درخواست های ارتباط
جستجو
    لیست دوستان من
    صندوق پیام
    همه را دیدم
    • در حال دریافت لیست پیام ها
    صندوق پیام
    رویدادها
    همه را دیدم
    • در حال دریافت لیست رویدادها
    همه رویدادهای من
    تخفیف های وب سایت
    همه تخفیف ها

    عضویت در

    کانال تلگرام

    توسینسو

    اطلاعات مطلب
      مدرس/نویسنده
      احمد جهلولی
      امتیاز: 37751
      رتبه:18
      0
      79
      37
      616

      ویدیوهای پیشنهادی

      ایجاد یک Data Recovery Agent برای BitLocker

      تاریخ 29 ماه قبل
      نظرات 1
      بازدیدها 332
      پیش نیاز این آموزش ADCS وآموزش قبلی من درباره EFS می باشد. مطالعه کردن این نکته هم خالی از لطف نیست.اگردو مورد بالای را به خوبی بخوانید و درک کنید نیازی به مقدمه و توضیح نیست. فقط بدانید این روش همانند روش EFS DRA کاربری در ساختار معرفی می کند که در مواقعی که کاربر پسورد و Recovery Key درایوی که بوسیله BitLocker رمزگذاری کرده را فراموش کند وارد عمل می شود و آن درایو را بوسیله BitLocker DRA Certificateی که بر روی آن اعمال شده Unlock می کند.

      • نکته: این روش مانند EFS DRA نیازمند یک زیر ساخت کلید عمومی یا PKI در ساختار می باشد.
      • نکته: هر کاربر قبل از رمزگذاری کردن درایو خود بوسیله BitLocker باید سرتنیفیکت تمپلت User یا Basic EFS بر روی آن اعمال شده باشد.

      برای ایجاد BitLocker Data Recovery Agent اولین مرحله نصب کامپوننت زیر بر روی CA Server و سرور DC میباشد:
      ایجاد یک Data Recovery Agent  برای BitLocker

      قدم بعدی تنظیم کردن Key Recovery Agent template می باشد:
      ایجاد یک Data Recovery Agent  برای BitLocker

      ایجاد یک Data Recovery Agent  برای BitLocker

      ایجاد یک Data Recovery Agent  برای BitLocker

      ایجاد یک Data Recovery Agent  برای BitLocker

      قدم بعدی اعمال کردن این Certificate Template بر روی کاربری که وظیفه ریکاوری کردن BitLocker ها را داشته باشد. چون این کارر مجوز Auto-Enrollment بر روی این تمپلت دارد با رفرش کردن پالاسی این Certificate اد می شود. پس با آن User به کامپیوتری Login می کنیم و دستور gpupdate /Force را اجرا می کنیم. قدم بعدی اضافه کردن این کاربر در Group Policy زیر می باشد.
      مسیر زیر را دنبال کنید:
      Computer Configuration — > Policies — > Windows Settings — > Security Settings — > Public Key Policies — > Right click BitLocker Drive Encryption –> Add Data Recovery Agent
      
      ایجاد یک Data Recovery Agent  برای BitLocker

      ایجاد یک Data Recovery Agent  برای BitLocker

      قدم بعدی فعال کردن Policy زیر میباشد:
      Computer Configuration — > Administrative Templates — > Windows Components — > BitLocker Drive Encryption
      
      ایجاد یک Data Recovery Agent  برای BitLocker

      بصورت کامل توضیح داده شده که این Policy چی هست. کلا برای BitLocker DRA بکار می رود و در مواقعی که درایوی را بوسیله BitLocker DRA ریکاوری کنید مورد استفاده قرار می گیرد. کارمون تموم شد. بریم یک تستی بزنیم. برای اینکار من درایو زیر را رمزگذاری می کنم.
      ایجاد یک Data Recovery Agent  برای BitLocker

      الان بر روی این کلاینت دستور زیر را اجرا می کنم تا از صحت اعمال شدن BitLocker DRA بر روی این درایو مطمئن شوم.
      manage-bde -status f:
      
      ایجاد یک Data Recovery Agent  برای BitLocker

      همانطور که می دانید قبل از ایجاد BitLocker DRA کاربر می تواند بوسیله پسوردی که در ویزارد BitLocker تعیین می کند و همچنین Recovery Key که برای کاربر ایجاد می شود این درایو را Unlock کند ولی بعد از ایجاد BitLocker DRA علاوه بر پارامترهای بالا می توانید از Certificate Thumbprint و همچنین از فایل BitLocker DRA Certificate این درایو را Unlock کند. شما فرض کنید کاربر پسورد و Recovery Key این درایو را گم کرده یا از بین رفته و BitLocker DRA موظف است این درایو را برای این کاربر Unlock کند. برای اینکار کاربری که BitLocker DRA Certificate بر روی آن اعمال شده را عضو گروه Local Administrator آن کامپیوتر می کنیم و با این کاربر به سیستم Login می کنیم.
      • نکته مهم: اگر درایوی قبل از ایجاد BitLocker DRA رمزگذاری شده باشد تنظیمات BitLocker DRA بر روی آن اعمال نمی شود و نمی توان آن را بوسیله BitLocker DRA ریکاوری کرد.
      بعد از Login کردن به سیستم:
      ایجاد یک Data Recovery Agent  برای BitLocker

      دستور زیر را وارد می کنیم:
      manage-bde -protectors -get f:
      
      ایجاد یک Data Recovery Agent  برای BitLocker

      Certificate Thumbprint را بدست آوردم، الان توسط دستور زیر این درایو را Unlock می کنیم:
      manage-bde -unlock f: -cert –ct “Certificate Thumbprint”
      
      ایجاد یک Data Recovery Agent  برای BitLocker

      ایجاد یک Data Recovery Agent  برای BitLocker

      شاید برای شما جای سوال باشه که هر کاربری که مجوز مدیریتی بر روی این سیستم داشته باشد می تواند Certificate Thumbprint استخراج کند و این درایو را Unlock کنید؟ در جواب این سوال باید عرض کنم درسته که هر Adminی می تواند Certificate Thumbprint را استخراج کند ولی نمی تواند این درایو را Unlock کند چون BitLocker DRA Certificate برروی هر ادمین یا کاربری اعمال نشده و در نتیجه هر کسی نمی تواند این درایو را Unlock کند به جز کاربری که BitLocker DRA Certificate بر روی آن اعمال شده باشد.
      ایجاد یک Data Recovery Agent  برای BitLocker


      امید است همه Admin های عزیز از تمام قابلیتهای جدید محصولات مایکروسافت حداکثر استفاده را بکنند.

      نویسنده: احمد جهلولی
      برچسب ها
      مطالب مرتبط

      در حال دریافت اطلاعات

      نظرات

      برای ارسال نظر ابتدا به سایت وارد شوید