Group Policy ile EFS

   EFS Windows çalıştıran bilgisayarlarda depolanan verileri korumak için güçlü bir seçenektir. EFS ücretsizdir ve windows 2000’den beri Windows işletim sistemi ile birlikte gelmektedir. Veri deoplama ortamlarında EFS kullanımı artmakla birlikte, her yerde EFS kullanımı istenmeyebilir, bu tip durumlarda nerelerde kullanılabileceğinin sınırlarını belirlemeniz gerekir. EFS yi yönetmek için Group Policy’den yararlanabiliriz.

EFS yönetimininin iki safhası

EFS konfigürasyonunun iki seviyesi vardır. Desteklenip desteklenmeyeceği ve hazır olup olmayacağının belirlendiği, ilk seviye, bilgisayar seviyesinde ayarlanır. İkinci seviye verilerde kriptolama yapılması, klasör ve dosya seviyesidir.
Group Policy ile EFS (Encrypting File System) Kontrolü

Windows 2000 (Server ve Professional), Windows XP Professional, Windows Server 2003, Windows Vista ve Windows Server 2008 bilgisayarda tutulan verilerin kriptolanmasını destekler. Tüm bu işletim sistemleri öntanımlı olarak EFSkullanımı ile veri kriptolamayı destekler. Tabi, lojistik gibi sebeplerden dolayı bazı bilgisayarların verileri kriptolamaması gerekebilir.

Lojistikten kasıt, kullanıcıların verileri kriptolayabilmesine izin vermektir. Tüm bilgisayarlar öntanımlı olarak kriptolamayı desteklediği için, ve her kullanıcının kriptolama yapmasına izin olduğu için, yerel masaüstünde ve ağda paylaşılan verileri kriptolanabilir. Aşağıdaki resimde Windows XP Professional bir bilgisayarda verilerin nereden kriptolanacağı görülüyor:

Resimdeki kriptolama seçeneklerine, dosya veya klasörün üzerinde sağ tuşa tıklayarak özellikler seçildikten sonra Gelişmiş ayarların açıldığı butona tıklayarak ulaşılabilir.

Active Directory Domain’deki bilgisayarlarda EFS desteği kontrolü

Bir bilgisayar Active Directory Domain’ine katıldığında EFS desteği kontrolü kendisinde değildir. Bu özelliği Active Directory’de tutulan Öntanımlı Domain Politikası kontrol eder. Windows Active Directory domain’ine katılan tüm bilgisayarlar EFS’yi destekler.

Windows 2000 domain’lerde bu konfigürasyon Windows Server 2003 ve Windows Server 2008 domain’lerden farklıdır.

Windows 2000 Domain’lerde EFS Kontrolü

Windows 2000 bilgisayarlar EFS’yi güncel işletim sistemlerinden farklı olarak destekler ve bu sebeple Öntanımlı Domain Politikasında EFS konfigürasyonu farklıdır. Windows 2000’de EFS yi aktif etme ve kapatma tümüyle EFS data recovery agent sertifikasına bağlıdır. Öntanımlı olarak, Administrator kullanıcı hesabı bu sertifikaya sahiptir ve data recovery agent olarak konfigüre edilir. (Eğer data recovery için sertifika yoksa EFS başarısızlığa uğrar).

Default Domain Policy’de bu konfigürasyona erişim için, Group Policy düzenleyicisinde GPO’yu düzenlerken aşağıdaki yolu takip edin:

Computer Configuration\\Windows Settings\\Security Settings\\Public Key Policies\\Encrypted Data
Recovery Agents

Resim 2 de görüldüğü gibi Administrator için EFS Dosya kriptolama sertifikasını görmeniz gerekir.

Bu konfigürasyon tüm bilgisayarların dosyaları kriptolayabilmesini sağlar. Bu yeteneği kaldırmak için GPO dan administrator sertifikasını silebilirsiniz. Bundan sonra eğer EFS’yi active directory’deki bazı bilgisayarlar için sağlamak isterseniz aşağıdaki adımları gerçekleştirin:

1. Yeni bir GPO yaratın ve kriptolama desteği ihtiyacı olan bilgisayarları içeren organizational unit’e link’leyin.
2. GPO’da Encrypted Data Recovery Agents bölümüne erişin ve EFS data recovery desteği olan sertifika ekleyin.

Bu GPO etkisi altındaki bilgisayarlar EFS kullanabilirler.

Windows 2003 ve 2008 Domain’lerde EFS kontrolü

Yeni domain ve işletim sistemleri (windows 2000 sonrası) EFS’yi benzer bir şekilde desteklerler fakat bazı önemli farklılıklar içerirler.

1. Windows 2000 sonrası bilgisayarlarda kriptolama için data recovery agent gereksinimi yoktur
2. EFS, GPO’da data recovery agent sertifikası ekleme ile kontrol edilmez.
3. EFS, kriptolanmış dosyalara birden fazla kullanıcı erişimini destekler.

Bu sebeple, Windows 2003 ve 2008 domain’lerde EFS’yi kontrol için farklı işlemler gerçekleştirmeniz gerekir. Ayarlar halen Default domain policy’de bulunmaktadır. Erişmeniz gereken yeni yol:

Computer Configuration\\Windows Settings\\Security Settings\\Public Key Policies\\Encrypting File System

Burda, data recovery agent’ta değişiklik yapmak yerine, Encrypting File System kısmında sağ tuşa tıklayıp açılan menüde Özellikler (Properties) seçin. Windows 2003 domainlerde “Kullanıcıların dosyaları EFS ile kriptolamasına izin verin” seçeneği göreceksiniz. Windows Server 2008 domainlerde arabirim oldukça değişti ve ayarlar EFS özellikleri sayfasında aşağıdaki resimdeki gibi yapılabiliyor:

Genel ayarlar kısmında "Don’t allow" (izin verme) seçeneği domain’deki tüm bilgisayarlarda EFS’nin kapatılmasını sağlıyor. EFS ile ilgili diğer tüm seçenekler de yine bu bölümde yapılabiliyor.

Domain’deki spesifik bilgisayarları hedeflemek için Windows 2000 domain’inde listelenen adımlar aynı şekilde uygulanabilir.

Saygılar.

Yazar	Mesaj Konu Arama Konu SeÃ§enekleri YanÄ±t Yaz Yeni Konu OluÅŸtur Konuyu YazdÄ±r Translate Konu
megabros Ãœye Profili Ã–zel Mesaj Yolla Ãœyenin MesajlarÄ±nÄ± Bul ArkadaÅŸ Listeme Ekle Security Professional KayÄ±t Tarihi: 08-06-2009 Konum: Turkey Status: Aktif DeÄŸil Points: 752	Mesaj SeÃ§enekleri YanÄ±t Yaz AlÄ±ntÄ± megabros Bu mesaj kurallara aykÄ±rÄ±ysa buradan yÃ¶neticileri bilgilendirebilirsiniz. Thanks(0) AlÄ±ntÄ± Cevapla Konu: Group Policy ile EFS GÃ¶nderim ZamanÄ±: 07-04-2010 Saat 08:05
	EFS Windows çalıştıran bilgisayarlarda depolanan verileri korumak için güçlü bir seçenektir. EFS ücretsizdir ve windows 2000’den beri Windows işletim sistemi ile birlikte gelmektedir. Veri deoplama ortamlarında EFS kullanımı artmakla birlikte, her yerde EFS kullanımı istenmeyebilir, bu tip durumlarda nerelerde kullanılabileceğinin sınırlarını belirlemeniz gerekir. EFS yi yönetmek için Group Policy’den yararlanabiliriz. EFS yönetimininin iki safhası EFS konfigürasyonunun iki seviyesi vardır. Desteklenip desteklenmeyeceği ve hazır olup olmayacağının belirlendiği, ilk seviye, bilgisayar seviyesinde ayarlanır. İkinci seviye verilerde kriptolama yapılması, klasör ve dosya seviyesidir. Group Policy ile EFS (Encrypting File System) Kontrolü Windows 2000 (Server ve Professional), Windows XP Professional, Windows Server 2003, Windows Vista ve Windows Server 2008 bilgisayarda tutulan verilerin kriptolanmasını destekler. Tüm bu işletim sistemleri öntanımlı olarak EFSkullanımı ile veri kriptolamayı destekler. Tabi, lojistik gibi sebeplerden dolayı bazı bilgisayarların verileri kriptolamaması gerekebilir. Lojistikten kasıt, kullanıcıların verileri kriptolayabilmesine izin vermektir. Tüm bilgisayarlar öntanımlı olarak kriptolamayı desteklediği için, ve her kullanıcının kriptolama yapmasına izin olduğu için, yerel masaüstünde ve ağda paylaşılan verileri kriptolanabilir. Aşağıdaki resimde Windows XP Professional bir bilgisayarda verilerin nereden kriptolanacağı görülüyor: Resimdeki kriptolama seçeneklerine, dosya veya klasörün üzerinde sağ tuşa tıklayarak özellikler seçildikten sonra Gelişmiş ayarların açıldığı butona tıklayarak ulaşılabilir. Active Directory Domain’deki bilgisayarlarda EFS desteği kontrolü Bir bilgisayar Active Directory Domain’ine katıldığında EFS desteği kontrolü kendisinde değildir. Bu özelliği Active Directory’de tutulan Öntanımlı Domain Politikası kontrol eder. Windows Active Directory domain’ine katılan tüm bilgisayarlar EFS’yi destekler. Windows 2000 domain’lerde bu konfigürasyon Windows Server 2003 ve Windows Server 2008 domain’lerden farklıdır. Windows 2000 Domain’lerde EFS Kontrolü Windows 2000 bilgisayarlar EFS’yi güncel işletim sistemlerinden farklı olarak destekler ve bu sebeple Öntanımlı Domain Politikasında EFS konfigürasyonu farklıdır. Windows 2000’de EFS yi aktif etme ve kapatma tümüyle EFS data recovery agent sertifikasına bağlıdır. Öntanımlı olarak, Administrator kullanıcı hesabı bu sertifikaya sahiptir ve data recovery agent olarak konfigüre edilir. (Eğer data recovery için sertifika yoksa EFS başarısızlığa uğrar). Default Domain Policy’de bu konfigürasyona erişim için, Group Policy düzenleyicisinde GPO’yu düzenlerken aşağıdaki yolu takip edin: Computer Configuration\\Windows Settings\\Security Settings\\Public Key Policies\\Encrypted Data Recovery Agents Resim 2 de görüldüğü gibi Administrator için EFS Dosya kriptolama sertifikasını görmeniz gerekir. Bu konfigürasyon tüm bilgisayarların dosyaları kriptolayabilmesini sağlar. Bu yeteneği kaldırmak için GPO dan administrator sertifikasını silebilirsiniz. Bundan sonra eğer EFS’yi active directory’deki bazı bilgisayarlar için sağlamak isterseniz aşağıdaki adımları gerçekleştirin: 1. Yeni bir GPO yaratın ve kriptolama desteği ihtiyacı olan bilgisayarları içeren organizational unit’e link’leyin. 2. GPO’da Encrypted Data Recovery Agents bölümüne erişin ve EFS data recovery desteği olan sertifika ekleyin. Bu GPO etkisi altındaki bilgisayarlar EFS kullanabilirler. Windows 2003 ve 2008 Domain’lerde EFS kontrolü Yeni domain ve işletim sistemleri (windows 2000 sonrası) EFS’yi benzer bir şekilde desteklerler fakat bazı önemli farklılıklar içerirler. 1. Windows 2000 sonrası bilgisayarlarda kriptolama için data recovery agent gereksinimi yoktur 2. EFS, GPO’da data recovery agent sertifikası ekleme ile kontrol edilmez. 3. EFS, kriptolanmış dosyalara birden fazla kullanıcı erişimini destekler. Bu sebeple, Windows 2003 ve 2008 domain’lerde EFS’yi kontrol için farklı işlemler gerçekleştirmeniz gerekir. Ayarlar halen Default domain policy’de bulunmaktadır. Erişmeniz gereken yeni yol: Computer Configuration\\Windows Settings\\Security Settings\\Public Key Policies\\Encrypting File System Burda, data recovery agent’ta değişiklik yapmak yerine, Encrypting File System kısmında sağ tuşa tıklayıp açılan menüde Özellikler (Properties) seçin. Windows 2003 domainlerde “Kullanıcıların dosyaları EFS ile kriptolamasına izin verin” seçeneği göreceksiniz. Windows Server 2008 domainlerde arabirim oldukça değişti ve ayarlar EFS özellikleri sayfasında aşağıdaki resimdeki gibi yapılabiliyor: Genel ayarlar kısmında "Don’t allow" (izin verme) seçeneği domain’deki tüm bilgisayarlarda EFS’nin kapatılmasını sağlıyor. EFS ile ilgili diğer tüm seçenekler de yine bu bölümde yapılabiliyor. Domain’deki spesifik bilgisayarları hedeflemek için Windows 2000 domain’inde listelenen adımlar aynı şekilde uygulanabilir. Saygılar.