【正文】 提到過的狀況,對(duì)于網(wǎng)管朋友 們可能就根本不用去思考要不要備份用戶私鑰, pro/Windows server 2003時(shí)代,微軟修正了工作組環(huán)境下的管理員賬戶已經(jīng)不再是默認(rèn)的EFSRA了. 這里我打開一臺(tái)還未加域的XP SP3計(jì)算機(jī),使用本地管理員帳號(hào)加密了一個(gè)文件,然后在屬性中看它的EFS恢復(fù)代理,可以看到,確實(shí)為空白,沒有任何恢復(fù)代理賬號(hào)的存在. 我現(xiàn)在把這臺(tái)機(jī)器加入域.仍使用上篇中使用過的普通域賬號(hào)cto登陸. 查看剛才本地管理員加密過的文件屬性里的EFSRA信息,沒變化,還是空白. 新建一個(gè)文件然后加密,看看屬性...看到了有一個(gè)EFSRA了吧,又是administrator,他是被自動(dòng)添加進(jìn)來的哦.不過,這個(gè)administrator可不是次計(jì)算機(jī)本地管理員帳號(hào)的證書,而是domain .口說無憑,我們到DC上看一下.打開默認(rèn)域策略Default Domain Policy,找到計(jì)算機(jī)配置Windows設(shè)置安全設(shè)置公鑰策略加密文件系統(tǒng)我們可以看到這里有一個(gè)證書的存在,名稱是administrator,預(yù)期目的是文件故障恢復(fù). 雙擊此證書瀏覽到詳細(xì)信息選項(xiàng)卡仔細(xì)看一下證書微縮圖號(hào)碼.(若是在Windows server 2003 上則被稱為證書指紋)AD中:客戶端上: 證明這倆是同一個(gè)物件. 那么,我們怎么使用EFSRA來解密用戶的加密文件呢?模擬情景:cto此域賬號(hào)已經(jīng)被刪除并無法還原,在Windows XP pro上經(jīng)cto使用EFS加密的文件全部無法打開(包括使用local administrator 和domain administrator賬號(hào)登錄),EFSRA為domain administrator. 我們開始救援行動(dòng),先到DC上導(dǎo)出EFS恢復(fù)代理的證書和密鑰. 注意一定要選擇一并導(dǎo)出私鑰余下過程圖略,與上篇演示相似. . 導(dǎo)入成功后再試試看點(diǎn)開剛才不能訪問的文件可以看到cto先生加密過的文件啦~操作流程真的很簡單,不是嗎?而且,域內(nèi)有這么一個(gè)真神坐鎮(zhèn)后方,作為系統(tǒng)管理員的你是不是安心了很多呢?深一步想,我們是可以用內(nèi)置網(wǎng)域管理員賬號(hào)Administrator還有他的包含私鑰的證書來解密任何一個(gè)域賬號(hào)加密過的文件了,但是,在實(shí) 際管理中這樣操作可能不是很方便, 因?yàn)檎?guī)企業(yè)一般都是會(huì)要求為員工建立相應(yīng)的網(wǎng)域賬號(hào)的,連網(wǎng)管員也不例外,所以我們平時(shí)工作中使用的賬號(hào)基本上不會(huì)是這個(gè)內(nèi)置的域管理員賬號(hào) Administrator,能不能把我們自建的賬號(hào)以及對(duì)應(yīng)的用戶證書設(shè)置為恢復(fù)代理呢?答案是肯定的. 我們來看一下怎么做吧. 到DC上,還是打開默認(rèn)域策略Default Domain Policy,找到計(jì)算機(jī)配置Windows設(shè)置安全設(shè)置公鑰策略加密文件系統(tǒng),在其上鼠標(biāo)右擊, 選擇添加數(shù)據(jù)恢復(fù)代理程序,略過向?qū)М嬅?可以看到注意高亮部分,說的很明白,如果你要添加的用戶證書已經(jīng)在AD中發(fā)布,就可以直接選擇瀏覽目錄,如果沒發(fā)布在AD中,需要手動(dòng)指定用戶證書文件(.cer格式). 我們先來看一下手動(dòng)指定的方式.先使用我的域賬號(hào)jrfly331登陸到任意一臺(tái)客戶機(jī)上,這個(gè)時(shí)候肯定是看不了cto加密過的文件的.我們調(diào)出cmd命令提示符,在里面輸入cipher /?可以看到,cipher ,大家可以仔細(xì)看一下,不難發(fā)現(xiàn),其實(shí)上篇中所有操作基本上都可以用cipher來完成的.這里我們特別關(guān)注一下/R參數(shù)呵呵,. 繼續(xù)兩個(gè)證書都生成了. (安全證書)證書拷貝到DC上去,并且打開添加數(shù)據(jù)恢復(fù)代理程序,找到它導(dǎo)入完成后可以看到j(luò)rfly331也成為了EFSRA了 余下的步驟和前面一樣,在客戶機(jī)上導(dǎo)入jrfly331的私鑰證書使用gpupdate/force刷新組策略再次點(diǎn)擊剛才不能訪問的cto的加密文件可以查看了 看文件屬性加密代理中可以看到j(luò)rfly331的身影了(大家在測試到這塊的時(shí)候如果仍不能查看加密文件就需要確認(rèn)你的組策略是否已經(jīng)在客戶端更新了,因?yàn)槲业氖菍?shí)驗(yàn)環(huán)境,所以比較快) 由于篇幅有限,至于如何把用戶證書發(fā)布到活動(dòng)目錄中然后能夠在添加數(shù)據(jù)恢復(fù)代理程序時(shí)候選擇瀏覽目錄,我就比較簡單地說一下過程吧: 首先在CA服務(wù)器上從證書模板中選擇復(fù)制EFS 故障恢復(fù)代理模板 在新模板屬性中勾選發(fā)布到AD中,然后在安全中添加賬號(hào)并允許其注冊 新建要頒發(fā)的證書模板 啟用剛才配置好的新模板 ,申請新證書 選擇證書類別 導(dǎo)入,我們可以看到兩個(gè)證書的頒發(fā)者是不同的 同時(shí),我們在DC上也可以通過目錄找到擁有證書的用戶了剩下的工作就不用我再說了,前面演示過了.總結(jié):看完了這兩篇關(guān)于EFS的文章,相信各位對(duì)域環(huán)境下使用EFS會(huì)有自己的思考.EFS的效果是顯著的,同時(shí)不足之處也是明顯的,我們?nèi)绻盟麃砑訌?qiáng)文件資料的資安,一定要做好前期的規(guī)劃和準(zhǔn)備工作,包括用戶證書的備份與 存放,解開了他又能做什么操作......正如老胡所說,貌似微軟自己現(xiàn)在都不怎么提EFS了,呵呵,我們當(dāng)然也要與時(shí)俱進(jìn),歡迎大家收看這個(gè)系列后面的內(nèi)容域環(huán)境下如何保護(hù)重要資料文件的安全(二)之IRMamp。RMS,敬請期待~域環(huán)境下如何保護(hù)重要資料文件的安全(二)IRMamp。RMS(上)20090817 01:43:59原創(chuàng)作品，允許轉(zhuǎn)載，轉(zhuǎn)載時(shí)請務(wù)必以超鏈接形式標(biāo)明文章 原始出處 、作者信息和本聲明。否則將追究法律責(zé)任。 Hi,對(duì)于有打算加固公司重要資料文件安全的你,有沒有一些啟發(fā)和幫助呢?正如我在文中最 后說到的那樣,EFS作為一個(gè)歷史悠久的系統(tǒng)應(yīng)用已經(jīng)慢慢地淡出了大家的視野和考量范圍,并且它也不能滿足一些IT (),里面他提到要達(dá)到的效果:加密了的文件，只能在本域可以打到，離開本公司就不能打開,除非你有證書之類的東西！... 想要做到這點(diǎn),當(dāng)下微軟又有什么主流的技術(shù)方案和手段提供給大家呢? 在介紹本文的主角之前,我想先問一下大家平時(shí)工作中處理文檔使用最多的辦公軟件是什么? 毫無疑問,是Microsoft Office System!從Office XP, Office 2003到現(xiàn)在的Office 2007甚至已經(jīng)推出beta測試版的Office 2010,我們早已經(jīng)習(xí)慣了使用Word來寫工作文案,使用Excel來統(tǒng)計(jì)數(shù)據(jù)和做報(bào)表,使用Powerpoint來制作幻燈片,使用Outlook來 收發(fā)郵件...等等等等. 那么平時(shí)大家都用的什么手段來保護(hù)這些Office文檔的安全呢? 有人說,加密啊,可以設(shè)置密碼的,地球人都知道. 呵呵,沒錯(cuò),那我們就先來一起復(fù)習(xí)一下如何對(duì)Office文檔加密吧. 以Microsoft Office Word 2007舉例我們在點(diǎn)擊Office按鈕以后,在彈出的菜單中選擇準(zhǔn)備,然后選擇加密文檔. 接著會(huì)彈出一個(gè)對(duì)話框,叫你輸入密碼這里可以輸入最多255個(gè)字符的密碼在后臺(tái),你看不到的是它其實(shí)是使用了AES 128位的高級(jí)加密標(biāo)準(zhǔn).這里請使用大小寫字母,數(shù)字和符號(hào),長度大于等于8的復(fù)雜密碼組合. 輸入一次后它會(huì)要求再輸入一遍確認(rèn) 加密完成后,當(dāng)任何用戶需要查看此文件時(shí)都需要輸入密碼了. OK,很簡單很實(shí)用,但此種措施仍有以下的問題:,而且每要保護(hù)一個(gè)文檔都要單獨(dú)設(shè)置一個(gè)密碼,萬一用戶忘記了那麻煩可大了,上面截圖里微軟也有鄭重提示.,網(wǎng)上傳有不少破解加密的工具,我曾測試過其中一些,部分確實(shí)有效..有心人還是可以把這個(gè)文件轉(zhuǎn)移(copy,mail等方式)到其他機(jī)器上甚至自己家里慢慢嘗試各種破解工具. 好吧,Information Rights Management (簡稱IRM),閃亮登場!我們來看看IRM都能做些什么?IRM能夠讓你對(duì)每個(gè)文檔、每個(gè)用戶或每個(gè)群組設(shè)置許可(結(jié)合活動(dòng)目錄環(huán)境).它與EFS加密,Office文檔加密相比,其真正的價(jià)值則是，你可以通過設(shè)置允許他人查看，卻不讓他們做出以下操作：◆拷貝文件或文件中的任意部分◆將文件另存到他們的硬盤或其它介質(zhì)中◆編輯文件◆打印文件◆轉(zhuǎn)發(fā)郵件◆將內(nèi)容進(jìn)行傳真◆在文件中進(jìn)行剪切或粘貼操作◆使用Print Screen鍵對(duì)內(nèi)容進(jìn)行抓圖式的拷貝此外,IRM還支持文件過期,就是在使用戶在指定的一段時(shí)間后不能再查看文件內(nèi)容. 借用3G的廣告語,WO... 很好很強(qiáng)大,快一起來體驗(yàn)一下吧. 想要在Office 2007中使用IRM,我們需要先在計(jì)算機(jī)上安裝Windows Rights Management Services (RMS) Service Pack 1 (SP1)客戶端.在vista操作系統(tǒng)中此客戶端軟件是默認(rèn)已經(jīng)安裝好的,. (為什么呢?... LR你就不能把鏈接發(fā)出來我們就不用搜了啊...眾網(wǎng)友喊道)呵呵,不是我懶,咱們點(diǎn)開一個(gè)Word 2007(XP操作系統(tǒng)上)看一下吧 要使用IRM,位置就是在加密文檔的下方,點(diǎn)擊管理憑據(jù) 呵呵,看到了吧,你點(diǎn)一下是就會(huì)自動(dòng)開始下載啦 .前提當(dāng)然是電