1. HABERLER

  2. EĞİTİM

  3. Güvenlik Sertifikaları EFS Recovery Agent
Güvenlik Sertifikaları EFS Recovery Agent

Güvenlik Sertifikaları EFS Recovery Agent

EFS Recovery Agent Biliyorsunuz ki server 2003 ün özelliklerinden biriside encryption özelliğidir.Kullanıcılar dataları için ekstra bir güvenlik istediğinde...

A+A-

EFS Recovery Agent Biliyorsunuz ki server 2003 ün özelliklerinden biriside encryption özelliğidir.Kullanıcılar dataları için ekstra bir güvenlik istediğinde bu özellikten yararlanabiliyorlar.Fakat ortamda bir CA yok ise karışmaya başkar.Çünkü encrypt edilen bir dosya o kullanıcıya göre özel bir key ile şifrelenir. Bu şifreleme yapılırken public ve private olmak üzere iki adet key üretilir.Şifreleme yapılırken "FEK" file encryption key üretilir ve kullanıcının public keyi ile birlikte şifrelenip dosyanın "Data encryption field" kısmına yazılır.Bir dosya kullanıcının public key i ile şifrelendiğinde , yine aynı kullanıcının private keyi ile açılabilir.Eğer siz o kullanıcının private key ini silerseniz yada private key bozulur ise o dosyaya erişmek mümkün olmayacaktır.Kullanıcı ilk defa bir dosya encrypt ettiğinde eğer ortamda bir CA (Certification Authority) var ise oradan Basic EFS sertifikası alacaktır ve şifrelemeyi onunla yapacaktır.Eğer ortamda bir CA yok ise self-sign bir sertifika üretilecektir.Ve dosyayı ondan başkasının açması mümkün olmayacaktır.Bu makalemizde CA olan bir ortamda Data recovery agent oluşturarak , dosyaları kullanıcıdan bağımsız olarak dosyayı açabilecek kurtarıcılar oluşturmayı göreceğiz.(Default olarak server 2003 domainlerinde default data recovery agent administrator dur.)Önceki makalelerimizde CA kurulumundan bahsetmiştik. İlk olarak Administrative Tools içerisinden Certification Authority i açıyoruz. Certificate Templates Sag click  Manage tıklayarak certificate template ye girilir. Burada bulunan sertifika template lerini duplicate ederek yeni sertifikalar oluşturabilirsiniz yada mevcut sertifikaları isteğinize göre düzenleme şansına sahipsiniz. EFS RECOVERY AGENT  Sağ Click  Properties Security kısmından Data recovery agent yapacağımız kullanıcıyı ekliyoruz ve enroll izni veriyoruz. (Enroll izni vermek sertifika yükleyebilme izni vermek anlamına geliyor) Sertifikanın security izinlerini düzenledikten sonra Certificate Templates i kapatıyoruz. Sıra geldi hazırladığımız bu sertifikayı domain ortamında hakkı olan insanlara yayınlamaya. Certificate Templates  Certificate Template to Issue seçeneği seçilerek domain ortamında sertifikanın yayına hazır hale getirilmesi gerekir. Açılan pencerede domain ortamında yayınlayabileceğimiz sertifikalar görülüyor. Biz Efs Recovery Agent oluşturacağımız için EFS Recovery Agent sertifikasını seçerek devam ediyoruz. (Kullanıcı Tarafı) EFS Recovery Agent sertifikasını domainde issue ettikten (yayınladıktan) sonra client tarafında bu sertifikayı install etmemiz gerekiyor. Bunun için certification authority den sertifika talebinde bulunmamız gerekiyor. Explorer penceresi açıp http:\\sertifika sunucusu\certsrv adresini girerek CA ‘den sertifika talebini gerçekleştirebiliriz.Karışımıza çıkan pencereden Request a certificate seçeneği seçilerek devam ediyoruz. Açılan ekrandan advanced certificate request seçilerek devam ediyoruz. Create and submit a request to this CA seçilerek yeni bir sertifika talebinde bulunuyoruz. Efs Recovery Agent seçilerek devam ediyoruz. Açılan ekranda bizim için yayınlanan sertifikayı görüyoruz. Install this certificate seçerek sertifikayı yüklüyoruz. Sertifikamızın yüklendiğini görüyoruz.Şimdi sıra geldi alınan sertifikayı bizi data recovery agent olarak tanımlaması için administrator e göndermemiz gerekiyor. Sertifikayı administrator a göndermek için export etmemiz gerekiyor. Run mmc add remove snap-in  certificates seçilir. Şekilde CA tarafından yayınlanmış olan Recovery Agent sertifikasını görüyoruz . Sertifikanın üzerine sağ click yaptığımızda All Tasks Export seçilerek sertifikanın export edileceği yeri seçmemiz gerekiyor. Next'i işaretleyerek devam ediyoruz. Private key i export etmesini istemiyorum.Sadece sertifikayı export etsin. Next i seçip devam ediyorum. Sertifikayı kaydedeceğimiz yeri seçiyoruz. Sertifikayı başarılı bir şekilde export ettik.Şimdi export edilen sertifikayı administrator e gönderiyoruz ve adminin bizi recovery agent yapmasını rica ediyoruz (Sunucu Tarafı) Active Directory User and Computers View Advenced Features seçerek Ad içersinde gelişmiş ayarları aktif ediyoruz. User Properties Published Certificates  add from file tabından export ettiğimiz sertifikayı kullanıcıya atamamız gerekiyor. Sertifikamızı seçerek devam ediyoruz. Bu işlemden sonra group policy de bu kullanıcı recovery agent olarak eklenmeye hazır hale gelecektir.Eğer bu işlemleri yapmadan önce eklemeye çalışırsanız , "bu kullanıcının recovery agent olmak için uygun sertifikaya sahip olmadığını dolayısı ile recovery gent olarak eklenemeyeceğini" belirten bir ileti alırsınız. Default domain policy üzerinden uyguluyorum.Dilerseniz ou bazlı policy uygulayabilirsiniz. Domain sağ click Properties Group Policy Default Domain Policy Edit Group Policy üzerinde Computer Configuration Security SettingsWindows Settings Public Key Policy Encrypting File System Üzerinde sağ click yaparak Add Recovery Agent seçerek devam ediyoruz. Karşımıza kullanıcı ekleme wizard ı geliyor. Aactive directory içerisinden ra olarak belirleyeceğimiz kullanıcıyı seçiyoruz ve tamam diyoruz. Next e basarak devam ettiğimizde kullanıcımız domainimizde Recovery Agent olarak ekleniyor. Bundan sonra yapacağınız işlem gpupdate /force komutunu kullanarak policy lerin refresh olmasını sağlamak. Start Cmd gpupdate /force Group Policy refresh ettikten sonra şifrelenmiş bir dosyanın details kısmına baktığınızda administrator un yanı sıra bizim belirlediğimiz kullanıcı Recovey Agent bölümünde görünüyor. Artık bu kullanıcı domain ortamında encrypt edilmiş dosyaları sorunsuzca açabilecek durumdadır. Başka bir makalede görüşmek üzere. Gürsel ARICI Eğitim Ve Proje Uzmanı

Bu haber toplam 238 defa okunmuştur
Önceki ve Sonraki Haberler

HABERE YORUM KAT

UYARI: Küfür, hakaret, rencide edici cümleler veya imalar, inançlara saldırı içeren, imla kuralları ile yazılmamış,
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.