Giốngnhư các vấn đề khác, EFS cũng có những cải thiện đáng kể trong từngphiên bản. Với các ưu điểm về công nghệ, nó càng mang tính thực tế đốivới việc sử dụng EFS trong môi trường  lưu trữ  dữ liệu  của bạn. Tuy vậy,bạn có thể không muốn hỗ trợ EFS mọi nơi, chính vì vậy cần thu hẹp phạmvi và kiểm soát nơi nó được sử dụng. Bởi vậy giải pháp lợi dụng GroupPolicy để giúp quản lý EFS được đưa ra nhằm giải quyết vấn đề này.

Hai tầng quản lý EFS

EFScó hai mức cấu hình. Mức đầu tiên được thiết lập ở máy, đây là mứctuyên bố có được sử dụng hay không. Mức thứ hai  là mức file và thư mục,mức này thực hiện mã hóa dữ liệu.

Windows 2000 (Server vàProfessional), Windows XP  Professional, Windows  Server  2003, WindowsVista, và Windows  Server  2008, tất cả đều hỗ trợ vấn đề mã hóa dữ liệutrên máy tính. Mặc định, tất cả các máy tính  này đều hỗ trợ mã hóa dữliệu bằng EFS. Rõ ràng, đây là một thứ không mang tính tích cực vì mộtsố dữ liệu  hoặc một số máy tính  đôi khi không cần mã hóa dữ liệu.

Cácmáy tính không cần mã hóa dữ liệu  đang được nói đến là các máy tính  chophép người dùng  mã hóa dữ liệu. Tất cả các máy tính  hỗ trợ mã hóa dữliệu mặc định và bất kỳ người dùng  nào cũng có thể mã hóa thì dữ liệucó thể được mã hóa trên desktop nội bộ cũng như được chia sẻ  trên mạng.Hình 1 minh chứng tùy chọn này, nơi dữ liệu  có thể được mã hóa trên máytính Windows XP  Professional.

Hình 1: Mã hóa là một thuộc tính của dữ liệu 

Để truy cập  vào tùy chọn mã hóa thể hiện trong hình1, bạn chỉ cần truy cập  vào các thuộc tính của file và thư mục muốn mãhóa, thực hiện bằng việc kích chuột phải vào đối tượng, sau đó chọnProperties. Tiếp đó chọn nút Advanced trong hộp thoại Properties, khiđó hộp thoại Advanced Attributes sẽ xuất hiện.

Kiểm soát sự hỗ trợ của EFS đối với các máy tính  trong miền Active Directory

Khimột máy tính  nào đó gia nhập vào một miền AD thì nó sẽ được kiểm soátvề sự hỗ trợ của EFS. Để thay thế Default Domain  Policy được lưu trongActive Directory sẽ kiểm soát khả năng này, tất cả các máy tính  đượcgia nhập vào miền Active Directory của Windows  đều hỗ trợ EFS, đơn giảnchỉ cần việc gia nhập vào miền.

Tuy nhiên có một vấn đề ở đâylà các miền của Windows  2000 lại quản lý cấu hình này trong DefaultDomain Policy khác so với các miền của Windows  Server  2003 và WindowsServer 2008.

Các miền Windows  2000 điều khiển EFS

Cácmáy tính Windows  2000 hỗ trợ EFS khác với các hệ điều hành  về sau này,đây là lý do  tại sao cấu hình cho EFS lại khác ở bên trong DefaultDomain Policy. Với Windows  2000, khóa để kích hoạt và vô hiệu hóa EFStất cả đều được dựa trên chứng chỉ agent khôi phục dữ liệu  của EFS hiệncó trong Default Domain  Policy. Mặc định, tài khoản quản trị  viên sẽ cóchứng chỉ này và được cấu hình như một agent khôi phục dữ liệu. (Nếukhông có chứng chỉ nào để khôi phục dữ liệu  thì EFS sẽ thất bại)

Đểtruy cập vào cấu hình này trong Default Domain  Policy, bạn hãy theođường dẫn này khi soạn thảo  GPO trong Group Policy Editor:

Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Encrypted Data Recovery Agents

Tại đây, bạn sẽ thấy EFS File Encryption Certificate cho quản trị  viên, xem thể hiện trong hình 2.

Hình 2: Miền Windows  2000 thể hiện File Encryption Certificate của EFS với một tên của người dùng, Administrator.

Cấu hình này là tất cả những gì các máy tính  có khảnăng mã hóa file. Để remove khả năng này, bạn phải xóa chứng chỉAdministrator từ GPO. Nếu bạn muốn về sau cung cấp EFS cho một số máytính trong Active Directory, hãy thực hiện theo các bước dưới đây:

1. Tạo một GPO mới và liên kết nó đến đơn vị tổ chức có tất cả các máy tính  cần hỗ trợ mã hóa.

2. Truy cập  vào nút Encrypted Data Recovery Agents trong GPO và bổ sung thêm chứng chỉ hỗ trợ khôi phục dữ liệu  EFS.

Thao tác này sẽ cung cấp cho các máy tính  bị ảnh hưởng bởi GPO khả năng sử dụng EFS cho dữ liệu  được lưu trữ  trên các máy tính.

Với các miền của Windows  2003 và 2008

Cácmiền mới hơn và các hệ điều hành  mới (sau Windows  2000) đều hỗ trợ EFSvới cách tính năng gần như tương tự, chỉ có một số sự thay đổi dướiđây:

1. Không có agent khôi phục dữ liệu  nào được cần thiết để mã hóa trên các máy tính  Windows  2000.

2. EFS không được kiểm soát cùng với sự bao gộp chứng chỉ agent khôi phục dữ liệu  trong GPO.

3. EFS hỗ trợ đa người dùng  truy cập  vào các file đã được mã hóa.

Chínhvì vậy, với các miền Windows  2003 và 2008, bạn sẽ có một tập các nhiệmvụ khác để thực hiện việc kiểm soát EFS cho các máy tính  nằm trongmiền. Tuy vậy việc thiết lập vẫn nằm trong Default Domain  Policy. Đườngdẫn mới mà bạn cần để truy cập  sẽ là:

Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Encrypting File System 

Lúc này thay vì chỉnh agent khôi phục dữ liệu, bạn chỉ cần kích chuột phải vào nút Encrypting File System. Từ menu chuột phải, bạn hãy chọn Properties. Trong cửa sổ Properties, bạn sẽ thấy có một hộp kiểm “Allow users to encrypt files using Encrypting File System  (EFS)” - cho phép người dùng  có thể mã hóa các file bằng EFS(đối với Windows  2003). Các miền của Windows  2008 có nhiều thay đổi vềmặt giao diện, cung cấp sự hỗ trợ cho EFS từ trang thuộc tính này đượcthể hiện như trong hình 3 bên dưới.

Hình 3: Windows  Server  2008 cho phép kiểm soát EFS

Lưu ý trên tab General, có một nút chọn “Don’t allow”.Đây chính là cấu hình có thể được thiết lập để vô hiệu hóa EFS trên tấtcá các máy tính  trong miền. Cũng lưu ý thêm rằng có nhiều thiết lậpđược cung cấp trong hộp thoại này cũng liên quan đến việc điều khiểnEFS.

Bạn cũng có thể nhắm đến các máy tính  nào đó trong miền bằng cách thực hiện theo các bước ở trên đối với phần Windows  2000.

Kết luận

EFSthực sự là một thành phần rất hữu dụng và ưu việt. Nó có thể mã hóa dữliệu đã được lưu trong các máy tính  Windows. Sự mã hóa này sẽ giúp bảovệ chống lại những người dùng  và kẻ tấn công  muốn truy cập  dữ liệu  tráiphép. EFS là một quá trình hai bước, bước đầu tiên EFS phải được kíchhoạt trên máy tính. Đây là bước có thể được kiểm soát bởi Group Policy,và khi các máy tính  gia nhập một miền nào đó. Administrator có thể kíchhoạt hoặc vô hiệu hóa EFS trên bất kỳ máy tính  nào trong miền bằng cáchcấu hình GPO. Bằng cách vô hiệu hóa EFS đối với tất cả các máy tínhtrong miền và sau đó tạo, cấu hình một GPO mới thì lúc đó chỉ có cácmáy đã được chỉ định mới có thể sử dụng EFS.

Bạn có ý kiến gì về bài viết Điều khiển mã hóa hệ thống file (EFS) bằng Group Policy này? Hãy gởi suy nghĩ, bình luận, đánh giá, lời khuyên ... của bạn về bài viết Điều khiển mã hóa hệ thống file (EFS) bằng Group Policy bạn tại đây.