域环境下重要五资料文件的安全-efs加密.docVIP

PAGE 2 PAGE 1 域环境下如何保护重要资料文件的安全(一)EFS加密(上) 原创作品，允许转载，转载时请务必以超链接形式标明文章 HYPERLINK /151750/191592原始出处 、作者信息和本声明。否则将追究法律责任。HYPERLINK /151750/191592/151750/191592 hi,大家好.我想和大家从简入难地交流一下这个话题,是由来于论坛上一个网友的提问( 链接:HYPERLINK /thread-604202-1.html/thread-604202-1.html).可能还有很多朋友也关心这个问题,那么我们就来一起看看怎么解决它吧. 话说资料文件的安全一直是比较受到公司重视的部分.以本人所在的公司来说,由于企业性质,员工进出单位都是禁止携带移动存储设备的(有保卫部门 安检,违反规定的员工必然开除),并且公司内客户端(超过1500台)电脑全部做了USB端口管制,Netscreen硬件防火墙+ISA代理服务器限制 上网,等等等等,部署了多重安全措施.足见公司对资讯安全的重视!那么,这样就无懈可击了吗?如果在域环境下,有人趁我不在的时候用他/她自己的域账号登 录了我的电脑,偷看了我的重要文件(绝不该他/她看的文件)呢?如果文件被打开然后被打印或被抄写,纸张带在身上可不会触发金属探测器的哦. 那么,我们要用什么方法来尽量避免此类情况出现呢?并且前提是: 一.尽量花钱少,现在提倡开源节流,申请买什么都难啊,别说是动辄几千上万的软件硬件了. 二.用户体验良好,不能有太复杂的操作让用户(员工)来做,这点很重要.操作过于复杂,可能造成用户操作失误而没有达到效果,另外长期以往,用户会产生抵触心理而不怎么使用它. 三.加密技术成熟,不要像PDF,winrar这类加密文件随便google一下也有百八十种破解工具. 好吧,目标很明确了,开始挑战之旅吧. 先看看现有的环境.公司客户端操作系统基本上都安装的是Windows XP Professional,还有极少部分的Windows 2000 Professional,并且磁盘上的分区格式基本上都为NTFS(老旧的2000还有用FAT32格式,XP系统都是我们IT部门统一安装的,可以保 证是NTFS磁盘文件格式).我们在请出今天的主角之前,要先把残留的FAT32消灭,都换成NTFS. 那得先把装Win2000的客户端从局域网中都找出来.手段多种多样,最省事的,发个全厂mail通知用户查看自己的计算机情况,然后不是 ntfs的打电话或发邮件反馈,那样动静太大了,而且也体现不出我们系统工程师的水平...所以,一般可以使用脚本收集客户端信息再来导入到数据库中查找 (最专业最繁琐的做法), 好在我的环境中有SMS2003,省事了,直接到计算机集合里面看看就知道啦~ 找到了以后提出远程控制请求.取得了客户机的控制权以后我们要做的就是转化磁盘格式.命令相信大家已经烂熟于心了: CONVERT volume /FS:NTFS [/V] [/CvtArea:filename] [/NoSecurity] [/X] 如果提示你当前域用户权限不足,而你又不想登出切换管理员账号,不妨用用runas命令. 然后重启计算机,完成磁盘格式转化. 接下来我们可以请出本文主角了EFS (Encrypting File System，加密档案系统) 简单介绍一下EFS吧.从Windows 2000/XP/Server 2003开始,系统都配备了EFS（Encrypting File System，加密档案系统），它可以针对存储在NTFS磁盘卷上的文件和文件夹执行对用户透明的加密操作.说到对用户透明,是因为你(用户)使用它加密 的文件在访问时不会产生任何让你输入密码之类的操作,感觉和没有和访问未加密文件没有区别.我们后面演示部分会看到. 其实,EFS加密技术也是采用了公钥/私钥密码学原理的,这个原理要铺上来怕是几千字都不够写,大家只要记住一点就好:公钥加密,私钥解密.所以任何被某用户公钥加密后的NTFS文件也只能被此用户的私钥解密,没有手握这个用户私钥的其他用户想解密/查看是办不到的. 要使用EFS来加密文件或文件夹,那真的是非常简单: 这里有个域用户cto想要加密他的一份重要文件,他要做的操作就是 在要加密的文件上鼠标右键点击属性点击高级--勾选加密内容以便保护数据 OK,完成. 如果是要加密整个文件夹,就在文件夹属性里执行上面的操作,有一小点不同的是你需要选择是只对此文件夹加密还是要对文件夹中所有的资料(文件,子文件夹)加密. 点击确定后完成加密,可以看到文件名字变成了绿色,用户cto双击文件,可以正常查看修改. 然后我们注销系统,使用另外一个域用户cfo登陆,定位到刚才的文件,双击