Контрол на системата за шифроване на файловата (шифроване на файловата система - EFS), използвайки Group Policy
Две контролни етап EFS
EFS има две нива на конфигурация. Първото ниво се задава на ниво от компютър, който определя дали или не се поддържа от файловата система, и дали той ще бъде на разположение. На второ ниво - е нивото на папки и файлове, този слой изпълнява криптиране.
Логистика, за които говоря тук, е да се даде възможност на потребителите да криптира данните. Тъй като всички компютри поддържат шифроване по подразбиране, и всеки потребител може да криптира данните им да бъдат криптирани на локалния компютър, както и данните, които се споделят в мрежата. Фигура 1 илюстрира възможността, когато данните могат да бъдат криптирани на Windows XP Professional компютър.
Фигура 1: криптиране на данни - това е тяхното имущество
За достъп до опцията за криптиране, както е показано на фигура 1, трябва само да изберете свойствата на файла или папката, които искате да криптирате с натискане на десния бутон на мишката и отглеждане на контекстното меню "Properties" криптирана обекта. След това натиснете бутона "Разширени" в диалоговия прозорец Properties, което от своя страна ще се появи диалогов прозорец "Допълнителни атрибути".
Контролиране на подкрепата на EFS за компютри домейн Active Directory
Когато един компютър се присъединява към Directory домейн Active, че вече не е възможно да се контролира опция подкрепа EFS. Вместо това, тази функция контролира политиката по подразбиране домейн се съхранява в Active Directory. Всички компютри, които са част от домейна на Active Directory на Windows поддържа СЕФ, само част от него.
Компютърна конфигурация \ Windows Settings \ настройките за сигурност \ публичен ключ Policies \ закодирани Агенти Възстановяване на данни
В този момент вие ще видите СЕФ File Encryption Удостоверение за администратор, както е показано на фигура 2.
Тази настройка е това, което осигурява всички компютри възможността да се криптират файлове. За да изключите тази функция, просто трябва да се премахне сертифициране администратор от GPO. Ако след това реши да се включи тази възможност в ограничен брой компютри в Active Directory, ще трябва да изпълните следните стъпки:
- Създаване на нова GPO и да го свържете с организационна единица, която съдържа всички компютри, които имат нужда от подкрепа криптиране на файлове.
- Влезте в раздела "Агенти възстановят криптирани файлове" в GPO и добавяне на сертификата, който поддържа възстановяване на данни EFS.
Това ще осигури на компютрите, на които GPO, EFS възможността за използване на данните, съхранявани на тези компютри.
Компютърна конфигурация \ Windows Settings \ Настройки за сигурност \ публичен ключ Политики \ шифрованата файлова система
Имайте предвид, че в раздела "Общи" има бутон антитеза с надпис "Да не се допуска". Тази опция може да се използва, за да забраните подкрепа EFS на всички компютри в домейна. Също така имайте предвид, че този диалогов прозорец е на разположение, много други параметри, контролиращи EFS.
заключение
EFS е много мощен и полезен вариант. Тя може да кодира данните, съхранявани на компютри с Windows. Encryption помага за защитата на данни от ползвателите или хакери, които се опитват да получат достъп до тях, но не са в състояние да дешифрирате. EFS е процес на два етапа, на първо място трябва да се активира EFS на компютър. Тази функция може да се контролира с помощта на груповите правила, или, когато компютърът е включен към домейна. Администраторите могат да разрешите или забраните EFS от всеки компютър в областта, като използвате настройките GPO. Когато деактивирате EFS за всички компютри, а след това да създадете и конфигурирате нов GPO само някои компютри могат да използват EFS.