hi,大家好.我想和大家从简入难地交流一下这个话题,是由来于论坛上一个网友的提问.可能还有很多朋友也关心这个问题,那么我们就来一起看看怎么解决它吧.
话说资料文件的安全一直是比较受到公司重视的部分.以本人所在的公司来说,由于企业性质,员工进出单位都是禁止携带移动存储设备的(有保卫部门安检,违反规定的员工必然开除),并且公司内客户端(超过1500台)电脑全部做了USB端口管制,Netscreen硬件防火墙+ISA代理 服务器 限制上网,等等等等,部署了多重安全措施.足见公司对资讯安全的重视!那么,这样就无懈可击了吗?如果在域环境下,有人趁我不在的时候用他/她自己的域账号登录了我的电脑,偷看了我的重要文件(绝不该他/她看的文件)呢?如果文件被打开然后被打印或被抄写,纸张带在身上可不会触发金属探测器的哦.
那么,我们要用什么方法来尽量避免此类情况出现呢?并且前提是:
一.尽量花钱少,现在提倡开源节流,申请买什么都难啊,别说是动辄几千上万的软件硬件了.
二.用户体验良好,不能有太复杂的操作让用户(员工)来做,这点很重要.操作过于复杂,可能造成用户操作失误而没有达到效果,另外长期以往,用户会产生抵触心理而不怎么使用它.
三.加密技术成熟,不要像PDF,winrar这类加密文件随便google一下也有百八十种破解工具.
好吧,目标很明确了,开始挑战之旅吧.
先看看现有的环境.公司客户端操作系统基本上都安装的是Windows XP Professional,还有极少部分的Windows 2000 Professional,并且磁盘上的分区格式基本上都为NTFS(老旧的2000还有用fat32格式,XP系统都是我们IT部门统一安装的,可以保证是NTFS磁盘文件格式).我们在请出今天的主角之前,要先把残留的FAT32消灭,都换成NTFS.
那得先把装Win2000的客户端从局域网中都找出来.手段多种多样,最省事的,发个全厂mail通知用户查看自己的计算机情况,然后不是ntfs的打电话或发邮件反馈,那样动静太大了,而且也体现不出我们系统工程师的水平…所以,一般可以使用脚本收集客户端信息再来导入到数据库中查找(—最专业最繁琐的做法), 好在我的环境中有SMS2003,省事了,直接到计算机集合里面看看就知道啦~
找到了以后提出远程控制请求.取得了客户机的控制权以后我们要做的就是转化磁盘格式.命令相信大家已经烂熟于心了:
CONVERT volume /FS:NTFS [/V] [/CvtArea:filename] [/NoSecurity] [/X]
如果提示你当前域用户权限不足,而你又不想登出切换管理员账号,不妨用用runas命令.
然后重启计算机,完成磁盘格式转化.
接下来我们可以请出本文主角了—EFS (Encrypting File System,加密档案系统)
简单介绍一下EFS吧.从Windows 2000/XP/Server 2003开始,系统都配备了EFS(Encrypting File System,加密档案系统),它可以针对存储在NTFS磁盘卷上的文件和文件夹执行对用户透明的加密操作.说到对用户透明,是因为你(用户)使用它加密的文件在访问时不会产生任何让你输入密码之类的操作,感觉和没有和访问未加密文件没有区别.我们后面演示部分会看到.
其实,EFS加密技术也是采用了公钥/私钥密码学原理的,这个原理要铺上来怕是几千字都不够写,大家只要记住一点就好:公钥加密,私钥解密.所以任何被某用户公钥加密后的NTFS文件也只能被此用户的私钥解密,没有手握这个用户私钥的其他用户想解密/查看是办不到的.
要使用EFS来加密文件或文件夹,那真的是非常简单:
这里有个域用户cto想要加密他的一份重要文件,他要做的操作就是
在要加密的文件上鼠标右键点击”属性”—点击”高级”–勾选”加密内容以便保护数据”
OK,完成.
如果是要加密整个文件夹,就在文件夹属性里执行上面的操作,有一小点不同的是你需要选择是只对此文件夹加密还是要对文件夹中所有的资料(文件,子文件夹)加密.
点击确定后完成加密,可以看到文件名字变成了绿色,用户cto双击文件,可以正常查看修改.
然后我们注销系统,使用另外一个域用户cfo登陆,定位到刚才的文件,双击打开,
拒绝访问了.效果达到,用户cfo不能查看用户cto使用EFS加密过的文件.
有的朋友问了,如果这个文件是放在共享文件夹内的呢?
会提示你无法查看也无法复制的.
记得有个网友问过如果复制过来的分区是FAT32格式的呢,结果是一样的.
仍然是拒绝访问.
这是为什么呢?
道理很简单
谁有那把秘密钥匙谁才能开那个箱子.
问题来了,那把密钥到底放在那个房子(存放加密文件的计算机)的什么地方呢?若是把那把密钥给我我就能开那个箱子了吗?
回看cto加密<重要资料>的计算机上,确保使用cto此域账号登陆,使用mmc命令调出控制台(或者使用certmgr.msc),添加”证书”管理单元,选择”我的用户账户”
点开个人—证书,可以看到有一个对应当前cto用户名的证书,我们选择导出它.
这里一定要选择”是,导出私钥” , 私钥正是我们苦苦寻找的那把解锁的钥匙
保持默认
密钥外头还要套个密码箱才能交给别人,怎么样?保护的够周到吧.
切记,你要把这把钥匙给别人用,你的这个装它的密码箱密码也是要交给别人的
给钥匙起个名字
完成,导出
传说中的”血色十字军钥匙”
现在我们可以换cfo登录系统,找到刚才导出的cto的密钥
双击,导入,导入时要输入刚才导出时设置的密码
导入成功后可以在cfo的证书管理控制单元中看到cto的证书
注意看上图中,只有新导入的cto的用户证书,而没有cfo自己的,这是因为cfo还没有使用EFS加密过文件,等他***次执行过EFS加密,就会看到相应的证书了.
cfo现在可以看cto亲手加密的文件了.
这样做其实有一定的后果,你想,cfo拿到了cto的私钥,以后这台机器上只要是cto的加密文件cfo就都能看了,cto可不干了,有没有办法让cto指定cfo能看哪些加密的,不能看哪些加密的呢?
其实,这个问题,在Windows XP Professional版本中就得到了解决,
要达到这个效果,需要让cfo也使用EFS加密一次以便生成自己的用户证书.
此时cfo已经无法访问cto加密过的文件
下图为例,cfo想要访问cto加密的一个文件,文件名为<极其重要资料>
可以看到,访问拒绝
回到用cto账号登录,在此文件<极其重要资料>上右键属性—点击加密旁边的”详细信息按钮”,在”可透明访问这个文件的用户”下点击添加
可以看到cfo的用户证书也赫然在列,我们把它加进来
注销,再以cfo登录
cfo可以看cto特意为他共享出来的EFS加密文件了,然而他贪心不足地还想看看旁边的那个
想投机把自己证书加进去…
就是这样.
经过了EFS加密设置,cto只要保护好自己的账号密码,就不用担心有人能偷偷登录到他本机去看他的重要资料了.但是有一点,非常关键,想必吃过这个亏的网友都牢记住了,用来解密文件的用户私钥是一定需要随证书导出来备份的,否则当重新安装了操作系统而无相应的用户证书导入之时,就算你用相同的用户再登入也是无法解密的.
那用户当时就是忘记了备份含密钥的证书了,而现在出问题了,怎么办?我只能告诉你,网上可能会有一些破解EFS加密的软件你可以尝试,但完全恢复几率很低.要么你可以尝试重构计算机SID,加密时使用的账号/域账号的SID,这个难度很大很大.所以,我觉得防患于未然才是王道,
【编辑推荐】
什么是efs文件?
EFSEFS(Encrypting File System,加密文件系统)是Windows 2000/XP所特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接加密保存,在很大程度上提高了数据的安全性。 (1)什么是EFS加密EFS加密是基于公钥策略的。 在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK(File Encryption Key,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。 随后系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。 而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。 在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据。 如果你登录到了域环境中,密钥的生成依赖于域控制器,否则依赖于本地机器。 EFS加密系统对用户是透明的。 这也就是说,如果你加密了一些数据,那么你对这些数据的访问将是完全允许的,并不会受到任何限制。 而其他非授权用户试图访问加密过的数据时,就会收到“访问拒绝”的错误提示。 EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。 (2)EFS加密选中NTFS分区中的一个文件,点击鼠标右键,选择“属性”命令,在出现的对话框中点击“常规”选项卡,然后点击“高级”按钮,在出现的对话框中选中“加密内容以便保护数据”选项,点击“确定”即可。 此时你可以发现,加密文件名的颜色变成了绿色,当其他用户登录系统后打开该文件时,就会出现“拒绝访问”的提示,这表示EFS加密成功。 而如果想取消该文件的加密,只需将“加密内容以便保护数据”选项去除即可(3)EFS解密如果其他人想共享经过EFS加密的文件或文件夹,又该怎么办呢?由于重装系统后,SID(安全标示符)的改变会使原来由EFS加密的文件无法打开,所以为了保证别人能共享EFS加密文件或者重装系统后可以打开EFS加密文件,必须要进行备份证书。 点击“开始→运行”菜单项,在出现的对话框中输入“”,回车后,在出现的“证书”对话框中依次双击展开“证书-当前用户→个人→证书”选项,在右侧栏目里会出现以你的用户名为名称的证书。 选中该证书,点击鼠标右键,选择“所有任务→导出”命令,打开“证书导出向导”对话框。 在向导进行过程中,当出现“是否要将私钥跟证书一起导出”提示时,要选择“是,导出私钥”选项,接着会出现向导提示要求密码的对话框。 为了安全起见,可以设置证书的安全密码。 当选择好保存的文件名及文件路径后,点击“完成”按钮即可顺利将证书导出,此时会发现在保存路径上出现一个以PFX为扩展名的文件。 当其他用户或重装系统后欲使用该加密文件时,只需记住证书及密码,然后在该证书上点击右键,选择“安装证书”命令,即可进入“证书导入向导”对话框。 按默认状态点击“下一步”按钮,输入正确的密码后,即可完成证书的导入,这样就可顺利打开所加密的文件。
如何应对网络世界信息安全危机
对邮件进行加密(专家特别提醒不要把重要内容保存在邮箱内)邮箱内的内容是很不安全的,并不是说网站提供的服务不安全,而是说邮箱内容泄漏方式很多,包括自己邮箱密码被破解。 总之邮箱不是保险箱。 对于企事业单位而言,更应该对私密性邮件进行保护,可以使用“安全邮件系统”(ETsafeMail)对电子邮件系统进行加密。 对邮件系统从前端用户登陆到后端邮件存储等方面增强安全性。 、重视文档安全,对文档进行加密随着企业信息化的加速,对于企事业单位而言,大量的电子文档作为承载信息的媒介成为特殊的关键资产,而电子文档的易传播、易扩散性决定了它的不安全性。 企业内部重要的电子文档一旦被有意无意的泄露,将会带来不可估量的损失,应对这种需求,企业可以使用时代亿信“文档安全管理系统”(SecureDOC)最大限度保护电子文档的安全使用,能够有效避免重要电子文档被泄露带来不可估量的损失。 使用关键信息加密,用户身份识别和访问控制策略可以使涉密信息资源按权限划分访问级别并能准确识别访问者的身份,通过加密技术有效的防止数据被盗取,还可在自动保密的同时,记录侵犯者的每项操作过程,从而对案件的侦破也奠定了基础
如何保护环境资料
环保文章: 古往今来,地球妈妈用甘甜的乳汁哺育了无数代子孙。 原来的她被小辈们装饰得楚楚动人。 可是,现在人类为了自身的利益,将她折磨得天昏地暗。 人类只有一个地球;而地球正面临着严峻的环境危机。 “救救地球”已成为世界各国人民最强烈的呼声。 我为周围环境的恶化而感到心痛,我想:作为未来接班人的青少年,如果不了解人类环境的构成和环境问题的严重性,无视有关环境保护的法律法规,不去增强环境保护意识,自觉履行保护环境的义务的话,我们的生命将毁在自己的手中,老天将对我们作出严厉的惩罚。 为此我下定决心要从我做起爱护环境,保护我们这个赖以生存的家园,做一个保护环境的卫士。 在刚过去的一年中,我积极参加学校开展的植树活动,带领我们初一(6)中队的班干部创立了“绿色天使”植绿护绿小组,鼓励队员们在校园里认养了一棵小树苗,利用课余时间给它梳妆打扮,为它长成参天大树打下了基础。 在学校组织的“让地球充满生机”的签字活动中,我郑重地在上面签下自己的名字,并写下了自己对环保的决心和期望,对美好未来的憧憬。 我积极参加学校在世界环境日举行的有奖征稿,认真查阅、收集各类资料,进行社会调查,撰写有关环境治理设想方面的文章,我经常去参加学校组织的环保讲座,观看环保方面的录相带,积极参预环保知识问答调查活动,认真填写每一项提问。 我参与了“红领巾植绿护绿队”的网站建设,在上面发布大量的环保图片和环保知识,以及关于环保的各方面的法律知识,我国在环保方面发展动向、世界各国的环境保护情况;每个月我都利用网络、报纸,查找一些最新的不同的专题和板块“环保资讯”来告诉大家;还定期制作一些宣传板来宣传环保知识和生活中的环保常识。 提高了大家的环保意识;号召同学们从不同的方面来关爱自己的家园,从身边的小事做起,为周围的环境奉献自己的一份力量!我积极动员身边的人一起来依法保护和建设人类共有的同样也是仅有的家园,为促进经济和社会的可持续发展,为人类的文明做出贡献。 我还和同学们共同发起“养一盆花,认养一棵树、爱惜每一片绿地,让我们周围充满绿色”和“小用塑料袋不使用泡沫饭盒和一次性筷子,让我们远离白色污染”的倡议。 让我们放下方便袋,拿起菜篮子,让我们共同走向美好的绿色的明天,走向辉煌、灿烂的未来! 据我收集到的一份报告说:“环境问题是由于人类不合理地开发和利用自然源所造成的。 触目惊心的环境问题主要有大气污染、水质污染、噪声污染、食品污染、不适当开发利用自然资源这五大类。 ”一个个铁一样的事实告诉我们,它们像恶魔般无情地吞噬着人类的生命。 它威胁着生态平衡,危害着人体健康,制约着经济和社会的可持续发展,它让人类陷入了困境。 为此我作出宣告:“只要我们——人类有时刻不忘保护环境的意识,有依法治理环境的意识,地球村将成为美好的乐园”。 未来的天空一定是碧蓝的,水是清澈的,绿树成荫鲜花遍地,人类可以尽情享受大自然赋予我们的幸福。 “真正检验我们对环境的贡献不是言辞,而是行动。 ”虽然我现在做得只不过是一些微小的事,但是我坚信要是我们人人都有保护环境的责任心,从自己做起,从小事做起,携手保护我们的家园,自然会给人类应有的回报。 在温暖的摇篮——草原上小憩;在慈祥的笑脸——天空下成长,在爱的源泉——河流中沐浴.参考资料:
发表评论