話說資料檔案的安全一直是比較受到公司重視的部分.以本人所在的公司來說,由于企業性質,員工進出機關都是禁止攜帶移動儲存設備的(有保衛部門安檢,違反規定的員工必然開除),并且公司内用戶端(超過1500台)電腦全部做了USB端口管制,Netscreen硬體防火牆+ISA代理伺服器限制上網,等等等等,部署了多重安全措施.足見公司對資訊安全的重視!那麼,這樣就無懈可擊了嗎?如果在域環境下,有人趁我不在的時候用他/她自己的域賬号登入了我的電腦,偷看了我的重要檔案(絕不該他/她看的檔案)呢?如果檔案被打開然後被列印或被抄寫,紙張帶在身上可不會觸發金屬探測器的哦.
那麼,我們要用什麼方法來盡量避免此類情況出現呢?并且前提是:
一.盡量花錢少,現在提倡開源節流,申請買什麼都難啊,别說是動辄幾千上萬的軟體硬體了.
二.使用者體驗良好,不能有太複雜的操作讓使用者(員工)來做,這點很重要.操作過于複雜,可能造成使用者操作失誤而沒有達到效果,另外長期以往,使用者會産生抵觸心理而不怎麼使用它.
三.加密技術成熟,不要像PDF,winrar這類加密檔案随便google一下也有百八十種破解工具.
好吧,目标很明确了,開始挑戰之旅吧.
先看看現有的環境.公司用戶端作業系統基本上都安裝的是Windows XP Professional,還有極少部分的Windows 2000 Professional,并且磁盤上的分區格式基本上都為NTFS(老舊的2000還有用FAT32格式,XP系統都是我們IT部門統一安裝的,可以保證是NTFS磁盤檔案格式).我們在請出今天的主角之前,要先把殘留的FAT32消滅,都換成NTFS.
那得先把裝Win2000的用戶端從區域網路中都找出來.手段多種多樣,最省事的,發個全廠mail通知使用者檢視自己的計算機情況,然後不是ntfs的打電話或發郵件回報,那樣動靜太大了,而且也展現不出我們系統工程師的水準...是以,一般可以使用腳本收集用戶端資訊再來導入到資料庫中查找(---最專業最繁瑣的做法), 好在我的環境中有SMS2003,省事了,直接到計算機集合裡面看看就知道啦~
[圖略]
找到了以後提出遠端控制請求.取得了客戶機的控制權以後我們要做的就是轉化磁盤格式.指令相信大家已經爛熟于心了:
CONVERT volume /FS:NTFS [/V] [/CvtArea:filename] [/NoSecurity] [/X]
如果提示你目前域使用者權限不足,而你又不想登出切換管理者賬号,不妨用用runas指令.
然後重新開機計算機,完成磁盤格式轉化.
接下來我們可以請出本文主角了---EFS (Encrypting File System,加密檔案系統)
簡單介紹一下EFS吧.從Windows 2000/XP/Server 2003開始,系統都配備了EFS(Encrypting File System,加密檔案系統),它可以針對存儲在NTFS磁盤卷上的檔案和檔案夾執行對使用者透明的加密操作.說到對使用者透明,是因為你(使用者)使用它加密的檔案在通路時不會産生任何讓你輸入密碼之類的操作,感覺和沒有和通路未加密檔案沒有差別.我們後面示範部分會看到.
其實,EFS加密技術也是采用了公鑰/私鑰密碼學原理的,這個原理要鋪上來怕是幾千字都不夠寫,大家隻要記住一點就好:公鑰加密,私鑰解密.是以任何被某使用者公鑰加密後的NTFS檔案也隻能被此使用者的私鑰解密,沒有手握這個使用者私鑰的其他使用者想解密/檢視是辦不到的.
要使用EFS來加密檔案或檔案夾,那真的是非常簡單:
這裡有個域使用者cto想要加密他的一份重要檔案,他要做的操作就是
<a href="http://mrfly.blog.51cto.com/attachment/200908/13/151750_1250195290KnNN.jpg"></a>
在要加密的檔案上滑鼠右鍵點選"屬性"---點選"進階"--勾選"加密内容以便保護資料"
OK,完成.
如果是要加密整個檔案夾,就在檔案夾屬性裡執行上面的操作,有一小點不同的是你需要選擇是隻對此檔案夾加密還是要對檔案夾中所有的資料(檔案,子檔案夾)加密.
<a href="http://mrfly.blog.51cto.com/attachment/200908/13/151750_12501952945vdw.jpg"></a>
點選确定後完成加密,可以看到檔案名字變成了綠色,使用者cto輕按兩下檔案,可以正常檢視修改.
<a href="http://mrfly.blog.51cto.com/attachment/200908/13/151750_1250195297cw7M.jpg"></a>
<a href="http://mrfly.blog.51cto.com/attachment/200908/13/151750_1250195299qrDl.jpg"></a>
然後我們登出系統,使用另外一個域使用者cfo登陸,定位到剛才的檔案,輕按兩下打開,
<a href="http://mrfly.blog.51cto.com/attachment/200908/13/151750_1250195301cHAT.jpg"></a>
拒絕通路了.效果達到,使用者cfo不能檢視使用者cto使用EFS加密過的檔案.
會提示你無法檢視也無法複制的.
記得有個網友問過如果複制過來的分區是FAT32格式的呢,結果是一樣的.
仍然是拒絕通路.
這是為什麼呢?
道理很簡單
誰有那把秘密鑰匙誰才能開那個箱子.
問題來了,那把密鑰到底放在那個房子(存放加密檔案的計算機)的什麼地方呢?若是把那把密鑰給我我就能開那個箱子了嗎?
回看cto加密<重要資料>的計算機上,確定使用cto此域賬号登陸,使用mmc指令調出控制台(或者使用certmgr.msc),添加"證書"管理單元,選擇"我的使用者賬戶"
<a href="http://mrfly.blog.51cto.com/attachment/200908/13/151750_1250195310aFZA.jpg"></a>
點開個人---證書,可以看到有一個對應目前cto使用者名的證書,我們選擇導出它.
<a href="http://mrfly.blog.51cto.com/attachment/200908/13/151750_1250195315U7rJ.jpg"></a>
<a href="http://mrfly.blog.51cto.com/attachment/200908/13/151750_1250195319kPNM.jpg"></a>
<a href="http://mrfly.blog.51cto.com/attachment/200908/13/151750_12501953225GVP.jpg"></a>
這裡一定要選擇"是,導出私鑰" , 私鑰正是我們苦苦尋找的那把解鎖的鑰匙
<a href="http://mrfly.blog.51cto.com/attachment/200908/13/151750_1250195326Wkkh.jpg"></a>
保持預設
<a href="http://mrfly.blog.51cto.com/attachment/200908/13/151750_1250195330BWin.jpg"></a>
密鑰外頭還要套個密碼箱才能交給别人,怎麼樣?保護的夠周到吧.
切記,你要把這把鑰匙給别人用,你的這個裝它的密碼箱密碼也是要交給别人的
<a href="http://mrfly.blog.51cto.com/attachment/200908/13/151750_1250195333zfC1.jpg"></a>
給鑰匙起個名字
<a href="http://mrfly.blog.51cto.com/attachment/200908/13/151750_1250195338gL3S.jpg"></a>
完成,導出
<a href="http://mrfly.blog.51cto.com/attachment/200908/13/151750_1250195342Qqml.jpg"></a>
傳說中的"血色十字軍鑰匙"
現在我們可以換cfo登入系統,找到剛才導出的cto的密鑰
<a href="http://mrfly.blog.51cto.com/attachment/200908/13/151750_1250195345gqok.jpg"></a>
輕按兩下,導入,導入時要輸入剛才導出時設定的密碼
<a href="http://mrfly.blog.51cto.com/attachment/200908/13/151750_1250195349alIh.jpg"></a>
導入成功後可以在cfo的證書管理控制單元中看到cto的證書
<a href="http://mrfly.blog.51cto.com/attachment/200908/13/151750_1250195353qPgU.jpg"></a>
注意看上圖中,隻有新導入的cto的使用者證書,而沒有cfo自己的,這是因為cfo還沒有使用EFS加密過檔案,等他第一次執行過EFS加密,就會看到相應的證書了.
<a href="http://mrfly.blog.51cto.com/attachment/200908/13/151750_12501953573j2r.jpg"></a>
cfo現在可以看cto親手加密的檔案了.
這樣做其實有一定的後果,你想,cfo拿到了cto的私鑰,以後這台機器上隻要是cto的加密檔案cfo就都能看了,cto可不幹了,有沒有辦法讓cto指定cfo能看哪些加密的,不能看哪些加密的呢?
其實,這個問題,在Windows XP Professional版本中就得到了解決,
要達到這個效果,需要讓cfo也使用EFS加密一次以便生成自己的使用者證書.
<a href="http://mrfly.blog.51cto.com/attachment/200908/13/151750_1250195360jKHC.jpg"></a>
注明:我已經将剛才導入的cto證書删除,模拟cto證書沒有導入的情況
此時cfo已經無法通路cto加密過的檔案
下圖為例,cfo想要通路cto加密的一個檔案,檔案名為<極其重要資料>
回到用cto賬号登入,在此檔案<極其重要資料>上右鍵屬性---點選加密旁邊的"詳細資訊按鈕",在"可透明通路這個檔案的使用者"下點選添加
<a href="http://mrfly.blog.51cto.com/attachment/200908/13/151750_12501953688ckc.jpg"></a>
可以看到cfo的使用者證書也赫然在列,我們把它加進來
<a href="http://mrfly.blog.51cto.com/attachment/200908/13/151750_12501953721pfs.jpg"></a>
<a href="http://mrfly.blog.51cto.com/attachment/200908/13/151750_1250195376OPTT.jpg"></a>
登出,再以cfo登入
<a href="http://mrfly.blog.51cto.com/attachment/200908/13/151750_1250195380KZiL.jpg"></a>
cfo可以看cto特意為他共享出來的EFS加密檔案了,然而他貪心不足地還想看看旁邊的那個
<a href="http://mrfly.blog.51cto.com/attachment/200908/13/151750_1250195383mEhP.jpg"></a>
想投機把自己證書加進去...
<a href="http://mrfly.blog.51cto.com/attachment/200908/13/151750_12501953874mzj.jpg"></a>
就是這樣.
經過了EFS加密設定,cto隻要保護好自己的賬号密碼,就不用擔心有人能偷偷登入到他本機去看他的重要資料了.
但是有一點,非常關鍵,想必吃過這個虧的網友都牢記住了,用來解密檔案的使用者私鑰是一定需要随證書導出來備份的,否則當重新安裝了作業系統而無相應的使用者證書導入之時,就算你用相同的使用者再登入也是無法解密的.
那使用者當時就是忘記了備份含密鑰的證書了,而現在出問題了,怎麼辦?我隻能告訴你,網上可能會有一些破解EFS加密的軟體你可以嘗試,但完全恢複幾率很低.要麼你可以嘗試重構計算機SID,加密時使用的賬号/域賬号的SID,這個難度很大很大.是以,我覺得防患于未然才是王道,
既然我們一直在說的是處于域環境的,是以EFS下篇我會為大家介紹網域中的EFS Recovery Agent.它做什麼用的,怎麼使用?...同時,也會補充分析一下網域中使用EFS的缺陷及不足...呵呵,敬請期待~
本文轉自 jrfly331 51CTO部落格,原文連結:http://blog.51cto.com/mrfly/191592,如需轉載請自行聯系原作者
![Windows系統下通過CMD指令行或運作視窗打開常用附件和功能[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)