در این مقاله نشان میدهیم که چگونه میتوانید کلیدهای بازیابی را در پایگاه داده اکتیو دایرکتوری ذخیره نمایید.
مقدمه
در مقاله قبلی 1 و 2، توضیح دادیم که چگونه میتوانید با استفاده از تنظیمات سیاست گروهی، BitLocker را بر روی شبکه سازمان مدیریت نمایید.
در انتهای مقاله 2 یکی از مشکلاتی که در رسانه رمزگذاری شده با آن مواجهه شدیم، پتانسیل از دست دادن دادههای آن بود.
همانطور که میدانید درایوهای رمزگذاری شده توسط BitLocker با یک رمز عبور حفاظت میشوند.
مشکل آنجاست که کاربران ممکن است رمزهای عبور را فراموش کنند و در نهایت نمیتوانند قفل درایو رمزگذاری شده را باز نمایند.
اگرچه در حال حاضر دادهها بر روی این درایو وجود دارند، اما در واقع از دست رفته محسوب میشوند زیرا برای کاربر غیر قابل دسترس باقی میمانند. اگر لحظه ای درنگ کنید و به این موضوع فکر کنید، متوجه میشوید دادههای رمزگذاری شدهای که نتوانید از حالت رمز در بیاورید نسبت به تخریب داده هیچ تفاوتی ندارند.
اگر به مقاله اول از این سری مقالات نگاهی بیاندازید، به یاد میآورید زمانیکه یک درایو را به کمک BitLocker رمزگذاری میکنید، ویندوز به شما یک پیام با عنوان ""How do you want to store your recovery key? را نشان میدهد.
این پیام به شما می گوید زمانیکه رمز عبور را فراموش کنید، یک کلید بازیابی میتواند برای دسترسی به درایو مورد استفاده قرار گیرد. نه تنها ویندوز به طور خودکار به شما امکان فراهم کردن این کلید بازیابی را میدهد بلکه شما را مجبور می کند تا از کلید بازیابی پرینت بگیرید یا آن را در یک فایل ذخیره نمایید.
داشتن یک کلید بازیابی برای موقعیتهای ضروری ایده خوبی است. اما در جهان واقعی تعداد کمی از کاربران به یاد دارند که این کلید بازیابی را کجا ذخیره کرده اند یا پرینت آن را کجا گذاشته اند. در یک سازمان از دست دادن کلیدهای رمزگذاری میتواند عواقب فاجعه باری را به همراه داشته باشد. خوشبختانه برای ذخیره کردن کلید بازیابی نیازی به کاربر نهایی نیست زیرا میتوانید کلید بازیابی را در اکتیو دایرکتوری ذخیره نمایید.
آماده سازی اکتیو دایرکتوری
قبل از آنکه بتوانیم BitLocker را برای ذخیره سازی در اکتیو دایرکتوری پیکربندی نماییم، نیاز به برخی کارهای مقدماتی داریم. همانطور که میدانید BitLocker to Go برای اولین بار در ویندوز 7 و ویندوز سرور 2008 ویرایش دوم معرفی شد. به این ترتیب اگر قصد دارید کلید بازیابی BitLocker to Go را در سطح اکتیو دایرکتوری پشتیبانی نمایید، میبایست برخی از کدهای ویندوز سرور 2008 ویرایش دوم را بر روی کنترل کنندههای دامنه (DC) اجرا نمایید.
مجبور نیستید تا تمامی کنترل کنندههای دامنه را به ویندوز سرور 2008 ویرایش دوم ارتقاء دهید مگر آنکه خودتان تمایل داشته باشید این کار را انجام دهید. به منظور توسعه اسکیمای اکتیو دایرکتوری در کنترل کننده دامنه که به عنوان اسکیما مستر فارست شما محسوب میشود، میتوانید از یک دی وی دی نصب ویندوز سرور 2008 ویرایش دوم استفاده نمایید.
قبل از آنکه چگونگی توسعه اسکیمای اکتیو دایرکتوری را نشان دهیم، باید هشدار دهیم که در این روش فرض بر این است که تمامی کنترل کنندههای دامنه در حال اجرای ویندوز سرور 2000 با بسته سرویس 4 یا نسخههای بالاتر میباشند. اگر سیستم عامل کنترل کنندههای شبکه شما قدیمیتر هستند میبایست قبل از توسعه اسکیما به نسخههای بالاتر ارتقاء داده شوند.
همچنین باید قبل از توسعه اسکیمای اکتیو دایرکتوری یک پشتیبانگیری از کل سیستم کنترل کنندههای دامنه تهیه نمایید. اگر در طول فرآیند توسعه اشتباهی رخ دهد، میتواند اثرات مخربی بر اکتیو دایرکتوری داشته باشد در نتیجه بسیار مهم است که یک نسخه پشتیبان خوبی داشته باشید تا در صورت لزوم بتوان آن را برگرداند.
میتوانید با گذاشتن دی وی دی نصب ویندوز سرور 2008 ویرایش دوم بر روی سیستم اسکیما مستر، اسکیمای اکتیو دایرکتوری را توسعه دهید. پس از آن پنجره خط فرمان را با استفاده از گزینه اجرا به عنوان مدیر شبکه (Run as administrator) باز نمایید و دستورات زیر را در آن وارد نمایید( D: نشاندهنده درایوی است که حاوی رسانه نصب است):
D:
CD\
CD SUPPORT\ADPREP
ADPREP /FORESTPREP
هنگامیکه ابزار ADPrep لود شد، از شما خواسته میشود تا تایید نمایید که تمامی کنترل کنندههای دامنه در حال اجرای نسخههای ویندوز سرور مناسب هستند. پس از آن به آسانی کلید C را فشار دهید و سپس کلید Enter را فشار دهید تا فرآیند توسعه اسکیما شروع شود. تنها چند دقیقه برای اتمام این فرآیند باید منتظر بمانید.
پیکربندی سیاستهای گروهی
توسعه اسکیمای اکتیو دایرکتوری به تنهایی برای ذخیره سازی کلیدهای بازیابی BitLocker در اکتیو دایرکتوری کافی نیست. برای این منظور نیاز است تا چند تنظیم سیاست گروهی پیکربندی شوند.
شروع فرآیند به وسیله لود شدن سیاست گروهی است که توسط ویرایشگر مدیریت سیاست گروهی به ایستگاههای کاری اعمال میشود. اکنون مسیر زیر را دنبال نمایید:
Computer Configuration | Policies | Administrative Templates | Policy Definitions | Windows Components | BitLocker Drive Encryption | Removable Data Drives.
در این مرحله، باید گزینه Deny Write Access to Removable Drives Not Protected by BitLocker را فعال نمایید.
در واقع این یک شرط مطلق نیست اما راهی است تا کاربران را مجبور کنید تا درایو های فلش USB خود را رمزگذاری نمایند.
ممکن است گزینه Do Not Allow Write Access to Devices Configured in Another Organization را فعال نمایید تا به دستگاههایی که در سازمانهای دیگر رمزگذاری میشوند، حق نوشتن اطلاعات را ندهید. باز هم یادآوری میکنیم که این مراحل یک الزام نیستند اما به بهبود امنیت کمک خواهند کرد.
گام بعدی در این فرآیند فعال نمودن تنظیم Choose How BitLocker Removable Drives Can Be Recovered است.
هنگامیکه بر روی گزینه Deny Write Access to Removable Drives Not Protected by BitLocker دو مرتبه کلیک کنید، یک کادر تبادلی را مشاهده مینمایید. زمانی که این تنظیم سیاست گروهی را فعال مینمایید، در این کادر گزینههایی وجود دارند که میتوانید آنها را فعال نمایید.
اگر میخواهید از هر کلید بازیابی یک نسخه در اکتیو دایرکتوری ذخیره نمایید میبایست سه گزینه در این کادر را فعال نمایید.
ابتدا باید گزینه Allow Data Recovery Agent را فعال نمایید. این گزینه ممکن است به طور پیش فرض فعال باشد اما از آنجایی که فعال بودن این گزینه کل فرآیند ذخیره سازی کلید بازیابی را فراهم میکند، بسیار مهم است که فعال بودن این گزینه بررسی شود.
سپس باید گزینه BitLocker Recovery Information to AD DS for Removable Data Drives را انتخاب نمایید. در واقع فعال بودن این گزینه امکان ذخیره سازی کلیدهای بازیابی bitLocker را در اکتیو دایرکتوری فراهم میکند.
در نهایت، باید گزینه
Do Not Enable BitLocker Until Recovery Information Is Stored To AD DS For Removable Data Drives فعال شود.
این گزینه ویندوز را مجبور میکند تا قبل از آنکه BitLocker اجازه رمزگذاری درایو را داشته باشد، کلید بازیابی در اکتیو دایرکتوری ذخیره شود. به این ترتیب اگر در طول فرآیند رمزگذاری برق سیستم قطع شود، کلید بازیابی از بین نمی رود.
گرچه فعال بودن گزینه Omit Recovery Option From The BitLocker Setup Wizard اجباری نیست اما برخی از مدیران شبکه نیز تمایل دارند تا این گزینه را فعال نمایند. به این ترتیب کاربران نمیتوانند از کلید بازیابی خودشان کپی تهیه نمایند یا از آن پرینت بگیرند.
نتیجه گیری
در این مقاله، نشان دادیم که چگونه میتوان کلید بازیابی رمزگذاری BitLocker را در اکتیو دایرکتوری ذخیره کرد. در قسمت چهارم از این سری مقالات فرآیند استفاده از کلید بازیابی را نشان میدهیم.
مطالب مرتبط:
جلوگیری از افشای اطلاعات با استفاده از قابلیت BitLocker-to-go -(قسمت 1)
جلوگیری از افشای اطلاعات با استفاده از قابلیت BitLocker-to-go -(قسمت 2)
فسا-پسا
