EFS workgroup và domain khác nhau như thế nào? Cài EFS trên workgroup và admin lock quyền đó.

Một phần của tài liệu BÁO CÁO Tiểu luận môn an ninh mạng Hardening Windows Server 2003 (Trang 73)

lock quyền đó.

EFS work group và domain khác nhau như thế nào?

Trong môi trường AD cặp khoá private/public được lưu trữ trên Domain controller còn trong môi trường workgoup nó được lưu trên máy tính đang sử dụng để mã hoá file.

Trên Domain có Administrator mặc định là File Recovery Agent có năng cứu File cho User nếu User bị mất Certificate.Trên Workgroup mặc định không có File Recovery Agent. Vì vậy nếu triển khai EFS trên workgroup thì cần phải làm cho Administrator trở thành File Recovery Agent.

1. Tạo user1 (trong Computer Management)

2. Log off, đăng nhập với tài khoản user1. Start -> Run -> mmc -> OK

3. Chọn menu File -> Add/Remove Snap-in -> Certificates -> Add -> Close -> OK Hiện tại trong Personal chưa có gì. Chọn menu File -> Save -> Desktop. Đặt tên file là Certificate_u1.

3. Tạo thư mục bất kỳ. Ví dụ tạo thư mục TestEFS_user1 trong ổ C:, tạo 1 file bất kỳ trong thư mục đó.

4. Click chuột phải vào thư mục TestEFS_user1 chọn Properties. Trong thẻ general chon Advanced, check Encryp contents to secure data -> ok.

5. Double click biểu tượng Certificate_user1 trên desktop. Trong Certificates của Personal có 1 certificate của user1 (đây là certificate “self singing” của user1).

Kiểm tra user1:

1. Tạo user2, vào ổ C:

2. Thử đọc, xóa hay thay đổi nội dung file trong thư mục TestEFS_user1 và được kết quả.

Admin tạo Recovery Agent

1. Logon vào Administrator, tạo thư mục save trong ổ C:

2. Vào start -> run -> cmd, đến ổ C: gõ lệnh sau: cipher /r:filename (ví dụ là user_recovery). Chương trình sẽ tạo ra 2 file .cer và .pfx.

(tạo chính sách để Recovery Agent đọc được file mã hóa) 3. Vào Start -> Run -> gõ gpedit.msc.

4. Chọn Computer Configuration -> Windows Settings -> Security Setting -> Public Key Policies, Click chuột phải vào Encrypting File System, họn Add Data Recovery Agent… 5. Trong màn hình mới chọn next, trong Select Recovery Agents chọn Browse Folders -> đến C:save\ chọn user_recovery.cer và open -> next -> ok.

6. Vào start -> run, gõ gpupdate /force.

7. Vào start -> rune -> mmc. Trong Menu File chọn Add\Remove Snap-in -> Add -> Certificates, chọn My user account -> OK.

8. Click chuột phải vào Personal -> All Tasks -> Import -> Next, Browse đên C:save\ chọn user_recovery.pfx -> next -> chọn Mark this key as exportable... -> Next -> Next -> Finish-> ok.

Kiểm tra :

1. Logon user1 tạo file mới trong thư mục TestEFS_user1, sau đó logon vào admin kiểm tra. 2. Logon user2, tạo thư mục và file mới, encrypt folder đó, sau đó logon vào admin kiểm tra.

Một phần của tài liệu BÁO CÁO Tiểu luận môn an ninh mạng Hardening Windows Server 2003 (Trang 73)

Tải bản đầy đủ (DOCX)

(75 trang)
w