطلاعات یکپارچه باقی مانده و کنترل می شود چه کسانی چه کارهایی را روی فایل های مهم انجام دهند.

برای این صورت مساله راه حل منطقی یافته وجود دارد یا خیر و چگونه ؟

احمد جهلولی

Use Active Directory Rights Management

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....