درخواست های ارتباط
جستجو تنظیمات
لیست دوستان من

ایجاد یک Data Recovery Agent برای BitLocker

1 نظرات

پیش نیاز این آموزش ADCS وآموزش قبلی من درباره EFS می باشد. مطالعه کردن این نکته هم خالی از لطف نیست.اگردو مورد بالای را به خوبی بخوانید و درک کنید نیازی به مقدمه و توضیح نیست. فقط بدانید این روش همانند روش EFS DRA کاربری در ساختار معرفی می کند که در مواقعی که کاربر پسورد و Recovery Key درایوی که بوسیله BitLocker رمزگذاری کرده را فراموش کند وارد عمل می شود و آن درایو را بوسیله BitLocker DRA Certificateی که بر روی آن اعمال شده Unlock می کند.

  • نکته: این روش مانند EFS DRA نیازمند یک زیر ساخت کلید عمومی یا PKI در ساختار می باشد.

  • نکته: هر کاربر قبل از رمزگذاری کردن درایو خود بوسیله BitLocker باید سرتنیفیکت تمپلت User یا Basic EFS بر روی آن اعمال شده باشد.

برای ایجاد BitLocker Data Recovery Agent اولین مرحله نصب کامپوننت زیر بر روی CA Server و سرور DC میباشد:

Image

قدم بعدی تنظیم کردن Key Recovery Agent template می باشد:

Image

Image

Image

Image

قدم بعدی اعمال کردن این Certificate Template بر روی کاربری که وظیفه ریکاوری کردن BitLocker ها را داشته باشد. چون این کارر مجوز Auto-Enrollment بر روی این تمپلت دارد با رفرش کردن پالاسی این Certificate اد می شود. پس با آن User به کامپیوتری Login می کنیم و دستور gpupdate /Force را اجرا می کنیم. قدم بعدی اضافه کردن این کاربر در Group Policy زیر می باشد.

مسیر زیر را دنبال کنید:

Computer Configuration — > Policies — > Windows Settings — > Security Settings — > Public Key Policies — > Right click BitLocker Drive Encryption –> Add Data Recovery Agent

Image

Image

قدم بعدی فعال کردن Policy زیر میباشد:

Computer Configuration — > Administrative Templates — > Windows Components — > BitLocker Drive Encryption

Image

بصورت کامل توضیح داده شده که این Policy چی هست. کلا برای BitLocker DRA بکار می رود و در مواقعی که درایوی را بوسیله BitLocker DRA ریکاوری کنید مورد استفاده قرار می گیرد. کارمون تموم شد. بریم یک تستی بزنیم. برای اینکار من درایو زیر را رمزگذاری می کنم.

Image

الان بر روی این کلاینت دستور زیر را اجرا می کنم تا از صحت اعمال شدن BitLocker DRA بر روی این درایو مطمئن شوم.

manage-bde -status f:

Image

همانطور که می دانید قبل از ایجاد BitLocker DRA کاربر می تواند بوسیله پسوردی که در ویزارد BitLocker تعیین می کند و همچنین Recovery Key که برای کاربر ایجاد می شود این درایو را Unlock کند ولی بعد از ایجاد BitLocker DRA علاوه بر پارامترهای بالا می توانید از Certificate Thumbprint و همچنین از فایل BitLocker DRA Certificate این درایو را Unlock کند. شما فرض کنید کاربر پسورد و Recovery Key این درایو را گم کرده یا از بین رفته و BitLocker DRA موظف است این درایو را برای این کاربر Unlock کند. برای اینکار کاربری که BitLocker DRA Certificate بر روی آن اعمال شده را عضو گروه Local Administrator آن کامپیوتر می کنیم و با این کاربر به سیستم Login می کنیم.

  • نکته مهم: اگر درایوی قبل از ایجاد BitLocker DRA رمزگذاری شده باشد تنظیمات BitLocker DRA بر روی آن اعمال نمی شود و نمی توان آن را بوسیله BitLocker DRA ریکاوری کرد.

بعد از Login کردن به سیستم:

Image

دستور زیر را وارد می کنیم:

manage-bde -protectors -get f:

Image

Certificate Thumbprint را بدست آوردم، الان توسط دستور زیر این درایو را Unlock می کنیم:

manage-bde -unlock f: -cert –ct “Certificate Thumbprint”

Image

Image

شاید برای شما جای سوال باشه که هر کاربری که مجوز مدیریتی بر روی این سیستم داشته باشد می تواند Certificate Thumbprint استخراج کند و این درایو را Unlock کنید؟ در جواب این سوال باید عرض کنم درسته که هر Adminی می تواند Certificate Thumbprint را استخراج کند ولی نمی تواند این درایو را Unlock کند چون BitLocker DRA Certificate برروی هر ادمین یا کاربری اعمال نشده و در نتیجه هر کسی نمی تواند این درایو را Unlock کند به جز کاربری که BitLocker DRA Certificate بر روی آن اعمال شده باشد.

Image

امید است همه Admin های عزیز از تمام قابلیتهای جدید محصولات مایکروسافت حداکثر استفاده را بکنند.

نویسنده: احمد جهلولی

آیا این مطلب را پسندیدید؟

برای ارسال نظر ابتدا به سایت وارد شوید

arrow