Điều khiển mã hóa hệ thống file (EFS) bằng Group
Policy
Mã hóa hệ thống file (EFS) là một tính năng hữu dụng cho việc bảo vệ
dữ liệu được lưu trên các máy tính Windows. EFS là một tùy chọn hoàn
toàn miễn phí và được nhóm vào trong các hệ điều hành kể từ Windows
2000. Giống như các vấn đề khác, EFS cũng có những cải thiện đáng kể
trong từng phiên bản. Với các ưu điểm về công nghệ, nó càng mang tính thực
tế đối với việc sử dụng EFS trong môi trường lưu trữ dữ liệu của bạn. Tuy
vậy, bạn có thể không muốn hỗ trợ EFS mọi nơi, chính vì vậy cần thu hẹp
phạm vi và kiểm soát nơi nó được sử dụng. Bởi vậy giải pháp lợi dụng Group
Policy để giúp quản lý EFS được đưa ra nhằm giải quyết vấn đề này.
Hai tầng quản lý EFS
EFS có hai mức cấu hình. Mức đầu tiên được thiết lập ở máy, đây là mức
tuyên bố có được sử dụng hay không. Mức thứ hai là mức file và thư mục,
mức này thực hiện mã hóa dữ liệu.
Windows 2000 (Server và Professional), Windows XP Professional,
Windows Server 2003, Windows Vista, và Windows Server 2008, tất cả đều
hỗ trợ vấn đề mã hóa dữ liệu trên máy tính. Mặc định, tất cả các máy tính này
đều hỗ trợ mã hóa dữ liệu bằng EFS. Rõ ràng, đây là một thứ không mang
tính tích cực vì một số dữ liệu hoặc một số máy tính đôi khi không cần mã
hóa dữ liệu.
Các máy tính không cần mã hóa dữ liệu đang được nói đến là các máy tính
cho phép người dùng mã hóa dữ liệu. Tất cả các máy tính hỗ trợ mã hóa dữ
liệu mặc định và bất kỳ người dùng nào cũng có thể mã hóa thì dữ liệu có thể
được mã hóa trên desktop nội bộ cũng như được chia sẻ trên mạng. Hình 1
minh chứng tùy chọn này, nơi dữ liệu có thể được mã hóa trên máy tính
Windows XP Professional.
Hình 1: Mã hóa là một thuộc tính của dữ liệu
Để truy cập vào tùy chọn mã hóa thể hiện trong hình 1, bạn chỉ cần truy cập
vào các thuộc tính của file và thư mục muốn mã hóa, thực hiện bằng việc
kích chuột phải vào đối tượng, sau đó chọn Properties. Tiếp đó chọn nút
Advanced trong hộp thoại Properties, khi đó hộp thoại Advanced Attributes
sẽ xuất hiện.
Kiểm soát sự hỗ trợ của EFS đối với các máy tính trong miền Active
Directory
Khi một máy tính nào đó gia nhập vào một miền AD thì nó sẽ được kiểm soát
về sự hỗ trợ của EFS. Để thay thế Default Domain Policy được lưu trong
Active Directory sẽ kiểm soát khả năng này, tất cả các máy tính được gia
nhập vào miền Active Directory của Windows đều hỗ trợ EFS, đơn giản chỉ
cần việc gia nhập vào miền.
Tuy nhiên có một vấn đề ở đây là các miền của Windows 2000 lại quản lý
cấu hình này trong Default Domain Policy khác so với các miền của
Windows Server 2003 và Windows Server 2008.
Các miền Windows 2000 điều khiển EFS
Các máy tính Windows 2000 hỗ trợ EFS khác với các hệ điều hành về sau
này, đây là lý do tại sao cấu hình cho EFS lại khác ở bên trong Default
Domain Policy. Với Windows 2000, khóa để kích hoạt và vô hiệu hóa EFS
tất cả đều được dựa trên chứng chỉ agent khôi phục dữ liệu của EFS hiện có
trong Default Domain Policy. Mặc định, tài khoản quản trị viên sẽ có chứng
chỉ này và được cấu hình như một agent khôi phục dữ liệu. (Nếu không có
chứng chỉ nào để khôi phục dữ liệu thì EFS sẽ thất bại)
Để truy cập vào cấu hình này trong Default Domain Policy, bạn hãy theo
đường dẫn này khi soạn thảo GPO trong Group Policy Editor:
Computer Configuration\Windows Settings\Security Settings\Public Key
Policies\Encrypted Data Recovery Agents
Tại đây, bạn sẽ thấy EFS File Encryption Certificate cho quản trị viên, xem
thể hiện trong hình 2.
![Câu hỏi ôn tập An toàn mạng [năm hiện tại]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20250702/kimphuong555/135x160/56191751442800.jpg)
![Cẩm nang phòng chống, giảm thiểu rủi ro từ tấn công Ransomware [Mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20250627/vijiraiya/135x160/48331751010876.jpg)
