Configureer DFS-bestandsservices en versleutel met BitLocker

We gaan een kwestie behandelen die van vitaal belang is in onze rol als beheerders, en het is een kwestie die verband houdt met de beveiliging van informatie in ons netwerk, we weten allemaal dat organisaties de veiligheid en beschikbaarheid van informatie moeten waarborgen, aangezien er gegevens die uiterst delicaat zijn en die bij diefstal, hacking of een andere situatie problemen kunnen opleveren, niet alleen voor de organisatie, maar ook voor de persoon die verantwoordelijk is voor het systeemgebied.

Laten we, voordat we beginnen, bekijken wat de Coderingsterm en welke voordelen kan het ons bieden; Versleuteling verandert eenvoudigweg de gegevens die we hebben in een bestand dat niet kan worden gelezen door een andere gebruiker die niet geautoriseerd is om toegang te krijgen tot die gegevens. Er is ook het decoderingsproces, dat niets meer is dan het converteren van de gecodeerde gegevens naar de oorspronkelijke staat.

bestaan 3 soorten algoritmen om te versleutelen:

SymmetrischHet is er een die een eenvoudige sleutel gebruikt om een ​​bestand te coderen of te decoderen.

AsymmetrischHet is degene die twee wiskundig gerelateerde sleutels gebruikt, met de ene wordt het bestand gecodeerd en met de andere wordt het gedecodeerd.

Hash-typeDit type versleuteling werkt maar op één manier, dat wil zeggen dat het na versleuteling niet meer kan worden ontsleuteld.

Tegenwoordig bevat Windows Server 2012 twee (2) versleutelingstechnologieën

  • Bestandsversleutelingssysteem - Bestandssysteem versleutelen (EFS)
  • BitlLocker-apparaatversleuteling - BitLocker-stationsversleuteling

Laten we beginnen met het praktische gedeelte, laten we naar het volgende hoofdstuk gaan door op volgende te klikken.

1. Versleutel of ontsleutel bestanden met EFS


Kunnen versleutel bestanden op NTFS-volumes en voor het gebruik ervan moet de gebruiker de toegangscodes hebben, wanneer we openen (met het geldige wachtwoord) wordt een bestand met EFS automatisch gedecodeerd en als we het opslaan, wordt het gedecodeerd.

Versleutel bestand met EFS
Het proces voor versleutel een bestand met EFS is de volgende:

We moeten met de rechtermuisknop op de map of het bestand klikken dat we willen versleutelen en de optie kiezen Eigenschappen (bewerken):

Op het tabblad algemeen we kiezen voor de optie Geavanceerde mogelijkheden.

De optie wordt weergegeven Geavanceerde attributen.

We kiezen voor de optie Versleutel inhoud om gegevens te beschermen, we klikken op Accepteren.

We zullen zien dat onze gecodeerde map is gemarkeerd.

OpmerkingAls er submappen zijn in de map die we hebben, zal het systeem ons bij het toepassen van de wijzigingen vragen of we deze wijzigingen willen toepassen op alle mappen (inclusief submappen) of alleen op de hoofdmap

We selecteren de meest geschikte optie en klikken op Accepteren.

Decodeer bestand of map met EFS
Om een ​​bestand of map te decoderen, voeren we het volgende proces uit:

We klikken met de rechtermuisknop en kiezen eigenschappen:

Op het tabblad algemeen we kiezen Geavanceerde mogelijkheden:

Het raam van Geavanceerde kenmerken en we zouden moeten uitvinken de optie Versleutel inhoud om gegevens te beschermen:

We klikken op Accepteren Y Van toepassing zijn om de wijzigingen op te slaan.

Laten we deze belangrijke aspecten niet vergeten bij het werken met EFS-codering:

  • We kunnen mappen alleen versleutelen met het NTFS-volume.
  • De map wordt automatisch gedecodeerd wanneer we deze naar een ander NTFS-volume verplaatsen of kopiëren.
  • Bestanden die systeemroot zijn, kunnen niet worden versleuteld.
  • Het gebruik van EFS is geen garantie dat onze bestanden kunnen worden verwijderd, om dit te voorkomen moeten we NTFS-rechten gebruiken.

2. EFS-beveiligde bestanden delen met andere gebruikers


Hoe EFS-beveiligde bestanden delen met andere gebruikers? Dit is een veelgevraagde vraag op dit gebied, maar maak je geen zorgen, het heeft een oplossing. Wanneer we een bestand met EFS versleutelen, heeft alleen de gebruiker die het heeft versleuteld toegang tot dat bestand, maar in de nieuwste versies van NTFS kunnen we een certificaat toevoegen aan ons versleutelde bestand of onze versleutelde map om het met andere mensen te delen.

Om dit proces uit te voeren, moeten we de volgende stappen uitvoeren:

We klikken met de rechtermuisknop op de map of het bestand om te delen en kiezen Eigenschappen.

In het raam Eigenschappen (bewerken) we kiezen Geavanceerde mogelijkheden.

Daar het raam van Geavanceerde kenmerken, we moeten de optie kiezen Details.

En in het weergegeven venster voegen we eenvoudig de gebruikers toe met wie het wordt gedeeld en klikken op Accepteren.

In het geval dat iemand die de HCI's beheerde de organisatie heeft verlaten of het encryptiewachtwoord is vergeten, kunnen we de DRA (Data Recovery Agent-Data Recovery Agent).

Hiervoor gaan we het volgende proces uitvoeren:

  • Wij openen onze Groepsbeleid-beheerder (In onze Servermanager of Serverbeheerder, menu Extra).
  • We zetten het forest en het domein in.
  • We klikken met de rechtermuisknop op Standaardbeleid of standaarddomeinbeleid, wij selecteren Bewerking:

Zodra het bewerkingsvenster wordt geopend, gaan we naar de volgende route:

  • computer configuratie
  • Beleid
  • Windows-opties
  • Veiligheidsinstellingen
  • Beleid voor openbare sleutels

We kiezen Bestandsversleutelingssysteem (Encrypting File System) en daar klikken we met de rechtermuisknop en kiezen Gegevensherstelagent maken (Maak een gegevensherstelagent).

We klikken op Bestandsversleutelingssysteem (Encrypting File Systems), kiezen we de certificaten en sluiten we de groepseditor.

3. Certificaatbeheer


Wanneer we voor de eerste keer een bestand maken, maakt het systeem automatisch het coderingscertificaat aan. We kunnen een back-up maken naar dat certificaat, hiervoor gaan we naar het Execute-commando of de toetsen:

Windows + R

En we vullen het volgende in:

 certmgr.msc

In het weergegeven venster kiezen we: Personeel / Certificaten, in het weergegeven certificaat klikken we met de rechtermuisknop en kiezen Exporteren.

De exportwizard wordt geopend, klik op Volgende.

We kiezen of we de privésleutel willen verzenden:

We klikken op Volgende, we kiezen het type formaat en klikken opnieuw op Volgende.

We klikken op Volgende, we zoeken ons certificaat op en klikken op Afronden

4. Bestandsversleuteling met Bitlocker


Met BitLocker (BDE-BitLocker-stationsversleuteling) Het is mogelijk om hele volumes te versleutelen, dus als we ons apparaat verliezen, blijven de gegevens versleuteld, zelfs als het ergens anders is geïnstalleerd.

BDE gebruikt een nieuwe functie genaamd TPM-vertrouwde platformmodule - Trusted Platform-module, en dit zorgt voor een betere beveiliging in geval van een externe aanval. BitLocker gebruikt TPM om het opstarten en opstarten van de server te valideren en garandeert dat de harde schijf zich in optimale veiligheid en werking bevindt.

Er zijn een paar Vereisten waarmee we rekening moeten houden om encryptie met BitLocker te implementeren, dit zijn:

  • Een computer met TPM.
  • Een verwijderbaar opslagapparaat, zoals een USB, dus als de computer geen TPM heeft, slaat TPM de sleutel op dat apparaat op.
  • Minimaal 2 partities op de harde schijf.
  • BIOS compatibel met TPM, indien niet mogelijk, moeten we ons BIOS bijwerken met BitLocker.

TPM is beschikbaar in de volgende versies van Windows voor pc's:

  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows 8 Pro
  • Windows 8 Enterprise

BitLocker wordt niet vaak gebruikt op servers, maar het kan de beveiliging verhogen door het te combineren met Cluster Failover.

Bit Locker ondersteunt de volgende formaten:

  • FAT16
  • FAT32
  • NTFS
  • SATA
  • ATA, enz

BitLocker ondersteunt niet:

  • Cd- of dvd-systeembestanden
  • iSCI
  • Vezel
  • Bluetooth

BitLocker gebruikt 5 operationele modi in zijn werking:

TPM + pincode (persoonlijk identificatienummer) + wachtwoordHet systeem versleutelt de informatie met TPM, daarnaast moet de beheerder zijn pincode en wachtwoord invoeren om toegang te krijgen

TPM + sleutelHet systeem versleutelt de informatie met TPM en de beheerder moet een toegangssleutel verstrekken

TPM + pincodeHet systeem versleutelt de informatie met TPM en de beheerder moet zijn toegangsidentificatie verstrekken

Alleen sleutelDe beheerder moet het wachtwoord opgeven om toegang te krijgen tot beheer

Alleen TPMGeen actie vereist door de beheerder

5. Bitlocker installeren


Het proces om deze functie te installeren is als volgt:

We gaan naar de Server Administrator of Server Manager en kiezen Rollen en functies toevoegen bevindt zich in de snelstart of in het menu Beheren:

VERGROTEN

In het weergegeven venster klikken we op Volgende, we kiezen Op rollen of functies gebaseerde installatie, we klikken weer op Volgende:

In het volgende venster selecteren we onze server en klikken op Volgende, in het rolvenster klikken we op Volgende omdat we een functie gaan toevoegen, geen rol. In het raam van Selecteer functies we kiezen voor de optie BitLocker-stationsversleuteling.

Zoals we in het rechterpaneel zien, hebben we een korte samenvatting van de functionaliteiten van deze functie, we klikken op Volgende. Er wordt een venster weergegeven met een samenvatting van wat we gaan doen:

We klikken op Installeren om het proces te starten:

eens onze BitLocker-functie we moeten de server opnieuw opstarten.

6. Bepaal of onze computer TPM heeft


Trusted Platform-module is het bekende (TPM). In BitLocker wordt de TPM-chip gebruikt om coderings- en authenticatiesleutels te beschermen door met vertrouwen integriteit te bieden.

Om te bepalen of we de TPM-optie hebben, moeten we naar: Controlepaneel en we kiezen voor de optie Veiligheid:

Zodra het raam van Veiligheid we kiezen Bitlocker-stationsversleuteling.

We zullen zien dat we in het paneel linksonder de optie hebben om: TPM-beheer.

We klikken op deze optie, TPM-beheer en we zullen zien of ons team deze functie heeft geïnstalleerd:

7. BitLocker-activering


Tot BitLocker inschakelen we moeten naar:
  • Controlepaneel
  • Veiligheid
  • Bitlocker-stationsversleuteling

We kiezen voor de optie BitLocker inschakelen, begint het activeringsproces:

Het systeem geeft enkele van de volgende opties aan:

In dit voorbeeld kiezen we: Vul een wachtwoord in

Het systeem vertelt ons wat we met ons wachtwoord moeten doen:

In ons geval kiezen we: Opslaan in bestand:

We slaan ons wachtwoord op en klikken op Volgende, daar vertelt het systeem ons welk type codering we willen uitvoeren, hele eenheid of alleen schijfruimte, we kiezen volgens onze configuratie.

We kiezen en klikken op Volgende en ten slotte gaan we verder met het coderen van onze eenheid.

AandachtAls onze computer om de een of andere hardware-reden de TPM-test niet doorstaat, kunnen we het volgende proces uitvoeren om BitLocker te activeren:

  • We voeren het commando uit: gpedit.msc in Loop
  • We rijden de volgende route in: Computerconfiguratie / Beheersjablonen / Windows-componenten / Bitlocker-stationsversleuteling / Besturingssysteemstations.
  • Op deze laatste optie dubbelklikken we.
  • We schakelen het beleid in door te klikken op Inschakelen.
  • We bewaren en we kunnen onze activering zonder problemen uitvoeren.

Wat is BitLocker To Go?Bitlocker To Go is een functionaliteit waarmee we onze flashdrives kunnen coderen, hiervoor moeten we de vorige stap volgen om de flashdrive te kiezen.

BitLocker-vooraf inrichtenMet deze optie kunt u de Bitlocker configureren van vóór de installatie van het besturingssysteem, hiervoor moeten we de Windows Preinstallation Environment Win PE-optie configureren met de opdracht Manage-bde -on x:

Samenvattend kunnen we zeggen dat we tools hebben die ons meer veiligheid bieden voor onze bestanden en mappen, allemaal met als doel hun integriteit te behouden.

Als u meer informatie wilt over DFS, vergeet dan niet de officiële website van Microsoft te bezoeken.

Versleutel Windows 10-schijven met BitLocker

wave wave wave wave wave