M1-3 使用文件系统加密加强windows文件系统安全.pptVIP

《网络安全运行与维护》 模块一 Windows桌面系统安全管理与维护 总体概述 某企业局域网络中有300台办公用计算机，每台终端电脑安装了Windows系统，在日常工作中，每台电脑组成的网络需要进行文件共享及文件权限分配，每个不同的用户有着不同的权限级别，另外在局域网中，为了使系统健康快速的运行，在每台电脑中启用了防火墙，设定了桌面系统运行的策略，并针对每个文件及文件夹都设置了加密措施，这些措施保证了在企业局域网中，每类人员有着自己的权限，可以访问不同级别的加密文件，运行在不同的策略级别上，所以，在此企业中，必须设置一下策略来实现上述目标： 加强windows主机网络安全访问权限的管理 使用防火墙规则提高windows桌面系统的防御 使用文件系统加密加强windows文件系统安全 使用本地安全策略加强windows主机的整体防御 使用安全审计加强Windows主机的安全维护 能力单元3 使用文件系统加密加强windows文件系统安全 任务描述 本章任务一中我们介绍了NTFS权限和共享权限的知识，这两种策略是数据安全的一种，并且只是针对文件夹或者文件来做一些身份的验证。本任务中，我们介绍另一种数据安全的方法——EFS（文件加密系统） 保护好数据最好的方法是给数据加密。Windows平台中提供了一种给数据加密的快捷方法——EFS。只需要存储数据所在的分区是用NTFS加密的，那么就可以使用EFS给文件夹或者文件进行加密。 任务分析 在本任务中，需要结合任务一的文件夹共享知识做为本任务基础。 在PC1的D盘上建立数据存放目录File，再在其目录下分别用bob、Mary、Tim身份建立子目录Sales、Manager、Engineer及其对应的文件。分别利用三个用户的身份针对三个目录进行EFS加密，在PC2连接到PC1（利用任务一已经设置好的文件共享权限），利用bob登陆后，查看bob可以访问哪些目录，哪些文件。 相关知识 加密文件系统系统（Encrypting File System，EFS）提供文件加密的功能。文件经过加密后，只有当初对其加密的用户或被授权的用户能够读取，因此可以提高文件的安全性。 注意只有NTFS磁盘内的文件、文件夹才可以被加密，若将文件复制或移动到非NTFS磁盘内 ,则此新文件会被解密。另外，文件加密系统和压缩两个操作之间是互斥状态。如果要对已压缩的文件加密，则该文件会自动被解压。如要对已加密的文件压缩，则该文件会自动被解密。 相关知识 用户或应用程序想要读取加密文件时，系统会将文件由磁盘内读出、自动解密后提供给用户或应用程序使用，然而存储在磁盘内的文件仍然是处于加密的状态；而当用户或用程序要将文件写入磁盘时，它们也会被自动加密后再写入磁盘内。这些些操作针对用户都是透明的。 注意：用EFS加密的文件，只有存储在本地硬盘内才会被加密，通过网络来传送时是没有加密的。 任务实施——拓扑结构 任务实施——实施步骤 实施步骤 〖步骤1 〗创建系统账户 第一步：创建多个Windows用户帐户 在PC1上创建bob、Mary、Tim三个用户 第二步：创建Windows用户组 在PC1上创建Sales、Manager、Engineer三个用户组 任务实施——实施步骤(cont.) 第三步：将不同用户加入到不同的用户组中 将bob、Mary、Tim分别加入Sales、Manager、Engineer三个用户组中 任务实施——实施步骤(cont.) 〖步骤2 〗创建文件夹 第一步：根据不同的用户创建不同的文件夹 首先建立File文件夹并建立共享及共享权限，之后分别利用bob、Mary、Tim三个用户登陆到PC1上，分别建立Sales、Manager、Engineer三个文件夹。 之后在三个文件夹下分别利用三个账号建立三个文件。Sales. txt,Manager.bmp及Engineer.zip。这里我们以Bob为例。 任务实施——实施步骤(cont.) 〖步骤3 〗加密文件 第一步：根据不同的系统帐户对文件进行加密 在PC1上分别用bob、Mary、Tim登陆，分别针对三个文件夹下的三个文件（Sales. txt,Manager.bmp及Engineer.zip）进行EFS设置。以bob为例，在Sales.txt文件上单击右键，选择属性——高级，如下图： 任务实施——实施步骤(cont.) 实施步骤 〖步骤4 〗NTFS权限 第一步： EFS与NTFS相结合，提高文件安全 设定Sales的NTFS权限：所有人允许读取，但bob的权限是完全控制。 〖步骤5 〗 验证测试 第一步：不同的用户通过网络访问不同文件夹 我们在PC2上利