第三章应用层协议及其安全实践.pptVIP

3.1 操作系统安全增强 ——以Windows XP为例 增强访问控制 XP操作系统中文件和文件夹加密及其访问控制 在重装操作系统或登录账户出问题时，是否意味着以前加密的文件或文件夹会面临永远不能打开的危险？ 解决办法：第一次使用EFS加密文件或文件夹后，应在第一时间备份密钥文件，以便不时之需。 运行→打开证书管理器（certmgr.msc）→当前用户→个人→证书→选择预期目的为“加密文件系统”的那项证书（即登录用户证书）→右击选择所有任务→导出→运行导出向导（选择导出私钥） 第六十二页，共一百零五页。 3.1 操作系统安全增强 ——以Windows XP为例 增强访问控制 XP操作系统中文件和文件夹加密及其访问控制 解决办法：第一次使用EFS加密文件或文件夹后，应在第一时间备份密钥文件，以便不时之需。 第六十三页，共一百零五页。 3.1 操作系统安全增强 ——以Windows XP为例 增强访问控制 XP操作系统中文件和文件夹加密及其访问控制 被EFS加密过的数据是不是就绝对安全？ 没有访问权限的用户虽然无法打开加密文件，但仍然可以删除该文件 应该赋予文件或文件夹访问权限：右击已经加密的文件→属性→安全 第六十四页，共一百零五页。 3.1 操作系统安全增强 ——以Windows XP为例 增强访问控制 XP操作系统中文件和文件夹加密及其访问控制 什么是组（Group）？ 第六十五页，共一百零五页。 3.1 操作系统安全增强 ——以Windows XP为例 增强访问控制 XP操作系统中文件和文件夹加密及其访问控制 什么是组（Group）？ 第六十六页，共一百零五页。 3.1 操作系统安全增强 ——以Windows XP为例 增强访问控制 XP操作系统中文件和文件夹加密及其访问控制 如何创建组（类似于创建用户）？ 运行→mmc→右击文件→添加/删除管理单元→添加本地用户和组→展开控制台根节点，在组中右击鼠标→新建组→添加成员 第六十七页，共一百零五页。 3.1 操作系统安全增强 ——以Windows XP为例 增强访问控制 XP操作系统中文件和文件夹加密及其访问控制 组或用户名称的增删 选中要删除的组或用户的名称，单击删除 添加新的组或用户 第六十八页，共一百零五页。 3.1 操作系统安全增强 ——以Windows XP为例 增强访问控制 XP操作系统中文件和文件夹加密及其访问控制 组或用户的权限（允许和拒绝） 完全控制（所有权限） 修改（权限包括3~6） 读取和运行（权限包括4、5） 列出文件夹目录（本身） 读取（本身） 写入（本身） 特别的权限（由用户指定。单击高级→选择权限用户→单击编辑） 第六十九页，共一百零五页。 3.1 操作系统安全增强 ——以Windows XP为例 增强访问控制 XP操作系统中文件和文件夹加密及其访问控制 关于用XP EFS加密文件或文件夹的注意事项 EFS加密无需输入密码（在登录时已经输入了用户账户及其密码） EFS基于NTFS分区格式，传统的FAT和FAT32没有提供该加密系统 如果重装系统或加密的文件账号不幸被删除（想一想何时会出现这种情况？），需要通过恢复代理（Recovery Agent）解密原账号文件 公司财务部的一个职工加密了财务数据的报表，某天这位职工辞职了，安全起见你直接删除了这位职工的账户。直到有一天需要用到这位职工创建的财务报表时才发现这些报表是被加密的，而用户账户已经删除，这些文件无法打开了。不过恢复代理的存在就解决了这些问题。因为被EFS加密过的文件，除了加密者本人之外还有恢复代理可以打开。 　　对于Windows 2000来说，在单机和工作组环境下，默认的恢复代理是 Administrator ；Windows XP在单机和工作组环境下没有默认的恢复代理。而在域环境中就完全不同了，所有加入域的Windows 2000/XP计算机，默认的恢复代理全部是域管理员。 第七十页，共一百零五页。 3.1 操作系统安全增强 ——以Windows XP为例 增强访问控制 XP操作系统中文件和文件夹加密及其访问控制 如何获得恢复代理？ 生成代理证书 cmd→cipher /r:\（文件路径和文件名，文件名无需后缀） C:\Documents and Settings\acercipher /r:c:\recovery 请键入密码来保护 .PFX 文件: 请重新键入密码来进行确认: .CER 文件已成功创建。 .PFX 文件已成