Encrypting File System
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Encrypting File System as PDF for free.
More details
- Words: 783
- Pages: 6
ENCRYPTING FILE SYSTEM Windows Server 2003 işletim sistemi, dosya ve klasörlere erişimi NTFS izinleri denilen ve kullanıcı ve grup seviyesinde erişim denetimi yapabilen izinler ile denetler. Ancak verilerin bulunduğu bilgisayara yeni bir işletim sistemi kurulduğuda, yeni oluşturulan “Administartor” bu verilerin sahipliğini alabilir ve gizli kalması gereken verilere erişebilir. Kısacası; NTFS izinleri, verilerin bulunduğu bilgisayara fiziksel olrak erişebilen kişiyi engelleyemez. Windows Server 2003 işletim sistemini sunduğu “Encrypting File System” (EFS) veriler üzerine ek bir güvenlik getirir. EFS ile şifrelenmiş bir dosyaya sadece şifreleyen kullanıcı hesabı erişebilir. EFS ile korunan veriler, kötü niyetli kişi için bilgisayara fiziksel erişim mükün olsada erişilemezdir. Encrypt edilen bir dosyaya erişmek için kullanıcının ek bir işlem yapmasına gerek yoktur. Aynı normal dosyalara erişir gibi çift tıklamassı yeterlidir. Encrpt etme aşaması ve ancrpyt edilen dosyanın açılması karmaşık olmasına rağmen kullanıcıya kapalıdır.
NASIL ÇALIŞIR EFS sadece NTFS dosya sisteminde mümkündür. Encyption işlemi kullanıcıya ait bir sertifika kullanılarak yapılır. Her sertifikanın bir “Private Key”i bir de “Public Key”i vardır. Private Key sadece kullanıcıda kalır ve gizlidir. Public Key ise başkalarına da dağıtılabilir. Kullanıcı ilk kez bir dosyayı encrypt etmek istediğinde, “Local Certificate Store”da (Yerel bilgisayardaki sertifikaların depolandığı veritabanı) kullanıcı için bir EFS sertifikası aranır. Eğer varsa kullanılır. Yoksa ya bir CA’den (Certification Auyhority) istenir. Mevcut bir CA bulunamazsa bir “Self-Signed” sertifika oluşturulur. Kullanıcının EFS sertifikası edinildikten ya da oluşturulduktan sonra FEK (File Encyption Key) denilen rastgele bir değer kullanılarak dosya şifrelenir. Bu değer aynı zamanda deşifre etmek için de kullanılacaktır. FEK’in kendisi de kullanıcının “Public Key”i ile şifrelenip dosyanın DDF (Data Decryption Field) kısmına yazılır. Eğer başka kullanıcılar da bu dosyaya erişim iznine sahipse onların da “Public Key”leri kullanılır. Dosyanın deşifre edilebilmesi için de FEK kullanılır. Dosya şifrelenirken simetrik olan DESX algoritması kullanılır. Yani şifrelerken kullanılan anahtar deşifre ederken de kullanılır. Az önce de belirttiğim gibi, FEK de kullanıcının “Public Key”i ile şifrelenir. Sertifikalar ile yapılan şifrelemeler asimetriktir. Yani şifrelemek ve deşifre etmek için farklı anahtarlar kullanılır. Ancak her anahtarın kaynağı aynıdır ve kullanıcının sertifikasıdır. Sonuç olarak kullanıcının “Public Key”i ile şifrelenen FEK ancak o kullanıcının “Private Key”i ile deşifre edilebilir. Yani kullanıcı dosyayı açmak istediğinde kullanıcının “Private Key”i kullanılarak FEK deşifre edilir, FEK ile de dosy deşifre edilir. Şekil – 1
Şekil – 1
File Recovery Agent EFS ile şifrelenen dosyaya, kullanıcı sertifikası olmadan erişilemez. Ancak her şifrelenmiş dosyayı açabilen bir de File Recovery Agent denilen ve şifrelenen her dosyanın DRF’inde (Data Recovery Field) bilgileri bulunan bir kullanıcı vardır. Dosyayı şifreleyen kullanıcı hesabının yanlışlıkla silinmesi sonucunda dosyaya erişmek için kullanılır. Windows 2000 işletim sistemlerinde EFS’in kullanılabilmesi için bir FRA şartken Windows XP ve Windows Server 2003 işletim sistemlerinde gerekmez.
Encrypted File Sharing Windows XP ve Windows Server 2003 işletim sistemleri şifrelenmiş dosyalara, şifreleyen kişi haricinde, istenilen kullanıcıların da erişebilmesini sağlayabilir.
NASIL YAPILIR Enrypt Etmek Bir dosyayı encrpt etmek için :
1. 2.
Encypt etmek istediğiniz dosyaya sağ tıklayıp “Properties” menüsüne girin. Çıkan menüde “Advanced” düğmesine basın. (Şekil 2)
Şekil 2
3.
“Advanced Attributes” iletişim kutusunda “Encrypt contents to secure data” seçeneğini işaretleyin. (Şekil 3) a. Buradaki “Details” düğmesi encrpt edilirken kullanılabilir değildir. Encrypt ettikten sonra işe yarar.
Şekil 3
4.
İki kez “OK” düğmesine basın.
Enrypt edien dosya explorer pencerelerinde yeşil görünür. Şifreleme işlemi “Cipher /E” komutu ile de yapılabilir.
Share Etmek Encrypt edilen dosyanın başkalaraı tarafından da açılabilmesini sağlamak için : 1. 2. 3. 4.
Encrypt edilmiş dosyaya sağ tıklayıp “Properties”e girin. Çıkan pencerede “Advanced” düğesine basın. “Advanced Attributes” iletişim kutusunda “Details” düğmesine basın. “Encryption Details” ileitşim kusunda “Add” düğmesine basın. Listeden bir kullanıcı seçip “OK” düğmesine basın. (Şekil 4)
Şekil 4
5.
Eğer listede eklemek istediğinis kullanıcı yoksa “Find User” düğmesini kullanarak bulabilirsiniz.
FRA Oluşturmak Windows 2000 işletim sistelerinde varsayılan olarak Administrator hesabı FRA’dır. Herhangi bir domain üyesi olmayan Windows XP ve Windows 2003 işletim sistelerinde varsayılan olarak bir FRA yoktur fakat yaratılabilir. Windows Server 2003 domainlerinde ise varsayılan FRA Administrator hesabıdır. StandAlone Server 2003’de FRA yaratmak için : 1. 2. 3.
FRA olarak belirleyeceğiniz kullanıcı olarak log-on olun. Genellikle Administrator’dır. Komut satırına girin. “Cipher /R:DosyaAdı” komutunu girin. Sorulduğunda şifrenizi belirleyin.
Bu komut .CER ve .PFX uzantılı iki adet dosya oluşturur. 4.
Şimdi oluşturulan sertifikanın Import edilmesi gerekiyor. Lacol GPO editörünü açın.
5.
Local Computer Policy Coputer Configuration Windows Settings Security Settings Public Kkey Policies. “Encrypting File System”e sağ tıklayıp “Add Data Recovery Agent” komutunu verin. Sihirbazda “Next” düğmesine basın. Yeni iletişim kutuunda (Şekil 5) “Browse Folders” düğmesine basıp 3. adımda oluşturulan .CER dosyasını seçin.
6. 7.
Şekil 5
8. 9.
“Next” düğmesine basıp son adımda “Finish” düğmesine basın. Artık bir FRA’nız var. Aktif olması için “gpupdate” komutunu kullanabilirsiniz ya da bilgisayarı yeniden başlatabilirsiniz.
Oluşturduğunuz FRA’yı kullanmak istediğinizde FRA olarak olarak log-on olup sertifikasını “Loca Certificate Store”a import etmeniz gerekir. Bunun için “Certificates” sanp-in’ini kullanmanız gerekir.
NASIL ÇALIŞIR EFS sadece NTFS dosya sisteminde mümkündür. Encyption işlemi kullanıcıya ait bir sertifika kullanılarak yapılır. Her sertifikanın bir “Private Key”i bir de “Public Key”i vardır. Private Key sadece kullanıcıda kalır ve gizlidir. Public Key ise başkalarına da dağıtılabilir. Kullanıcı ilk kez bir dosyayı encrypt etmek istediğinde, “Local Certificate Store”da (Yerel bilgisayardaki sertifikaların depolandığı veritabanı) kullanıcı için bir EFS sertifikası aranır. Eğer varsa kullanılır. Yoksa ya bir CA’den (Certification Auyhority) istenir. Mevcut bir CA bulunamazsa bir “Self-Signed” sertifika oluşturulur. Kullanıcının EFS sertifikası edinildikten ya da oluşturulduktan sonra FEK (File Encyption Key) denilen rastgele bir değer kullanılarak dosya şifrelenir. Bu değer aynı zamanda deşifre etmek için de kullanılacaktır. FEK’in kendisi de kullanıcının “Public Key”i ile şifrelenip dosyanın DDF (Data Decryption Field) kısmına yazılır. Eğer başka kullanıcılar da bu dosyaya erişim iznine sahipse onların da “Public Key”leri kullanılır. Dosyanın deşifre edilebilmesi için de FEK kullanılır. Dosya şifrelenirken simetrik olan DESX algoritması kullanılır. Yani şifrelerken kullanılan anahtar deşifre ederken de kullanılır. Az önce de belirttiğim gibi, FEK de kullanıcının “Public Key”i ile şifrelenir. Sertifikalar ile yapılan şifrelemeler asimetriktir. Yani şifrelemek ve deşifre etmek için farklı anahtarlar kullanılır. Ancak her anahtarın kaynağı aynıdır ve kullanıcının sertifikasıdır. Sonuç olarak kullanıcının “Public Key”i ile şifrelenen FEK ancak o kullanıcının “Private Key”i ile deşifre edilebilir. Yani kullanıcı dosyayı açmak istediğinde kullanıcının “Private Key”i kullanılarak FEK deşifre edilir, FEK ile de dosy deşifre edilir. Şekil – 1
Şekil – 1
File Recovery Agent EFS ile şifrelenen dosyaya, kullanıcı sertifikası olmadan erişilemez. Ancak her şifrelenmiş dosyayı açabilen bir de File Recovery Agent denilen ve şifrelenen her dosyanın DRF’inde (Data Recovery Field) bilgileri bulunan bir kullanıcı vardır. Dosyayı şifreleyen kullanıcı hesabının yanlışlıkla silinmesi sonucunda dosyaya erişmek için kullanılır. Windows 2000 işletim sistemlerinde EFS’in kullanılabilmesi için bir FRA şartken Windows XP ve Windows Server 2003 işletim sistemlerinde gerekmez.
Encrypted File Sharing Windows XP ve Windows Server 2003 işletim sistemleri şifrelenmiş dosyalara, şifreleyen kişi haricinde, istenilen kullanıcıların da erişebilmesini sağlayabilir.
NASIL YAPILIR Enrypt Etmek Bir dosyayı encrpt etmek için :
1. 2.
Encypt etmek istediğiniz dosyaya sağ tıklayıp “Properties” menüsüne girin. Çıkan menüde “Advanced” düğmesine basın. (Şekil 2)
Şekil 2
3.
“Advanced Attributes” iletişim kutusunda “Encrypt contents to secure data” seçeneğini işaretleyin. (Şekil 3) a. Buradaki “Details” düğmesi encrpt edilirken kullanılabilir değildir. Encrypt ettikten sonra işe yarar.
Şekil 3
4.
İki kez “OK” düğmesine basın.
Enrypt edien dosya explorer pencerelerinde yeşil görünür. Şifreleme işlemi “Cipher /E” komutu ile de yapılabilir.
Share Etmek Encrypt edilen dosyanın başkalaraı tarafından da açılabilmesini sağlamak için : 1. 2. 3. 4.
Encrypt edilmiş dosyaya sağ tıklayıp “Properties”e girin. Çıkan pencerede “Advanced” düğesine basın. “Advanced Attributes” iletişim kutusunda “Details” düğmesine basın. “Encryption Details” ileitşim kusunda “Add” düğmesine basın. Listeden bir kullanıcı seçip “OK” düğmesine basın. (Şekil 4)
Şekil 4
5.
Eğer listede eklemek istediğinis kullanıcı yoksa “Find User” düğmesini kullanarak bulabilirsiniz.
FRA Oluşturmak Windows 2000 işletim sistelerinde varsayılan olarak Administrator hesabı FRA’dır. Herhangi bir domain üyesi olmayan Windows XP ve Windows 2003 işletim sistelerinde varsayılan olarak bir FRA yoktur fakat yaratılabilir. Windows Server 2003 domainlerinde ise varsayılan FRA Administrator hesabıdır. StandAlone Server 2003’de FRA yaratmak için : 1. 2. 3.
FRA olarak belirleyeceğiniz kullanıcı olarak log-on olun. Genellikle Administrator’dır. Komut satırına girin. “Cipher /R:DosyaAdı” komutunu girin. Sorulduğunda şifrenizi belirleyin.
Bu komut .CER ve .PFX uzantılı iki adet dosya oluşturur. 4.
Şimdi oluşturulan sertifikanın Import edilmesi gerekiyor. Lacol GPO editörünü açın.
5.
Local Computer Policy Coputer Configuration Windows Settings Security Settings Public Kkey Policies. “Encrypting File System”e sağ tıklayıp “Add Data Recovery Agent” komutunu verin. Sihirbazda “Next” düğmesine basın. Yeni iletişim kutuunda (Şekil 5) “Browse Folders” düğmesine basıp 3. adımda oluşturulan .CER dosyasını seçin.
6. 7.
Şekil 5
8. 9.
“Next” düğmesine basıp son adımda “Finish” düğmesine basın. Artık bir FRA’nız var. Aktif olması için “gpupdate” komutunu kullanabilirsiniz ya da bilgisayarı yeniden başlatabilirsiniz.
Oluşturduğunuz FRA’yı kullanmak istediğinizde FRA olarak olarak log-on olup sertifikasını “Loca Certificate Store”a import etmeniz gerekir. Bunun için “Certificates” sanp-in’ini kullanmanız gerekir.
Related Documents
Encrypting File System
November 2019 14
File System
October 2019 39
System Administration File System)
May 2020 21
File System
April 2020 32
File System
May 2020 23