آموزش راه اندازی Data Recovery Agent در ویندوز سرور برای رمزگشایی
در این جلسه نحوه ایجاد یک Data Recovery Agent ونحوه رمزگشائی اطلاعات در Windows را آموزش می دهیم.با آمدن فایل سیستم NTFS در ویندوز قابلیتی بوجود آمد به نام Encrypt File System با به اختصار با آن EFS گفته می شود. این قابلیت می تواند فایلهای مهم یک User را رمزگذاری کند و امنیت آنها را فراهم کند.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
اساس کار EFS استفاده از Certificate می باشد. یعنی اطلاعات خود را بر اساس الگوریتم های که در Certificate موجود می باشد رمزگذاری می کند. در سازمانهای که زیر ساخت کلید عمومی یا PKI راه اندازی نشده باشد User هنگام رمزگذاری کردن اطلاعات برای خود یک Self-Signe Certificate ایجاد می کند و با استفاده از آن اطلاعات خود را رمزگذاری می کند.
- نکته: وقتی Userی یک Self-Signe Certificate برای خود ایجاد می کند از اطلاعات به کار رفته در User name and Password خود استفاده می کند و این Certificate را ایجاد می کند. در نتیجه اگر به هر دلیلی User/Pass آن User از بین رفت یا یکPassword جدید برای خود ست کند کلید خصوصی Self-Singe Certificate از بین میرود و کاربر قادر به رمزگشائی اطلاعات خود نمی باشد. در چنین مواقعی آن کاربر بیچاره دست به دامن Admin می شود و اگر آن ادمین برای چنین لحظاتی برنامه ای یا سیاستهای نداشته باشد باید....!!!... ...... آره D:
سازمانی که اغلب پرسنل آن اطلاعات مهم خود را رمزگذاری می کنند و CA Server در ساختار نداشته باشند از Self-Signe Certificate خود استفاده می کنند. و در مواقعی که Self-Signe Certificate آنها از بین رود بیشتر اطلاعات مهم سازمان از بین می رود.برای غلبه کردن بر این مشکلات در چنین سناریوها باید چنین Certificateهای مدیریت شود و مکانیزمی وجود داشته باشد که اگر کاربری Certificate آن از بین رفت بتواند آن اطلاعات را بازیابی کند. طبق معمول مایکروسافت برای چنین سناریوهای مکانیزم و توصیه های دارد.
استفاده از ساختار PKI در چنین سازمانهای
ایجاد Data Recover Agent برای بازیابی اطلاعات رمزگذاری شده.اولین قدم در چنین سناریوهای ایجاد یک CA Server و Publish کردن سرتیفیکت مخصوص رمزگذاری اطلاعات می باشد. برای نصب و کانفیگ CA Server به آموزشهای ADCS رجوع کنید و برای Publish کردن چنین Certificate ای این آموزش را مطالعه کنید.بعد از نصب و کانفیگ CA Server و اعمال Certificate رمزگذاری بر روی کاربران سازمان نوبت به تنظیم Data Recovery Agent می رسد.
Data Recovery Agent
Data Recovery Agent به Userهای گفته می شود که توانائی رمزگشائی کردن اطلاعات کاربران را داشته باشند. که بصورت پیش فرض Local Administrator هر Workstation و در دومین Administrator روت دومین این وظیفه را دارند.
The local admin on a standalone PC or the first logon admin on a DC is the recovery agent by default. However, this can be modified. You can remove the default recovery agent and assign any one as the recovery agent.
قدم اول: تنظیم EFS Recovery Agent در CA Server
نکته: بیشتر تنظیمات Certificate Template را در قسمت ششم از سری آموزش های ADCS توضیح دادم. اگر با تنظیمات زیر مشکلی داشته باشید به آن قسمتها رجوع کنید و مشکل خود را رفع کنید.
به گروه مورد نظر مجوز Enroll and Auto-Enrollment و Read می دهم.
نکته خیلی مهم: در تب Compatibility در قسمت Certificate Authority and Certificate recipient هر دو را بر روی Windows server 2003 و Windows XP /Server 2003 تنظیم کنید.
بعد از ایجاد تنظیمات بالا باید این Certificate را به CA Server معرفی کنیم. برای اینکار مراحل زیر را دنبال کنید.
قدم بعدی لاگین کردن با کاربری که عضو گروه ی که بر روی آن Certificate Template مجوز Enroll داشته باشد و اعمال کردن EFS Recovery Agent بر روی کاربر مورد نظر می باشد. چون این کاربر عضو گروه یه که مجوز Auto-Enrollment بر روی آن Certificate دارد فقط دستور gpupdate /force را اجرا کنید. خود به خود این Certificate بر روی آن کاربر اعمال می شود.
قدم بعدی Export کردن این Data Recovery Agentهمراه با کلید خصوصی می باشد برای اینکار در کادر بالا
دقیقا مانند مراحل بالا این Certificate را Export کنید. و بعد از آن این فایل را بر روی یک Removable Storage با نام DRA ذخیره کنید.
نکته: هر کسی به این Certificate دسترسی داشته باشد می تواند به تمام اطلاعات رمزگذاری شده سازمان دسترسی داشته باشد. پس حواستون به این Certificate مهم باشه.
نکته: Best Practice مایکروسافت می گوید بعد از Export کردن این Certificate آن را پاک کنید.
قدم بعدی اضافه کردن Data Recover Agent می باشد. برای اینکار کنسول Group Policy Management را اجرا کنید:
همانطور که می بینید Data Recovery Agent پیش فرض ایجاد شده بود. ولی من دوست ندارم مدیر کل ساختار Active Directory این وظیفه پیش پا افتاده رو به عهده بگیره پس آن را پاک می کنم. وکاربر قبلی که مجوز و Certificate مربوطه بر روی آن اعمال شده است را اضافه میکنم.
Data Recovery Agent من ایجاد شده.
الان فرض کنید کاربری اطلاعات خود را رمزگذاری کرده بود و بعد از مدتی آن کاربر به قسمت دیگری منتقل شد و ما User آن را پاک کردیم. در نتیجه با هر ترفندی نمی شود اطلاعات آن را رمزگشائی کرد و پیغام Access denied دریافت می کنیم.
جالبه بدونید وقتی که شما DRA را ایجاد کردید هر کاربری که اطلاعات خود را رمزگذاری میکند در کادر مخصوصه نمایش می دهد که علاوه بر آن کاربر چه کسی می تواند این اطلاعات را ریکاوری کند.
برای ریکاوری کردن این اطلاعات با کاربری که Data Recovery Agent می باشد به آن سیستم (سیستمی که اطلاعات رمزگذاری شده بر روی آن است) لاگین می کنم. و Certificateی که قبلا Export کردم را بر روی این سیستم نصب می کنم.
بعد از Import کردن Certificate قبلی به راحتی می توانید محتویات آن فایل رمزگذاری شده را ببینید و آن را رمزگشائی کنید.
آنهای که به هر دلیلی با راه اندازی این قابلیت مشکلی داشته باشند میتوانند لینک زیر را مطالعه کنند:
EFS Recovery Agent Fails to Decrypt Cert installed, thumbprint matches What am I missing?
https://social.technet.microsoft.com/Forums/office/en-US/76ff42e7-055f-469c-9636-05aa454ca974/efs-recovery-agent-fails-to-decrypt-cert-installed-thumbprint-matches-what-am-i-missing?forum=w7itprogeneral
در آخر این مقاله چند سوال برام پیش اومده و دوست دارم آنها را از شما بپرسم (اگر برای کسی مهم باشه جواب بده)
- آیا روش بالا می تواند درایوهای که با BitLocker رمزگذاری شده را ریکاور کند؟
- وقتی داشتم Policyی بالا را اعمال می کردم در همان صفحه چشمم به این گذینه افتاد:
این دقیقا چکار میکنه؟