DFS-Dateidienste konfigurieren und mit BitLocker verschlüsseln

Wir werden uns in unserer Rolle als Administratoren mit einem Thema von entscheidender Bedeutung befassen, das mit der Sicherheit von Informationen in unserem Netzwerk zusammenhängt. Wir alle wissen, dass Unternehmen die Sicherheit und Verfügbarkeit von Informationen gewährleisten müssen, da es Daten, die sehr empfindlich sind und gestohlen, gehackt oder in einer anderen Situation sind, können nicht nur für die Organisation, sondern auch für den Systemverantwortlichen zu Problemen führen.

Bevor wir beginnen, schauen wir uns an, was die Verschlüsselungsbegriff und welche Vorteile kann es uns bieten; Bei der Verschlüsselung werden die Daten, die wir haben, einfach in eine Datei umgewandelt, die für einen anderen Benutzer, der nicht zum Zugriff auf diese Daten berechtigt ist, nicht lesbar ist. Es gibt auch den Entschlüsselungsprozess, der nichts anderes ist, als die verschlüsselten Daten in ihren ursprünglichen Zustand zu konvertieren.

existieren 3 Arten von Algorithmen zum Verschlüsseln:

SymmetrischEs ist eines, das einen einfachen Schlüssel verwendet, um eine Datei zu verschlüsseln oder zu entschlüsseln.

AsymmetrischEs ist derjenige, der zwei mathematisch verwandte Schlüssel verwendet, wobei mit einem die Datei verschlüsselt und mit dem anderen entschlüsselt wird.

Hash-TypDiese Art der Verschlüsselung funktioniert nur auf eine Weise, dh nach der Verschlüsselung kann sie nicht mehr entschlüsselt werden.

Heute enthält Windows Server 2012 zwei (2) Verschlüsselungstechnologien

  • Dateiverschlüsselungssystem - Verschlüsselndes Dateisystem (EFS)
  • BitlLocker-Geräteverschlüsselung - BitLocker-Laufwerkverschlüsselung

Beginnen wir mit dem praktischen Teil, gehen wir zum nächsten Kapitel, indem wir auf Weiter klicken.

1. Dateien mit EFS ver- oder entschlüsseln


Kann Dateien auf NTFS-Volumes verschlüsseln und für ihre Verwendung muss der Benutzer die Zugangscodes haben, wenn wir (mit dem gültigen Passwort) eine Datei mit EFS öffnen, wird sie automatisch entschlüsselt und wenn wir sie speichern, wird sie entschlüsselt.

Datei mit EFS verschlüsseln
Der Prozess für eine Datei mit EFS verschlüsseln ist das Folgende:

Wir müssen mit der rechten Maustaste auf den Ordner oder die Datei klicken, die wir verschlüsseln möchten, und die Option auswählen Eigenschaften (Bearbeiten):

Auf der Registerkarte Allgemeines Wir wählen die Option Erweiterte Optionen.

Die Option wird angezeigt Erweiterte Attribute.

Wir wählen die Option Inhalte zum Schutz von Daten verschlüsseln, wir klicken auf Akzeptieren.

Wir werden sehen, dass unser verschlüsselter Ordner markiert ist.

NotizWenn es Unterordner innerhalb des Ordners gibt, den wir haben, fragt uns das System beim Anwenden der Änderungen, ob wir diese Änderungen auf alle Ordner (einschließlich Unterordner) oder nur auf den Stammordner anwenden möchten

Wir wählen die am besten geeignete Option und klicken auf Akzeptieren.

Datei oder Ordner mit EFS entschlüsseln
Um eine Datei oder einen Ordner zu entschlüsseln, führen wir den folgenden Vorgang aus:

Wir klicken mit der rechten Maustaste und wählen Eigenschaften:

Auf der Registerkarte Allgemeines wir wählen Erweiterte Optionen:

Das Fenster von Erweiterte Attribute und wir müssten deaktivieren die Option Inhalte zum Schutz von Daten verschlüsseln:

Wir klicken auf Akzeptieren Ja Anwenden um die Änderungen zu speichern.

Erinnern wir uns an diese wichtigen Aspekte bei der Arbeit mit EFS-Verschlüsselung:

  • Wir können Ordner nur mit dem NTFS-Volume verschlüsseln.
  • Der Ordner wird automatisch entschlüsselt, wenn wir ihn auf ein anderes NTFS-Volume verschieben oder kopieren.
  • Dateien, die System-Root sind, können nicht verschlüsselt werden.
  • Die Verwendung von EFS ist keine Garantie dafür, dass unsere Dateien gelöscht werden können. Um dies zu vermeiden, müssen wir NTFS-Berechtigungen verwenden.

2. EFS-geschützte Dateien für andere Benutzer freigeben


Wie kann ich EFS-geschützte Dateien für andere Benutzer freigeben? Dies ist eine sehr gefragte Frage in diesem Bereich, aber keine Sorge, es gibt eine Lösung. Wenn wir eine Datei mit EFS verschlüsseln, kann nur der Benutzer, der sie verschlüsselt hat, auf diese Datei zugreifen, aber in den neuesten Versionen von NTFS können wir unserer verschlüsselten Datei oder unserem verschlüsselten Ordner ein Zertifikat hinzufügen, um es mit anderen Personen zu teilen.

Um diesen Prozess durchzuführen, müssen wir die folgenden Schritte ausführen:

Wir klicken mit der rechten Maustaste auf den Ordner oder die Datei zum Teilen und wählen Eigenschaften.

Im Fenster Eigenschaften (Bearbeiten) wir wählen Erweiterte Optionen.

Da ist das Fenster von Erweiterte Attribute, wir müssen die Option wählen Einzelheiten.

Und im angezeigten Fenster fügen wir einfach die Benutzer hinzu, mit denen es geteilt werden soll, und klicken auf Akzeptieren.

Für den Fall, dass jemand, der die ORKB verwaltet hat, die Organisation verlässt oder das Verschlüsselungspasswort vergessen hat, können wir die DRA (Datenwiederherstellungs-Agent – ​​Datenwiederherstellungs-Agent).

Dazu führen wir folgenden Prozess durch:

  • Wir öffnen unser Gruppenrichtlinienadministrator (In unserem Server-Manager oder Server-Administrator, Menü Extras).
  • Wir stellen die Gesamtstruktur und die Domäne bereit.
  • Wir klicken mit der rechten Maustaste auf Standardrichtlinie oder Standarddomänenrichtlinie, wir wählen aus Bearbeiten:

Sobald sich das Bearbeitungsfenster öffnet, gehen wir zu folgendem Weg:

  • Computerkonfiguration
  • Richtlinien
  • Windows-Optionen
  • Sicherheitseinstellungen
  • Richtlinien für öffentliche Schlüssel

Wir wählen Dateiverschlüsselungssystem (Encrypting File System) und dort rechtsklicken und wählen Datenwiederherstellungs-Agent erstellen (Erstellen Sie einen Datenwiederherstellungs-Agenten).

Wir klicken auf Dateiverschlüsselungssystem (Encrypting File Systems) wählen wir die Zertifikate aus und schließen den Gruppeneditor.

3. Zertifikatsverwaltung


Wenn wir zum ersten Mal eine Datei erstellen, erstellt das System automatisch das Verschlüsselungszertifikat. Wir können ein Backup zu diesem Zertifikat erstellen, dazu gehen wir zum Ausführen-Befehl oder zu den Schlüsseln:

Windows + R

Und wir geben folgendes ein:

 certmgr.msc

Im angezeigten Fenster wählen wir Personal / Zertifikate, im angezeigten Zertifikat klicken wir mit der rechten Maustaste und wählen Exportieren.

Der Exportassistent wird geöffnet, klicken Sie auf Nächste.

Wir wählen, ob wir den privaten Schlüssel senden möchten:

Wir klicken auf Nächste, wir wählen den Formattyp und klicken erneut auf Nächste.

Wir klicken auf Nächste, wir suchen unser Zertifikat und klicken auf Abschließen

4. Dateiverschlüsselung mit Bitlocker


Mit BitLocker (BDE-BitLocker-Laufwerkverschlüsselung) Es ist möglich, ganze Volumes zu verschlüsseln. Wenn wir also unser Gerät verlieren, bleiben die Daten verschlüsselt, auch wenn es woanders installiert ist.

BDE verwendet eine neue Funktion namens TPM-Trusted Plattform Modul - Vertrauenswürdiges Plattformmodul, und dies ermöglicht im Falle eines externen Angriffs eine höhere Sicherheit.BitLocker verwendet TPM, um das Booten und Starten des Servers zu validieren, und garantiert, dass sich die Festplatte in einem optimalen Sicherheits- und Betriebszustand befindet.

Dort sind einige Anforderungen, die wir berücksichtigen müssen, um die Verschlüsselung mit BitLocker zu implementieren, diese sind:

  • Ein Computer mit TPM.
  • Ein Wechseldatenträger, z. B. ein USB-Gerät. Falls der Computer kein TPM hat, speichert TPM den Schlüssel auf diesem Gerät.
  • Mindestens 2 Partitionen auf der Festplatte.
  • BIOS kompatibel mit TPM, wenn nicht möglich, müssen wir unser BIOS mit BitLocker aktualisieren.

TPM ist in den folgenden Windows-Versionen für PCs verfügbar:

  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows 8 Pro
  • Windows 8 Enterprise

BitLocker wird auf Servern nicht häufig verwendet, kann jedoch die Sicherheit erhöhen, indem es mit Cluster-Failover kombiniert wird.

Bit Locker kann die folgenden Formate unterstützen:

  • FAT16
  • FAT32
  • NTFS
  • SATA
  • ATA usw

BitLocker unterstützt nicht:

  • CD- oder DVD-Systemdateien
  • iSCI
  • Faser
  • Bluetooth

BitLocker verwendet bei seinem Betrieb 5 Betriebsmodi:

TPM + PIN (Personal Identifier Number) + PasswortDas System verschlüsselt die Informationen mit TPM, zusätzlich muss der Administrator für den Zugriff seine PIN und sein Passwort eingeben

TPM + SchlüsselDas System verschlüsselt die Informationen mit TPM und der Administrator muss einen Zugangsschlüssel bereitstellen

TPM + PINDas System verschlüsselt die Informationen mit TPM und der Administrator muss seine Zugangskennung angeben

Nur SchlüsselDer Administrator muss das Passwort für den Zugriff auf die Verwaltung angeben

Nur TPMKeine Aktion des Administrators erforderlich

5. So installieren Sie Bitlocker


Der Prozess zur Installation dieser Funktion ist wie folgt:

Wir gehen zum Server Administrator oder Server Manager und wählen Rollen und Funktionen hinzufügen befindet sich in der Schnellstartleiste oder im Menü Verwalten:

VERGRÖSSERN

Im angezeigten Fenster klicken wir auf Nächste, wir wählen Rollen- oder funktionsbasierte Installation, wir klicken nochmal auf Nächste:

Im nächsten Fenster wählen wir unseren Server aus und klicken auf Nächste, im Rollenfenster klicken wir auf Nächste weil wir eine Funktion hinzufügen werden, keine Rolle. Im Fenster von Funktionen auswählen Wir wählen die Option BitLocker-Laufwerkverschlüsselung.

Wie wir im rechten Bereich sehen, haben wir eine kurze Zusammenfassung der Funktionalitäten dieser Funktion, wir klicken auf Nächste. Ein Fenster mit einer Zusammenfassung dessen, was wir tun werden, wird angezeigt:

Wir klicken auf Installieren um den Vorgang zu starten:

Einmal unser BitLocker-Funktion Wir müssen den Server neu starten.

6. Stellen Sie fest, ob unser Computer über TPM . verfügt


Vertrauenswürdiges Plattformmodul ist das bekannte (TPM). In BitLocker wird der TPM-Chip verwendet, um Verschlüsselungs- und Authentifizierungsschlüssel zu schützen, indem er vertrauensvolle Integrität bietet.

Um festzustellen, ob wir die TPM-Option haben, müssen wir gehen zu Schalttafel und wir wählen die Option Sicherheit:

Sobald das Fenster von Sicherheit wir wählen BitLocker-Laufwerkverschlüsselung.

Wir werden sehen, dass wir im unteren linken Bereich die Möglichkeit haben, TPM-Verwaltung.

Wir klicken auf diese Option, TPM-Management und wir werden sehen, ob unser Team diese Funktion installiert hat:

7. BitLocker-Aktivierung


Zu BitLocker aktivieren wir müssen gehen zu:
  • Schalttafel
  • Sicherheit
  • BitLocker-Laufwerkverschlüsselung

Wir wählen die Option BitLocker aktivieren, beginnt der Aktivierungsprozess:

Das System zeigt einige der folgenden Optionen an:

In diesem Beispiel wählen wir Geben Sie ein Passwort ein

Das System teilt uns mit, was mit unserem Passwort zu tun ist:

In unserem Fall wählen wir Speichern unter:

Wir speichern unser Passwort und klicken auf Nächste, dort teilt uns das System mit, welche Art der Verschlüsselung wir durchführen möchten, ganze Einheit oder nur Speicherplatz, wir wählen je nach Konfiguration.

Wir wählen und klicken auf Nächste und schließlich verschlüsseln wir unser Gerät.

AufmerksamkeitWenn unser Computer aus irgendeinem Hardwaregrund den TPM-Test nicht besteht, können wir den folgenden Prozess ausführen, um die Aktivierung von BitLocker zu aktivieren:

  • Wir führen den Befehl aus gpedit.msc In Laufen
  • Wir geben folgende Route ein: Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Bitlocker-Laufwerkverschlüsselung / Betriebssystemlaufwerke.
  • Wir doppelklicken auf diese letzte Option.
  • Wir aktivieren die Richtlinie, indem wir auf klicken Ermöglichen.
  • Wir speichern und können unsere Freischaltung problemlos durchführen.

Was ist BitLocker To Go?Bitlocker To Go ist eine Funktion, mit der wir unsere Flash-Laufwerke verschlüsseln können. Dazu müssen wir den vorherigen Schritt zur Auswahl des Flash-Laufwerks befolgen.

BitLocker-Pre-ProvisioningMit dieser Option können Sie den Bitlocker vor der Installation des Betriebssystems konfigurieren. Dazu müssen wir die Option Windows Preinstallation Environment Win PE mit dem Befehl Manage-bde -on x konfigurieren:

Zusammenfassend können wir sagen, dass wir über Tools verfügen, die uns mehr Sicherheit für unsere Dateien und Ordner bieten, um deren Integrität zu bewahren.

Wenn Sie weitere Informationen zu DFS wünschen, vergessen Sie nicht, die offizielle Website von Microsoft zu besuchen.

Verschlüsseln Sie Windows 10-Festplatten mit BitLocker

wave wave wave wave wave