رمزگذاری رسانه قابل حمل با استفاده از BitLocker (قسمت 3)

در این مقاله نشان می‌دهیم که چگونه می‌توانید کلیدهای بازیابی را در پایگاه داده اکتیو دایرکتوری ذخیره نمایید.

مقدمه

در مقاله قبلی، توضیح دادیم که چگونه می‌توانید با استفاده از تنظیمات سیاست گروهی، BitLocker را بر روی شبکه سازمان مدیریت نمایید. در انتهای مقاله یکی از مشکلاتی که در رسانه رمزگذاری شده با آن مواجهه شدیم،

برای مشاهده ادامه خبر به ادامه مطلب مراجعه کنید

پتانسیل از دست دادن داده‌های آن بود. همانطور که می‌دانید درایوهای رمزگذاری شده توسط BitLocker با یک رمز عبور حفاظت می‌شوند

مشکل آن‌جاست که کاربران ممکن است رمزهای عبور را فراموش کنند و در نهایت نمی‌توانند قفل درایو رمزگذاری شده را باز نمایند. اگرچه در حال حاضر داده‌ها بر روی این درایو وجود دارند، اما در واقع از دست رفته محسوب می‌شوند زیرا برای کاربر غیر قابل دسترس باقی می‌مانند. اگر لحظه ای درنگ کنید و به این موضوع فکر کنید، متوجه می‌شوید داده‌های رمزگذاری شده‌ای که نتوانید از حالت رمز در بیاورید نسبت به تخریب داده هیچ تفاوتی ندارند.

اگر به مقاله اول از این سری مقالات نگاهی بیاندازید، به یاد می‌آورید زمانی‌که یک درایو را به کمک BitLocker رمزگذاری می‌کنید، ویندوز به شما یک پیام با عنوان ""How do you want to store your recovery key? را نشان می‌دهد. این پیام به شما می گوید زمانی‌که رمز عبور را فراموش کنید، یک کلید بازیابی می‌تواند برای دسترسی به درایو مورد استفاده قرار گیرد. نه تنها ویندوز به طور خودکار به شما امکان فراهم کردن این کلید بازیابی را می‌دهد بلکه شما را مجبور می کند تا از کلید بازیابی پرینت بگیرید یا آن را در یک فایل ذخیره نمایید.

داشتن یک کلید بازیابی برای موقعیت‌های ضروری ایده خوبی است. اما در جهان واقعی تعداد کمی از کاربران به یاد دارند که این کلید بازیابی را کجا ذخیره کرده اند یا پرینت آن را کجا گذاشته اند. در یک سازمان از دست دادن کلیدهای رمزگذاری می‌تواند عواقب فاجعه باری را به همراه داشته باشد. خوشبختانه برای ذخیره کردن کلید بازیابی نیازی به کاربر نهایی نیست زیرا می‌توانید کلید بازیابی را در اکتیو دایرکتوری ذخیره نمایید.     

آماده سازی اکتیو دایرکتوری

قبل از آن‌که بتوانیم BitLocker را برای ذخیره سازی در اکتیو دایرکتوری پیکربندی نماییم، نیاز به برخی کارهای مقدماتی داریم. همان‌طور که می‌دانید BitLocker to Go برای اولین بار در ویندوز 7 و ویندوز سرور 2008 ویرایش دوم معرفی شد. به این ترتیب اگر قصد دارید کلید بازیابی BitLocker to Go را در سطح اکتیو دایرکتوری پشتیبانی نمایید، می‌بایست برخی از کدهای ویندوز سرور 2008 ویرایش دوم را بر روی کنترل کننده‌های دامنه (DC) اجرا نمایید.

مجبور نیستید تا تمامی کنترل کننده‌های دامنه را به ویندوز سرور 2008 ویرایش دوم ارتقاء دهید مگر آن‌که خودتان تمایل داشته باشید این کار را انجام دهید. به منظور توسعه اسکیمای اکتیو دایرکتوری در کنترل کننده دامنه که به عنوان اسکیما مستر فارست شما محسوب می‌شود، می‌توانید از یک دی وی دی نصب ویندوز سرور 2008 ویرایش دوم استفاده نمایید.

قبل از آن‌که چگونگی توسعه اسکیمای اکتیو دایرکتوری را نشان دهیم، باید هشدار دهیم که در این روش فرض بر این است که تمامی کنترل کننده‌های دامنه در حال اجرای ویندوز سرور 2000 با بسته سرویس 4 یا نسخه‌های بالاتر می‌باشند. اگر سیستم عامل کنترل کننده‌های شبکه شما قدیمی‌تر هستند می‌بایست قبل از توسعه اسکیما به نسخه‌های بالاتر ارتقاء داده شوند.

هم‌چنین باید قبل از توسعه اسکیمای اکتیو دایرکتوری یک پشتیبان‌گیری از کل سیستم کنترل کننده‌های دامنه تهیه نمایید. اگر در طول فرآیند توسعه اشتباهی رخ دهد، می‌تواند اثرات مخربی بر اکتیو دایرکتوری داشته باشد در نتیجه بسیار مهم است که یک نسخه پشتیبان خوبی داشته باشید تا در صورت لزوم بتوان آن را برگرداند.

می‌توانید با گذاشتن دی وی دی نصب ویندوز سرور 2008 ویرایش دوم بر روی سیستم اسکیما مستر، اسکیمای اکتیو دایرکتوری را توسعه دهید. پس از آن پنجره خط فرمان را با استفاده از گزینه اجرا به عنوان مدیر شبکه (Run as administrator) باز نمایید و دستورات زیر را در آن وارد نمایید( D: نشان‌دهنده درایوی است که حاوی رسانه نصب است):

D:

CD\

CD SUPPORT\ADPREP

ADPREP /FORESTPREP

هنگامی‌که ابزار ADPrep لود شد، از شما خواسته می‌شود تا تایید نمایید که تمامی کنترل کننده‌های دامنه در حال اجرای نسخه‌های ویندوز سرور مناسب هستند. پس از آن به آسانی کلید C را فشار دهید و سپس کلید Enter را فشار دهید تا فرآیند توسعه اسکیما شروع شود. تنها چند دقیقه برای اتمام این فرآیند باید منتظر بمانید.

پیکربندی سیاست‌های گروهی

توسعه اسکیمای اکتیو دایرکتوری به تنهایی برای ذخیره سازی کلیدهای بازیابی BitLocker در اکتیو دایرکتوری کافی نیست. برای این منظور نیاز است تا چند تنظیم سیاست گروهی پیکربندی شوند.

شروع فرآیند به وسیله لود شدن سیاست گروهی است که توسط ویرایشگر مدیریت سیاست گروهی به ایستگاه‌های کاری اعمال می‌شود. اکنون مسیر زیر را دنبال نمایید: Computer Configuration | Policies | Administrative Templates | Policy Definitions | Windows Components | BitLocker Drive Encryption | Removable Data Drives.

در این مرحله، باید گزینه Deny Write Access to Removable Drives Not Protected by BitLocker را فعال نمایید. در واقع این یک شرط مطلق نیست اما راهی است تا کاربران را مجبور کنید تا درایو های فلش USB خود را رمزگذاری نمایند. ممکن است گزینه‌ Do Not Allow Write Access to Devices Configured in Another Organization را فعال نمایید تا به دستگاه‌هایی که در سازمان‌های دیگر رمزگذاری می‌شوند، حق نوشتن اطلاعات را ندهید. باز هم یادآوری می‌کنیم که این مراحل یک الزام نیستند اما به بهبود امنیت کمک خواهند کرد.

گام بعدی در این فرآیند فعال نمودن تنظیم Choose How BitLocker Removable Drives Can Be Recovered است. هنگامی‌که بر روی گزینه Deny Write Access to Removable Drives Not Protected by BitLocker دو مرتبه کلیک کنید، یک کادر تبادلی را مشاهده می‌نمایید. زمانی که این تنظیم سیاست گروهی را فعال می‌نمایید، در این کادر گزینه‌هایی وجود دارند که می‌توانید آن‌ها را فعال نمایید.    

اگر می‌خواهید از هر کلید بازیابی یک نسخه در اکتیو دایرکتوری ذخیره نمایید می‌بایست سه گزینه در این کادر را فعال نمایید. ابتدا باید گزینه Allow Data Recovery Agent را فعال نمایید. این گزینه ممکن است به طور پیش فرض فعال باشد اما از آن‌جایی که فعال بودن این گزینه کل فرآیند ذخیره سازی کلید بازیابی را فراهم می‌کند، بسیار مهم است که فعال بودن این گزینه بررسی شود.

سپس باید گزینه BitLocker Recovery Information to AD DS for Removable Data Drives را انتخاب نمایید. در واقع فعال بودن این گزینه امکان ذخیره سازی کلیدهای بازیابی bitLocker را در اکتیو دایرکتوری فراهم می‌کند.

در نهایت، باید گزینه Do Not Enable BitLocker Until Recovery Information Is Stored To AD DS For Removable Data Drives فعال شود. این گزینه ویندوز را مجبور می‌کند تا قبل از آن‌که BitLocker اجازه رمزگذاری درایو را داشته باشد، کلید بازیابی در اکتیو دایرکتوری ذخیره شود. به این ترتیب اگر در طول فرآیند رمزگذاری برق سیستم قطع شود، کلید بازیابی از بین نمی رود.  

گرچه فعال بودن گزینه Omit Recovery Option From The BitLocker Setup Wizard اجباری نیست اما برخی از مدیران شبکه نیز تمایل دارند تا این گزینه را فعال نمایند. به این ترتیب کاربران نمی‌توانند از کلید بازیابی خودشان کپی تهیه نمایند یا از آن پرینت بگیرند.

نتیجه گیری

در این مقاله، نشان دادیم که چگونه می‌توان کلید بازیابی رمزگذاری BitLocker را در اکتیو دایرکتوری ذخیره کرد. در قسمت چهارم از این سری مقالات فرآیند استفاده از کلید بازیابی را نشان می‌دهیم.  

مطالب مرتبط:

رمزگذاری رسانه قابل حمل با استفاده از BitLocker (قسمت 1) رمزگذاری رسانه قابل حمل با استفاده از BitLocker (قسمت 2)