這兩天在論壇上又看到有網(wǎng)友提問,"能不能利用一些比較簡單地方法實(shí)現(xiàn)對(duì)文件服務(wù)器上的私人文件/文件夾的保護(hù)呢?因?yàn)椴幌胱寗e的用戶瀏覽到自己的共享文件夾中的某些個(gè)文件!".

應(yīng)對(duì)這種需求時(shí),文件服務(wù)器管理員在平常一般都會(huì)采用在文件服務(wù)器上共享出來的大目錄下新建子目錄然后修改NTFS權(quán)限來實(shí)現(xiàn).但是對(duì)于普通域用戶,他們想更為靈活和簡單地掌控自己文件檔案的安全性和隱私性的話,權(quán)限的疊加或者設(shè)置對(duì)他們而言就有些難以掌握了.

其實(shí),對(duì)于大量采用Windows XP作為客戶端,Windows server 2003以上作為文件服務(wù)器操作系統(tǒng)并且有域環(huán)境的企業(yè)來說,讓用戶可以使用EFS對(duì)自己存儲(chǔ)在遠(yuǎn)程服務(wù)器上的私有資料進(jìn)行加密就成為了一種可供選擇的方案.畢竟EFS對(duì)于用戶操作的透明性和簡易性比較于其他方案是有很大優(yōu)勢(shì)的.

下面我們就一起來看一下如何配置使得用戶可以使用EFS對(duì)遠(yuǎn)程文件服務(wù)器上的文件加密.

相信看過我之前博文<域環(huán)境下如何保護(hù)重要資料文件的安全---EFS加密(上下篇)>的朋友對(duì)于域環(huán)境中的EFS使用已經(jīng)有了一些共識(shí):本地計(jì)算機(jī)上使用EFS加密操作真的好簡單.在要加密的檔案上右鍵,選擇"常規(guī)"-->;"屬性"-->;"高級(jí)"-->;"加密內(nèi)容以便保護(hù)數(shù)據(jù)"就完事了,同樣的做法直接搬到遠(yuǎn)程文件服務(wù)器上呢?

加密失敗

這里我使用一個(gè)名稱為"cfo"的普通域用戶賬號(hào)登陸客戶端(IP:172.16.0.201),先對(duì)他在文件服務(wù)器(IP:172.16.0.101,FQDN:contoso-sccm.contoso.com)上要訪問的共享文件夾(共享名test, cfo對(duì)其擁有完全控制權(quán)限)做一個(gè)磁盤映射,然后對(duì)其中的檔案試圖進(jìn)行EFS加密,可以看到

會(huì)直接提示"應(yīng)用屬性時(shí)出錯(cuò)",試圖加密失敗.#p#

委派任務(wù)

其實(shí)動(dòng)手之前稍微想一下,失敗是必然的事情,遠(yuǎn)程服務(wù)器沒有得到用戶的信任和授權(quán),同時(shí)也并不擁有用戶的證書和密鑰(如果您對(duì)證書及密鑰的概念不是很理解請(qǐng)?jiān)敿?xì)閱讀我之前的博文),怎么可能就這樣輕而易舉地代替用戶實(shí)現(xiàn)加密.

所以我們需要先對(duì)遠(yuǎn)程服務(wù)器進(jìn)行委派的動(dòng)作.來到域控上,

打開"Active Directory用戶和計(jì)算機(jī)",找到文件服務(wù)器的機(jī)器名,右鍵選擇"屬性",然后點(diǎn)擊"委派"選項(xiàng)卡,選擇"僅信任此計(jì)算機(jī)來委派指定的服務(wù)",跟著單擊"添加",然后單擊"用戶和計(jì)算機(jī)",瀏覽到文件服務(wù)器后點(diǎn)擊"確定",這時(shí)會(huì)出現(xiàn)一個(gè)"可用服務(wù)"列表,選擇添加其中的"cifs"和"protectedstorage"服務(wù).完成操作后需要將文件服務(wù)器進(jìn)行一次重啟.

圖2#p#

證書和密鑰

完成了委派的操作,就相當(dāng)于對(duì)服務(wù)器進(jìn)行了授權(quán),允許它代表用戶執(zhí)行某種(或全部的)服務(wù).下邊需要做的就是讓文件服務(wù)器擁有域用戶的證書和密鑰.關(guān)于這一步,有兩種做法,

一,直接在文件服務(wù)器上使用域用戶賬號(hào)登錄一次,并且隨便加密一個(gè)文件,這樣就可以生成域用戶的證書和密鑰了.

二，是在域用戶擁有用戶漫游配置文件(Roaming Users Profile)的情況下,直接將RUP下載到文件服務(wù)器上對(duì)應(yīng)的位置即可.(此步圖略,并且由于本人的實(shí)驗(yàn)環(huán)境問題,選擇了第一種方式獲得的用戶證書及密鑰).

做完了以上的操作,我們?cè)僭诳蛻舳嗽囍肊FS來加密遠(yuǎn)程服務(wù)器上的共享文檔看看.

咦,竟然還是圖1的報(bào)錯(cuò). 這時(shí)我們不妨到文件服務(wù)器上看看有沒有相關(guān)的信息.

來到文件服務(wù)器上執(zhí)行eventvwr.msc打開事件查看器,可以看到有這么一條報(bào)錯(cuò)信息:

圖3

這是因?yàn)镋FS不支持NTLM身份驗(yàn)證協(xié)議,而只能使用Kerberos協(xié)議.#p#

身份驗(yàn)證協(xié)議

那怎么看到客戶端上登錄的賬號(hào)是采用了什么身份驗(yàn)證協(xié)議訪問的網(wǎng)絡(luò)共享呢?

這個(gè)在事件查看器上也是有記錄的:

圖4

可以看到cfo是使用的NTLM協(xié)議來進(jìn)行身份驗(yàn)證的.

為了讓他轉(zhuǎn)為使用Kerberos協(xié)議,我們需要重新以\\FQDN方式來定位到共享文件夾再進(jìn)行磁盤映射.請(qǐng)記住: 為了Kerberos的正常工作，所有通信都必須都使用完全限定的域名 (FQDN)。

所以請(qǐng)保證你域內(nèi)的DNS服務(wù)器運(yùn)行正常.#p#

日志記錄

同樣,在轉(zhuǎn)為使用Kerberos協(xié)議進(jìn)行身份驗(yàn)證后,事件日志中也會(huì)有相應(yīng)的記錄:

圖5#p#

文件加密

我們?cè)賮碓囋噷?duì)遠(yuǎn)程服務(wù)器上的文件加密:

圖6

可以看到,終于能夠在遠(yuǎn)程 服務(wù)器上使用EFS方式對(duì)文件加密了.

總結(jié)一下使用EFS的委派模式對(duì)遠(yuǎn)程服務(wù)器上文件加密的大體步驟:

1.在域控上對(duì)遠(yuǎn)程服務(wù)器進(jìn)行信任委派并重啟(安全起見只委派兩個(gè)服務(wù)即可,不再復(fù)述,詳見正文內(nèi)容)
2.在遠(yuǎn)程服務(wù)器上生成用戶的profile及private key(兩種方法,不再復(fù)述, 詳見正文內(nèi)容)
3.使用\\FQDN名稱訪問到共享文件夾并做磁盤映射到本地(必須)#p#

最后仍有幾點(diǎn)需要說明:

1. 對(duì)于將要使用遠(yuǎn)程服務(wù)器的EFS加密的域用戶,務(wù)必在其賬號(hào)屬性中清除"敏感帳戶,不能被委派"復(fù)選框.

2.遠(yuǎn)程加密不支持跨林的委派服務(wù)器模式，要使用此方案，被委派的服務(wù)器須和用戶帳號(hào)在同一個(gè)域內(nèi).

3. EFS只能加密存儲(chǔ)在磁碟上的數(shù)據(jù).在網(wǎng)絡(luò)中傳輸數(shù)據(jù)時(shí)數(shù)據(jù)仍是沒有被加密的.所以為了保證在網(wǎng)絡(luò)傳輸時(shí)的數(shù)據(jù)安全,你可能需要使用IPsec或者EFS over WebDAV模式.

4. 在有多名用戶對(duì)某個(gè)文件夾都擁有足夠權(quán)限的時(shí)候,其中一個(gè)用戶使用EFS來加密了某些個(gè)文件都會(huì)導(dǎo)致別的用戶都無法再訪問這些文件.鑒于此, 請(qǐng)規(guī)劃好遠(yuǎn)程EFS加密的使用并且對(duì)用戶說明正確的使用場景.為了以防萬一,也請(qǐng)將EFS域恢復(fù)代理提早設(shè)置妥當(dāng).

5.雖然域內(nèi)可以使用自簽名( self-signed)的用戶證書,但對(duì)于涉及到證書的最佳實(shí)踐還是建立CA服務(wù)器以獲得和活動(dòng)目錄結(jié)合的PKI環(huán)境.

【編輯推薦】

1. 遠(yuǎn)程服務(wù)器管理技巧大全
2. 無法連接Windows遠(yuǎn)程服務(wù)器的幾種解決辦法
3. Windows 7遠(yuǎn)程服務(wù)器管理工具下載及安裝