【正文】 用數(shù)據(jù)之前協(xié)商密鑰的算法、交換加密密鑰和對客戶端進(jìn)行認(rèn)證 (可選 )。 5． 3 加密文件系統(tǒng) (EFS) EFS加密和解密應(yīng)用 2． EFS加密和解密應(yīng)用 (3) 解密 EFS加密的文件或文件夾 ? 第 2步：在?常規(guī)?標(biāo)簽上點(diǎn)擊?高級?按鈕，在彈出的如圖 ，取消?加密內(nèi)容以便保護(hù)數(shù)據(jù)?復(fù)選框前面的? √?； ? 第 3步：確定后在出現(xiàn)的?確認(rèn)屬性更改?窗口中就顯示對屬性的更改為?解密?，最后按?確定?按鈕即可。 ? 第 4步：單擊?確定?按鈕，完成證書導(dǎo)入工作。此后就可以訪問 EFS加密文件了。 ? 第 2步：單擊?下一步?按鈕，在出現(xiàn)的對話框中輸入要導(dǎo)入的文件名稱，如 。 5． 3 加密文件系統(tǒng) (EFS) EFS加密和解密應(yīng)用 ? 在 Windows XP中，備份密鑰的操作過程為： ? 第 5步：單擊 ? 下一步 ? 按鈕 ， 按照提示要求 ， 輸入和確認(rèn)該用戶的密碼后 ， 單擊 ? 下一步 ? 按鈕后選擇想要保存的路徑并 ? 確認(rèn) ? ， 最后私鑰 (文件后綴為PFX)便成功導(dǎo)出 。假如有多份證書，可選擇?預(yù)期目的?為?加密文件系統(tǒng)?的那份。 5． 3 加密文件系統(tǒng) (EFS) EFS加密和解密應(yīng)用 ? 第 3步：在隨后的屬性窗口中點(diǎn)擊?應(yīng)用?按鈕，出現(xiàn)?確認(rèn)屬性更改?對話框。 5． 3 加密文件系統(tǒng) (EFS) EFS加密和解密應(yīng)用 ? 第 4步：點(diǎn)擊?確定?按鈕，完成加密操作。 5． 3 加密文件系統(tǒng) (EFS) EFS加密和解密應(yīng)用 2． EFS加密和解密應(yīng)用 (1) EFS加密文件或文件夾 ? 如要對 C盤下的? 4321”文件夾進(jìn)行 EFS加密，其操作過程為： ? 第 1步：右鍵單擊要加密的文件夾，選擇?屬性?，出現(xiàn)該文件夾的屬性窗口。 5． 3 加密文件系統(tǒng) (EFS) EFS加密和解密應(yīng)用 ? 當(dāng)保存文件時(shí) EFS將自動對文件進(jìn)行加密，當(dāng)用戶重新打開文件時(shí)系統(tǒng)將對文件進(jìn)行自動解密。如果用戶持有一個已加密 NTFS 文件的私鑰，那么他就能夠打開這個文件，并透明地將該文件作為普通文檔使用。 5． 3 加密文件系統(tǒng) (EFS) EFS加密和解密應(yīng)用 1． EFS軟件 ? 在使用 EFS加密一個文件或文件夾時(shí)，系統(tǒng)首先會生成一個由偽隨機(jī)數(shù)組成的 FEK (文件加密密鑰 )，然后利用 FEK和數(shù)據(jù)擴(kuò)展標(biāo)準(zhǔn) X算法創(chuàng)建加密文件，并把它存儲到硬盤上，同時(shí)刪除未加密的原文件。 ? 第 1步：打開資源管理器，右鍵單擊磁盤 D:，選擇?屬性?，在出現(xiàn)的窗口中選擇?配額?選項(xiàng)卡。 圖中顯示其更改為 ? 壓縮 ? 。 ? 第 1步：右鍵單擊該文件夾 ， 點(diǎn)擊 ? 屬性 ? 按鈕 ， 出現(xiàn) ? xnzz屬性 ? 窗口 。 IP Filter有一個默認(rèn)設(shè)置，用戶可以通過 IP Filter中的?恢復(fù)默認(rèn)設(shè)置?功能來完成還原初始設(shè)置。這樣，可在家中使用一套過濾方案，在單位使用另一套過濾方案。 ? 第 12步：點(diǎn)擊?添加?和?關(guān)閉?按鈕保存此前的設(shè)置，可在? IP篩選器列表?中看到新建立的名為?新 IP篩選器列表?的篩選器。 5． 2 IP安全協(xié)議 (IPSec) 5． 2 IP安全協(xié)議 (IPSec) IPSec設(shè)置與應(yīng)用實(shí)例 ? 第 9步：選擇通訊協(xié)議類型，包括常用的 TCP和 UDP，還可以設(shè)置為任意。 5． 2 IP安全協(xié)議 (IPSec) IPSec設(shè)置與應(yīng)用實(shí)例 ? 第 7步：系統(tǒng)將自動啟動 IP篩選器向?qū)?。? IP安全策略，在本地計(jì)算機(jī)?上右鍵單擊并選擇?管理 IP篩選器表和篩選器操作? 。 5． 2 IP安全協(xié)議 (IPSec) IPSec設(shè)置與應(yīng)用實(shí)例 ? 第 3步：在 ?添加獨(dú)立管理單元?選項(xiàng)中，選擇? IP安全策略管理?，點(diǎn)擊?添加?按鈕進(jìn)行添加。 5． 2 IP安全協(xié)議 (IPSec) IPSec設(shè)置與應(yīng)用實(shí)例 (2) 配置 IP Filter ? 第 1步：點(diǎn)擊?開始? →?運(yùn)行?，輸入 MMC并回車，啟動管理單元控制臺窗口。 ? 第 2步：單擊 高級 按鈕，在 密鑰交換設(shè)置 對話框中對密鑰交換進(jìn)行高級設(shè)置。 5． 2 IP安全協(xié)議 (IPSec) IPSec設(shè)置與應(yīng)用實(shí)例 1． IPSec的基本配置 ⑤ 連接類型 ? 為每一個規(guī)則指定的連接類型可以決定計(jì)算機(jī)的連接 (網(wǎng)卡或調(diào)制解調(diào)器 )是否接受 IPSec策略的影響。 ? 第 2步：在出現(xiàn)的窗口中選擇身份驗(yàn)證方法。 5． 2 IP安全協(xié)議 (IPSec) IPSec設(shè)置與應(yīng)用實(shí)例 ? 第 4步：自定義包括數(shù)據(jù)和地址不加密的完整性算法、數(shù)據(jù)完整性算法 (如 MD SHA1)、數(shù)據(jù)加密算法 (如DES、 3DES)和密鑰生存期等。其中，可以選擇 許可 、 阻止 對符合 IP篩選器 的數(shù)據(jù)流進(jìn)行過濾。 ? 第 4步：點(diǎn)開?協(xié)議?選項(xiàng)卡，在出現(xiàn)的窗口中選擇協(xié)議類型，如選擇? ICMP”或? TCP”等。添加向?qū)?39。這樣就完成了 IPSec的初步配置。在彈出的對話框中為新的 IP安全策略命名并填寫策略描述。最初窗口顯示客戶端、服務(wù)器、安全服務(wù)器這三種預(yù)定義的策略項(xiàng)。 加密數(shù)據(jù)部分除了包含原 IP數(shù)據(jù)包的有效負(fù)載 ， 填充域 (用來保證加密數(shù)據(jù)部分滿足塊加密的長度要求 )包含其余部分在傳輸時(shí)都是加密過的 。 此外 ， ESP也能提供身份認(rèn)證 、數(shù)據(jù)完整性驗(yàn)證和防止重發(fā) 。 有如下三種認(rèn)證方法 : ? (1) Kerberos方法 。 AH通過一個只有密鑰持有人才知道的 ? 數(shù)字簽名 ? 來對用戶進(jìn)行認(rèn)證 。 5． 2 IP安全協(xié)議 (IPSec) IPSec概述 ? IPSec既可以作為一個完整的 VPN方案 ， 也可以與其他協(xié)議 (如 PPTP、 L2TP)配合使用 。 5． 2 IP安全協(xié)議 (IPSec) IPSec概述 ? IP安全協(xié)議 (IP Security， IPSec)是一個網(wǎng)絡(luò)安全協(xié)議的工業(yè)標(biāo)準(zhǔn) ， 也是目前 TCP/IP網(wǎng)絡(luò)的安全化協(xié)議標(biāo)準(zhǔn) 。 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 軟件安全策略 ? 第 3步：右鍵點(diǎn)擊右側(cè)面板的空白處 ， 選擇 ? 新散列規(guī)則 ? 。 同時(shí) ， 位于系統(tǒng)盤下 ? Program Files”文件夾及? Windows”文件夾下的文件是允許運(yùn)行的 ， 而這4條默認(rèn)規(guī)則已經(jīng)包含了這些路徑 。 前者明確默認(rèn)情況下所有軟件都不允許運(yùn)行 ， 只有特別配置過的少數(shù)軟件才可以運(yùn)行；而后者明確默認(rèn)情況下所有軟件都可以運(yùn)行 ， 只有特別配置過的少數(shù)軟件才被禁止運(yùn)行 。通常 ， 管理員可利用文件路徑 、 文件 Hash值 、 文件證書 、 特定擴(kuò)展名文件 ， 以及其他強(qiáng)制屬性等方式鑒別軟件是否可信賴 。 應(yīng)用層是唯一能夠提供這種安全服務(wù)的層次 。 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 TCP/IP協(xié)議的安全性 (4) 應(yīng)用層安全 ? 如果確實(shí)要區(qū)分一個具體文件的不同安全性要求， 那就必須借助于應(yīng)用層的安全性 。 原則上 ， 任何 TCP/IP應(yīng)用 ， 只要應(yīng)用傳輸層安全協(xié)議 ， 就必定要進(jìn)行若干修改以增加相應(yīng)的功能 ， 并使用不同的 IPC界面 。 傳輸層網(wǎng)關(guān)在兩個節(jié)點(diǎn)之間代為傳遞 TCP連接并進(jìn)行控制 。 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 TCP/IP協(xié)議的安全性 (2) 網(wǎng)絡(luò)層安全 ? 網(wǎng)絡(luò)層安全性的主要優(yōu)點(diǎn)是它的透明性 ， 即提供安全服務(wù)不需要對應(yīng)用程序 、 其他通信層次和網(wǎng)絡(luò)部件做任何改動 。 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 TCP/IP協(xié)議的安全性 (2) 網(wǎng)絡(luò)層安全 ? 網(wǎng)絡(luò)層安全主要是基于以下幾點(diǎn)考慮： ? 控制不同的訪問者對網(wǎng)絡(luò)和設(shè)備的訪問 。 ICMP被認(rèn)為是 IP協(xié)議不可缺少的組成部分 ， 是 IP協(xié)議正常工作的輔助協(xié)議 。 攻擊者若發(fā)送一系列有意設(shè)置的數(shù)據(jù)包 ， 來覆蓋前面的具有合法端口號的數(shù)據(jù)包 ， 那么該路由器防火墻上的過濾規(guī)則被旁路 ， 從而攻擊者便達(dá)到了進(jìn)攻目的 。 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 TCP/IP協(xié)議的安全性 (2) IP協(xié)議和 ICMP協(xié)議 ? IP協(xié)議提供無連接的數(shù)據(jù)包傳輸機(jī)制 ， 其主要功能有尋址、 路由選擇 、 分段和組裝 。 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 TCP/IP協(xié)議的安全性 (1) TCP協(xié)議 ? TCP協(xié)議把通過連接傳輸?shù)臄?shù)據(jù)看成是字節(jié)流 ， 用一個 32位整數(shù)對傳送的字節(jié)編號 。第 5章 網(wǎng)絡(luò)軟件安全 本章有四小節(jié)： 5. 1 網(wǎng)絡(luò)協(xié)議的安全性 5. 2 IP安全協(xié)議 5. 3 加密文件系統(tǒng) 5. 4 SSL與 SSH協(xié)議 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 TCP/IP協(xié)議的安全性 1． TCP/IP協(xié)議 ? 基于 TCP/IP協(xié)議的網(wǎng)絡(luò)體系結(jié)構(gòu)比 OSI參考模型結(jié)構(gòu)更簡單 。 TCP/IP協(xié)議是建立在可信環(huán)境下的 ， 這種基于地址的協(xié)議本身就存在泄漏口令 、 經(jīng)常會運(yùn)行一些無關(guān)程序等缺陷 。 已知上次連接的 ISN和 RTT，很容易就能預(yù)測出下一次連接的 ISN。 在包過濾防火墻中根據(jù)數(shù)據(jù)包的端口號檢查是否合法 ， 這樣后續(xù)數(shù)據(jù)包就可以不經(jīng)檢查而直接通過 。 如果一個網(wǎng)關(guān)不為IP分組選擇路由 、 不能遞交 IP分組或測試到某種不正常狀態(tài) ， 如網(wǎng)絡(luò)擁擠影響 IP分組的傳遞 ， 那么就需要 ICMP來通知源端主機(jī)采取措施 ， 避免或糾正這些問題 。 有些安全服務(wù)可以提供數(shù)據(jù)的完整性或至少具有防止欺騙的能力。 其本質(zhì)是：純文本數(shù)據(jù)包被加密 ，封裝在外層的 IP報(bào)頭里 ， 用來對加密包進(jìn)行Inter上的路由選擇；到達(dá)收端時(shí) ， 外層的 IP報(bào)頭被拆開 ， 報(bào)文被解密 ， 然后送到收報(bào)地點(diǎn) 。 5． 1 網(wǎng)絡(luò)協(xié)議的安全性 TCP/IP協(xié)議的安全性 (3) 傳輸層安全 ? 由于 TCP/IP協(xié)議本身很簡單 ， 沒有加密 、 身份驗(yàn)證等安全特性 ， 因此必須在傳輸層建立安全通信機(jī)制 ， 為應(yīng)用層提供安全保護(hù) 。 這一成就如果再加上應(yīng)用級的安全服務(wù) ， 就可以再向前跨越一大步 。 網(wǎng)絡(luò)層安全機(jī)制的透明性使安全服務(wù)的提供不要求應(yīng)用層做任何改變 ， 這對傳輸層來說是做不到的 。 較低層協(xié)議提供的安全功能一般不知道任何要發(fā)出的信件的段落結(jié)構(gòu) ， 從而不可能知道該對哪一部分進(jìn)行簽名 。 對于不可信賴的程序 ， 系統(tǒng)會拒絕執(zhí)行 。 其中在安全級別條目