域環境下如何保護重要資料檔案的安全(一)—EFS加密(下)
在域環境下如何保護重要資料檔案的安全(一)—EFS加密(上)這篇文章中我們回顧瞭如何通過使用EFS加密從而達到保護重要資料檔案安全的目的.相信通過演示,大家也是對EFS的效果比較滿意的,有兄弟就蠢蠢欲動了,想推廣和部署在生產環境中了.哦,先別急別急,多聽我說幾句.
EFS在生產環境中使用,你需要考慮這麼幾個很現實的問題:
1.含金鑰的使用者證書的匯出和備份
因為EFS操作簡單易用,可能會有很多人使用它.但是使用EFS的人越多,對於使用者證書及金鑰的管理就越麻煩,不備份證書及金鑰當然不可行,遇到系統故障需要重做系統或者使用者賬號被刪除,都是極其麻煩的事情;匯出來了存放在什麼安全的位置又需要考慮,總不能還放在使用者磁碟中讓”有心人”很容易就能找到吧.
2.需要防止使用者無意或者惡意地對一些共享性質檔案加密操作.
舉個極端點的例子,某某員工在離職前夕用EFS加密了很多辦公電腦上的重要資料,他倒是拍拍屁股走了後腳開會要用到這些資料了,而他的域賬號剛巧也被IT管理人員kill掉了,這個時候他的工作接班人可就難受了.其實域賬號還好了,網管員還能從AD備份中執行授權還原回來(請參考: http://mrfly.blog.51cto.com/151750/191430) ,要是那個員工用的是自己建立的本地賬號,而後還刪除掉了,那就沒那麼簡單了.所以,在你的環境中如果給予使用者賬號許可權過大,這個是需要你結合起來慎重考慮的.
3.EFS是微軟推出的蠻久的一種系統應用,正因為其歷史悠久,它的演算法及加密流程等已被計算機高手所攻破,所以網上也散佈著不少破解工具(有興趣的朋友可以看下http://www.cctips.com/?p=39).如果你的環境中沒有能有效防止”有心人”在別人電腦上使用這些軟體的手段(包括技術上和行政上的),那麼別有用心之徒還有有機會將加密檔案解開的.
……
所以在上篇的討論部分中胡兄的友情提示大家還是要用心體會一下的.
其實,在域環境下,我們還是有一些技術手段設定能緩解上面的問題的.
Now,為大家介紹EFS Recovery Agent,中文官名:EFS恢復代理,文中以下簡稱EFSRA.
EFSRA,說簡單點,就相當於一個或多個被使用者信任的人,他/他們手裡握有一種萬能鑰匙,拿著這把鑰匙,可以解密任何信任他/他們的使用者使用EFS加密過的檔案.
在比較早的時候,處於工作組環境下的Windows 2000 pro/server 系統中預設的EFSRA就是管理員賬戶administrator(這裡我就不截圖了,手頭一時找不到沒有加域的Windows 2000的機器).這意味著就算髮生上面提到過的狀況,使用administrator都可以開啟任何使用者的加密檔案.這樣會產生一些問題,對於網管朋友們可能就根本不用去思考要不要備份使用者私鑰,對於使用者加密過的檔案安全性不高.所以到了xp pro/Windows server 2003時代,微軟修正了工作組環境下的管理員賬戶已經不再是預設的EFSRA了.
這裡我開啟一臺還未加域的XP SP3計算機,使用本地管理員帳號加密了一個檔案,然後在屬性中看它的EFS恢復代理,可以看到,確實為空白,沒有任何恢復代理賬號的存在.
我現在把這臺機器加入域.
仍使用上篇中使用過的普通域賬號cto登陸.
檢視剛才本地管理員加密過的檔案屬性裡的EFSRA資訊,沒變化,還是空白.
新建一個檔案然後加密,看看屬性…
看到了有一個EFSRA了吧,又是administrator,他是被自動新增進來的哦.
不過,這個administrator可不是次計算機本地管理員帳號的證書,而是domain administrator的.他能被自動加進來也是因為預設域組策略生效的使然.
口說無憑,我們到DC上看一下.
開啟預設域策略Default Domain Policy,找到”計算機配置”—“Windows設定”–“安全設定”–“公鑰策略”—“加密檔案系統”
我們可以看到這裡有一個證書的存在,名稱是administrator,預期目的是”檔案故障恢復”.
雙擊此證書
瀏覽到”詳細資訊”選項卡
仔細看一下證書微縮圖號碼.(若是在Windows server 2003 上則被稱為證書指紋)
證明這倆是同一個物件.
那麼,我們怎麼使用EFSRA來解密使用者的加密檔案呢?
模擬情景:
cto此域賬號已經被刪除並無法還原,在Windows XP pro上經cto使用EFS加密的檔案全部無法開啟(包括使用local administrator 和domain administrator賬號登入),EFSRA為domain administrator.
我們開始救援行動,先到DC上匯出EFS恢復代理的證書和金鑰.
注意一定要選擇一併匯出私鑰
餘下過程圖略,與上篇演示相似.
然後到客戶機上使用域管理賬號登陸.匯入剛才匯出的證書.
匯入成功後再試試看點開剛才不能訪問的檔案
可以看到cto先生加密過的檔案啦~
操作流程真的很簡單,不是嗎?
而且,域內有這麼一個真神坐鎮後方,作為系統管理員的你是不是安心了很多呢?
深一步想,我們是可以用內建網域管理員賬號Administrator還有他的包含私鑰的證書來解密任何一個域賬號加密過的檔案了,但是,在實際管理中這樣操作可能不是很方便, 因為正規企業一般都是會要求為員工建立相應的網域賬號的,連網管員也不例外,所以我們平時工作中使用的賬號基本上不會是這個內建的域管理員賬號Administrator,例如我平時用的賬號是jrfly331.那麼,能不能把我們自建的賬號以及對應的使用者證書設定為恢復代理呢?答案是肯定的.我們來看一下怎麼做吧.
到DC上,還是開啟預設域策略Default Domain Policy,找到”計算機配置”—“Windows設定”–“安全設定”–“公鑰策略”—“加密檔案系統”,在其上滑鼠右擊,
選擇”新增資料恢復代理程式”,略過嚮導畫面,可以看到
注意高亮部分,說的很明白,如果你要新增的使用者證書已經在AD中釋出,就可以直接選擇”瀏覽目錄”,如果沒釋出在AD中,需要手動指定使用者證書檔案(.cer格式).
我們先來看一下手動指定的方式.
先使用我的域賬號jrfly331登陸到任意一臺客戶機上,這個時候肯定是看不了cto加密過的檔案的.
我們調出cmd命令提示符,在裡面輸入cipher /?
可以看到,cipher 其實就是使用EFS加密操作的命令列方式.引數很多,大家可以仔細看一下,不難發現,其實上篇中所有操作基本上都可以用cipher來完成的.
這裡我們特別關注一下/R引數
呵呵,原來.cer檔案是可以這樣生成的.
繼續
兩個證書都生成了.
我們把其中的.cer(安全證書)證書拷貝到DC上去,並且開啟新增資料恢復代理程式,找到它
匯入完成後可以看到jrfly331也成為了EFSRA了
餘下的步驟和前面一樣,在客戶機上匯入jrfly331的私鑰證書
使用gpupdate/force重新整理組策略
再次點選剛才不能訪問的cto的加密檔案
可以檢視了
看檔案屬性
加密代理中可以看到jrfly331的身影了
(大家在測試到這塊的時候如果仍不能檢視加密檔案就需要確認你的組策略是否已經在客戶端更新了,因為我的是實驗環境,所以比較快)
由於篇幅有限,至於如何把使用者證書釋出到活動目錄中然後能夠在”新增資料恢復代理程式”時候選擇”瀏覽目錄”,我就比較簡單地說一下過程吧:
首先在CA伺服器上從”證書模板”中選擇複製”EFS 故障恢復代理”模板
在新模板屬性中勾選釋出到AD中,然後在”安全”中新增賬號並允許其註冊
新建要頒發的證書模板
啟用剛才配置好的新模板
在客戶端進入certmgr.msc證書控制單元,申請新證書
選擇證書類別
匯入,我們可以看到兩個證書的頒發者是不同的
同時,我們在DC上也可以通過目錄找到擁有證書的使用者了
剩下的工作就不用我再說了,前面演示過了.
總結:
看完了這兩篇關於EFS的文章,相信各位對域環境下使用EFS會有自己的思考.
EFS的效果是顯著的,同時不足之處也是明顯的,我們如果要用他來加強檔案資料的資安,一定要做好前期的規劃和準備工作,包括使用者證書的備份與存放,包括故障恢復的設計與實現等等.並且最終的方案一定是會把EFS結合NTFS許可權來做的.允許誰解密,解開了他又能做什麼操作……
正如老胡所說,貌似微軟自己現在都不怎麼提EFS了,呵呵,這也是因為不斷有新產品新技術的出現必然的結果.那麼,我們當然也要與時俱進,歡迎大家收看這個系列後面的內容—域環境下如何保護重要資料檔案的安全(二)之IRM&RMS,敬請期待~
本文轉自 jrfly331 51CTO部落格,原文連結:http://blog.51cto.com/mrfly/192026,如需轉載請自行聯絡原作者
相關文章
- 域環境下如何保護重要資料檔案的安全(三)—BitLocker(上)
- 虛擬化環境下的資料保護方案
- 模擬檔案下載稽核 有效保障HPC環境下的資料安全性
- 更安全的rm命令,保護重要資料
- 保護資料和日誌檔案的安全
- 企業檔案加密:資料保護的實戰策略加密
- 大資料環境下我們的“隱形隱私”保護問題大資料
- Oracle 11g Dataguard環境下資料檔案、日誌檔案管理(下)Oracle
- 保護資料庫的安全(一)資料庫
- HPC環境下資料下載:安全與效率的完美平衡!
- 多雲環境下,如何實現自動化的安全防護?
- 保護系統 用資料庫加密實現資料的安全資料庫加密
- RAC環境下建立本地資料檔案的解決方法
- Linux環境下sqlldr一個csv檔案LinuxSQL
- 森林-環境保護
- Oracle 11g Dataguard環境下資料檔案、日誌檔案管理(上)Oracle
- 如何保護PostgreSQL資料庫安全? | goteleportSQL資料庫Go
- CRM如何保護企業資料安全?
- CRM如何保護客戶資料安全?
- Windows系統下EFS加密解密原理分析Windows加密解密
- 微服務環境下,資料如何治理微服務
- centos環境下如何匯出資料庫CentOS資料庫
- 開發環境下PP檔案的建立開發環境
- 大資料環境下的網路安全挑戰分析大資料
- 資料夾加密小工具:保護你的隱私安全加密
- 如何檢視一個ELF檔案開啟了哪些安全保護?
- 如何在伺服器環境中上傳下載檔案伺服器
- .net程式混淆、安全、保護、加密加密
- 如何給公司重要資料檔案加密?防檔案外洩的高安全性文件加密服務商,浙江風奧科技加密
- windows xp 加密檔案系統(EFS)概述(轉)Windows加密
- Unix環境和Windows環境下Oracle引數檔案位置:WindowsOracle
- 保護資料庫的安全(二)資料庫
- 保護Oracle資料庫的安全Oracle資料庫
- 在Linux環境下使用OpenSSL對訊息和檔案進行加密Linux加密
- 如何全面保護AI資料隱私和資料安全?AI
- 93%企業使用多雲環境!資料安全當如何防護?
- LINUX下的檔案加密Linux加密
- 大資料時代下,金融行業資料安全防護如何落地?大資料行業