域环境下重要资料文件的安全EFS加密.docx
- 文档编号:10525356
- 上传时间:2023-02-17
- 格式:DOCX
- 页数:109
- 大小:3.89MB
域环境下重要资料文件的安全EFS加密.docx
《域环境下重要资料文件的安全EFS加密.docx》由会员分享,可在线阅读,更多相关《域环境下重要资料文件的安全EFS加密.docx(109页珍藏版)》请在冰豆网上搜索。
域环境下重要资料文件的安全EFS加密
域环境下如何保护重要资料文件的安全
(一)---EFS加密(上)
原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处、作者信息和本声明。
否则将追究法律责任。
hi,大家好.我想和大家从简入难地交流一下这个话题,是由来于论坛上一个网友的提问(链接:
话说资料文件的安全一直是比较受到公司重视的部分.以本人所在的公司来说,由于企业性质,员工进出单位都是禁止携带移动存储设备的(有保卫部门安检,违反规定的员工必然开除),并且公司内客户端(超过1500台)电脑全部做了USB端口管制,Netscreen硬件防火墙+ISA代理服务器限制上网,等等等等,部署了多重安全措施.足见公司对资讯安全的重视!
那么,这样就无懈可击了吗?
如果在域环境下,有人趁我不在的时候用他/她自己的域账号登录了我的电脑,偷看了我的重要文件(绝不该他/她看的文件)呢?
如果文件被打开然后被打印或被抄写,纸张带在身上可不会触发金属探测器的哦.
那么,我们要用什么方法来尽量避免此类情况出现呢?
并且前提是:
一.尽量花钱少,现在提倡开源节流,申请买什么都难啊,别说是动辄几千上万的软件硬件了.
二.用户体验良好,不能有太复杂的操作让用户(员工)来做,这点很重要.操作过于复杂,可能造成用户操作失误而没有达到效果,另外长期以往,用户会产生抵触心理而不怎么使用它.
三.加密技术成熟,不要像PDF,winrar这类加密文件随便google一下也有百八十种破解工具.
好吧,目标很明确了,开始挑战之旅吧.
先看看现有的环境.公司客户端操作系统基本上都安装的是WindowsXPProfessional,还有极少部分的Windows2000Professional,并且磁盘上的分区格式基本上都为NTFS(老旧的2000还有用FAT32格式,XP系统都是我们IT部门统一安装的,可以保证是NTFS磁盘文件格式).我们在请出今天的主角之前,要先把残留的FAT32消灭,都换成NTFS.
那得先把装Win2000的客户端从局域网中都找出来.手段多种多样,最省事的,发个全厂mail通知用户查看自己的计算机情况,然后不是ntfs的打电话或发邮件反馈,那样动静太大了,而且也体现不出我们系统工程师的水平...所以,一般可以使用脚本收集客户端信息再来导入到数据库中查找(---最专业最繁琐的做法),好在我的环境中有SMS2003,省事了,直接到计算机集合里面看看就知道啦~
找到了以后提出远程控制请求.取得了客户机的控制权以后我们要做的就是转化磁盘格式.命令相信大家已经烂熟于心了:
CONVERTvolume/FS:
NTFS[/V][/CvtArea:
filename][/NoSecurity][/X]
如果提示你当前域用户权限不足,而你又不想登出切换管理员账号,不妨用用runas命令.
然后重启计算机,完成磁盘格式转化.
接下来我们可以请出本文主角了---EFS(EncryptingFileSystem,加密档案系统)
简单介绍一下EFS吧.从Windows2000/XP/Server2003开始,系统都配备了EFS(EncryptingFileSystem,加密档案系统),它可以针对存储在NTFS磁盘卷上的文件和文件夹执行对用户透明的加密操作.说到对用户透明,是因为你(用户)使用它加密的文件在访问时不会产生任何让你输入密码之类的操作,感觉和没有和访问未加密文件没有区别.我们后面演示部分会看到.
其实,EFS加密技术也是采用了公钥/私钥密码学原理的,这个原理要铺上来怕是几千字都不够写,大家只要记住一点就好:
公钥加密,私钥解密.所以任何被某用户公钥加密后的NTFS文件也只能被此用户的私钥解密,没有手握这个用户私钥的其他用户想解密/查看是办不到的.
要使用EFS来加密文件或文件夹,那真的是非常简单:
这里有个域用户cto想要加密他的一份重要文件,他要做的操作就是
在要加密的文件上鼠标右键点击"属性"---点击"高级"--勾选"加密内容以便保护数据"
OK,完成.
如果是要加密整个文件夹,就在文件夹属性里执行上面的操作,有一小点不同的是你需要选择是只对此文件夹加密还是要对文件夹中所有的资料(文件,子文件夹)加密.
点击确定后完成加密,可以看到文件名字变成了绿色,用户cto双击文件,可以正常查看修改.
然后我们注销系统,使用另外一个域用户cfo登陆,定位到刚才的文件,双击打开,
拒绝访问了.效果达到,用户cfo不能查看用户cto使用EFS加密过的文件.
有的朋友问了,如果这个文件是放在共享文件夹内的呢?
会提示你无法查看也无法复制的.
记得有个网友问过如果复制过来的分区是FAT32格式的呢,结果是一样的.
仍然是拒绝访问.
这是为什么呢?
道理很简单
谁有那把秘密钥匙谁才能开那个箱子.
问题来了,那把密钥到底放在那个房子(存放加密文件的计算机)的什么地方呢?
若是把那把密钥给我我就能开那个箱子了吗?
回看cto加密<重要资料>的计算机上,确保使用cto此域账号登陆,使用mmc命令调出控制台(或者使用certmgr.msc),添加"证书"管理单元,选择"我的用户账户"
点开个人---证书,可以看到有一个对应当前cto用户名的证书,我们选择导出它.
这里一定要选择"是,导出私钥",私钥正是我们苦苦寻找的那把解锁的钥匙
保持默认
密钥外头还要套个密码箱才能交给别人,怎么样?
保护的够周到吧.
切记,你要把这把钥匙给别人用,你的这个装它的密码箱密码也是要交给别人的
给钥匙起个名字
完成,导出
传说中的"血色十字军钥匙"
现在我们可以换cfo登录系统,找到刚才导出的cto的密钥
双击,导入,导入时要输入刚才导出时设置的密码
导入成功后可以在cfo的证书管理控制单元中看到cto的证书
注意看上图中,只有新导入的cto的用户证书,而没有cfo自己的,这是因为cfo还没有使用EFS加密过文件,等他第一次执行过EFS加密,就会看到相应的证书了.
cfo现在可以看cto亲手加密的文件了.
这样做其实有一定的后果,你想,cfo拿到了cto的私钥,以后这台机器上只要是cto的加密文件cfo就都能看了,cto可不干了,有没有办法让cto指定cfo能看哪些加密的,不能看哪些加密的呢?
其实,这个问题,在WindowsXPProfessional版本中就得到了解决,
要达到这个效果,需要让cfo也使用EFS加密一次以便生成自己的用户证书.
注明:
我已经将刚才导入的cto证书删除,模拟cto证书没有导入的情况
此时cfo已经无法访问cto加密过的文件
下图为例,cfo想要访问cto加密的一个文件,文件名为<极其重要资料>
可以看到,访问拒绝
回到用cto账号登录,在此文件<极其重要资料>上右键属性---点击加密旁边的"详细信息按钮",在"可透明访问这个文件的用户"下点击添加
可以看到cfo的用户证书也赫然在列,我们把它加进来
注销,再以cfo登录
cfo可以看cto特意为他共享出来的EFS加密文件了,然而他贪心不足地还想看看旁边的那个
想投机把自己证书加进去...
就是这样.
经过了EFS加密设置,cto只要保护好自己的账号密码,就不用担心有人能偷偷登录到他本机去看他的重要资料了.
但是有一点,非常关键,想必吃过这个亏的网友都牢记住了,用来解密文件的用户私钥是一定需要随证书导出来备份的,否则当重新安装了操作系统而无相应的用户证书导入之时,就算你用相同的用户再登入也是无法解密的.
那用户当时就是忘记了备份含密钥的证书了,而现在出问题了,怎么办?
我只能告诉你,网上可能会有一些破解EFS加密的软件你可以尝试,但完全恢复几率很低.要么你可以尝试重构计算机SID,加密时使用的账号/域账号的SID,这个难度很大很大.所以,我觉得防患于未然才是王道,
既然我们一直在说的是处于域环境的,所以EFS下篇我会为大家介绍网域中的EFSRecoveryAgent.它做什么用的,怎么使用?
...同时,也会补充分析一下网域中使用EFS的缺陷及不足...呵呵,敬请期待~
域环境下如何保护重要资料文件的安全
(一)---EFS加密(下)
2009-08-1423:
15:
09
原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处、作者信息和本声明。
否则将追究法律责任。
在域环境下如何保护重要资料文件的安全
(一)---EFS加密(上)这篇文章中我们回顾了如何通过使用EFS加密从而达到保护重要资料文件安全的目的.相信通过演示,大家也是对EFS的效果比较满意的,有兄弟就蠢蠢欲动了,想推广和部署在生产环境中了.哦,先别急别急,多听我说几句.
EFS在生产环境中使用,你需要考虑这么几个很现实的问题:
1.含密钥的用户证书的导出和备份
因为EFS操作简单易用,可能会有很多人使用它.但是使用EFS的人越多,对于用户证书及密钥的管理就越麻烦,不备份证书及密钥当然不可行,遇到系统故障需要重做系统或者用户账号被删除,都是极其麻烦的事情;导出来了存放在什么安全的位置又需要考虑,总不能还放在用户磁盘中让"有心人"很容易就能找到吧.
2.需要防止用户无意或者恶意地对一些共享性质文件加密操作.
举个极端点的例子,某某员工在离职前夕用EFS加密了很多办公电脑上的重要资料,他倒是拍拍屁股走了后脚开会要用到这些资料了,而他的域账号刚巧也被IT管理人员kill掉了,这个时候他的工作接班人可就难受了.其实域账号还好了,网管员还能从AD备份中执行授权还原回来(请参考:
要是那个员工用的是自己建立的本地账号,而后还删除掉了,那就没那么简单了.所以,在你的环境中如果给予用户账号权限过大,这个是需要你结合起来慎重考虑的.
3.EFS是微软推出的蛮久的一种系统应用,正因为其历史悠久,它的算法及加密流程等已被计算机高手所攻破,所以网上也散布着不少破解工具(有兴趣的朋友可以看下上和行政上的),那么别有用心之徒还有有机会将加密文件解开的.
......
所以在上篇的讨论部分中胡兄的友情提示大家还是要用心体会一下的.
其实,在域环境下,我们还是有一些技术手段设置能缓解上面的问题的.
Now,为大家介绍EFSRecoveryAgent,中文官名:
EFS恢复代理,文中以下简称EFSRA.
EFSRA,说简单点,就相当于一个或多个被用户信任的人,他/他们手里握有一种万能钥匙,拿着这把钥匙,可以解密任何信任他/他们的用户使用EFS加密过的文件.
在比较早的时候,处于工作组环境下的Windows2000pro/server系统中默认的EFSRA就是管理员账户administrator(这里我就不截图了,手头一时找不到没有加域的Windows2000的机器).这意味着就算发生上面提到过的状况,使用administrator都可以打开任何用户的加密文件.这样会产生一些问题,对于网管朋友们可能就根本不用去思考要不要备份用户私钥,对于用户加密过的文件安全性不高.所以到了xppro/Windowsserver2003时代,微软修正了工作组环境下的管理员账户已经不再是默认的EFSRA了.
这里我打开一台还未加域的XPSP3计算机,使用本地管理员帐号加密了一个文件,然后在属性中看它的EFS恢复代理,可以看到,确实为空白,没有任何恢复代理账号的存在.
我现在把这台机器加入域.
仍使用上篇中使用过的普通域账号cto登陆.
查看刚才本地管理员加密过的文件属性里的EFSRA信息,没变化,还是空白.
新建一个文件然后加密,看看属性...
看到了有一个EFSRA了吧,又是administrator,他是被自动添加进来的哦.
不过,这个administrator可不是次计算机本地管理员帐号的证书,而是domainadministrator的.他能被自动加进来也是因为默认域组策略生效的使然.
口说无凭,我们到DC上看一下.
打开默认域策略DefaultDomainPolicy,找到"计算机配置"---"Windows设置"--"安全设置"--"公钥策略"---"加密文件系统"
我们可以看到这里有一个证书的存在,名称是administrator,预期目的是"文件故障恢复".
双击此证书
浏览到"详细信息"选项卡
仔细看一下证书微缩图号码.(若是在Windowsserver2003上则被称为证书指纹)
AD中:
客户端上:
证明这俩是同一个物件.
那么,我们怎么使用EFSRA来解密用户的加密文件呢?
模拟情景:
cto此域账号已经被删除并无法还原,在WindowsXPpro上经cto使用EFS加密的文件全部无法打开(包括使用localadministrator和domainadministrator账号登录),EFSRA为domainadministrator.
我们开始救援行动,先到DC上导出EFS恢复代理的证书和密钥.
注意一定要选择一并导出私钥
余下过程图略,与上篇演示相似.
然后到客户机上使用域管理账号登陆.导入刚才导出的证书.
导入成功后再试试看点开刚才不能访问的文件
可以看到cto先生加密过的文件啦~
操作流程真的很简单,不是吗?
而且,域内有这么一个真神坐镇后方,作为系统管理员的你是不是安心了很多呢?
深一步想,我们是可以用内置网域管理员账号Administrator还有他的包含私钥的证书来解密任何一个域账号加密过的文件了,但是,在实际管理中这样操作可能不是很方便,因为正规企业一般都是会要求为员工建立相应的网域账号的,连网管员也不例外,所以我们平时工作中使用的账号基本上不会是这个内置的域管理员账号Administrator,例如我平时用的账号是jrfly331.那么,能不能把我们自建的账号以及对应的用户证书设置为恢复代理呢?
答案是肯定的.我们来看一下怎么做吧.
到DC上,还是打开默认域策略DefaultDomainPolicy,找到"计算机配置"---"Windows设置"--"安全设置"--"公钥策略"---"加密文件系统",在其上鼠标右击,
选择"添加数据恢复代理程序",略过向导画面,可以看到
注意高亮部分,说的很明白,如果你要添加的用户证书已经在AD中发布,就可以直接选择"浏览目录",如果没发布在AD中,需要手动指定用户证书文件(.cer格式).
我们先来看一下手动指定的方式.
先使用我的域账号jrfly331登陆到任意一台客户机上,这个时候肯定是看不了cto加密过的文件的.
我们调出cmd命令提示符,在里面输入cipher/?
可以看到,cipher其实就是使用EFS加密操作的命令行方式.参数很多,大家可以仔细看一下,不难发现,其实上篇中所有操作基本上都可以用cipher来完成的.
这里我们特别关注一下/R参数
呵呵,原来.cer文件是可以这样生成的.
继续
两个证书都生成了.
我们把其中的.cer(安全证书)证书拷贝到DC上去,并且打开添加数据恢复代理程序,找到它
导入完成后可以看到jrfly331也成为了EFSRA了
余下的步骤和前面一样,在客户机上导入jrfly331的私钥证书
使用gpupdate/force刷新组策略
再次点击刚才不能访问的cto的加密文件
可以查看了
看文件属性
加密代理中可以看到jrfly331的身影了
(大家在测试到这块的时候如果仍不能查看加密文件就需要确认你的组策略是否已经在客户端更新了,因为我的是实验环境,所以比较快)
由于篇幅有限,至于如何把用户证书发布到活动目录中然后能够在"添加数据恢复代理程序"时候选择"浏览目录",我就比较简单地说一下过程吧:
首先在CA服务器上从"证书模板"中选择复制"EFS故障恢复代理"模板
在新模板属性中勾选发布到AD中,然后在"安全"中添加账号并允许其注册
新建要颁发的证书模板
启用刚才配置好的新模板
在客户端进入certmgr.msc证书控制单元,申请新证书
选择证书类别
导入,我们可以看到两个证书的颁发者是不同的
同时,我们在DC上也可以通过目录找到拥有证书的用户了
剩下的工作就不用我再说了,前面演示过了.
总结:
看完了这两篇关于EFS的文章,相信各位对域环境下使用EFS会有自己的思考.
EFS的效果是显著的,同时不足之处也是明显的,我们如果要用他来加强文件资料的资安,一定要做好前期的规划和准备工作,包括用户证书的备份与存放,包括故障恢复的设计与实现等等.并且最终的方案一定是会把EFS结合NTFS权限来做的.允许谁解密,解开了他又能做什么操作......
正如老胡所说,貌似微软自己现在都不怎么提EFS了,呵呵,这也是因为不断有新产品新技术的出现必然的结果.那么,我们当然也要与时俱进,欢迎大家收看这个系列后面的内容---域环境下如何保护重要资料文件的安全
(二)之IRM&RMS,敬请期待~
域环境下如何保护重要资料文件的安全
(二)---IRM&RMS(上)
2009-08-1701:
43:
59
原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处、作者信息和本声明。
否则将追究法律责任。
Hi,大家好.看过了前两篇谈域环境下EFS的使用部署维护心得之后,对于有打算加固公司重要资料文件安全的你,有没有一些启发和帮助呢?
正如我在文中最后说到的那样,EFS作为一个历史悠久的系统应用已经慢慢地淡出了大家的视野和考量范围,并且它也不能满足一些ITPro朋友们的功能需求了.翻出论坛上那位朋友的帖子(
想要做到这点,EFS可是办不到了.那么,当下微软又有什么主流的技术方案和手段提供给大家呢?
在介绍本文的主角之前,我想先问一下大家平时工作中处理文档使用最多的办公软件是什么?
毫无疑问,是MicrosoftOfficeSystem!
从OfficeXP,Office2003到现在的Office2007甚至已经推出beta测试版的Office2010,我们早已经习惯了使用Word来写工作文案,使用Excel来统计数据和做报表,使用Powerpoint来制作幻灯片,使用Outlook来收发邮件...等等等等.
那么平时大家都用的什么手段来保护这些Office文档的安全呢?
有人说,加密啊,可以设置密码的,地球人都知道.
呵呵,没错,那我们就先来一起复习一下如何对Office文档加密吧.
以MicrosoftOfficeWord2007举例
我们在点击"Office按钮"以后,在弹出的菜单中选择"准备",然后选择"加密文档".
接着会弹出一个对话框,叫你输入密码
这里可以输入最多255个字符的密码
在后台,你看不到的是它其实是使用了AES128位的高级加密标准.
这里请使用大小写字母,数字和符号,长度大于等于8的复杂密码组合.
输入一次后它会要求再输入一遍确认
加密完成后,当任何用户需要查看此文件时都需要输入密码了.
OK,很简单很实用,但此种措施仍有以下的问题:
1.跟域环境没什么关系,而且每要保护一个文档都要单独设置一个密码,万一用户忘记了那麻烦可大了,上面截图里微软也有郑重提示.
2.因为Office产品的树大招风,网上传有不少破解加密的工具,我曾测试过其中一些,部分确实有效.
3.仍然没有达到前面网友想要的预期效果."有心人"还是可以把这个文件转移(copy,mail等方式)到其他机器上甚至自己家里慢慢尝试各种破解工具.
好吧,
InformationRightsManagement(简称IRM),闪亮登场!
我们来看看IRM都能做些什么?
IRM能够让你对每个文档、每个用户或每个群组设置许可(结合活动目录环境).它与EFS加密,Office文档加密相比,其真正的价值则是,你可以通过设置允许他人查看,却不让他们做出以下操作:
◆拷贝文件或文件中的任意部分
◆将文件另存到他们的硬盘或其它介质中
◆编辑文件
◆打印文件
◆转发邮件
◆将内容进行传真
◆在文件中进行剪切或粘贴操作
◆使用PrintScreen键对内容进行抓图式的拷贝
此外,IRM还支持文件过期,就是在使用户在指定的一段时间后不能再查看文件内容.
借用3G的广告语,WO...
很好很强大,快一起来体验一下吧.
想要在Office2007中使用IRM,我们需要先在计算机上安装WindowsRightsManagementServices(RMS)ServicePack1(SP1)客户端.
在vista操作系统中此客户端软件是默认已经安装好的,在XP上我们就需要动一下手了.这里下载此客户端的地址我就不要贴出来了.(为什么呢?
...LR你就不能把链接发出来我们就不用搜了啊...众网友喊道)
呵呵,不是我懒,咱们点开一个Word2007(XP操作系统上)看一下吧
要使用IRM,位置就是在"加密文档"的下方,点击"管理凭据"
呵呵,看到了吧,你点一下"是"就会自动开始下载啦.前提当然是电脑连入Internet了.
只有2.31M,不是很大...
注意如果使用的是普通域用户账号要确定其是否有软件安装的权限
安装过程略了,就点几次Next而已,安装完成.
我们再回来,选择"限制访问"
出现了一个短暂的连接授权服务器的画面,一闪而过,我没来及截上图...
然后...
可以看到详细的文字说明
额,原来是微软的免费试用服务,而且要使用WindowsLiveID才能使用此服务
选择"是",下一项
还没有注册LiveID的兄弟去注册个吧...(随着MSN的崛起,没有这个的很少了吧...)
这个,俺真有的,接着下一步
服务是有时间期限的,六个月...
我接受...继续
连接到帐户证书服务,此过程也是很快的.还好截到图了...
最多可以在25台私人电脑上使用此服务...
可以开始授权了,可以输入想要授权给的用户的电子邮件地址或者从活动目录中选择.
点开"其他选项"看一下
(额,忘记遮盖ID了,呵呵,没事
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 环境 重要 资料 文件 安全 EFS 加密
![提示](https://static.bdocx.com/images/bang_tan.gif)