EFS (Encrypting File System，加密文件系統(tǒng)) 是Windows 2000/XP所特有的一個(gè)實(shí)用功能，對(duì)于NTFS卷上的文件和數(shù)據(jù)，都可以直接加密保存，在很大程度上提高了數(shù)據(jù)的安全性。

hi,大家好.我想和大家從簡(jiǎn)入難地交流一下這個(gè)話題,是由來(lái)于論壇上一個(gè)網(wǎng)友的提問(wèn)( 鏈接:http://bbs.51cto.com/thread-604202-1.html).可能還有很多朋友也關(guān)心這個(gè)問(wèn)題,那么我們就來(lái)一起看看怎么解決它吧.

話說(shuō)資料文件的安全一直是比較受到公司重視的部分.以本人所在的公司來(lái)說(shuō),由于企業(yè)性質(zhì),員工進(jìn)出單位都是禁止攜帶移動(dòng)存儲(chǔ)設(shè)備的(有保衛(wèi)部門(mén)安檢,違反規(guī)定的員工必然開(kāi)除),并且公司內(nèi)客戶端(超過(guò)1500臺(tái))電腦全部做了USB端口管制,Netscreen硬件防火墻+ISA代理服務(wù)器限制上網(wǎng),等等等等,部署了多重安全措施.足見(jiàn)公司對(duì)資訊安全的重視!那么,這樣就無(wú)懈可擊了嗎?如果在域環(huán)境下,有人趁我不在的時(shí)候用他/她自己的域賬號(hào)登錄了我的電腦,偷看了我的重要文件(絕不該他/她看的文件)呢?如果文件被打開(kāi)然后被打印或被抄寫(xiě),紙張帶在身上可不會(huì)觸發(fā)金屬探測(cè)器的哦.

那么,我們要用什么方法來(lái)盡量避免此類(lèi)情況出現(xiàn)呢?并且前提是:

一.盡量花錢(qián)少,現(xiàn)在提倡開(kāi)源節(jié)流,申請(qǐng)買(mǎi)什么都難啊,別說(shuō)是動(dòng)輒幾千上萬(wàn)的軟件硬件了.

二.用戶體驗(yàn)良好,不能有太復(fù)雜的操作讓用戶(員工)來(lái)做,這點(diǎn)很重要.操作過(guò)于復(fù)雜,可能造成用戶操作失誤而沒(méi)有達(dá)到效果,另外長(zhǎng)期以往,用戶會(huì)產(chǎn)生抵觸心理而不怎么使用它.

三.加密技術(shù)成熟, 不要像PDF,winrar這類(lèi)加密文件隨便google一下也有百八十種破解工具.

好吧,目標(biāo)很明確了,開(kāi)始挑戰(zhàn)之旅吧.

先看看現(xiàn)有的環(huán)境.公司客戶端操作系統(tǒng)基本上都安裝的是Windows XP Professional,還有極少部分的Windows 2000 Professional,并且磁盤(pán)上的分區(qū)格式基本上都為NTFS(老舊的2000還有用FAT32格式,XP系統(tǒng)都是我們IT部門(mén)統(tǒng)一安裝的,可以保證是NTFS磁盤(pán)文件格式).我們?cè)谡?qǐng)出今天的主角之前,要先把殘留的FAT32消滅,都換成NTFS.

那得先把裝Win2000的客戶端從局域網(wǎng)中都找出來(lái).手段多種多樣,最省事的,發(fā)個(gè)全廠mail通知用戶查看自己的計(jì)算機(jī)情況,然后不是ntfs的打電話或發(fā)郵件反饋,那樣動(dòng)靜太大了,而且也體現(xiàn)不出我們系統(tǒng)工程師的水平...所以,一般可以使用腳本收集客戶端信息再來(lái)導(dǎo)入到數(shù)據(jù)庫(kù)中查找(---最專(zhuān)業(yè)最繁瑣的做法), 好在我的環(huán)境中有SMS2003,省事了,直接到計(jì)算機(jī)集合里面看看就知道啦~

[圖略]

找到了以后提出遠(yuǎn)程控制請(qǐng)求.取得了客戶機(jī)的控制權(quán)以后我們要做的就是轉(zhuǎn)化磁盤(pán)格式.命令相信大家已經(jīng)爛熟于心了:

CONVERT volume /FS:NTFS [/V] [/CvtArea:filename] [/NoSecurity] [/X]

如果提示你當(dāng)前域用戶權(quán)限不足,而你又不想登出切換管理員賬號(hào),不妨用用runas命令.

然后重啟計(jì)算機(jī),完成磁盤(pán)格式轉(zhuǎn)化.

接下來(lái)我們可以請(qǐng)出本文主角了---EFS (Encrypting File System，加密檔案系統(tǒng))

簡(jiǎn)單介紹一下EFS吧.從Windows 2000/XP/Server 2003開(kāi)始,系統(tǒng)都配備了EFS（Encrypting File System，加密檔案系統(tǒng)），它可以針對(duì)存儲(chǔ)在NTFS磁盤(pán)卷上的文件和文件夾執(zhí)行對(duì)用戶透明的加密操作.說(shuō)到對(duì)用戶透明,是因?yàn)槟?用戶)使用它加密的文件在訪問(wèn)時(shí)不會(huì)產(chǎn)生任何讓你輸入密碼之類(lèi)的操作,感覺(jué)和沒(méi)有和訪問(wèn)未加密文件沒(méi)有區(qū)別.我們后面演示部分會(huì)看到.

其實(shí),DFS加密技術(shù)也是采用了公鑰/私鑰密碼學(xué)原理的,這個(gè)原理要鋪上來(lái)怕是幾千字都不夠?qū)?大家只要記住一點(diǎn)就好:公鑰加密,私鑰解密.所以任何被某用戶公鑰加密后的NTFS文件也只能被此用戶的私鑰解密,沒(méi)有手握這個(gè)用戶私鑰的其他用戶想解密/查看是辦不到的.

要使用EFS來(lái)加密文件或文件夾,那真的是非常簡(jiǎn)單:

這里有個(gè)域用戶cto想要加密他的一份重要文件,他要做的操作就是

在要加密的文件上鼠標(biāo)右鍵點(diǎn)擊"屬性"---點(diǎn)擊"高級(jí)"--勾選"加密內(nèi)容以便保護(hù)數(shù)據(jù)"

OK,完成.

如果是要加密整個(gè)文件夾,就在文件夾屬性里執(zhí)行上面的操作,有一小點(diǎn)不同的是你需要選擇是只對(duì)此文件夾加密還是要對(duì)文件夾中所有的資料(文件,子文件夾)加密.

點(diǎn)擊確定后完成加密,可以看到文件名字變成了綠色,用戶cto雙擊文件,可以正常查看修改.

然后我們注銷(xiāo)系統(tǒng),使用另外一個(gè)域用戶cfo登陸,定位到剛才的文件,雙擊打開(kāi),

拒絕訪問(wèn)了.效果達(dá)到,用戶cfo不能查看用戶cto使用EFS加密過(guò)的文件.有的朋友問(wèn)了,如果這個(gè)文件是放在共享文件夾內(nèi)的呢?

會(huì)提示你無(wú)法查看也無(wú)法復(fù)制的.就算你是使用的相同的域賬號(hào)登錄的.

記得有個(gè)網(wǎng)友問(wèn)過(guò)如果復(fù)制過(guò)來(lái)的分區(qū)是FAT32格式的呢,結(jié)果是一樣的.

仍然是拒絕訪問(wèn).

這是為什么呢?

道理很簡(jiǎn)單

誰(shuí)有那把秘密鑰匙誰(shuí)才能開(kāi)那個(gè)箱子.

問(wèn)題來(lái)了,那把密鑰到底放在那個(gè)房子(存放加密文件的計(jì)算機(jī))的什么地方呢?若是把那把密鑰給我我就能開(kāi)那個(gè)箱子了嗎?

回看cto加密<重要資料>的計(jì)算機(jī)上,確保使用cto此域賬號(hào)登陸,使用mmc命令調(diào)出控制臺(tái)(或者使用certmgr.msc),添加"證書(shū)"管理單元,選擇"我的用戶賬戶"

點(diǎn)開(kāi)個(gè)人---證書(shū),可以看到有一個(gè)對(duì)應(yīng)當(dāng)前cto用戶名的證書(shū),我們選擇導(dǎo)出它.

這里一定要選擇"是,導(dǎo)出私鑰" , 私鑰正是我們苦苦尋找的那把解鎖的鑰匙

保持默認(rèn)

密鑰外頭還要套個(gè)密碼箱才能交給別人,怎么樣?保護(hù)的夠周到吧.

切記,你要把這把鑰匙給別人用,你的這個(gè)裝它的密碼箱密碼也是要交給別人的

給鑰匙起個(gè)名字

完成,導(dǎo)出

傳說(shuō)中的"血色十字軍鑰匙"

現(xiàn)在我們可以換cfo登錄系統(tǒng),找到剛才導(dǎo)出的cto的密鑰

雙擊,導(dǎo)入,導(dǎo)入時(shí)要輸入剛才導(dǎo)出時(shí)設(shè)置的密碼

導(dǎo)入成功后可以在cfo的證書(shū)管理控制單元中看到cto的證書(shū)

注意看上圖中,只有新導(dǎo)入的cto的用戶證書(shū),而沒(méi)有cfo自己的,這是因?yàn)閏fo還沒(méi)有使用EFS加密過(guò)文件,等他第一次執(zhí)行過(guò)EFS加密,就會(huì)看到相應(yīng)的證書(shū)了.

cfo現(xiàn)在可以看cto親手加密的文件了.

這樣做其實(shí)有一定的后果,你想,cfo拿到了cto的私鑰,以后這臺(tái)機(jī)器上只要是cto的加密文件cfo就都能看了,cto可不干了,有沒(méi)有辦法讓cto指定cfo能看哪些加密的,不能看哪些加密的呢?

其實(shí),這個(gè)問(wèn)題,在Windows XP Professional版本中就得到了解決,

要達(dá)到這個(gè)效果,需要讓cfo也使用DFS加密一次以便生成自己的用戶證書(shū).

注明:我已經(jīng)將剛才導(dǎo)入的cto證書(shū)刪除,模擬cto證書(shū)沒(méi)有導(dǎo)入的情況

此時(shí)cfo已經(jīng)無(wú)法訪問(wèn)cto加密過(guò)的文件

下圖為例,cfo想要訪問(wèn)cto加密的一個(gè)文件,文件名為<極其重要資料>可以看到,訪問(wèn)拒絕

回到用cto賬號(hào)登錄,在此文件<極其重要資料>上右鍵屬性---點(diǎn)擊加密旁邊的"詳細(xì)信息按鈕",在"可透明訪問(wèn)這個(gè)文件的用戶"下點(diǎn)擊添加

可以看到cfo的用戶證書(shū)也赫然在列,我們把它加進(jìn)來(lái)

注銷(xiāo),再以cfo登錄

cfo可以看cto特意為他共享出來(lái)的EFS加密文件了,然而他貪心不足地還想看看旁邊的那個(gè)

想投機(jī)把自己證書(shū)加進(jìn)去...

就是這樣.

經(jīng)過(guò)了DFS加密設(shè)置,cto只要保護(hù)好自己的賬號(hào)密碼,就不用擔(dān)心有人能偷偷登錄到他本機(jī)去看他的重要資料了.

但是有一點(diǎn),非常關(guān)鍵,想必吃過(guò)這個(gè)虧的網(wǎng)友都牢記住了,用來(lái)解密文件的用戶私鑰是一定需要隨證書(shū)導(dǎo)出來(lái)備份的,否則當(dāng)重新安裝了操作系統(tǒng)而無(wú)相應(yīng)的用戶證書(shū)導(dǎo)入之時(shí),就算你用相同的用戶再登入也是無(wú)法解密的.

那用戶當(dāng)時(shí)就是忘記了備份含密鑰的證書(shū)了,而現(xiàn)在出問(wèn)題了,怎么辦?我只能告訴你,網(wǎng)上可能會(huì)有一些破解EFS加密的軟件你可以嘗試,但完全恢復(fù)幾率很低.要么你可以嘗試重構(gòu)計(jì)算機(jī)SID,加密時(shí)使用的賬號(hào)/域賬號(hào)的SID,這個(gè)難度很大很大.所以,我覺(jué)得防患于未然才是王道,

既然我們一直在說(shuō)的是處于域環(huán)境的,所以EFS下篇我會(huì)為大家介紹網(wǎng)域中的EFS Recovery Agent.它做什么用的,怎么使用?...同時(shí),也會(huì)補(bǔ)充分析一下網(wǎng)域中使用EFS的缺陷及不足...呵呵,敬請(qǐng)期待~

轉(zhuǎn)載http://mrfly.blog.51cto.com/151750/191592

總結(jié)

以上是生活随笔為你收集整理的域环境下如何保护重要资料文件的安全(一)EFS加密(上)的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。