Điều khiển mã hóa hệ thống file (EFS) bằng Group Policy
Ngu
ồn : quantrimang.com 
Mã hóa hệ thống file (EFS) là một tính năng hữu dụng cho việc bảo vệ dữ
liệu được lưu trên các máy tính Windows. EFS là một tùy chọn hoàn toàn
miễn phí và được nhóm vào trong các hệ điều hành kể từ Windows 2000.
Giống như các vấn đề khác, EFS cũng có những cải thiện đáng kể trong từng
phiên bản. Với các ưu điểm về công nghệ, nó càng mang tính thực tế đối với
vi
ệc sử dụng EFS trong môi trường lưu trữ dữ liệu của bạn. Tuy vậy, bạn có thể
không muốn hỗ trợ EFS mọi nơi, chính vì vậy cần thu hẹp phạm vi và kiểm soát
nơi nó được sử dụng. Bởi vậy giải pháp lợi dụng Group Policy để giúp quản lý
EFS được đưa ra nhằm giải quyết vấn đề này.

Hai tầng quản lý EFS

EFS có hai mức cấu hình. Mức đầ
u tiên được thiết lập ở máy, đây là mức tuyên
bố có được sử dụng hay không. Mức thứ hai là mức file và thư mục, mức này
thực hiện mã hóa dữ liệu.

Windows 2000 (Server và Professional), Windows XP Professional, Windows
Server 2003, Windows Vista, và Windows Server 2008, tất cả đều hỗ trợ vấn đề
mã hóa dữ liệu trên máy tính. Mặc định, tất cả các máy tính này đều hỗ trợ mã
hóa dữ liệu bằng EFS. Rõ ràng, đây là một thứ không mang tính tích cực vì một
số d
ữ liệu hoặc một số máy tính đôi khi không cần mã hóa dữ liệu.

Các máy tính không cần mã hóa dữ liệu đang được nói đến là các máy tính cho
phép người dùng mã hóa dữ liệu. Tất cả các máy tính hỗ trợ mã hóa dữ liệu mặc
định và bất kỳ người dùng nào cũng có thể mã hóa thì dữ liệu có thể được mã

Policy. Với Windows 2000, khóa để kích hoạt và vô hiệu hóa EFS tất cả đều
được dựa trên chứng chỉ agent khôi phục dữ liệu của EFS hiện có trong Default
Domain Policy. Mặc định, tài khoản quản trị viên sẽ có chứng chỉ này và đượ
c
cấu hình như một agent khôi phục dữ liệu. (Nếu không có chứng chỉ nào để khôi
phục dữ liệu thì EFS sẽ thất bại)

Để truy cập vào cấu hình này trong Default Domain Policy, bạn hãy theo đường
dẫn này khi soạn thảo GPO trong Group Policy Editor:
Computer Configuration\Windows Settings\Security Settings\Public Key
Policies\Encrypted Data Recovery Agents
Tại đây, bạn sẽ thấy EFS File Encryption Certificate cho quản trị viên, xem thể
hiện trong hình 2.

Hình 2: Miền Windows 2000 thể hiện File Encryption Certificate của EFS với một
tên của người dùng, Administrator.
Cấu hình này là tất c
ả những gì các máy tính có khả năng mã hóa file. Để
remove khả năng này, bạn phải xóa chứng chỉ Administrator từ GPO. Nếu bạn
muốn về sau cung cấp EFS cho một số máy tính trong Active Directory, hãy thực
hiện theo các bước dưới đây:

1. Tạo một GPO mới và liên kết nó đến đơn vị tổ chức có tất cả các máy tính cần
hỗ trợ mã hóa.

2. Truy cập vào nút Encrypted Data Recovery Agents trong GPO và bổ sung
thêm chứng chỉ hỗ trợ khôi phục d
ữ liệu EFS.

Thao tác này sẽ cung cấp cho các máy tính bị ảnh hưởng bởi GPO khả năng sử

này được thể hiện như trong hình 3 bên dưới.

Hình 3: Windows Server 2008 cho phép kiểm soát EFS
Lưu ý trên tab General, có một nút chọn “Don’t allow”. Đây chính là cấu hình có
thể được thiết lập để vô hiệu hóa EFS trên tất cá các máy tính trong miền. Cũng
lưu ý thêm rằng có nhiều thiết lập được cung cấp trong hộp thoại này cũng liên
quan đến việc điều khiển EFS.

Bạn cũng có thể nhắm đến các máy tính nào đó trong miền bằng cách thực hiện
theo các bước ở trên đối với ph
ần Windows 2000.

Kết luận

EFS thực sự là một thành phần rất hữu dụng và ưu việt. Nó có thể mã hóa dữ
liệu đã được lưu trong các máy tính Windows. Sự mã hóa này sẽ giúp bảo vệ
chống lại những người dùng và kẻ tấn công muốn truy cập dữ liệu trái phép.
EFS là một quá trình hai bước, bước đầu tiên EFS phải được kích hoạt trên máy
tính. Đây là bước có thể được kiểm soát bởi Group Policy, và khi các máy tính