Büyük organizasyonlar EFS (Encrypting File System) kullanarak dosya şifrelemek yönetimsel bazı sorunları doğurabiliyor. Varsayılan olarak domain kurulduğunda Domain Administrator kullanıcısı Data Recovery Agent olarak tanımlanır ve private key'i ilk kurulan bu domain controller'da tutulur. Fakat ilk kurulan Domain controller'in yeniden kurulması gibi durumlarda DRA'nın private key'inin yedeğinin alınması bir çok kere unutuluyor. Eğer kullanıcının local de saklanan private key'i de istemcisinin yeniden kurulması veya profile'nın silinmesi sonrasında kullanıcının encrypt ettiği dosyalara erişim imkansız hale geliyor. Veya kullanıcının user account'unun tamamen silinmesi gibi..
Milli açık anahtar altyapısını kullanmamız nedeniyle EFS'den ayrı bir şifreleme yazılımımız var. Bu sertifikalar için bir ortamda CA olduğu için EFS kullanımı gereksiz olabiliyor. Bu yüzden EFS'i domain bazında kullanımını engelleyeceğiz.
EFS'in tamamen disable edilmesi, hem encryption hem de decryption işlemini engelleyecektir. Yani kullanıcılar bilerek veya bilmeyerek encrypt ettikleri dosyalar varsa, politikanın uygulanması sonrasında bu dosyalara erişemeyeceklerdir.
EFS'i disable için Public Key Policies altında Encryptin File System'e sağ tıklayın ve properties'i açın ve "Allow Users to encrypt file using Encrypting Files System (EFS)" check box'ı kaldırın.Fakat bu politika diğer politikalar gibi uygulanma sırası önemli değildir. Yani bilgiayara uygulanan herhangi bir politikada disallow yapılması, sonrası uygulanan tüm politikalarda Allow olsa bile EFS bilgisayarda kullanılmayacaktır. Bir nevi security'deki Deny gibi davranıyor.
Kullanıcı politika sonrasında dosyalarını tekrar isteyebilir. Bu durumda mutlaka bilgisayarı uyguladığınız politikadan etkilenmeyen bir OU'ya taşıyarak kurtarabilirsiniz. Bu yüzden bu politikayı, üst OU'larda değilde hiyerarşik olarak daha alt OU'lara uygulayın ve sorun durumunda biligisayar hesabını bir üst OU'ya move edip, gpupdate /force işlemini yapın.
No comments:
Post a Comment