IRCAR201201129
در اين مقاله نشان ميدهيم كه چگونه ميتوانيد كليدهاي بازيابي را در پايگاه داده اكتيو دايركتوري ذخيره نماييد.
مقدمه
در مقاله قبلي، توضيح داديم كه چگونه ميتوانيد با استفاده از تنظيمات سياست گروهي، BitLocker را بر روي شبكه سازمان مديريت نماييد. در انتهاي مقاله يكي از مشكلاتي كه در رسانه رمزگذاري شده با آن مواجهه شديم، پتانسيل از دست دادن دادههاي آن بود. همانطور كه ميدانيد درايوهاي رمزگذاري شده توسط BitLocker با يك رمز عبور حفاظت ميشوند. مشكل آنجاست كه كاربران ممكن است رمزهاي عبور را فراموش كنند و در نهايت نميتوانند قفل درايو رمزگذاري شده را باز نمايند. اگرچه در حال حاضر دادهها بر روي اين درايو وجود دارند، اما در واقع از دست رفته محسوب ميشوند زيرا براي كاربر غير قابل دسترس باقي ميمانند. اگر لحظه اي درنگ كنيد و به اين موضوع فكر كنيد، متوجه ميشويد دادههاي رمزگذاري شدهاي كه نتوانيد از حالت رمز در بياوريد نسبت به تخريب داده هيچ تفاوتي ندارند.
اگر به مقاله اول از اين سري مقالات نگاهي بياندازيد، به ياد ميآوريد زمانيكه يك درايو را به كمك BitLocker رمزگذاري ميكنيد، ويندوز به شما يك پيام با عنوان ""How do you want to store your recovery key? را نشان ميدهد. اين پيام به شما مي گويد زمانيكه رمز عبور را فراموش كنيد، يك كليد بازيابي ميتواند براي دسترسي به درايو مورد استفاده قرار گيرد. نه تنها ويندوز به طور خودكار به شما امكان فراهم كردن اين كليد بازيابي را ميدهد بلكه شما را مجبور مي كند تا از كليد بازيابي پرينت بگيريد يا آن را در يك فايل ذخيره نماييد.
داشتن يك كليد بازيابي براي موقعيتهاي ضروري ايده خوبي است. اما در جهان واقعي تعداد كمي از كاربران به ياد دارند كه اين كليد بازيابي را كجا ذخيره كرده اند يا پرينت آن را كجا گذاشته اند. در يك سازمان از دست دادن كليدهاي رمزگذاري ميتواند عواقب فاجعه باري را به همراه داشته باشد. خوشبختانه براي ذخيره كردن كليد بازيابي نيازي به كاربر نهايي نيست زيرا ميتوانيد كليد بازيابي را در اكتيو دايركتوري ذخيره نماييد.
آماده سازي اكتيو دايركتوري
قبل از آنكه بتوانيم BitLocker را براي ذخيره سازي در اكتيو دايركتوري پيكربندي نماييم، نياز به برخي كارهاي مقدماتي داريم. همانطور كه ميدانيد BitLocker to Go براي اولين بار در ويندوز 7 و ويندوز سرور 2008 ويرايش دوم معرفي شد. به اين ترتيب اگر قصد داريد كليد بازيابي BitLocker to Go را در سطح اكتيو دايركتوري پشتيباني نماييد، ميبايست برخي از كدهاي ويندوز سرور 2008 ويرايش دوم را بر روي كنترل كنندههاي دامنه (DC) اجرا نماييد.
مجبور نيستيد تا تمامي كنترل كنندههاي دامنه را به ويندوز سرور 2008 ويرايش دوم ارتقاء دهيد مگر آنكه خودتان تمايل داشته باشيد اين كار را انجام دهيد. به منظور توسعه اسكيماي اكتيو دايركتوري در كنترل كننده دامنه كه به عنوان اسكيما مستر فارست شما محسوب ميشود، ميتوانيد از يك دي وي دي نصب ويندوز سرور 2008 ويرايش دوم استفاده نماييد.
قبل از آنكه چگونگي توسعه اسكيماي اكتيو دايركتوري را نشان دهيم، بايد هشدار دهيم كه در اين روش فرض بر اين است كه تمامي كنترل كنندههاي دامنه در حال اجراي ويندوز سرور 2000 با بسته سرويس 4 يا نسخههاي بالاتر ميباشند. اگر سيستم عامل كنترل كنندههاي شبكه شما قديميتر هستند ميبايست قبل از توسعه اسكيما به نسخههاي بالاتر ارتقاء داده شوند.
همچنين بايد قبل از توسعه اسكيماي اكتيو دايركتوري يك پشتيبانگيري از كل سيستم كنترل كنندههاي دامنه تهيه نماييد. اگر در طول فرآيند توسعه اشتباهي رخ دهد، ميتواند اثرات مخربي بر اكتيو دايركتوري داشته باشد در نتيجه بسيار مهم است كه يك نسخه پشتيبان خوبي داشته باشيد تا در صورت لزوم بتوان آن را برگرداند.
ميتوانيد با گذاشتن دي وي دي نصب ويندوز سرور 2008 ويرايش دوم بر روي سيستم اسكيما مستر، اسكيماي اكتيو دايركتوري را توسعه دهيد. پس از آن پنجره خط فرمان را با استفاده از گزينه اجرا به عنوان مدير شبكه (Run as administrator) باز نماييد و دستورات زير را در آن وارد نماييد( D: نشاندهنده درايوي است كه حاوي رسانه نصب است):
D: CD\ CD SUPPORT\ADPREP ADPREP /FORESTPREP
هنگاميكه ابزار ADPrep لود شد، از شما خواسته ميشود تا تاييد نماييد كه تمامي كنترل كنندههاي دامنه در حال اجراي نسخههاي ويندوز سرور مناسب هستند. پس از آن به آساني كليد C را فشار دهيد و سپس كليد Enter را فشار دهيد تا فرآيند توسعه اسكيما شروع شود. تنها چند دقيقه براي اتمام اين فرآيند بايد منتظر بمانيد.
پيكربندي سياستهاي گروهي
توسعه اسكيماي اكتيو دايركتوري به تنهايي براي ذخيره سازي كليدهاي بازيابي BitLocker در اكتيو دايركتوري كافي نيست. براي اين منظور نياز است تا چند تنظيم سياست گروهي پيكربندي شوند.
شروع فرآيند به وسيله لود شدن سياست گروهي است كه توسط ويرايشگر مديريت سياست گروهي به ايستگاههاي كاري اعمال ميشود. اكنون مسير زير را دنبال نماييد: Computer Configuration | Policies | Administrative Templates | Policy Definitions | Windows Components | BitLocker Drive Encryption | Removable Data Drives.
در اين مرحله، بايد گزينه Deny Write Access to Removable Drives Not Protected by BitLocker را فعال نماييد. در واقع اين يك شرط مطلق نيست اما راهي است تا كاربران را مجبور كنيد تا درايو هاي فلش USB خود را رمزگذاري نمايند. ممكن است گزينه Do Not Allow Write Access to Devices Configured in Another Organization را فعال نماييد تا به دستگاههايي كه در سازمانهاي ديگر رمزگذاري ميشوند، حق نوشتن اطلاعات را ندهيد. باز هم يادآوري ميكنيم كه اين مراحل يك الزام نيستند اما به بهبود امنيت كمك خواهند كرد.
گام بعدي در اين فرآيند فعال نمودن تنظيم Choose How BitLocker Removable Drives Can Be Recovered است. هنگاميكه بر روي گزينه Deny Write Access to Removable Drives Not Protected by BitLocker دو مرتبه كليك كنيد، يك كادر تبادلي را مشاهده مينماييد. زماني كه اين تنظيم سياست گروهي را فعال مينماييد، در اين كادر گزينههايي وجود دارند كه ميتوانيد آنها را فعال نماييد.
اگر ميخواهيد از هر كليد بازيابي يك نسخه در اكتيو دايركتوري ذخيره نماييد ميبايست سه گزينه در اين كادر را فعال نماييد. ابتدا بايد گزينه Allow Data Recovery Agent را فعال نماييد. اين گزينه ممكن است به طور پيش فرض فعال باشد اما از آنجايي كه فعال بودن اين گزينه كل فرآيند ذخيره سازي كليد بازيابي را فراهم ميكند، بسيار مهم است كه فعال بودن اين گزينه بررسي شود.
سپس بايد گزينه BitLocker Recovery Information to AD DS for Removable Data Drives را انتخاب نماييد. در واقع فعال بودن اين گزينه امكان ذخيره سازي كليدهاي بازيابي bitLocker را در اكتيو دايركتوري فراهم ميكند.
در نهايت، بايد گزينه Do Not Enable BitLocker Until Recovery Information Is Stored To AD DS For Removable Data Drives فعال شود. اين گزينه ويندوز را مجبور ميكند تا قبل از آنكه BitLocker اجازه رمزگذاري درايو را داشته باشد، كليد بازيابي در اكتيو دايركتوري ذخيره شود. به اين ترتيب اگر در طول فرآيند رمزگذاري برق سيستم قطع شود، كليد بازيابي از بين نمي رود.
گرچه فعال بودن گزينه Omit Recovery Option From The BitLocker Setup Wizard اجباري نيست اما برخي از مديران شبكه نيز تمايل دارند تا اين گزينه را فعال نمايند. به اين ترتيب كاربران نميتوانند از كليد بازيابي خودشان كپي تهيه نمايند يا از آن پرينت بگيرند.
نتيجه گيري
در اين مقاله، نشان داديم كه چگونه ميتوان كليد بازيابي رمزگذاري BitLocker را در اكتيو دايركتوري ذخيره كرد. در قسمت چهارم از اين سري مقالات فرآيند استفاده از كليد بازيابي را نشان ميدهيم.
مطالب مرتبط:
رمزگذاري رسانه قابل حمل با استفاده از BitLocker قسمت (1)
رمزگذاري رسانه قابل حمل با استفاده از BitLocker (قسمت 2)
- 7