Encrypting File Ssytem (EFS) ile dosyaların ÅŸifrelenmesi, gerekli geri dönüÅŸ önlemleri alınmadığı durumlarda sistem yöneticisinin başını aÄŸrıtan en önemli konuların başındadır. Önemli veriyi korumak amacıyla yapılan ÅŸifreleme, kullanıcının private key’inin kaybedilmesi veya bozulmasıyla verinin çözümlenmesini imkansız hale getirmekte ve sistem yöneticisi için çok önemli bir sorun olabilmektedir.

Kullanıcının EFS private key’i, kullanıcı profilinde saklanır ve ÅŸifrelenmiÅŸ dosyalar ise aÄŸda herhangi bir yerde olabilir ve çoÄŸu zaman sistem yöneticisi tarafından kullanıcının EFS kullandığı dahi bilinmemektedir. Kullanıcının bir sorunu olduÄŸunda sık yapılan problem çözme yöntemlerinin başında ise, bilgisayarın yeniden kurulması veya profilin yeniden yaratılması gelir. Bu iÅŸlemler yapılırken kullanıcının private key’inin yedeÄŸinin alınması atlanır ve geri dönüÅŸ önlemleri alınmamış ise veriye bir daha ulaşılamaz. Eminim bu senaryo ile daha önce karşılaÅŸmışsınızdır.

Kullanıcının private key’inin kaybolması veya bozulması durumda, ÅŸifrelenmiÅŸ verinin çözülmesi için iki farklı sistematik metot mevcut. Bunlardan ilki ve en yaygın olarak kullanılan metot; Data Recovery Agent (DRA) kullanımıdır. Bu metot, dosya ÅŸifreleme anahtarının (File Encryption Key-FEK) DRA private key’i kullanarak çözülmesi prensibine dayanır. Bu metodu kullanmak için yapılandırılmış domainde, ÅŸifrelenmiÅŸ dosya, hem ÅŸifreleyen kullanıcının hem de DRA’nın private key’i kullanılarak çözümlenebilir.

Ä°kinci metot ise Key Recovery Agent (KRA) kullanılarak, kullanıcının private key’ini kaybetmesi durumunda Certification Authority (CA) veri tabanından tekrar kullanıcıya verilmesi prensibine dayanır. Bu metot için ortamınızda Windows Enterprise CA olması ve private key’leri depolayacak ÅŸekilde yapılandırması gerekmektedir.

Domainizde bu metotlardan birini veya ikisini birden kullanabilirsiniz. YönettiÄŸiniz domain’de EFS kullanım oranı, organizasyon yapınıza göre en azından birini bilinçli olarak seçmenizi öneriyorum. Ä°lk makalemde az bilinen bir yöntem olan KRA yapılandırmasına deÄŸineceÄŸim.

CA’in Key Recovery Agent yapılandırılması

EÄŸer EFS kullanımı çok yaygınsa ve çok miktarda veri EFS ile ÅŸifrelenmiÅŸse kullanıcının kaybolan private key’ini tekrar kullanıcıya vermek yönetim yükünü hafifletecektir. Kullanıcı tekrar kendi verilerini açabilir hale gelecektir. DRA kullanmış olsaydık, makinesine DRA ile logon olup, DRA private key’ini makineye yüklememiz ve tüm dosyalarını çözmemiz gerekecekti. Fakat bu yöntemde KRA yetkisi verilecek kullanıcılar dikkatle seçilmelidir ve sınırlı tutulmalıdır. Çünkü bu kullanıcılar herkesin private key’ine eriÅŸebilir hale gelecektir.

KRA kullanarak private key’in elde edilmesi sadece EFS için geçerli deÄŸil. Siz diÄŸer sertifika ÅŸablonları (Certificate Templates) için sertifikanın CA veritabanında tutulmasını saÄŸlayabilirsiniz. Ben sadece Basic EFS ÅŸablonu kullanılarak üretilen sertifikaların tutulması için yapılandıracağım.

Yapılandırma için kısaca aÅŸağıdaki adımları yapacağız.

· KRA Sertifika ÅŸablonunun yayımlanması ve KRA sertifikası üretilmesi.

· CA’in sertifikaları depolaması (Key Archival) için ayarlanması

· Basic EFS sertifika ÅŸablonunun yapılandırılması.

· Yeni sertifikaların kullanıcılara dağıtılması.

KRA Sertifika ÅŸablonunun yayıma açılması ve KRA sertifikası üretilmesi.

Öncelikle bir kullanıcıyı KRA olarak seçelim. Makalede domain administrator hesabını kullandım. Yapılandırma için KRA olarak seçilen kullanıcının KRA sertifikasına ihtiyacımız olacak. Key Recovery Agent sertifikaları varsayılan olarak yayımlanmıyor. Öncelikle bu sertifika tipini yayına açıp Administrator için bir sertifika üreteceÄŸiz.

Windows 2003 CA konsolunu açın ve Certificate Templates’e saÄŸ tıklayın, NewàCertificate Template To Issue’a basarak açılan ekrandan Key Recovery Agent sertifika ÅŸablonunu seçin ve OK’e basın.

Åžekil 1: Key Recovery Agent sertifikasının yayıma açılması

MshowtoCA artık KRA sertifikalarını dağıtır hale geldi. Artık Administrator için bir KRA sertifikası isteÄŸi oluÅŸturabiliriz. Bunun için CA makinesine KRA ile oturum açın. http://localhost/certsrv CA web adresinden aÅŸağıdaki sırayla sertifika talebi oluÅŸturun.

Request a certificateàSubmit an advanced certificate requestà Create and submit a request to this CA’i seçin ve sertifika ÅŸablonlarından “Key Recovery Agent”ı seçip, Submit’e basın.

Şekil 2: Sertifika isteği oluşturma ekranı

KRA sertifika talepleri varsayılan olarak otomatik olarak yayımlanmamaktadır. Ä°stek CA yönetim konsolunda “Pending Request” kısmında CA yöneticisinin izin vermesi için bekleyecektir. Sertifikanın CA yönetim konsolundan onaylanmasıyla (sertifikaya saÄŸ tıklayın ve All tasksàIssue) KRA sertifikasını kurabilirsiniz. Bunun için tarayıcı ile tekrar CA web sayfasını açın ve “View the status of a …” linkinden sertifikaya tıklayın ve sertifikayı kurun.

Şekil 3: Bekleyen sertifikalar ekranı.

CA Key Archival ÖzelliÄŸinin EtkinleÅŸtirilmesi.

Windows 2003 Enterprise CA üzerinde Key Archival özelliÄŸi varsayılan olarak kapalı geliyor. Bu özelliÄŸi etkinleÅŸtirmek için; CA yönetim konsolunda, CA özellikleri ekranında “Recovery Agents” sekmesini açın. “Archive the key” seçeneÄŸini iÅŸaretleyin ve bir KRA atamak için Add butonuna ve geçerli KRA sertifikasını seçin.

Şekil 4: KRA sertifika ekleme ekranı.

Seçeneklerden de anlaşılacağı birden fazla kiÅŸiye bu yetkiyi verebilirsiniz.

EFS anahtarlarının saklanır olarak ayarlanması.

Windows 2003 Enterprise CA içindeki Basic EFS sertifika ÅŸablonu için private key’in saklanması için ayarlama yapılamıyor. Bu yüzden Basic EFS ÅŸablonundan yeni bir ÅŸablon oluÅŸturup yayına açmamız gerekiyor. Bunun nedenini Microsoft, varsayılan olarak gelen Basic EFS sertifikasının v1 (version 1) ÅŸablon olduÄŸunu ve bu versiyonun key archival özelliÄŸi olmadığını söylüyor. Biz bu ÅŸablonu kullanarak v2 bir ÅŸablon oluÅŸturacağız.

Certificates Templates yönetim konsolunu açın. Basic EFS ÅŸablonuna saÄŸ tıklayın ve “Dublicate template”e tıklayın. General sekmesinde yeni ÅŸablon için bir isim verin. Makaleler kaynak gösterilmeden diÄŸer sitelerde izinsiz yayınlandığı için ismimizi içermesi amacıyla “Basic EFS Arsivlenebilir-MSHOWTO” ismini veriyorum.

Åžekil 5: OluÅŸturulan V2 template

Request Handling sekmesine tıklayın ve “Archive subject’s encryption private key” ve “Prompt to user during enrollment” seçeneklerini iÅŸaretleyin. Ä°lk seçenek ile CA private key’leri saklar hale gelmektedir. Ä°kinci seçenek ise sertifika dağıtılması kullanıcının müdahalesi ile olacaktır, birazdan göreceÄŸiz.

Åžekil 6: Sertifika için private key’lerin saklanır olarak ayarlanması

Bu sertifikanın kullanıcı tarafında EFS sertifikası olarak kullanabilmesi için Superseded Templates sekmesinde Add butonu ile Basic EFS ÅŸablonunu seçin ve uygulayın.

Åžekil 7: Yerine geçeceÄŸi ÅŸablonların eklenmesi.

Yeni sertifikaların kullanıcılara dağıtılması.

Kullanıcının EFS sertifikası; ilk dosyanın ÅŸifrelenmesinde (encrypt), ortamda CA varsa CA’nin Basic EFS ÅŸablonundan, yoksa veya CA tarafından Basic EFS sertifikası yayımlanmıyorsa iÅŸletim sistemi tarafından (self signed) oluÅŸturulur. Ve encryption iÅŸleminde sürekli olarak Basic EFS sertifikasını kullanılır. Maalesef iÅŸletim sisteminin bu davranışını deÄŸiÅŸtiremiyoruz (hard coded). Bu yüzden kullanıcının EFS kullanmadan önce, PKI auto enrollment özelliÄŸini kullanarak kullanıcılara oluÅŸturduÄŸumuz ÅŸablondan sertifika dağıtmamız gerekiyor.

Otomatik olarak sertifikanın dağıtılması (auto enrollment) istenilen kullanıcı grubuna yapılabilir. Bu kullanıcı grubunun yeni oluÅŸturulan sertifika ÅŸablonu üzerinde, Read, Enroll ve Autoenroll haklarının olması gerekiyor. Bu hakları ÅŸablonun Security sekmesinden verin.

Åžekil 8: Sertifika izinleri.

Sertifikayı Group Policy kullanarak kullanıcılara dağıtacağız. Yetki verdiÄŸiniz kullanıcıların etkileneceÄŸi bir GPO üzerinde; User configurationàWindows SettingsàSecurity SettingsàPublic Key PoliciesàAutoenrollment Settings’i açın ve “Enroll certificates automatically” ve altındaki iki seçeneÄŸi iÅŸaretleyin.

Şekil 9: Group Policy PKI autoenrollment ayarları.

Politikanın kullanıcıda etkin olmasıyla system tray’de kullanıcı için bir uyarı çıkacaktır (bkz: prompt to user during enrollment seçeneÄŸi). Ve kullanıcının müdahalesiyle birlikte CA tarafından Basic EFS Arsivlenebilir-MSHOWTO ÅŸablonu kullanılarak sertifika oluÅŸturulacak ve kullanıcı profiline kurulacaktır.

Åžekil 10: Kullanıcı için sertifika uyarısı

Şekil 11: Sertifikanın kurulması.

Kullanıcının bu sertifikayı kullanarak ÅŸifreleme yapması için daha önce EFS sertifikası olmaması gerekiyor.

Sorun durumundan Private key’in tekrar kullanıcıya verilmesi.

Sorun durumda private key’i kullanıcıya vermek için certutil veya krt.exe’i kullanabilirsiniz. Krt.exe Resource Kit ile geliyor ve saÄŸladığı basit GUI ile kullanımı çok kolay. KRA agent olarak atadığınız kullanıcı (KRA sertifikası profilde yüklü) ile CA sunucuda oturum açın ve krt.exe’i çalıştırın.

Şekil 12: Krt.exe ile kurtarma ekranı.

Sertifikayı kullanıcı adına, seri numarasına, thumbprint gibi kriterlere göre aratabilirsiniz. BulduÄŸunuz sertifikayı “Recover” butonu ile çıkartabilir ve kullanıcıya verebilirsiniz.

Åžekil 13: Private key’in pfx formatında kaydedilmesi.

Sonuç; Windows 2003 Enterprise CA üzerinde key archival özelliÄŸinin etkinleÅŸtirilmesi sorun durumunda yönetim yükünüzü hafifletecektir. Fakat Basic EFS v1 ÅŸablonun bu özelliÄŸi desteklememesi ve Windows iÅŸletim sistemlerinin hard-coded olarak daha önce üretilmiÅŸ Basic EFS sertifikasını kullanması gibi kısıtlar yüzünden bu tasarımın EFS’in henüz yaygın olarak kullanılmaya baÅŸlanmadığı veya yeni tasarlanan sistemlerde düÅŸünülmesini gerektiriyor. Windows 2008 ile birlikte bu kısıtlamaların kalkacağını düÅŸünüyorum.

Bu konuyla ilgili sorularınızı http://mshowto.org/forum linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

Implementing Key Archival Walkthrough

Security Wathc: Deploying EFS