收藏
下载资源

域环境下重要资料文件的安全_EFS加密

上传人:xmg****18 文档编号:121234599 上传时间:2020-02-19 格式:DOC 页数:112 大小:4.87MB
返回 下载 相关 举报
域环境下重要资料文件的安全_EFS加密_第1页
第1页 / 共112页
域环境下重要资料文件的安全_EFS加密_第2页
第2页 / 共112页
域环境下重要资料文件的安全_EFS加密_第3页
第3页 / 共112页
域环境下重要资料文件的安全_EFS加密_第4页
第4页 / 共112页
域环境下重要资料文件的安全_EFS加密_第5页
第5页 / 共112页
点击查看更多>>
资源描述

《域环境下重要资料文件的安全_EFS加密》由会员分享,可在线阅读,更多相关《域环境下重要资料文件的安全_EFS加密(112页珍藏版)》请在金锄头文库上搜索。

1、. . .域环境下如何保护重要资料文件的安全(一)-EFS加密(上)原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http:/ 链接:http:/ 安检,违反规定的员工必然开除),并且公司内客户端(超过1500台)电脑全部做了USB端口管制,Netscreen硬件防火墙+ISA代理服务器限制 上网,等等等等,部署了多重安全措施.足见公司对资讯安全的重视!那么,这样就无懈可击了吗?如果在域环境下,有人趁我不在的时候用他/她自己的域账号登 录了我的电脑,偷看了我的重要文件(绝不该他/她看的文件)呢?如果文件被打开然后被打印或被抄写,纸张带在

2、身上可不会触发金属探测器的哦.那么,我们要用什么方法来尽量避免此类情况出现呢?并且前提是:一.尽量花钱少,现在提倡开源节流,申请买什么都难啊,别说是动辄几千上万的软件硬件了.二.用户体验良好,不能有太复杂的操作让用户(员工)来做,这点很重要.操作过于复杂,可能造成用户操作失误而没有达到效果,另外长期以往,用户会产生抵触心理而不怎么使用它.三.加密技术成熟,不要像PDF,winrar这类加密文件随便google一下也有百八十种破解工具.好吧,目标很明确了,开始挑战之旅吧.先看看现有的环境.公司客户端操作系统基本上都安装的是Windows XP Professional,还有极少部分的Window

3、s 2000 Professional,并且磁盘上的分区格式基本上都为NTFS(老旧的2000还有用FAT32格式,XP系统都是我们IT部门统一安装的,可以保 证是NTFS磁盘文件格式).我们在请出今天的主角之前,要先把残留的FAT32消灭,都换成NTFS.那得先把装Win2000的客户端从局域网中都找出来.手段多种多样,最省事的,发个全厂mail通知用户查看自己的计算机情况,然后不是 ntfs的打电话或发邮件反馈,那样动静太大了,而且也体现不出我们系统工程师的水平.所以,一般可以使用脚本收集客户端信息再来导入到数据库中查找 (-最专业最繁琐的做法), 好在我的环境中有SMS2003,省事了,

4、直接到计算机集合里面看看就知道啦找到了以后提出远程控制请求.取得了客户机的控制权以后我们要做的就是转化磁盘格式.命令相信大家已经烂熟于心了:CONVERT volume /FS:NTFS /V /CvtArea:filename /NoSecurity /X如果提示你当前域用户权限不足,而你又不想登出切换管理员账号,不妨用用runas命令.然后重启计算机,完成磁盘格式转化.接下来我们可以请出本文主角了-EFS (Encrypting File System,加密档案系统)简单介绍一下EFS吧.从Windows 2000/XP/Server 2003开始,系统都配备了EFS(Encrypting

5、 File System,加密档案系统),它可以针对存储在NTFS磁盘卷上的文件和文件夹执行对用户透明的加密操作.说到对用户透明,是因为你(用户)使用它加密 的文件在访问时不会产生任何让你输入密码之类的操作,感觉和没有和访问未加密文件没有区别.我们后面演示部分会看到.其实,EFS加密技术也是采用了公钥/私钥密码学原理的,这个原理要铺上来怕是几千字都不够写,大家只要记住一点就好:公钥加密,私钥解密.所以任何被某用户公钥加密后的NTFS文件也只能被此用户的私钥解密,没有手握这个用户私钥的其他用户想解密/查看是办不到的.要使用EFS来加密文件或文件夹,那真的是非常简单:这里有个域用户cto想要加密他

6、的一份重要文件,他要做的操作就是在要加密的文件上鼠标右键点击属性-点击高级-勾选加密内容以便保护数据OK,完成.如果是要加密整个文件夹,就在文件夹属性里执行上面的操作,有一小点不同的是你需要选择是只对此文件夹加密还是要对文件夹中所有的资料(文件,子文件夹)加密.点击确定后完成加密,可以看到文件名字变成了绿色,用户cto双击文件,可以正常查看修改.然后我们注销系统,使用另外一个域用户cfo登陆,定位到刚才的文件,双击打开,拒绝访问了.效果达到,用户cfo不能查看用户cto使用EFS加密过的文件.有的朋友问了,如果这个文件是放在共享文件夹内的呢? 会提示你无法查看也无法复制的.记得有个网友问过如果

7、复制过来的分区是FAT32格式的呢,结果是一样的.仍然是拒绝访问.这是为什么呢?道理很简单谁有那把秘密钥匙谁才能开那个箱子.问题来了,那把密钥到底放在那个房子(存放加密文件的计算机)的什么地方呢?若是把那把密钥给我我就能开那个箱子了吗?回看cto加密的计算机上,确保使用cto此域账号登陆,使用mmc命令调出控制台(或者使用certmgr.msc),添加证书管理单元,选择我的用户账户点开个人-证书,可以看到有一个对应当前cto用户名的证书,我们选择导出它.这里一定要选择是,导出私钥 , 私钥正是我们苦苦寻找的那把解锁的钥匙保持默认密钥外头还要套个密码箱才能交给别人,怎么样?保护的够周到吧.切记,

8、你要把这把钥匙给别人用,你的这个装它的密码箱密码也是要交给别人的给钥匙起个名字完成,导出传说中的血色十字军钥匙现在我们可以换cfo登录系统,找到刚才导出的cto的密钥双击,导入,导入时要输入刚才导出时设置的密码导入成功后可以在cfo的证书管理控制单元中看到cto的证书注意看上图中,只有新导入的cto的用户证书,而没有cfo自己的,这是因为cfo还没有使用EFS加密过文件,等他第一次执行过EFS加密,就会看到相应的证书了.cfo现在可以看cto亲手加密的文件了.这样做其实有一定的后果,你想,cfo拿到了cto的私钥,以后这台机器上只要是cto的加密文件cfo就都能看了,cto可不干了,有没有办法

9、让cto指定cfo能看哪些加密的,不能看哪些加密的呢?其实,这个问题,在Windows XP Professional版本中就得到了解决,要达到这个效果,需要让cfo也使用EFS加密一次以便生成自己的用户证书.注明:我已经将刚才导入的cto证书删除,模拟cto证书没有导入的情况此时cfo已经无法访问cto加密过的文件下图为例,cfo想要访问cto加密的一个文件,文件名为可以看到,访问拒绝 回到用cto账号登录,在此文件上右键属性-点击加密旁边的详细信息按钮,在可透明访问这个文件的用户下点击添加可以看到cfo的用户证书也赫然在列,我们把它加进来注销,再以cfo登录cfo可以看cto特意为他共享出

10、来的EFS加密文件了,然而他贪心不足地还想看看旁边的那个想投机把自己证书加进去.就是这样.经过了EFS加密设置,cto只要保护好自己的账号密码,就不用担心有人能偷偷登录到他本机去看他的重要资料了.但是有一点,非常关键,想必吃过这个亏的网友都牢记住了,用来解密文件的用户私钥是一定需要随证书导出来备份的,否则当重新安装了操作系统而无相应的用户证书导入之时,就算你用相同的用户再登入也是无法解密的.那用户当时就是忘记了备份含密钥的证书了,而现在出问题了,怎么办?我只能告诉你,网上可能会有一些破解EFS加密的软件你可以尝试,但完全恢 复几率很低.要么你可以尝试重构计算机SID,加密时使用的账号/域账号的

11、SID,这个难度很大很大.所以,我觉得防患于未然才是王道,既然我们一直在说的是处于域环境的,所以EFS下篇我会为大家介绍网域中的EFS Recovery Agent.它做什么用的,怎么使用?.同时,也会补充分析一下网域中使用EFS的缺陷及不足.呵呵,敬请期待域环境下如何保护重要资料文件的安全(一)-EFS加密(下)2009-08-14 23:15:09原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http:/ 在域环境下如何保护重要资料文件的安全(一)-EFS加密(上)这篇文章中我们回顾了如何通过使用EFS加密从而达到保护重要资料文件安

12、全的目的.相信通过演示,大家也是对EFS的效果比较满意的,有兄弟就蠢蠢欲动了,想推广和部署在生产环境中了.哦,先别急别急,多听我说几句. EFS在生产环境中使用,你需要考虑这么几个很现实的问题: 1.含密钥的用户证书的导出和备份 因为EFS操作简单易用,可能会有很多人使用它.但是使用EFS的人越多,对于用户证书及密钥的管理就越麻烦,不备份证书及密钥当然不可行,遇到系统故障 需要重做系统或者用户账号被删除,都是极其麻烦的事情;导出来了存放在什么安全的位置又需要考虑,总不能还放在用户磁盘中让有心人很容易就能找到吧. 2.需要防止用户无意或者恶意地对一些共享性质文件加密操作.举个极端点的例子,某某员

13、工在离职前夕用EFS加密了很多办公电脑上的重要资料,他倒是拍拍屁股走了后脚开会要用到这些资料了,而他的域账号刚 巧也被IT管理人员kill掉了,这个时候他的工作接班人可就难受了.其实域账号还好了,网管员还能从AD备份中执行授权还原回来(请参考: http:/ ,要是那个员工用的是自己建立的本地账号,而后还删除掉了,那就没那么简单了.所以,在你的环境中如果给予用户账号权限过大,这个是需要你结合起来慎重考虑的. 3.EFS是微软推出的蛮久的一种系统应用,正因为其历史悠久,它的算法及加密流程等已被计算机高手所攻破,所以网上也散布着不少破解工具(有兴趣的朋友 可以看下http:/ 上和行政上的),那么

14、别有用心之徒还有有机会将加密文件解开的. 所以在上篇的讨论部分中胡兄的友情提示大家还是要用心体会一下的. 其实,在域环境下,我们还是有一些技术手段设置能缓解上面的问题的. Now,为大家介绍EFS Recovery Agent,中文官名:EFS恢复代理,文中以下简称EFSRA. EFSRA,说简单点,就相当于一个或多个被用户信任的人,他/他们手里握有一种万能钥匙,拿着这把钥匙,可以解密任何信任他/他们的用户使用EFS加密过的文件. 在比较早的时候,处于工作组环境下的Windows 2000 pro/server 系统中默认的EFSRA就是管理员账户administrator(这里我就不截图了,手头一时找不到没有加域的Windows 2000的机器).这意味着就算发生上面提到过的状况,使用administrator都可以打开任何用户的加密文件.这样会产生一些问题,对于网管朋友 们可能就根本不用去思考要不要备份

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 教学/培训

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号