使用安全的Windows磁碟格式

在網路上經常看到有朋友說Windows的作業系統的漏洞很多，安全性不高，伺服器經常被黑客入侵，其實不然。一個安全的伺服器的定義不僅僅是指硬體上的安全，更重要的是指作業系統方面的安全，設定一個安全的作業系統需要我們從細節一點點加固系統，通過綜合設定再加上管理人員的正常維護，才能打造真正意義上安全的伺服器。

在windows作業系統下，一些主要的分割槽格式有：FAT、FAT32以及NTFS格式，目前主流的磁碟格式均為NTFS格式，因為NTFS不但降低了磁碟空間的浪費，減少了產生磁碟碎片的可能，而且具有檔案加密和檔案壓縮的功能，最主要是NTFS格式最大限度地提升了安全效能，能夠更好的分配使用者許可權，所以在安裝伺服器作業系統時，必須選擇NTFS格式的檔案系統來提高系統安全。

在安裝作業系統時就需要選擇使用NTFS檔案格式

1）在NTFS格式的磁碟中，我們可以通過在目錄或檔案屬性皮膚的“安全”選項卡輕鬆設定使用者對此檔案或目錄各種許可權

2）利用NTFS格式磁碟上卷影副本功能為伺服器磁碟自動建立副本，以便於以後資料還原

3）利用NTFS格式磁碟的磁碟配額能有效的限制使用者對磁碟使用容量

NTFS檔案系統與FAT/FAT32檔案系統相比最大的特點是安全性，NTFS提供了伺服器或工作站所需的安全保障。

NTFS分割槽中，每一個檔案以及資料夾NTFS都儲存一個訪問控制列表（AccessControlList，ACL)，訪問控制列表包含所有被許可的使用者賬戶、組和計算機。ACL一定包含一個叫做”訪問控制項”的項（AccessControlEntry，ACE）。如果在檔案或資料夾的訪問控制列表中經過驗證沒有相應的訪問控制項，則對檔案的訪問會被拒絕。

NTFS使用事務日誌自動記錄所有資料夾和檔案更新，當出現系統損壞和電源故障等問題而引起操作失敗後，系統能利用日誌檔案重做或恢復未成功的操作。

（4）利用NTFS磁碟格式加密功能對目錄進行加密處理。

右鍵單擊要加密的檔案或資料夾，然後單擊【屬性】，在【屬性】皮膚選擇【常規】選項卡，然後單擊【高階】。選中【加密內容以便保護資料】核取方塊

NTFS磁碟格式下的加密使用的是EFS加密，加密後，此目錄將只允許當前登入使用者訪問，即使用其他管理員登入也無法檢視此目錄，除非使用者解除加密。而對於本使用者的訪問卻是透明的，也就是說，如果你加密了一些資料，那麼你對這些資料的訪問將是完全允許的，並不會受到任何限制。而其他非授權使用者試圖訪問加密過的資料時，就會收到“訪問拒絕”的錯誤提示。

EFS加密的使用者驗證過程是在登入Windows時進行的，只要登入到Windows，就可以開啟任何一個被授權的加密檔案。而對於本使用者的訪問卻是透明的，這樣就保證了各使用者的隱私與檔案安全也兼顧了操作的方便。

EFS加密是基於公鑰策略的。在使用EFS加密一個檔案或資料夾時，系統首先會生成一個由偽隨機陣列成的FEK(FileEncryptionKey，檔案加金鑰匙)，然後將利用FEK和資料擴充套件標準X演算法建立加密後的檔案，並把它儲存到硬碟上，同時刪除未加密的原始檔案。

如果其他人想共享經過EFS加密的檔案或資料夾，又該怎麼辦呢？由於重灌系統後，SID(安全標示符)的改變會使原來由EFS加密的檔案無法開啟，所以為了保證別人能共享EFS加密檔案或者重灌系統後可以開啟EFS加密檔案，必須要進行備份證書。

備份證書的操作方法如下：

①點選【開始】à【執行】選單項，在出現的對話方塊中輸入“certmgr.msc”，回車後，在出現的“證書”對話方塊中依次雙擊展開【證書】à【當前使用者】à【個人】à【證書】選項，在右側欄目裡會出現以你的使用者名稱為名稱的證書

②選中該證書，點選滑鼠右鍵，選擇【所有任務】à【匯出】命令，開啟“證書匯出嚮導”對話方塊

③在嚮導進行過程中，當出現“是否要將私鑰跟證書一起匯出”提示時，要選擇【是，匯出私鑰】選項，接著會出現嚮導提示要求密碼的對話方塊。為了安全起見，可以設定證書的安全密碼。當選擇好儲存的檔名及檔案路徑後，點選“完成”按鈕即可順利將證書匯出，此時會發現在儲存路徑上出現一個以PFX為副檔名的檔案，這就是所匯出的證書

當其他使用者或重灌系統後欲使用該加密檔案時，只需記住證書及密碼，然後在該證書上點選右鍵，選擇【安裝證書】命令，即可進入“證書匯入嚮導”對話方塊。按預設狀態點選【下一步】按鈕，輸入正確的密碼後，即可完成證書的匯入，這樣就可順利開啟所加密的檔案。

     本文轉自Tar0 51CTO部落格，原文連結：http://blog.51cto.com/tar0cissp/1308384，如需轉載請自行聯絡原作者