Data recovery agent (DRA) là gì? Data recovery agent hoạt động như thế nào?
BÀI LIÊN QUAN
Master data là gì? Cách thức quản trị dữ liệu được hiệu quả nhất mà bạn cần biếtData Latency và Những thông tin quan trọng bạn cần biếtData Restore là gì? Quy trình khôi phục dữ liệuData recovery agent (DRA) là gì?
Data recovery agent (DRA) nghĩa là tác nhân khôi phục dữ liệu. Đây là tài khoản người dùng Microsoft Windows có khả năng giải mã dữ liệu đã được mã hóa bởi những người dùng khác.
Tài khoản DRA cho phép bộ phận CNTT có thể khôi phục dữ liệu đã được mã hóa bởi một nhân viên trong trường hợp khóa hoặc cụm mật khẩu khôi phục ban đầu bị mất hoặc nếu nhân viên rời khỏi công ty. DRA được sử dụng cho Microsoft Encrypting File System (EFS), Windows Information Protection (WIP) và BitLocker.
Data recovery agent (DRA) hoạt động như thế nào?
Data recovery agent (DRA) - Tác nhân khôi phục dữ liệu cho phép tài khoản quản trị giải mã và đọc bất kỳ tệp được mã hóa EFS nào trong một tổ chức. Tài khoản DRA được cung cấp chứng chỉ X.509. Trình bảo vệ thứ hai được thêm vào mọi tệp EFS khi mã hóa mà chứng chỉ DRA có thể mở khóa. Điều này làm cho DRA và chứng chỉ của nó cực kỳ nhạy cảm. Nó nên được bảo vệ và chỉ sử dụng khi cần thiết. Không nên để DRA là tài khoản bình thường hoặc tài khoản được quản trị viên sử dụng thường xuyên.
Mỗi tệp được mã hóa EFS có một Khóa mã hóa tệp (FEK) duy nhất, khóa này cũng được bảo vệ bằng mã hóa. Với một DRA được chỉ định, hai bản sao riêng biệt của FEK được tạo: một bản được mã hóa bởi chứng chỉ công khai của người dùng và bản còn lại được mã hóa bởi chứng chỉ công cộng DRA. Cả hai FEK được mã hóa đều được lưu trữ cùng với tệp được mã hóa. Điều này cho phép cả người dùng và DRA giải mã tệp mà không cần người khác và DRA có thể khôi phục tệp ngay cả khi chứng chỉ mã hóa của người dùng bị mất.
Quản trị viên cũng có thể thu hồi quyền truy cập của người dùng vào tệp được mã hóa trong khi vẫn duy trì quyền truy cập của DRA. Điều này làm giảm lượng thông tin được lưu vì chỉ cần lưu trữ một chứng chỉ khôi phục để có thể truy cập mọi tệp.
Để minh họa cách thức hoạt động của DRA, hãy tưởng tượng một tòa nhà văn phòng có nhiều văn phòng và ổ khóa trên cửa. Mỗi nhân viên (người dùng) cần có khả năng mở khóa cửa văn phòng của họ và vì mục đích minh họa này, họ có thể có nhiều hơn một văn phòng. Đồng thời, nhân viên bảo trì (DRA) cũng cần có khả năng mở khóa mọi cánh cửa. Trong trường hợp này, mỗi nhân viên sẽ cần một chìa khóa cho một hoặc nhiều cửa mà họ cần mở khóa và nhân viên bảo trì sẽ cần một bản sao của mọi chìa khóa. Điều này sẽ dẫn đến số lượng mật mã mở cửa được sử dụng nhanh chóng vượt khỏi tầm kiểm soát.
Một giải pháp cho vấn đề này là cài đặt hai bản sao của chìa khóa mở khóa cửa (FEK) trong hộp khóa bên cạnh cửa mà chúng mở khóa. Cả nhân viên và người bảo trì đều có thể sử dụng chìa khóa của họ để mở hộp khóa. Bằng cách này, mỗi người chỉ cần một chìa khóa để mở bất kỳ cánh cửa nào mà họ có quyền truy cập. Để cập nhật quyền truy cập, chỉ cần thay đổi các hộp khóa.
DRA phải được đặt trước khi bất kỳ tệp nào được mã hóa. Điều này là do khóa DRA được thêm vào khi mã hóa. Bất kỳ tệp nào được mã hóa trước khi DRA được thêm vào đều không thể giải mã bằng DRA.
Data recovery agent (DRA) được sử dụng ở đâu?
DRA được sử dụng trong Microsoft Encrypted File System (EFS), là một phần của tất cả các phiên bản Windows kể từ Windows 2000, bao gồm Windows Server, Windows 7, Windows 10 và Windows 11. Trong Windows 2000, tài khoản quản trị viên cục bộ là DRA. Trong tất cả các phiên bản sau này không có DRA mặc định và nó phải được đặt thông qua chính sách.
WIP, trước đây được gọi là bảo vệ dữ liệu doanh nghiệp, là công nghệ bảo vệ chống rò rỉ dữ liệu bằng cách mã hóa dữ liệu doanh nghiệp. WIP dựa vào EFS làm công nghệ cơ bản để xử lý mã hóa cấp độ tệp. WIP sử dụng DRA để cung cấp quyền truy cập của quản trị viên vào tất cả các tệp được bảo vệ.
Microsoft BitLocker là công nghệ mã hóa toàn bộ đĩa (FDE). Nó không dựa trên EFS và không có DRA được chỉ định, nhưng nó sử dụng một "tác nhân khôi phục" tương tự. Tác nhân khôi phục BitLocker có thể mở khóa bất kỳ tổ chức nào được bảo vệ bằng BitLocker. Điều này hữu ích cho các tổ chức yêu cầu FDE trên tất cả các phương tiện di động, chẳng hạn như ổ USB, vì nó cho phép quản trị viên khôi phục ổ đĩa nếu bị mất mật khẩu.
Cách thiết lập Data recovery agent (DRA)
DRA được thiết kế để sử dụng trong một tổ chức. Nó được đặt trong khung chính sách Microsoft Windows, chẳng hạn như Chính sách nhóm Microsoft Active Directory, Trình quản lý cấu hình điểm cuối của Microsoft, quản lý thiết bị di động (MDM) hoặc Microsoft Intune.
Bước đầu tiên khi tạo DRA là tạo khóa tác nhân khôi phục dữ liệu (khóa DRA). Đây là chứng chỉ có cặp khóa công khai/riêng tư sẽ đóng vai trò là khóa khôi phục. Nó có thể được tạo bằng mật mã thực thi tích hợp sẵn của Windows. [Chạy lệnh "cipher /r:FILENAME" để tạo tệp .cer và .pfx.] Ngoài ra, chứng chỉ có thể được tạo từ cơ sở hạ tầng khóa công khai (PKI).
Để triển khai DRA bằng Chính sách nhóm Microsoft Active Directory, người dùng phải mở Trình chỉnh sửa đối tượng chính sách nhóm, sau đó điều hướng đến Cấu hình\Cài đặt Windows\Cài đặt bảo mật\Chính sách khóa công khai\Hệ thống tệp mã hóa, nhấp chuột phải vào Hệ thống tệp mã hóa ở bên phải - ngăn tay và chọn Tạo tác nhân khôi phục dữ liệu. Thao tác này sẽ mở trình hướng dẫn để thêm DRA vào miền bằng cách sử dụng chứng chỉ được tạo trước hoặc bằng cách thêm tài khoản người dùng có chứng chỉ đã xuất bản từ Active Directory.
Để triển khai DRA cho WIP bằng Trình quản lý Cấu hình Điểm cuối của Microsoft, người dùng tạo một mục cấu hình trong nút của mục cấu hình của Trình quản lý Cấu hình Trung tâm Hệ thống Microsoft (SCCM) và để cấu hình cài đặt thiết bị, hãy chọn Bảo vệ Thông tin Windows. Sau đó, trình hướng dẫn được sử dụng để tạo chính sách WIP. Trong trình hướng dẫn thiết lập, cần có một bước để "Tải chứng chỉ Tác nhân khôi phục dữ liệu (DRA) lên để cho phép khôi phục dữ liệu được mã hóa", trong đó người dùng có thể duyệt để chọn chứng chỉ DRA đã được tạo.
Để triển khai DRA cho WIP bằng Microsoft Intune, người dùng tạo chính sách WIP. Điều này được thực hiện trong Intune trong Ứng dụng > Chính sách bảo vệ ứng dụng > Tạo chính sách. Trình hướng dẫn được sử dụng để tạo chính sách WIP, bằng cách nhấp vào nút Cài đặt nâng cao trong phần cài đặt chính sách. Có một tùy chọn để "Tải chứng chỉ Tác nhân khôi phục dữ liệu (DRA) lên để cho phép khôi phục dữ liệu được mã hóa", nơi người dùng có thể duyệt để chọn chứng chỉ DRA đã được tạo.
Data recovery agent (DRA) là công cụ hiệu quả để giúp giải mã các thông tin dữ liệu đã được mã hóa từ đó ngăn chặn tình trạng xâm phạm, thất thoát dữ liệu. DRA đóng vai trò rất lớn trong việc bảo vệ dữ liệu khỏi tình trạng mất cắp.