رمزگذاری رسانه قابل حمل با استفاده از BitLocker (قسمت 3)

IRCAR201201129
در اين مقاله نشان مي‌دهيم كه چگونه مي‌توانيد كليدهاي بازيابي را در پايگاه داده اكتيو دايركتوري ذخيره نماييد.

مقدمه
در مقاله قبلي، توضيح داديم كه چگونه مي‌توانيد با استفاده از تنظيمات سياست گروهي، BitLocker را بر روي شبكه سازمان مديريت نماييد. در انتهاي مقاله يكي از مشكلاتي كه در رسانه رمزگذاري شده با آن مواجهه شديم، پتانسيل از دست دادن داده‌هاي آن بود. همانطور كه مي‌دانيد درايوهاي رمزگذاري شده توسط BitLocker با يك رمز عبور حفاظت مي‌شوند. مشكل آن‌جاست كه كاربران ممكن است رمزهاي عبور را فراموش كنند و در نهايت نمي‌توانند قفل درايو رمزگذاري شده را باز نمايند. اگرچه در حال حاضر داده‌ها بر روي اين درايو وجود دارند، اما در واقع از دست رفته محسوب مي‌شوند زيرا براي كاربر غير قابل دسترس باقي مي‌مانند. اگر لحظه اي درنگ كنيد و به اين موضوع فكر كنيد، متوجه مي‌شويد داده‌هاي رمزگذاري شده‌اي كه نتوانيد از حالت رمز در بياوريد نسبت به تخريب داده هيچ تفاوتي ندارند.
اگر به مقاله اول از اين سري مقالات نگاهي بياندازيد، به ياد مي‌آوريد زماني‌كه يك درايو را به كمك BitLocker رمزگذاري مي‌كنيد، ويندوز به شما يك پيام با عنوان ""How do you want to store your recovery key? را نشان مي‌دهد. اين پيام به شما مي گويد زماني‌كه رمز عبور را فراموش كنيد، يك كليد بازيابي مي‌تواند براي دسترسي به درايو مورد استفاده قرار گيرد. نه تنها ويندوز به طور خودكار به شما امكان فراهم كردن اين كليد بازيابي را مي‌دهد بلكه شما را مجبور مي كند تا از كليد بازيابي پرينت بگيريد يا آن را در يك فايل ذخيره نماييد.
داشتن يك كليد بازيابي براي موقعيت‌هاي ضروري ايده خوبي است. اما در جهان واقعي تعداد كمي از كاربران به ياد دارند كه اين كليد بازيابي را كجا ذخيره كرده اند يا پرينت آن را كجا گذاشته اند. در يك سازمان از دست دادن كليدهاي رمزگذاري مي‌تواند عواقب فاجعه باري را به همراه داشته باشد. خوشبختانه براي ذخيره كردن كليد بازيابي نيازي به كاربر نهايي نيست زيرا مي‌توانيد كليد بازيابي را در اكتيو دايركتوري ذخيره نماييد.

آماده سازي اكتيو دايركتوري
قبل از آن‌كه بتوانيم BitLocker را براي ذخيره سازي در اكتيو دايركتوري پيكربندي نماييم، نياز به برخي كارهاي مقدماتي داريم. همان‌طور كه مي‌دانيد BitLocker to Go براي اولين بار در ويندوز 7 و ويندوز سرور 2008 ويرايش دوم معرفي شد. به اين ترتيب اگر قصد داريد كليد بازيابي BitLocker to Go را در سطح اكتيو دايركتوري پشتيباني نماييد، مي‌بايست برخي از كدهاي ويندوز سرور 2008 ويرايش دوم را بر روي كنترل كننده‌هاي دامنه (DC) اجرا نماييد.
مجبور نيستيد تا تمامي كنترل كننده‌هاي دامنه را به ويندوز سرور 2008 ويرايش دوم ارتقاء دهيد مگر آن‌كه خودتان تمايل داشته باشيد اين كار را انجام دهيد. به منظور توسعه اسكيماي اكتيو دايركتوري در كنترل كننده دامنه كه به عنوان اسكيما مستر فارست شما محسوب مي‌شود، مي‌توانيد از يك دي وي دي نصب ويندوز سرور 2008 ويرايش دوم استفاده نماييد.
قبل از آن‌كه چگونگي توسعه اسكيماي اكتيو دايركتوري را نشان دهيم، بايد هشدار دهيم كه در اين روش فرض بر اين است كه تمامي كنترل كننده‌هاي دامنه در حال اجراي ويندوز سرور 2000 با بسته سرويس 4 يا نسخه‌هاي بالاتر مي‌باشند. اگر سيستم عامل كنترل كننده‌هاي شبكه شما قديمي‌تر هستند مي‌بايست قبل از توسعه اسكيما به نسخه‌هاي بالاتر ارتقاء داده شوند.
هم‌چنين بايد قبل از توسعه اسكيماي اكتيو دايركتوري يك پشتيبان‌گيري از كل سيستم كنترل كننده‌هاي دامنه تهيه نماييد. اگر در طول فرآيند توسعه اشتباهي رخ دهد، مي‌تواند اثرات مخربي بر اكتيو دايركتوري داشته باشد در نتيجه بسيار مهم است كه يك نسخه پشتيبان خوبي داشته باشيد تا در صورت لزوم بتوان آن را برگرداند.
مي‌توانيد با گذاشتن دي وي دي نصب ويندوز سرور 2008 ويرايش دوم بر روي سيستم اسكيما مستر، اسكيماي اكتيو دايركتوري را توسعه دهيد. پس از آن پنجره خط فرمان را با استفاده از گزينه اجرا به عنوان مدير شبكه (Run as administrator) باز نماييد و دستورات زير را در آن وارد نماييد( D: نشان‌دهنده درايوي است كه حاوي رسانه نصب است):

D:
CD\
CD SUPPORT\ADPREP
ADPREP /FORESTPREP

هنگامي‌كه ابزار ADPrep لود شد، از شما خواسته مي‌شود تا تاييد نماييد كه تمامي كنترل كننده‌هاي دامنه در حال اجراي نسخه‌هاي ويندوز سرور مناسب هستند. پس از آن به آساني كليد C را فشار دهيد و سپس كليد Enter را فشار دهيد تا فرآيند توسعه اسكيما شروع شود. تنها چند دقيقه براي اتمام اين فرآيند بايد منتظر بمانيد.

پيكربندي سياست‌هاي گروهي
توسعه اسكيماي اكتيو دايركتوري به تنهايي براي ذخيره سازي كليدهاي بازيابي BitLocker در اكتيو دايركتوري كافي نيست. براي اين منظور نياز است تا چند تنظيم سياست گروهي پيكربندي شوند.
شروع فرآيند به وسيله لود شدن سياست گروهي است كه توسط ويرايشگر مديريت سياست گروهي به ايستگاه‌هاي كاري اعمال مي‌شود. اكنون مسير زير را دنبال نماييد: Computer Configuration | Policies | Administrative Templates | Policy Definitions | Windows Components | BitLocker Drive Encryption | Removable Data Drives.
در اين مرحله، بايد گزينه Deny Write Access to Removable Drives Not Protected by BitLocker را فعال نماييد. در واقع اين يك شرط مطلق نيست اما راهي است تا كاربران را مجبور كنيد تا درايو هاي فلش USB خود را رمزگذاري نمايند. ممكن است گزينه‌ Do Not Allow Write Access to Devices Configured in Another Organization را فعال نماييد تا به دستگاه‌هايي كه در سازمان‌هاي ديگر رمزگذاري مي‌شوند، حق نوشتن اطلاعات را ندهيد. باز هم يادآوري مي‌كنيم كه اين مراحل يك الزام نيستند اما به بهبود امنيت كمك خواهند كرد.
گام بعدي در اين فرآيند فعال نمودن تنظيم Choose How BitLocker Removable Drives Can Be Recovered است. هنگامي‌كه بر روي گزينه Deny Write Access to Removable Drives Not Protected by BitLocker دو مرتبه كليك كنيد، يك كادر تبادلي را مشاهده مي‌نماييد. زماني كه اين تنظيم سياست گروهي را فعال مي‌نماييد، در اين كادر گزينه‌هايي وجود دارند كه مي‌توانيد آن‌ها را فعال نماييد.
اگر مي‌خواهيد از هر كليد بازيابي يك نسخه در اكتيو دايركتوري ذخيره نماييد مي‌بايست سه گزينه در اين كادر را فعال نماييد. ابتدا بايد گزينه Allow Data Recovery Agent را فعال نماييد. اين گزينه ممكن است به طور پيش فرض فعال باشد اما از آن‌جايي كه فعال بودن اين گزينه كل فرآيند ذخيره سازي كليد بازيابي را فراهم مي‌كند، بسيار مهم است كه فعال بودن اين گزينه بررسي شود.
سپس بايد گزينه BitLocker Recovery Information to AD DS for Removable Data Drives را انتخاب نماييد. در واقع فعال بودن اين گزينه امكان ذخيره سازي كليدهاي بازيابي bitLocker را در اكتيو دايركتوري فراهم مي‌كند.
در نهايت، بايد گزينه Do Not Enable BitLocker Until Recovery Information Is Stored To AD DS For Removable Data Drives فعال شود. اين گزينه ويندوز را مجبور مي‌كند تا قبل از آن‌كه BitLocker اجازه رمزگذاري درايو را داشته باشد، كليد بازيابي در اكتيو دايركتوري ذخيره شود. به اين ترتيب اگر در طول فرآيند رمزگذاري برق سيستم قطع شود، كليد بازيابي از بين نمي رود.
گرچه فعال بودن گزينه Omit Recovery Option From The BitLocker Setup Wizard اجباري نيست اما برخي از مديران شبكه نيز تمايل دارند تا اين گزينه را فعال نمايند. به اين ترتيب كاربران نمي‌توانند از كليد بازيابي خودشان كپي تهيه نمايند يا از آن پرينت بگيرند.

نتيجه گيري
در اين مقاله، نشان داديم كه چگونه مي‌توان كليد بازيابي رمزگذاري BitLocker را در اكتيو دايركتوري ذخيره كرد. در قسمت چهارم از اين سري مقالات فرآيند استفاده از كليد بازيابي را نشان مي‌دهيم.
مطالب مرتبط:
رمزگذاري رسانه قابل حمل با استفاده از BitLocker قسمت (1)
رمزگذاري رسانه قابل حمل با استفاده از BitLocker (قسمت 2)