第三章windowsxp系统文件安全.ppt

主讲人:于长青 邮件地址：xaycq@163.com 西安工业大学北方信息工程学院 第三章 Windowsxp系统文件安全 本讲的目标 理解掌握各种文件系统格式 理解Windows 文件保护原理，保护系统文件 理解EFS 工作原理，掌握EFS 实际应用对文件进行加密保护 文件共享的安全问题 授课建议 简单介绍各种文件系统格式 简要介绍Windows文件安全的相关问题 通过实验重点介绍理解EFS工作原理，掌握EFS实际应用对文件进行加密保护 重点介绍文件共享的安全问题及防范措施 文件共享－简单文件共享 简单文件共享设置 开启GUEST账户 保证GUEST具有网络访问这台主机的权利 文件共享－高级文件共享 禁止简单文件共享 设置新账户 设置共享 删除everyone用户的权限 添加新用户的权限 默认的文件系统 NTFS具有更高的安全控制能力 转换命令：convert x: /fs:ntfs(其中x 是驱动器的盘符） 交换文件和存储文件 要求机器在关机的时候清除系统的页面文件(交换文件) HKEY_local_machine\system\currentcontrolset\control\sessionmanager\memory management，然后创建或修改ClearPageFileAtShutdown，把这个DWORD值设置为1。 系统在遇到严重问题时，会把内存中的数据保存到转储文件。 禁止Windows创建转储文件的步骤如下:打开“控制面板”→“系统”，找到“高级”，然后点击“启动和故障恢复”下面的“设置”按钮，将“写入调试信息”这一栏设置成“(无)” 系统文件替换 根据文件名的最后一个字符用底线“_”的同名文件替换： EXPAND D:\SETUP\NOTEPAD.EX_ C:\Windows \NOTEPAD.EXE 根据CAB文件替换 EXTRACT /L C:\Windows D:\I386\Driver.cab Notepad.exe 加密文件与文件夹——EFS的基本原理 EFS加密基于公钥策略。在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK（File Encryption Key，文件加密钥匙），然后利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。接下来系统利用你的公钥来加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。 在首次使用EFS时，如果用户还没有公钥/私钥对（统称为密钥），则会首先生成密钥，然后加密数据。如果你登录到了域环境中，密钥的生成依赖于域控制器，否则它就依赖于本地机器。 EFS加密的用户验证过程是在登录Windows时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。 被EFS加密过的数据不能在Windows中直接共享。如果通过网络传输经EFS加密过的数据，这些数据在网络上将会以明文的形式传输。如果你要使用EFS加密，必须将FAT32格式转换为NTFS。 故障恢复代理 运行certmgr.msc,导出使用EFS的用户证书 运行“gpedit.msc”，打开组策略编辑器。在“计算机配置－Windows设置－安全设置－公钥策略－正在加密文件系统”，设置故障恢复代理 EFS操作实例 如果想将EFS 选项添加至快捷菜单，请依次执行下列操作步骤：在注册表编辑器内浏览至下列子键：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced，然后新建一个DWORD 值EncryptionContextMenu，并将它的键值设为1 当然可以彻底禁用它。只要在“运行”中输入Regedit并回车，打开注册表编辑器，依次展开到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\EFS，然后新建一个Dword值EfsConfiguration，并将其键值设为1 加密文件夹（不加密其中某一个子文件夹） 在不需要加密的子文件夹下建立一个“Desktop.ini”文件即可。具体地说就是在不需要加密的子文件夹下建立一个名为“Desktop.ini”的文件，用记事本程序打开并录入以下内容： [encryption] Disable=1 EFS的共享特性 打开文件的属性，在“常规”选项卡中点击“高级”按钮，在“高级属性”对话框里点击“详细信息”按钮；然后点击“添加”按钮，添加另外一个用户的EFS证书，在用户证书列表里面选择一个证