hi,大家好.我想和大家從簡入難地交流一下這個(gè)話題,是由來于論壇上一個(gè)網(wǎng)友的提問.可能還有很多朋友也關(guān)心這個(gè)問題,那么我們就來一起看看怎么解決它吧.

話說資料文件的安全一直是比較受到公司重視的部分.以本人所在的公司來說,由于企業(yè)性質(zhì),員工進(jìn)出單位都是禁止攜帶移動(dòng)存儲設(shè)備的(有保衛(wèi)部門安檢,違反規(guī)定的員工必然開除),并且公司內(nèi)客戶端(超過1500臺)電腦全部做了USB端口管制,Netscreen硬件防火墻+ISA代理服務(wù)器限制上網(wǎng),等等等等,部署了多重安全措施.足見公司對資訊安全的重視!那么,這樣就無懈可擊了嗎?如果在域環(huán)境下,有人趁我不在的時(shí)候用他/她自己的域賬號登錄了我的電腦,偷看了我的重要文件(絕不該他/她看的文件)呢?如果文件被打開然后被打印或被抄寫,紙張帶在身上可不會觸發(fā)金屬探測器的哦.

那么,我們要用什么方法來盡量避免此類情況出現(xiàn)呢?并且前提是:

一.盡量花錢少,現(xiàn)在提倡開源節(jié)流,申請買什么都難啊,別說是動(dòng)輒幾千上萬的軟件硬件了.

二.用戶體驗(yàn)良好,不能有太復(fù)雜的操作讓用戶(員工)來做,這點(diǎn)很重要.操作過于復(fù)雜,可能造成用戶操作失誤而沒有達(dá)到效果,另外長期以往,用戶會產(chǎn)生抵觸心理而不怎么使用它.

三.加密技術(shù)成熟,不要像PDF,winrar這類加密文件隨便google一下也有百八十種破解工具.

好吧,目標(biāo)很明確了,開始挑戰(zhàn)之旅吧.

先看看現(xiàn)有的環(huán)境.公司客戶端操作系統(tǒng)基本上都安裝的是Windows XP Professional,還有極少部分的Windows 2000 Professional,并且磁盤上的分區(qū)格式基本上都為NTFS(老舊的2000還有用FAT32格式,XP系統(tǒng)都是我們IT部門統(tǒng)一安裝的,可以保證是NTFS磁盤文件格式).我們在請出今天的主角之前,要先把殘留的FAT32消滅,都換成NTFS.

那得先把裝Win2000的客戶端從局域網(wǎng)中都找出來.手段多種多樣,最省事的,發(fā)個(gè)全廠mail通知用戶查看自己的計(jì)算機(jī)情況,然后不是ntfs的打電話或發(fā)郵件反饋,那樣動(dòng)靜太大了,而且也體現(xiàn)不出我們系統(tǒng)工程師的水平...所以,一般可以使用腳本收集客戶端信息再來導(dǎo)入到數(shù)據(jù)庫中查找(---最專業(yè)最繁瑣的做法), 好在我的環(huán)境中有SMS2003,省事了,直接到計(jì)算機(jī)集合里面看看就知道啦~

找到了以后提出遠(yuǎn)程控制請求.取得了客戶機(jī)的控制權(quán)以后我們要做的就是轉(zhuǎn)化磁盤格式.命令相信大家已經(jīng)爛熟于心了:

CONVERT volume /FS:NTFS [/V] [/CvtArea:filename] [/NoSecurity] [/X]

如果提示你當(dāng)前域用戶權(quán)限不足,而你又不想登出切換管理員賬號,不妨用用runas命令.

然后重啟計(jì)算機(jī),完成磁盤格式轉(zhuǎn)化.

接下來我們可以請出本文主角了---EFS (Encrypting File System，加密檔案系統(tǒng))

簡單介紹一下EFS吧.從Windows 2000/XP/Server 2003開始,系統(tǒng)都配備了EFS（Encrypting File System，加密檔案系統(tǒng)），它可以針對存儲在NTFS磁盤卷上的文件和文件夾執(zhí)行對用戶透明的加密操作.說到對用戶透明,是因?yàn)槟?用戶)使用它加密的文件在訪問時(shí)不會產(chǎn)生任何讓你輸入密碼之類的操作,感覺和沒有和訪問未加密文件沒有區(qū)別.我們后面演示部分會看到.

其實(shí),EFS加密技術(shù)也是采用了公鑰/私鑰密碼學(xué)原理的,這個(gè)原理要鋪上來怕是幾千字都不夠?qū)?大家只要記住一點(diǎn)就好:公鑰加密,私鑰解密.所以任何被某用戶公鑰加密后的NTFS文件也只能被此用戶的私鑰解密,沒有手握這個(gè)用戶私鑰的其他用戶想解密/查看是辦不到的.

要使用EFS來加密文件或文件夾,那真的是非常簡單:

這里有個(gè)域用戶cto想要加密他的一份重要文件,他要做的操作就是

在要加密的文件上鼠標(biāo)右鍵點(diǎn)擊"屬性"---點(diǎn)擊"高級"--勾選"加密內(nèi)容以便保護(hù)數(shù)據(jù)"

OK,完成.

如果是要加密整個(gè)文件夾,就在文件夾屬性里執(zhí)行上面的操作,有一小點(diǎn)不同的是你需要選擇是只對此文件夾加密還是要對文件夾中所有的資料(文件,子文件夾)加密.

點(diǎn)擊確定后完成加密,可以看到文件名字變成了綠色,用戶cto雙擊文件,可以正常查看修改.

然后我們注銷系統(tǒng),使用另外一個(gè)域用戶cfo登陸,定位到剛才的文件,雙擊打開,

拒絕訪問了.效果達(dá)到,用戶cfo不能查看用戶cto使用EFS加密過的文件.

有的朋友問了,如果這個(gè)文件是放在共享文件夾內(nèi)的呢?

會提示你無法查看也無法復(fù)制的.

記得有個(gè)網(wǎng)友問過如果復(fù)制過來的分區(qū)是FAT32格式的呢,結(jié)果是一樣的.

仍然是拒絕訪問.

這是為什么呢?

道理很簡單

誰有那把秘密鑰匙誰才能開那個(gè)箱子.

問題來了,那把密鑰到底放在那個(gè)房子(存放加密文件的計(jì)算機(jī))的什么地方呢?若是把那把密鑰給我我就能開那個(gè)箱子了嗎?

回看cto加密<重要資料>的計(jì)算機(jī)上,確保使用cto此域賬號登陸,使用mmc命令調(diào)出控制臺(或者使用certmgr.msc),添加"證書"管理單元,選擇"我的用戶賬戶"

點(diǎn)開個(gè)人---證書,可以看到有一個(gè)對應(yīng)當(dāng)前cto用戶名的證書,我們選擇導(dǎo)出它.

這里一定要選擇"是,導(dǎo)出私鑰" , 私鑰正是我們苦苦尋找的那把解鎖的鑰匙

保持默認(rèn)

密鑰外頭還要套個(gè)密碼箱才能交給別人,怎么樣?保護(hù)的夠周到吧.

切記,你要把這把鑰匙給別人用,你的這個(gè)裝它的密碼箱密碼也是要交給別人的

給鑰匙起個(gè)名字

完成,導(dǎo)出

傳說中的"血色十字軍鑰匙"

現(xiàn)在我們可以換cfo登錄系統(tǒng),找到剛才導(dǎo)出的cto的密鑰

雙擊,導(dǎo)入,導(dǎo)入時(shí)要輸入剛才導(dǎo)出時(shí)設(shè)置的密碼

導(dǎo)入成功后可以在cfo的證書管理控制單元中看到cto的證書

注意看上圖中,只有新導(dǎo)入的cto的用戶證書,而沒有cfo自己的,這是因?yàn)閏fo還沒有使用EFS加密過文件,等他***次執(zhí)行過EFS加密,就會看到相應(yīng)的證書了.

cfo現(xiàn)在可以看cto親手加密的文件了.

這樣做其實(shí)有一定的后果,你想,cfo拿到了cto的私鑰,以后這臺機(jī)器上只要是cto的加密文件cfo就都能看了,cto可不干了,有沒有辦法讓cto指定cfo能看哪些加密的,不能看哪些加密的呢?

其實(shí),這個(gè)問題,在Windows XP Professional版本中就得到了解決,

要達(dá)到這個(gè)效果,需要讓cfo也使用EFS加密一次以便生成自己的用戶證書.

注明:我已經(jīng)將剛才導(dǎo)入的cto證書刪除,模擬cto證書沒有導(dǎo)入的情況

此時(shí)cfo已經(jīng)無法訪問cto加密過的文件

下圖為例,cfo想要訪問cto加密的一個(gè)文件,文件名為<極其重要資料>

可以看到,訪問拒絕

回到用cto賬號登錄,在此文件<極其重要資料>上右鍵屬性---點(diǎn)擊加密旁邊的"詳細(xì)信息按鈕",在"可透明訪問這個(gè)文件的用戶"下點(diǎn)擊添加

可以看到cfo的用戶證書也赫然在列,我們把它加進(jìn)來

注銷,再以cfo登錄

cfo可以看cto特意為他共享出來的EFS加密文件了,然而他貪心不足地還想看看旁邊的那個(gè)

想投機(jī)把自己證書加進(jìn)去...

就是這樣.

經(jīng)過了EFS加密設(shè)置,cto只要保護(hù)好自己的賬號密碼,就不用擔(dān)心有人能偷偷登錄到他本機(jī)去看他的重要資料了.
但是有一點(diǎn),非常關(guān)鍵,想必吃過這個(gè)虧的網(wǎng)友都牢記住了,用來解密文件的用戶私鑰是一定需要隨證書導(dǎo)出來備份的,否則當(dāng)重新安裝了操作系統(tǒng)而無相應(yīng)的用戶證書導(dǎo)入之時(shí),就算你用相同的用戶再登入也是無法解密的.

那用戶當(dāng)時(shí)就是忘記了備份含密鑰的證書了,而現(xiàn)在出問題了,怎么辦?我只能告訴你,網(wǎng)上可能會有一些破解EFS加密的軟件你可以嘗試,但完全恢復(fù)幾率很低.要么你可以嘗試重構(gòu)計(jì)算機(jī)SID,加密時(shí)使用的賬號/域賬號的SID,這個(gè)難度很大很大.所以,我覺得防患于未然才是王道,

【編輯推薦】

1. 文件安全：Vista中EFS加密功能妙用
2. 安全必知導(dǎo)入導(dǎo)出EFS加密文件系統(tǒng)證書
3. 如何共享Win XP中的EFS加密文件