企业文档加密幻灯片.ppt

TechNet TNT1-16 企业文档加密与安全管理解决方案 今日议程 企业文档共享和安全的管理原则 普通的共享权限与NTFS权限的结合 存储安全：EFS最佳实践 传输安全：使用IPSec保护网络链路中的数据 共享安全：RMS提供的全方位保护 文档权限迁移工具介绍 企业文档共享和安全的管理原则 Confidential 保密性 Integrity 一致性 Availability 可用性 企业网络和数据安全的大局观 普通的共享权限与NTFS权限的结合 共享权限和NTFS权限 对于共享文件夹的最终访问权限是考虑共享权限和 NTFS 权限项后确定的。然后，才应用更为严格的权限 文件服务器权限的详细讨论 /technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp3f74-412f-abb8-c8b22b07257d.mspx?mfr=true 工具 FileMon的使用 存储安全：EFS最佳实践 概述 数据恢复代理 微软的建议和最佳实践 EFS的薄弱环节 演示 EFS概述 文件加密密钥，File Encryption Key (FEK) 通过FEK对文件对象进行加密 FEK再被用户的公钥进行加密 FEK只能够被用户的私钥解密 每个文件都有与它关联的唯一的FEK 加密过的FEK被保存在Data Decryption Field (DDF) 文件使用之前不需要解密，对进程和用户透明 EFS引擎驻留在操作系统内核模式 内存中正在使用的FEK不可以被置换到硬盘的页面文件上 支持远程文件服务器上的文件加密 传输中的数据是不被加密的 加密可以通过浏览器或者Cipher命令行工具完成 加密目录不会同时加密其中的文件 把EFS文件复制到非NTFS分区将使文件被解密 EFS数据恢复代理 可以通过恢复代理来解密EFS加密的文件 恢复代理只有FEK，而没有用户的私钥 没有加入域的机器，本地管理员是默认的恢复代理 域中的机器，域管理员是默认的恢复代理 可以在域控制器上指定恢复代理 策略应用在计算机上，而不是用户 Data Recovery Field (DRF) 中保存的FEK被恢复代理的公钥所加密 EFS微软的建议和最佳实践 针对文件夹执行EFS加密，而不是加密单个的文件 加密“我的文档”文件夹 加密临时文件夹 备份恢复代理证书和私钥，并从证书保存区域中把它们删掉 EFS的薄弱环节 关联帐户遗失时，必须有恢复代理才能做数据的恢复 EFS加密的恢复－加密帐户被删的补救方法 /blogs/ahpeng/archive/2006/04/20/Hack_in_EFS.aspx (中文) EFS演示 IPSec的应用情景 IPSec的传输模式 IPSec如何保护传输中的数据？ 共享安全：RMS提供的全方位保护 Microsoft Rights Management 微软在文档安全和权限管理领域一直努力不断 数字音乐、电子书籍、视频 微软的两套数字版权保护方案： Windows版权管理服务 Windows Rights Management Services (RMS) Windows媒体版权管理 Windows Media Rights Manager (WM RM) 文档版权的问题 解决方案的定义 版权管理系统应该满足： 允许个人和组织保护他们所持用的数据 可以细致的控制和配置权限 禁止信息的复制、转发和修改 针对组织数据的持久性保护 版权管理系统无法做到： 万无一失的保护 在安全领域没有一劳永逸的办法 无法针对模拟和手工复制进行保护 Windows RMS的工作流程 受保护的文档格式 RMS的演示 文档权限迁移工具介绍 Xcopy 如何将一个文件夹复制到另一个文件夹中并保留其权限 /kb/323007/zh-cn xcopy sourcedestination /O /X /E /H /K 其他工具 /FileAndDiskUtilities.html TechNet是什么? 只需轻轻点击，答案就在您的指尖 对于IT 专业人员来说，TechNet 是一个知识的宝库，你可以找到关于如何规划，部署和管理微软产品的的技术资源 我们从哪里可以了解到 TechNet? 访问TechNet的官方网站/China/technet 注册TechNet快报 /china/technet/abouttn/subscriptions