none
EFS в домене RRS feed

  • Общие обсуждения

  • Давайте обсудим EFS. Есть проблема: как централизованно в домене раздавать сертификаты на шифрование EFS?

    Ситуация:
    Есть Windows 2003 Enterprise (контроллер домена, центр сертификации). Каждую выдачу сертификата одобряет администратор.

     

    При шифровании EFS клиентская Windows XP формирует сертификат, состоящий из логина, который никах не регистрируется в ЦС, и использует его для шифрования. Если пользователь специально создает запрос в ЦС на сертификат EFS, например, с помощью оснастки "Сертификаты", полученный сертификат нигде не используется. В дополнение к вышесказанному, агент восстановления, коим является встроенная на контроллере домена учетная запись Администратор, хоть и записан в поле "Агенты восстановления" каждого зашифрованного файла, на деле открыть его не может.

    Как сделать так, чтобы:
    1. Когда пользователь домена ставит галку "Зашифровать файл" в его свойствах, ему выдавался один зарегистрированный в ЦС сертификат, который он может использоваться им для шифрования на любой машине.
    2. Администратор, будучи агентом восстановления, мог легко и непринужденно прочитать любой зашифрованный пользователями файл.
    3. Назначить централизованно в качестве агента восстановления другую учетку администратора домена.

    Разумеется, здесь не обойтись без групповых политик, однако, подскажите, какие именно параметры и как настраивать.

    Спасибо!

    12 октября 2008 г. 22:02

Все ответы

  •  Eurisco написано:

     

    Давайте обсудим EFS. Есть проблема: как централизованно в домене раздавать сертификаты на шифрование EFS?

    Ситуация:
    Есть Windows 2003 Server R2, контроллер AD, CA, DNS, DHCP, IIS. С настроенным центром сертификации, в котором каждую выдачу сертификата одобряет админ, они (сертификаты) выдаются разные для одной и той же учетной записи пользователя, если он входит на разных машинах. Более того, по умолчанию локальная XP формирует сертификат, состоящий из логина, который никах не регистрируется в CA, и использует его для шифрования. Если пользователь специально создает запрос в CA на сертификат EFS, например, с помощью оснастки "Сертификаты", полученный сертификат нигде не используется. В дополнение к вышесказанному, агент восстановления, коим является встроенная на контроллере домена учетная запись Администратор, хоть и записан в поле "Агенты восстановления" каждого зашифрованного файла, на деле открыть его не может.

    Как сделать так, чтобы:
    1. Когда пользователь домена ставит галку "Зашифровать файл" в его свойствах, ему выдавался один зарегистрированный в CA сертификат, который он может использоваться им для шифрования на любой машине.
    2. Администратор, будучи агентом восстановления, мог легко и непринужденно прочитать любой зашифрованный пользователями файл.
    3. Назначить централизованно в качестве агента восстановления другую учетку администратора домена.

    Разумеется, здесь не обойтись без групповых политик, однако, подскажите, какие именно параметры и как настраивать.

    Спасибо!


    Тут все ответы
    13 октября 2008 г. 5:31
  •  

    Вам нужно настроить Certificate Autoenrollment. Однако, это доступно только если CA работает под управлением Windows Server 2003 Enterprise Edition, на Standard Edition эта функция недоступна.

    Вот документация по этому вопросу:

    http://www.microsoft.com/downloadS/details.aspx?familyid=B83C37C6-C022-488A-A135-568C8858C7EE&displaylang=en

    13 октября 2008 г. 5:37
  • [quote user=cognize@]

     

    Тут все ответы


      На данный, конкретный вопрос нет там ответов. Хотя документ без сомнения полезный.

    В редакторе групповых политик:

    User Configuration --> Policies--> Windows Settings --> Security Settings --> Public Key Policies --> Certificate Services Client-Autoenrollment выставить значение Enabled.

    Естественно учтя замечание уважаемого коллеги Vadims Podans Smile

    13 октября 2008 г. 6:08
    Модератор
  •  Eurisco написано:

    Когда пользователь домена ставит галку "Зашифровать файл" в его свойствах, ему выдавался один зарегистрированный в CA сертификат, который он может использоваться им для шифрования на любой машине.

    При выставления аттрибута "Файл зашифрован" впервые для данного пользователя системой генерируется самоподписанный сертификат (если до этого момента в хранилище сертификатов пользователя не было сертификатов с назначением использования EFS), ни коим образом не относящийся к инфраструктуре открытого ключа. Более того использование самоподписанных сертификатов в инфраструктуре PKI настоятельно не рекомендуется.

    Поправка: прошу прощения за дезинформацию, это поведение систем, не являющихся членом домена.

     

    Соотвественно, перед тем, как Ваши пользователи будут использовать EFS, Вам необходимо выдать этим пользователям соответствующие сертификаты посредством удостоверяющего центра службы сертификации (CA).

    Если Вы решили использовать механизм автоматического распространения сертификатов пользователей (Certificate Autoenrollment), нужно принять во внимание следующие положения:

    • Для использования Certificate Autoenrollment необходим Enterprise CA;
    • Тип Enterprise CA может быть установлен только в редакции Windows Server Enterprise Edition;
    • Windows 2000 Server Enterprise CA поддерживает автоматическое распространение сертификатов только для объектов компьютеров (следовательно в Вашем случае необходимо использовать Windows Server 2003 CA);
    • В качестве клиентской ОС должна использоваться Windows XP;
    • Для корректной работы Certificate Autoenrollment необходима настройка шаблонов сертификатов, а также разрешений на шаблоны сертификатов (искомые пользователи должны иметь права Read, Enroll, Autoenroll на соответствующий сертификат);

    В качестве шаблона пользовательских сертификатов целесообразнее использовать шаблон User, по которому выдаются сертификаты с назначением EFS, Secure Mail, Client Authentication. Убедитесь, что сертификаты по этому шаблоны выдаются Вашим CA (CA Console - Certificate Templates) и пользователям назначены необходимые права на сертификаты по этомув шаблону (CA Console - контекстное меню Certificate Templates - Manage - User Template Properties - Security).

    Где включить Autoenrollment в объекте групповых политик Олег сообщил, далее этот объект необходимо привязать к OU, содержащему учетные записи искомых пользователей (или ко всему домену).

     Eurisco написано:

    Назначить централизованно в качестве агента восстановления другую учетку администратора домена.

    Для этого необходимо экспортировать сертификат этого пользователя без закрытого ключа в файл. Затем в объекте групповой политики Computer Configuration - Policies - Windows Settings - Security Settings --> Public Key Policies - Encrypting File System, выбрав в контекстном меню Add Data Recovery Agent, запустить мастер добавления DRA. Далее необходимо указать путь к файлу с сертификатом или же найти учетную запись пользователя в каталоге Active Directory.

    Если Вы хотите влючить использование EFS на уровне домена, привяжите полученные объекты групповой политики к домену.

     

    В дополнение к приведенной мною информации, ознакомтесь с материалом, представленным по ссылкам в этом обсуждении.

    13 октября 2008 г. 7:15
  • Все это выполнено: и требования к операционной системе, и настройки групповой политики в указанных выше разделах, включена автоматическая подача заявок на сертификаты, их обновление и отзыв, НО ситуация не изменилась...

     

    1. Если пользователь впервые использует шифрование файла - файл шифруется, выдается какой-то "местный" сертификат, в его свойствах виден логин пользователя с указанием домена, отпечаток сертификата и агент восстановления - Администратор - вместе со своим отпечатком сертификата.
    2. Одновременно с п.1 создается и отправляется в ЦС запрос на выдачу сертифтката (!), причем по шаблону "Базовое шифрование EFS".
    2.1. Если запрос отклоняется, пользователь по-прежнему может шифровать файлы непонятно каким сертификатом (причем, на разных машинах для одного и того же пользователя они разные). В этом случае не исключен автоматический повторный запрос в ЦС.
    2.2. Если запрос удовлетворяется в ту же минуту и выдается доменный сертификат, пусть и не по шаблону "Пользователь", но все равно он нигде не используется...

     

    При этом, сертификат, выданный в п. 2.2, - выдан доменным ЦС, в пути сертификации указано полное имя пользователя, срок действия = установленному в настройках ЦС (1 год), "Сертификат разрешает шифрование файлов на диске".


    А сертификат, выданный в п.1, - выдан непонятно кем, в пути сертификации указан логин пользователя (без домена), срок действия = 100 лет, есть закрытый ключ, "Нет доверия к этому корневому центру сертификации...".

     

    Причем, после перезагрузки ПК и отмены шифрования ранее зашифрованных в п.1 файлов, ситуация не меняется при шифровании, например, вновь созданного файла: используются сертификат, выданный в п. 1.

     

    На другой машине - все так же, только отпечатки сертификатов другие; доменные сертификаты шифрования не используются.

     

    Сейчас через политику пока выключил использование EFS в домене.

     

    Пожалуйста, подскажите, что делать?

     

    Как сделать так, чтобы:
    1. Когда пользователь домена ставит галку "Зашифровать файл" в его свойствах, ему выдавался один зарегистрированный в ЦС сертификат, который он может использоваться им для шифрования на любой машине.
    2. Администратор, будучи агентом восстановления, мог легко и непринужденно прочитать любой зашифрованный пользователями файл.

    25 октября 2008 г. 18:32
  • Также по этой теме интересует вот что: когда запрос пользователя в доменный ЦС на сертификат по шаблону User, разрешающий в том числе "шифрование файлов на диске", НАХОДИТСЯ НА РАССМОТРЕНИИ АДМИНИСТРАТОРА (т.е. установлена выдача сертификатов вручную), как в этот момент запретить пользователю использовать EFS до выдачи доменного сертификата?

     

    Принимая во внимание вышеописанное в предыдущем посте, поскажите, пожалуйста, как же быть?!

     

    Неужели в домене придется шифровать и расшифровывать файлы с помощью сертификатов и соответствующих им ключей, де-факто сгенерированных клиентскими Windows, а не доменным ЦС?

     

    8 января 2009 г. 1:51
  • Вы можете запретить использование EFS посредством групповой политики всем пользователям домена, или пользователям определенных орг.подразделений. После чего настроить автоматическую выдачу сертификатов на Вашем Enterprise CA по шаблону "Пользователь" всем пользователям домена. После того, как убедитесь в выдаче сертификатов всем пользователям - включите возможность использования EFS посредством объекта групповой политики, указав необходимые учетные записи агентов восстановления.

    При этом уже зашифрованные локальным сертификатов файлы пользователей необхоидмо будет расшифровать, удалить локальный сертификат пользователя и, убедившись в наличии пользовательского сертификата от доменного CA, зашифровать данные заново.

    Также рекомендую к ознакомлению раздел библиотеки Technet, посвященный EFS.

    8 января 2009 г. 22:02
  • в 2008 можно на уровне политики запретить использовать самоподписанные EFS сертификаты, а только выданные централизованно через CA.

     

    9 января 2009 г. 12:22
  • Вы правы, Вадимс, и дополнение Ваше очень кстати (сам запамятовал). Только эта возможность привязана к клиентской ОС, а не к серверной, насколько я понимаю. То есть запретить использование self-signed сертификатов c EFS в Windows Vista можно через групповые политики. Но эту операцию можно выполнить и в Windows XP (правда не так автоматизированно). За инструкциями обращайтесь к этой статье базы знаний:

    Encrypting File System (EFS) generates a self-signed certificate when you try to encrypt an EFS file on a Windows XP-based computer

    Также советую перед выполнением этих действияй ознакомиться с разделом Plan for Encrypting File System

    9 января 2009 г. 14:00
  •  Artyom [d.raven] Sinitsyn написано:

    После чего настроить автоматическую выдачу сертификатов на Вашем Enterprise CA по шаблону "Пользователь" всем пользователям домена. После того, как убедитесь в выдаче сертификатов всем пользователям - включите возможность использования EFS посредством объекта групповой политики, указав необходимые учетные записи агентов восстановления.

     

    Насколько мне известно, выдача сертификатов вручную или автоматически применяется в целом к ЦС (опция в свойствах) и работает по умолчанию для любых шаблонов сертификатов.

     

    Сразу выдавать сертификат по шаблону "Пользователь" да еще и автоматически, если честно, не пока не желательно, т.к. готовится к внедрению VPN по протоколу L2TP (осталось разобраться с работой сервера через NAT, чтобы не выдавал ошибку 678 - см. здесь) с аутентификацией EAP, где сертификат, выдаваемый по шаблону "Пользователь", играет ключевую роль.

     

    Возможно ли для конкретного шаблона - "Базовое шифрование EFS" - настроить автоматическую выдачу для любого пользователя домена, а для всех остальных - по запросу? Если да, как лучше всего это сделать?

     

    И в итоге, к примеру, для 50 пользователей это все будет проделано. Но вот появляется 51-й и как для него? Получит ли он доменный сертификат на использование EFS до того, как успеет открыть свойства файла для с целью его зашифровать?

     

    10 января 2009 г. 1:03
  •  Artyom [d.raven] Sinitsyn написано:

    Вы правы, Вадимс, и дополнение Ваше очень кстати (сам запамятовал). Только эта возможность привязана к клиентской ОС, а не к серверной, насколько я понимаю. То есть запретить использование self-signed сертификатов c EFS в Windows Vista можно через групповые политики. Но эту операцию можно выполнить и в Windows XP (правда не так автоматизированно). За инструкциями обращайтесь к этой статье базы знаний:

    Encrypting File System (EFS) generates a self-signed certificate when you try to encrypt an EFS file on a Windows XP-based computer

     

    Статья рассказывает про hotfix для Windows XP SP2.

    Если используется SP3 - надо ли применять эту статью?

     

    Кстати, по щелчку на ссылке "View and request hotfix downloads", что вверху данной статьи базы знаний, сначала открывается окно лицензионного соглашения, принимая которое я снова возвращаюсь к тексту статьи - ничего скачать не предлагают!

    10 января 2009 г. 1:07
  •  Teilnehmer написано:

    Статья рассказывает про hotfix для Windows XP SP2.

    Если используется SP3 - надо ли применять эту статью?

     

    Кстати, по щелчку на ссылке "View and request hotfix downloads", что вверху данной статьи базы знаний, сначала открывается окно лицензионного соглашения, принимая которое я снова возвращаюсь к тексту статьи - ничего скачать не предлагают!

    После перехода по ссылке "View and request hotfix downloads" необходимо принять лицензионное соглашение. После этого Вы перейдете на страницу запроса обновлений, обратите внимание на описание обновлений - sp3.

    У меня переход на страницу запроса обновлений работает корректно.

    11 января 2009 г. 6:50
  •  Teilnehmer написано:

    Насколько мне известно, выдача сертификатов вручную или автоматически применяется в целом к ЦС (опция в свойствах) и работает по умолчанию для любых шаблонов сертификатов.

     

    Сразу выдавать сертификат по шаблону "Пользователь" да еще и автоматически, если честно, не пока не желательно, т.к. готовится к внедрению VPN по протоколу L2TP (осталось разобраться с работой сервера через NAT, чтобы не выдавал ошибку 678 - см. здесь) с аутентификацией EAP, где сертификат, выдаваемый по шаблону "Пользователь", играет ключевую роль.

     

    Возможно ли для конкретного шаблона - "Базовое шифрование EFS" - настроить автоматическую выдачу для любого пользователя домена, а для всех остальных - по запросу? Если да, как лучше всего это сделать?

     

    И в итоге, к примеру, для 50 пользователей это все будет проделано. Но вот появляется 51-й и как для него? Получит ли он доменный сертификат на использование EFS до того, как успеет открыть свойства файла для с целью его зашифровать?

    Ваш вопрос тянет на отдельное обсуждение. Предлагаю Вам сощздать отдельную тему.

    11 января 2009 г. 6:51