Praktik terbaik untuk Enkripsi Sistem Berkas

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 223316 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Microsoft Windows mencakup kemampuan untuk mengekripsi data secara langsung pada volume yang menggunakan sistem berkas sehingga tidak ada pengguna lain yang dapat menggunakan data. Anda dapat mengenkripsi berkas dan map apabila Anda menetapkan atribut di dalam kotak dialog Properti objek.

Karena proses enkripsi/dekripsi bersifat transparan bagi pengguna, pastikan bahwa organisasi yang ingin menggunakan enkripsi berkas sepenuhnya mempromosikan pedoman tentang penggunaannya.

INFORMASI LEBIH LANJUT

Berikut ini adalah daftar praktik standar:
  • Ajari pengguna untuk mengekspor sertifikat dan kunci privat ke media yang dapat dipindahkan dan menyimpan media secara aman ketika tidak digunakan. Untuk keamanan terbaik, kunci privat harus dipindahkan dari komputer kapan pun komputer tidak digunakan. Hal ini akan melindungi Anda dari penyerang yang memperoleh komputer secara fisik dan berusaha mengakses kunci privat. Ketika berkas yang dienkripsi harus diakses, kunci privat dapat secara mudah diimpor dari media yang dapat dipindahkan.
  • Enkripsi map Dokumen Saya untuk semua pengguna (User_profile\My Documents). Pastikan bahwa map pribadi yang kebanyakan dokumen simpan, dienkripsi dengan default.
  • Ajari pengguna untuk tidak pernah mengekripsi masing-masing berkas tetapi untuk mengekripsi map. Program mengerjakan berkas dengan berbagai cara. Mengenkripsi berkas secara konsisten di tingkat map dapat menjamin berkas tidak didekripsi secara tidak terduga.
  • Kunci privat yang terkait dengan sertifikat pemulihan bersifat sangat sensitif. Kunci tersebut harus dihasilkan di komputer yang aman secara fisik, atau sertifikat mereka harus diekspor ke berkas .pfx, yang dilindungi dengan sandi yang kuat, dan disimpan di disk yang disimpan di lokasi aman secara fisik.
  • Sertifikat agen pemulihan harus ditandai untuk account agen pemulihan khusus yang tidak digunakan untuk tujuan apa pun.
  • Jangan merusak sertifikat pemulihan atau kunci privat ketika agen pemulihan diubah. (Agen diubah secara berkala). Jaga semuanya, sampai semua berkas yang telah dienkripsi diperbarui.
  • Tetapkan dua account agen pemulihan atau lebih per unit organisasi (OU), tergantung dari ukuran OU. Tetapkan dua komputer atau lebih untuk pemulihan, satu untuk setiap account agen pemulihan yang ditetapkan. Berikan izin kepada administrasi yang sesuai untuk menggunakan account agen pemulihan. Sebaiknya memiliki dua account agen pemulihan untuk menyediakan redundansi untuk pemulihan berkas. Memiliki dua komputer yang menangani kunci tersebut memberikan redundansi lebih banyak untuk membolehkan pemulihan data yang hilang.
  • Terapkan program arsip agen pemulihan untuk memastikan bahwa berkas yang dienkripsi dapat dipulihkan menggunakan kunci pemulihan yang lama. Sertifikat pemulihan dan kunci privat harus diekspor dan disimpan dengan cara terkontrol dan aman. Idealnya, agar semua data aman, arsip harus disimpan dengan gudang akses terkontrol dan Anda harus memiliki dua arsip: master dan cadangan. Master disimpan di on-site, sedangkan cadangan ditempatkan di lokasi off-site aman.
  • Hindari menggunakan berkas himpunan cetak di arsitektur server cetak Anda, atau pastikan berkas himpunan cetak dihasilkan di map yang dienkripsi.
  • Enkripsi Sistem Berkas memerlukan beberapa overhead CPU setiap kali pengguna mengenkripsi dan mendekripsi berkas. Rencanakan penggunaan server Anda dengan bijaksana. Muat keseimbangan server Anda ketika ada banyak klien yang menggunakan Enkripsi Sistem Berkas (EFS).

Cara mengaktifkan berbagi berkas Enkripsi Sistem Berkas

Di Microsoft Windows XP, EFS mendukung berbagi berkas dari berkas yang dienkripsi di antara banyak pengguna. Dengan dukungan ini, Anda dapat memberi masing-masing pengguna izin untuk mengakses berkas yang dienkripsi. Kemampuan untuk menambah pengguna tambahan dibatasi pada setiap berkas. Dukungan untuk banyak pengguna di map tidak tersedia di Microsoft Windows 2000 atau Windows XP. Dan lagi, dukungan untuk pengguna kelompok pada berkas yang dienkripsi tidak disediakan oleh EFS.

Setelah berkas telah dienkripsi, berbagi berkas diaktifkan melalui tombol baru di dalam antarmuka pengguna. Berkas pertama-tama harus dienkripsi, kemudian disimpan sebelum pengguna tambahan dapat ditambahkan. Pengguna dapat ditambahkan dari komputer lokal atau dari layanan direktori Direktori Aktif apabila pengguna memiliki sertifikat sah untuk EFS. Kemampuan untuk menambah pengguna tambahan dibatasi pada setiap berkas. Dukungan untuk banyak pengguna di dalam map yang dienkripsi EFS tidak tersedia. Dan lagi, hanya pengguna individu dapat ditambahkan ke berkas. Dukungan untuk pengguna kelompok pada berkas yang dienkripsi tidak disediakan oleh EFS.

Untuk informasi tentang cara mengaktifkan enkripsi EFS di map dan berkas, lihat bagian "Cara mengenkripsi dan mendekripsi menggunakan Enkripsi Sistem Berkas".

Cara mengenkripsi berkas untuk banyak pengguna

Catatan Prosedur ini hanya berlaku untuk Windows XP. Anda tidak dapat mengenkripsi berkas untuk banyak pengguna di Windows 2000.

Untuk melakukannya, ikuti langkah berikut:
  1. Mulai menjalankan Microsoft Windows Explorer, kemudian pilih berkas yang dienkripsi yang ingin Anda tambahkan ke pengguna tambahan.
  2. Klik kanan berkas yang dienkripsi, kemudian klik Properti.
  3. Klik Lanjut untuk mengakses pengaturan EFS.
  4. Klik Rincian untuk menambah pengguna tambahan.
  5. Klik Tambah. Kotak dialog Tambah akan memunculkan sembarang sertifikat EFS di penyimpanan pribadi milik Anda atau milik pengguna lain yang mungkin berada di dalam penyimpanan sertifikat "Orang Lain" dan "Orang Terpercaya".

    Apabila Anda tidak melihat pengguna yang ingin Anda tambah, klik Temukan Pengguna untuk mencari Direktori Aktif. Jendela Pilih Pengguna muncul. Kotak dialog dapat menampilkan sertifikat EFS di Direktori Aktif berdasarkan kriteria pencarian Anda. Apabila tidak ada sertifikat yang sah ditemukan untuk pengguna tersebut, sebuah pesan akan menginformasikan kepada Anda bahwa sertifikat yang sesuai tidak ada untuk pengguna yang dipilih. Dalam hal ini, pengguna yang telah ditunjuk harus mengirim salinan sertifikat mereka kepada Anda untuk diimpor. Anda kemudian dapat menambahkan mereka ke berkas yang telah dienkripsi.
  6. Pilih sertifikat pengguna yang ingin Anda tambahkan, kemudian klik OK. Anda akan dikembalikan ke tab Rincian, dan tab akan menunjukkan banyak pengguna yang akan mengakses berkas terinkripsi dan sertifikat EFS pengguna.
  7. Ulangi proses ini sampai Anda telah menambah semua pengguna yang ingin Anda tambahkan. Klik OK untuk mendaftar perubahan dan lanjut.
Catatan Segala pengguna yang dapat mendekripsi berkas juga dapat menghapus pengguna lain apabila pengguna tersebut yang melakukan dekripsi juga memiliki izin tertulis di dalam berkas.

Cara mengenkripsi dan dekripsi dengan Enkripsi Sistem Berkas

Langkah berikut dapat mengenkripsi dan mendekripsi berkas atau map menggunakan Enkripsi Sistem Berkas.

Catatan Pedoman tersebut menerapkan Windows 2000 dan Windows XP.

Enkripsi map

Meskipun Anda dapat mengenkripsi berkas secara individu, kami sangat menyarankan Anda untuk menetapkan map khusus terhadap penyimpanan data yang dienkripsi.

Enkripsi map dan kontennya


Meskipun Anda dapat mengenkripsi berkas secara individu, sebaiknya ditetapkan map di mana Anda akan menyimpan berkas terenkripsi dan dienkripsikan map tersebut. Apabila melakukan hal ini, semua berkas yang dibuat atau dipindahkan ke map ini akan secara otomatis mendapat atribut terenkripsi.

Untuk mengenkripsi map dan konten aktifnya, ikuti langkah berikut:
  1. Klik kanan map yang ingin dienkripsi, dan kemudian klik Properti.
  2. Di dalam kotak dialog Properti, klik Lanjut.
  3. Kotak dialog Atribut Lanjut menampilkan opsi atribut untuk kompresi dan enkripsi. Kotak dialog ini juga meliputi arsip dan indeks atribut.

    Catatan Meskipun sistem berkas NTFS mendukung kedua kompresi dan enkripsi, sistem tersebut tidak mendukung keduanya secara bersamaan. Hal ini berarti bahwa Anda hanya dapat memilih satu atau yang lain. Berkas atau map tidak dapat dienkripsi dan dikompres pada waktu bersamaan.

    Untuk mengenkripsi map, klik untuk memilih kotak centang Enkripsi konten untuk data yang aman, kemudian klik OK.
  4. Klik OK untuk menutup kotak dialog Atribut Lanjut.
  5. Apabila map yang Anda pilih untuk mengenkripsi di langkah 1 sampai 3 sudah mengandung berkas, kotak dialog Konfirmasikan Perubahan Atribut akan muncul.

    Anda dapat memilih untuk hanya mengenkripsi map sehingga kemudian semua berkas yang dipindahkan ke map atau dibuat di dalam map ini akan dienkripsi. Apabila Anda juga ingin mengenkripsi semua konten map ini, klik Terapkan perubahan ke map, submap, dan berkas, kemudian klik OK.

Dekripsi map

Untuk mendepkripsi map, gunakan proses yang sama tetapi dengan urutan kebalikan:
  1. Klik kanan map yang ingin didekripsi, dan kemudian klik Properti.
  2. Klik Lanjut.
  3. Klik untuk membersihkan kotak periksa Enkripsi konten ke data yang aman untuk dekripsi data.
  4. Klik OK untuk menutup kotak dialog Atribut Lanjut.
  5. Klik OK untuk menutup kotak dialog Properti.
  6. Apabila map memiliki berkas di dalamnya, kotak dialog Konfirmasikan Perubahan Atribut akan muncul. Anda dapat memilih untuk mendekripsi map saja. Meskipun demikian, tidak berarti akan mendeskripsikan segala berkas yang saat ini terkandung di map.

    Apabila Anda ingin mendekripsi semua konten map ini, klik Terapkan perubahan ke map, submap, dan berkas, kemudian klik OK.

Informasi tambahan

Cara berkas dienkripsi

Berkas dienkripsi dengan penggunaan algoritma yang pada dasarnya menyususn kembali, merebut, dan mengkode data. Pasangan utama secara terpisah dihasilkan ketika Anda mengenkripsi berkas pertama Anda. Pasangan utama dibuat karena kunci privat dan publik. Pasangan utama digunakan untuk mengkode dan dekode berkas terenkripsi.

Apabila pasangan utama hilang atau rusak dan Anda belum menetapkan agen pemulihan, maka tidak ada cara untuk memulihkan data.

Mengapa Anda harus membuat cadangan sertifikat

Karena tidak ada cara untuk memulihkan data yang telah dienkripsi dengan sertifikat yang rusak dan hilang, penting halnya untuk membuat cadangan sertifikat dan menyimpannya pada lokasi yang aman. Anda juga dapat menentukan agen pemulihan. Agen ini dapat menyimpan data. Sertifikat agen pemulihan dapat melayani tujuan yang berbeda dari sertifikat pengguna.

Cara membuat cadangan sertifikat

Untuk membuat cadangan sertifikat, ikuti langkah ini:
  1. Jalankan Microsoft Internet Explorer.
  2. Pada menu Alat, klik Opsi Internet.
  3. Di tab Konten, di bagian Sertifikat, klik Sertifikat.
  4. Klik tab Pribadi.

    Catatan Ada beberapa sertifikat, tergantung dari apakah Anda telah menginstal sertifikat untuk tujuan lain.
  5. Pilih satu sertifikat sekali waktu sampai kolom Tujuan yang Ditetapkan Sertifikat menunjukkan Enkripsi Sistem Berkas. Ini merupakan sertifikat yang dihasilkan ketika Anda mengenkripsi map pertama.
  6. Klik Ekspor untuk emmulai Wisaya Ekspor Sertifikat, kemudian klik Berikutnya.
  7. Klik Ya, ekspor kunci privat untuk mengekspor kunci privat, kemudian klik Berikutnya.
  8. Klik Aktifkan perlindungan kuat, kemudian klik Berikutnya.
  9. Ketik sandi Anda. (Anda harus memiliki sandi untuk melindungi kunci privat.)
  10. Tentukan lintasan yang akan digunakan untuk menyimpan kunci. Anda dapat menyimpan kunci ke disket, lokasi lain di pengandar perangkat keras, atau CD. Apabila pengandar perangkat keras gagal atau diformat ulang, kunci dan cadangan akan hilang. (Apabila Anda membuat cadangan kunci ke disket atau CD, Anda harus menyimpan disket atau CD tersebut di lokasi yang aman.)
  11. Tentukan tujuan, kemudian klik Berikutnya.
Untuk informasi tambahan tentang Enkripsi Sistem Berkas (EFS), kunjungi Website Microsoft berikut:
Enkripsi Sistem Berkas di Windows 2000
http://www.microsoft.com/technet/security/prodtech/windows2000/w2kccadm/dataprot/w2kadm21.mspx

Enkripsi Sistem Berkas di Windows XP dan Microsoft Windows Server 2003
http://www.microsoft.com/technet/security/guidance/cryptographyetc/efs.mspx

Properti

ID Artikel: 223316 - Kajian Terakhir: 03 Juni 2008 - Revisi: 12.2
Berlaku bagi
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
Kata kunci: 
kbproductlink kbhowto kbenv kbinfo KB223316

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com