PDA

مشاهده نسخه کامل : معرفي سيستم رمز گذاري Efs و نحوه فعالسازي آن



KING
14-04-07, 21:56
معرفي سيستم رمز گذاري EFS و نحوه فعالسازي آن


كاربران شبكه و بخصوص Active Directory حتما با محيط Recovery Agent در Active Directory اشنايي دارند . به عبارت ديگر در Actice Directory محیط Recovery Agent بطور پیش فرض وجود دارد .



اما در WorkGroup اینطور نیست . حالت ديگر كه براي ما مهم است حالتي است كه فايل خود را با يوزري رمز گذاري كرده ايد . بر حسب اتفاق يوزر مربوطه پاك شده و يا ويندوز را عوض كرده ايد . در اينصورت فايل رمز شده ديگر در دسترس نخواهد بود . در مثال پيش رو سعي مي كنيم يوزري را بعنوان Recovery Agent تعريف كنيم تا در صورت برزو مشكلات فوق بتوانيم فايل هاي خود را بازيابي كنيم .



مختصري در ارتباط با سيستم رمز گذاري ويندوز



EFS يا Encrypting File System نام سرويسي در ويندوز XP نسخه Professional مي باشد كه اين امكان را به كاربران مي دهد تا بتوانند فايل ها و فولدر هاي خود را رمز گذاري كنند . اين سرويس دو پروسه اصلي دارد :



Encryption يا پروسه تبديل داده به قالبي كه قابل خواندن توسط كاربر ديگر نباشد .

Decryption يا پروسه باز گشت از حالت رمز گذاري شده به حالت عادي .



همانطور كه مي دانيد EFS تنها براي رمز گذاري داده هايي استفاده مي شود كه بر روي ديسك ذخيره مي شوند . براي ذخيره سازي داده هايي كه از طريق پروتكل TCP/IP منتقل مي شوند دو ويژگي ديگر با نام هاي IPSEC و PPTP Encryption وجود دارد .



فعالسازي EFS



براي فعال سازي اين سرويس ابتدا بايد دقت داشته باشيم كه پارتيشن مورد نظر بايستي با فرمت NTFS پيكربندي شده باشد . سپس كافي است بر روي فايل يا فولدر دلخواه كليك راست كرده و به Properties رفته و در تب General در انتهاي پنجره گزينه Advanced را كليك كنيم . در پنجره باز شونده جديد بايستي چك باكس زير را انتخاب كنيم :



Encrypt Contents To Secure Data
Only the registered members can see the link
فايل مورد نظر رمز گذاري شده و با رنگ سبز از ساير فايل ها متمايز خواهد شد .




با اين نگاه كوتاه به EFS به سراغ پياده سازي Recovery Agent در ويندوز مي رويم . مراحل كار به شكلي است كه تجربه عملي را مي طلبد . لذا براي تفهيم اين بحث بهتر است مثال انتهاي مقاله را نيز براي روي كامپيوتر خود انجام دهيد .

KING
14-04-07, 21:57
پياده سازي Recovery Agent
پس از اينكه EFS را در اكانت كاربري مورد نظر خود فعال كرديد بايستي يك اكانت كاربري ديگر را بعنوان Recovery Agent برگزينيد . در اينجا بطور مثال براي يوزر Test سيستم رمز گذاري را فعال كرده ايم . حال مي خواهيم يوزر Administrator را بعنوان Recovery Agent فعال كنيم .

روش كار بصورت زير است :



ابتدا به اكانت كاربري Administrator وارد مي شويم . در محيط Command Prompt دستور زير را وارد مي كنيم :

Cipher /r:File Name



بلافاصله پس از سوييچ /r بايستي مسير فايلي را قرار بدهيم كه هر فايلي مي تواند باشد .

پس از وارد كردن اين دستور از شما كلمه عبوري مي پرسد تا فايل هاي توليد شده را مورد حفاظت قرار دهد . كلمه عبور و تاييد آن را وارد كنيد . در نهايت دو فايل با پسوند هاي .PFX و .CER در همان محل فايل اصلي ايجاد مي كند .






پس از مرحله فوق Certificate Manager را با وارد كردن دستور Certmgr.msc در Run اجرا مي كنيد . اولين شاخه Personal نام دارد كه با كليك راست بر روي آن و انتخاب All Tasks و سپس Import روال كار را ادامه مي دهيم .



Only the registered members can see the link
در اولين پنجره از Wizard باز شده Next مي زنيم . در بخش File To Import بايستي مسير فايل ايجاد شده در مرحله قبل با پسوند .PFX را قرار دهيم . در پنجره بعدي كلمه عبوري را كه درهنگام كار با دستور Cipher انتخاب كرديم در محل مربوطه وارد مي كنيم . چك باكس دوم را نيز انتخاب مي كنيم .



در صفحه بعدي اولين Option را انتخاب مي كنيم كه بصورت اتوماتيك مسير ذخيره Certificate را تعيين مي كند . در نهايت Finish را كليك مي كنيم .



دو مرحله از پروسه سه مرحله اي ايجاد Recovery Agent پيش رفت . در مرحله بعدي با وارد كردن دستور Secpol.msc در Run وارد Security Policy مي شويم .



Public Key Policy را انتخاب كرده و با كليك راست بر روي Encrypting File System عبارت

Add Data Recovery Agent را كليك مي كنيم .



Only the registered members can see the link
در اولين صفحه باز شده از Wizard مربوطه Next را زده و در پنجره بعدي با استفاده از كليد Browse مسير فايل با پسوند .CER را وارد مي كنيم . نهايتا Next و كار را به پايان مي بريم .



در اينحالت اكانت كاربري Administrator بعنوان Recover Agent در اين سيستم فعال گشته است . هر يوزري در اين سيستم فايل يا فولدري را رمز گذاري كند توسط Administrator قابل باز شده و مشاهده مي باشد.



در بخش بعدي مقاله مثال عملي را بررسي مي كنيم كه در تفهيم مطلب كمك بسياري خواهد كرد .

KING
14-04-07, 21:59
مثال عملي 1
در اين مثال سه اكانت كاربري با نام هاي Administrator – Test One - Test Two را در نظر مي گيريم .



همچنين دو محيط ويندوز XP و ويندوز Vista را براي اجراي عملي در نظر گرفته ايم . ابتدا در اكانت كاربري Test One فايلي را توسط سيستم EFS رمز گذاري كرده و خارج مي شويم .



وارد اكانت كاربري Administaror مي شويم و Recovery Agent را بنا بر مطالب گفته شده در بالا فعال مي كنيم . امتحان مي كنيم تا ببينيم فايل رمز شده در Test One قابل مشاهده هست يا خير . چه نتيجه اي گرفتيم ؟



بله .. بدليل اينكه فايل رمز شده قبل از ايجاد Recovery Agent رمز شده است در حال حاضر نمي توانيم فايل را مشاهده كنيم .



مجددا وارد اكانت كاربري Test One مي شويم . در محيط Command Pormpt دستور زير را وارد مي كنيم :

Cipher /u



وظيفه اين دستور بسيار مهم Update كردن كليد هاي رمز گذاري يا كليد Recovery Agent بر روي كليد هاي فعلي است . در صورتيكه پيغام Encryption Updatetd را دريافت كرديد دستور با موفقيت انجام شده است .



حال اگر به اكانت كاربري Administrator وارد شويد مي توانيد فايل رمز شده را مشاهده كنيد !



در مرحله بعدي تست وارد اكانت كاربري Test Two مي شويم . فايلي را رمز مي كنيم و مجددا با كانت كاربري Administartor وارد مي شويم . مشاهده مي كنيم كه فايل به راحتي قابل مشاهده است چراكه يوزر Administrator بعنوان Recovery Agent معرفي شده و فايل رمز شده نيز پس از ايجاد Recovery Agent رمز شده است .

KING
14-04-07, 22:09
مثال عملي 2
تا اينجاي كار بررسي كرديم كه چگونه مي توانيم در يك ويندوز فايل هاي رمز شده را توسط يك يوزر خاص بازيابي كنيم . اما نكته و مرحله اصلي اين مثال اين است كه بتوانيم فايل رمز شده را در صورت از بين رفتن ويندوز نيز باز يابي كنيم .



وارد اكانت كاربري Test Two مي شويم .



با وارد كردن دستور Certmgr.msc وارد Certificate Manager مي شويم .



در بخش Personal و در شاخه Certificate بر روي Certificate مربوطه در سمت راست پنجره كليك راست كرده و از طريق All Tasks دستور Export را بر مي گزينيم . دقت كنيد كه ممكن است اينجا چندين Certificate وجود داشته باشد لذا دقت كنيد كه مورد اصلي را انتخاب كرده ايد .



در Wizard باز شده Next را مي زنيم تا پنجره بعدي را ببينيم . در اين جا Option اول را انتخاب مي كنيم .



از پنجره بعدي نيز بدون اعمال تغييري عبور مي كنيم . در پنجره سوم كلمه عبوري وارد كرده و آن را تاييد مي كنيم و در نهايت مسير ذخيره فايل را ( با پسوند .pfx ) وارد كنيم و كار را به پايان مي بريم .



همين عمليات نيز بر روي كنسول Secpol.msc صورت مي گيرد .



پس از ورود به اين كنسول به بخش Public Key Policies و سپس Encrypting File System وارد شده و در سمت راست كنسول بر روي Certificate مد نظر كليك راست مي كنيم .



از طريق All Tasks دستور Export را بر مي گزينيم .



پنجره اول را Next زده و از پنجره بعدي هم بدون اعمال تغييري عبور مي كنيم . در نهايت مسير ذخيره ( با پسوند cer. ) را تعيين كرده كار را به پايان مي بريم .



همانطور كه مي بينيد براي اينكه بتوانيد فايل هاي خود را پس از ازبين رفتن ويندوز فعلي بازيابي كنيد بايستي Private Key و Certificate مربوط به يوزر خاص را در جايي ذخيره كنيد تا بعدا از آن استفاده كنيد .



در مرحله بعدي براي اينكه بتوانيم از بين رفتن ويندوز فعلي را شبيه سازي كنيم از ويندوز Vista كمك گرفته ايم .



پس از ورود به اين سيستم عامل با استفاده از فايلهايي كه در يوزر Test Two و طى روال بالا Export كرده ايم يك Recover Agent ايجاد مي كنيم .



پس از Import فايل هاي به كنسول هاي مرتبط ( فايل با پسوند .pfx به Certmgr.msc و فايل با پسوند .cer به Secpol.msc ) و ايجاد Recovery Agent به سراغ فايلي مي رويم كه در اكانت كاربري Test Two رمز گذاري كرده ايم . ملاحظه مي شود كه فايل قابل دسترسي و مشاهده است .



به اين طريق توانستيم فايل خود را با وجود از بين رفتن ويندوز فعلي باز يابي كنيد . هر چند اين روال كار تا حدودي خسته كننده به نظر مي رسد اما راه مناسب و مطمئني براي بازيابي فايل هاست .




نكته مهمي كه در پايان بايد به آن اشاره كرد حفاظت از Privet Key است . البته روشي هم وجود دارد كه Private Key را Remove مي كند . توصيه مي كنم جستجو كرده و راهكار آن را بيابيد .

Gabana
03-11-07, 13:34
جناب كينگ ..
اينا رو منبع هم مي زدي ( به منبع لينك هم ميدادي ) بد نبودا .
بهتر نيست يكم براي زحمت ديگران ارزش قايل بشيم ؟؟

Shahryar
03-11-07, 14:38
دوست عزيز منبع : سخت افزار دات كام هست و مقاله نوشته : پيام حداد ( Gabana )

شرمنده ، اشتباها رعايت نشده .

باتشكر
شهريار