在域環境下如何保護重要資料文件的安全(一)---EFS加密(上)這篇文章中我們回顧了如何通過使用EFS加密從而達到保護重要資料文件安全的目的.相信通過演示,大家也是對EFS的效果比較滿意的,有兄弟就蠢蠢欲動了,想推廣和部署在生產環境中了.哦,先別急別急,多聽我說幾句.

EFS在生產環境中使用,你需要考慮這么幾個很現實的問題:

1.含密鑰的用戶證書的導出和備份

因為EFS操作簡單易用,可能會有很多人使用它.但是使用EFS的人越多,對于用戶證書及密鑰的管理就越麻煩,不備份證書及密鑰當然不可行,遇到系統故障需要重做系統或者用戶賬號被刪除,都是極其麻煩的事情;導出來了存放在什么安全的位置又需要考慮,總不能還放在用戶磁盤中讓"有心人"很容易就能找到吧.

2.需要防止用戶無意或者惡意地對一些共享性質文件加密操作.

舉個極端點的例子,某某員工在離職前夕用EFS加密了很多辦公電腦上的重要資料,他倒是拍拍屁股走了后腳開會要用到這些資料了,而他的域賬號剛巧也被IT管理人員kill掉了,這個時候他的工作接班人可就難受了.其實域賬號還好了,網管員還能從AD備份中執行授權還原回來(請參考: http://mrfly.blog.51cto.com/151750/191430) ,要是那個員工用的是自己建立的本地賬號,而后還刪除掉了,那就沒那么簡單了.所以,在你的環境中如果給予用戶賬號權限過大,這個是需要你結合起來慎重考慮的.

3.EFS是微軟推出的蠻久的一種系統應用,正因為其歷史悠久,它的算法及加密流程等已被計算機高手所攻破,所以網上也散布著不少破解工具(有興趣的朋友可以看下http://www.cctips.com/?p=39).如果你的環境中沒有能有效防止"有心人"在別人電腦上使用這些軟件的手段(包括技術上和行政上的),那么別有用心之徒還有有機會將加密文件解開的.

所以在上篇的討論部分中胡兄的友情提示大家還是要用心體會一下的.

其實,在域環境下,我們還是有一些技術手段設置能緩解上面的問題的.

Now,為大家介紹EFS Recovery Agent,中文官名:EFS恢復代理,文中以下簡稱EFSRA.

EFSRA,說簡單點,就相當于一個或多個被用戶信任的人,他/他們手里握有一種萬能鑰匙,拿著這把鑰匙,可以解密任何信任他/他們的用戶使用EFS加密過的文件.

在比較早的時候,處于工作組環境下的Windows 2000 pro/server 系統中默認的EFSRA就是管理員賬戶administrator(這里我就不截圖了,手頭一時找不到沒有加域的Windows 2000的機器).這意味著就算發生上面提到過的狀況,使用administrator都可以打開任何用戶的加密文件.這樣會產生一些問題,對于網管朋友們可能就根本不用去思考要不要備份用戶私鑰,對于用戶加密過的文件安全性不高.所以到了xp pro/Windows server 2003時代,微軟修正了工作組環境下的管理員賬戶已經不再是默認的EFSRA了.

這里我打開一臺還未加域的XP SP3計算機,使用本地管理員帳號加密了一個文件,然后在屬性中看它的EFS恢復代理,可以看到,確實為空白,沒有任何恢復代理賬號的存在.

我現在把這臺機器加入域.

仍使用上篇中使用過的普通域賬號cto登陸.

查看剛才本地管理員加密過的文件屬性里的EFSRA信息,沒變化,還是空白.

新建一個文件然后加密,看看屬性...

看到了有一個EFSRA了吧,又是administrator,他是被自動添加進來的哦.

不過,這個administrator可不是次計算機本地管理員帳號的證書,而是domain administrator的.他能被自動加進來也是因為默認域組策略生效的使然.

口說無憑,我們到DC上看一下.

打開默認域策略Default Domain Policy,找到"計算機配置"---"Windows設置"--"安全設置"--"公鑰策略"---"加密文件系統"

我們可以看到這里有一個證書的存在,名稱是administrator,預期目的是"文件故障恢復".

雙擊此證書

瀏覽到"詳細信息"選項卡

仔細看一下證書微縮圖號碼.(若是在Windows server 2003 上則被稱為證書指紋)

AD中:

客戶端上:

證明這倆是同一個物件.

那么,我們怎么使用EFSRA來解密用戶的加密文件呢?

模擬情景:

cto此域賬號已經被刪除并無法還原,在Windows XP pro上經cto使用EFS加密的文件全部無法打開(包括使用local administrator 和domain administrator賬號登錄),EFSRA為domain administrator.

我們開始救援行動,先到DC上導出EFS恢復代理的證書和密鑰.

注意一定要選擇一并導出私鑰

余下過程圖略,與上篇演示相似.

然后到客戶機上使用域管理賬號登陸.導入剛才導出的證書.

導入成功后再試試看點開剛才不能訪問的文件

可以看到cto先生加密過的文件啦~

操作流程真的很簡單,不是嗎?

而且,域內有這么一個真神坐鎮后方,作為系統管理員的你是不是安心了很多呢?

深一步想,我們是可以用內置網域管理員賬號Administrator還有他的包含私鑰的證書來解密任何一個域賬號加密過的文件了,但是,在實際管理中這樣操作可能不是很方便, 因為正規企業一般都是會要求為員工建立相應的網域賬號的,連網管員也不例外,所以我們平時工作中使用的賬號基本上不會是這個內置的域管理員賬號Administrator,例如我平時用的賬號是jrfly331.那么,能不能把我們自建的賬號以及對應的用戶證書設置為恢復代理呢?答案是肯定的.我們來看一下怎么做吧.

到DC上,還是打開默認域策略Default Domain Policy,找到"計算機配置"---"Windows設置"--"安全設置"--"公鑰策略"---"加密文件系統",在其上鼠標右擊,

選擇"添加數據恢復代理程序",略過向導畫面,可以看到

注意高亮部分,說的很明白,如果你要添加的用戶證書已經在AD中發布,就可以直接選擇"瀏覽目錄",如果沒發布在AD中,需要手動指定用戶證書文件(.cer格式).

我們先來看一下手動指定的方式.

先使用我的域賬號jrfly331登陸到任意一臺客戶機上,這個時候肯定是看不了cto加密過的文件的.

我們調出cmd命令提示符,在里面輸入cipher /?

可以看到,cipher 其實就是使用EFS加密操作的命令行方式.參數很多,大家可以仔細看一下,不難發現,其實上篇中所有操作基本上都可以用cipher來完成的.

這里我們特別關注一下/R參數

呵呵,原來.cer文件是可以這樣生成的.

繼續

兩個證書都生成了.

我們把其中的.cer(安全證書)證書拷貝到DC上去,并且打開添加數據恢復代理程序,找到它

導入完成后可以看到jrfly331也成為了EFSRA了

余下的步驟和前面一樣,在客戶機上導入jrfly331的私鑰證書

使用gpupdate/force刷新組策略

再次點擊剛才不能訪問的cto的加密文件

可以查看了

看文件屬性

加密代理中可以看到jrfly331的身影了

(大家在測試到這塊的時候如果仍不能查看加密文件就需要確認你的組策略是否已經在客戶端更新了,因為我的是實驗環境,所以比較快)

由于篇幅有限,至于如何把用戶證書發布到活動目錄中然后能夠在"添加數據恢復代理程序"時候選擇"瀏覽目錄",我就比較簡單地說一下過程吧:

首先在CA服務器上從"證書模板"中選擇復制"EFS 故障恢復代理"模板

在新模板屬性中勾選發布到AD中,然后在"安全"中添加賬號并允許其注冊

新建要頒發的證書模板

啟用剛才配置好的新模板

在客戶端進入certmgr.msc證書控制單元,申請新證書

選擇證書類別

導入,我們可以看到兩個證書的頒發者是不同的

同時,我們在DC上也可以通過目錄找到擁有證書的用戶了

剩下的工作就不用我再說了,前面演示過了.

總結:

看完了這兩篇關于EFS的文章,相信各位對域環境下使用EFS會有自己的思考.

EFS的效果是顯著的,同時不足之處也是明顯的,我們如果要用他來加強文件資料的資安,一定要做好前期的規劃和準備工作,包括用戶證書的備份與存放,包括故障恢復的設計與實現等等.并且最終的方案一定是會把EFS結合NTFS權限來做的.允許誰解密,解開了他又能做什么操作......

正如老胡所說,貌似微軟自己現在都不怎么提EFS了,呵呵,這也是因為不斷有新產品新技術的出現必然的結果.那么,我們當然也要與時俱進,歡迎大家收看這個系列后面的內容---域環境下如何保護重要資料文件的安全(二)之IRM&RMS,敬請期待~

轉載http://mrfly.blog.51cto.com/151750/192026

總結

以上是生活随笔為你收集整理的域环境下如何保护重要资料文件的安全(一)EFS加密(下)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。