【文章內容簡介】 Win 2k Serve CAL Permission：Read、Change、FC Deny優(yōu)先于Allow的權限若用戶屬于多個組，則share security取并集，可以在FAT、FAT3NTFS上設置共享。網絡訪問取交集本地訪問僅考慮NTFS安全性隱藏文件： attrib +H directoryNTFS文件分流：不需要重新共建文件系統(tǒng)就能夠給一個文件添加屬性和信息的機制，Macintosh的文件兼容特性。需使用NTRK中POSIX的工具cp cp :反分流：cp : ，但修改日期可能會有變化分流后不能直接執(zhí)行：start :刪除：需把文件拷貝到FAT分區(qū)，在拷貝會NTFS分區(qū)搜索：唯一可靠的工具是ISS的Streamfinder。對于文件系統(tǒng)的安全：一、加密文件或文件夾 步驟一：打開Windows資源管理器。 步驟二：右鍵單擊要加密的文件或文件夾，然后單擊“屬性”。 步驟三：在“常規(guī)”選項卡上，單擊“高級”。選中“加密內容以便保護數據”復選框 二、解密文件或文件夾 步驟一：打開Windows資源管理器。 步驟二：右鍵單擊加密文件或文件夾，然后單擊“屬性”。 步驟三：在“常規(guī)”選項卡上，單擊“高級”。 步驟四：清除“加密內容以便保護數據”復選框。 同樣，我們在使用解密過程中要注意以下問題 步驟一：要打開“Windows資源管理器”，請單擊“開始→程序→附件”，然后單擊“Windows資源管理器”。 步驟二：在對文件夾解密時，系統(tǒng)將詢問是否要同時將文件夾內的所有文件和子文件夾解密。如果選擇僅解密文件夾，則在要解密文件夾中的加密文件和子文件夾仍保持加密。但是，在已解密文件夾內創(chuàng)立的新文件和文件夾將不會被自動加密。 以上就是使用文件加、解密的方法！而在使用過程中我們也許會遇到以下一些問題，在此作以下說明： 原因：加密文件系統(tǒng)(EFS)只能處理NTFS文件系統(tǒng)卷上的文件和文件夾。如果試圖加密的文件或文件夾在FAT或FAT32卷上，則高級按鈕不會出現在該文件或文件夾的屬性中。 解決方案： 將卷轉換成帶轉換實用程序的NTFS卷。 打開命令提示符鍵入：Convert [drive]/fs:ntfs (drive 是目標驅動器的驅動器號) ，顯示“拒絕訪問”消息 原因：加密文件系統(tǒng)(EFS)使用公鑰證書對文件加密，與該證書相關的私鑰在本計算機上不可用。 解決方案： 查找合適的證書的私鑰，并使用證書管理單元將私鑰導入計算機并在本機上使用。 ，重裝系統(tǒng)后加密文件無法被訪問的問題的解決方(注意：重裝Win2000/XP前一定要備份加密用戶的證書)： 步驟一：以加密用戶登錄計算機。 步驟二：單擊“開始→運行”，鍵入“mmc”，然后單擊“確定”。 步驟三：在“控制臺”菜單上，單擊“添加/刪除管理單元”，然后單擊“添加”。 步驟四：在“單獨管理單元”下，單擊“證書”，然后單擊“添加”。 步驟五：單擊“我的用戶賬戶”，然后單擊“完成”(如圖2，如果你加密用戶不是管理員就不會出現這個窗口，直接到下一步) 。 步驟六：單擊“關閉”，然后單擊“確定”。 步驟七：雙擊“證書——當前用戶”，雙擊“個人”，然后雙擊“證書”。 步驟八：單擊“預期目的”欄中顯示“加密文件”字樣的證書。 步驟九：右鍵單擊該證書，指向“所有任務”，然后單擊“導出”。 步驟十：按照證書導出向導的指示將證書及相關的私鑰以PFX文件格式導出(注意：推薦使用“導出私鑰”方式導出，這樣可以保證證書受密碼保護，以防別人盜用。另外，證書只能保存到你有讀寫權限的目錄下)。 注意將PFX文件保存好。以后重裝系統(tǒng)之后無論在哪個用戶下只要雙擊這個證書文件，導入這個私人證書就可以訪問NTFS系統(tǒng)下由該證書的原用戶加密的文件夾(注意：使用備份恢復功能備份的NTFS分區(qū)上的加密文件夾是不能恢復到非NTFS分區(qū)的)。 最后要提一下，這個證書還可以實現下述用途： (1)給予不同用戶訪問加密文件夾的權限 將我的證書按“導出私鑰”方式導出，將該證書發(fā)給需要訪問這個文件夾的本機其他用戶。然后由他登錄，導入該證書，實現對這個文件夾的訪問。 (2)在其也WinXP機器上對用“備份恢復”程序備份的以前的加密文件夾的恢復訪問權限 將加密文件夾用“備份恢復”程序備份，用“備份恢復”程序將它恢復出來(注意：只能恢復到NTFS分區(qū))。然后導入證書，即可訪問恢復出來的文件了。 用戶認證系統(tǒng)采用各種認證方式實現用戶的安全登陸和認證，獨立于計算機原有的登陸系統(tǒng)，安全可靠性更高。一般由認證服務器和認證代理組成，有些產品提供認證令牌。認證服務器是網絡中的認證引擎，由安全管理員或者網絡管理員進行管理，主要用于令牌簽發(fā)，安全策略的設置與實施，日志創(chuàng)建等；認證代理是一種專用代理軟件，實施認證服務器建立的各種安全策略；認證令牌以硬件、軟件或智能卡等多種形式向用戶提供，用以確認用戶身份，如果某個用戶提供了一個正確的令牌碼，就可以高度確信該用戶是合法用戶。根據需求和建設目標，我們將以身份認證系統(tǒng)、應用安全支撐平臺為用戶構建基于數字證書的統(tǒng)一身份認證、統(tǒng)一用戶管理和應用安全支撐系統(tǒng)。 全局范圍內，將建立統(tǒng)一的目錄服務體系，以完善的數據復制策略實現對應用系統(tǒng)的全面支撐。身份認證系統(tǒng)(PKI基礎設施)1(CA系統(tǒng))為所有的實體(設備、人員等)管理身份證書。2用戶管理系統(tǒng)(UMS系統(tǒng))在身份認證系統(tǒng)之上，以數字證書為用戶標識實現統(tǒng)一的用戶管理、組織機構管理，為相關業(yè)務系統(tǒng)提供全局統(tǒng)一的用戶屬性信息。3密鑰管理系統(tǒng)(KMC系統(tǒng))對用戶的密鑰進行管理和備份，能夠通過嚴格的流程實現密鑰的恢復。4目錄服務系統(tǒng)(LDAP系統(tǒng))實現證書的發(fā)布和CRL的發(fā)布，并能夠實現和AD之間的用戶同步。應用安全支撐平臺以身份認證系統(tǒng)、用戶管理系統(tǒng)為基礎，采用應用安全支撐平臺的各產品組件實現應用系統(tǒng)的安全接入，使得身份認證、用戶管理、數字簽名等技術能夠方邊的整合到原有的業(yè)務系統(tǒng)中。在安全支撐平臺的支持下，能夠為用戶構建操作系統(tǒng)層和應用層的統(tǒng)一身份認證和單點登錄。標準規(guī)范體系根據實際業(yè)務特點，針對系統(tǒng)的運行維護、使用流程、應用接入標準等制訂一系列標準和規(guī)范，以利于業(yè)務的有序開展。如上所述，身份認證系統(tǒng)為內部人員、設備等應用安全域內的物理或邏輯實體提供了統(tǒng)一的數字實體標識，統(tǒng)一的用戶管理系統(tǒng)則根據具體的組織機構、用戶屬性、用戶級別等實際情況，對數字實體標識進行可定制的統(tǒng)一管理和授權，最后再通過應用安全支撐平臺為業(yè)務系統(tǒng)提供服務，實現了獨立于各應用系統(tǒng)的安全的、統(tǒng)一的身份認證和管理體系?？傮w設計思路示意圖32所示：圖32 總體物理部署設計根據總體設計思路，基于性能和投資相平衡的原則，系統(tǒng)物理部署設計如圖33所示：圖33 系統(tǒng)物理部署設計如圖33所示，根據系統(tǒng)的不同功能，從網絡上以VLAN方式劃分不同區(qū)域，包括核心區(qū)、服務區(qū)和應用區(qū)。身份認證核心區(qū)包括CA、KMC、UMS等證書、用戶管理系統(tǒng)，是整個系統(tǒng)的核心功能區(qū)。身份認證服務區(qū)包括IAS和從目錄服務器，實現對外的身份驗證支持。應用系統(tǒng)區(qū)中部署身份認證網關，使應用系統(tǒng)與外界實現安全隔離。防火墻是一種網絡安全保障手段，是網絡通信時執(zhí)行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網絡的權限,并迫使所有的連接都經過這樣的檢查,防止一個需要保護的網絡遭外界因素的干擾和破壞。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)視了內部網絡和Internet之間的任何活動，保證了內部網絡地安全；在物理實現上，防火墻是位于網絡特殊位置地以組硬件設備――路由器、計算機或其他特制地硬件設備。防火墻可以是獨立地系統(tǒng)，也可以在一個進行網絡互連地路由器上實現防火墻。用防火墻來實現網絡安全必須考慮防火墻的網絡拓撲結構：(1) 屏蔽路由器：又稱包過濾防火墻。(2) 雙穴主機：雙穴主機是包過濾網關的一種替代。(3) 主機過濾結構：這種結構實際上是包過濾和代理的結合。(4) 屏蔽子網結構：這種防火墻是雙穴主機和被屏蔽主機的變形。安裝一臺Linux服務器，配置雙網卡， /（內部端口ETH 0）（外部端口ETH 1）。在IPChains中去除諸如 HTTPD、Finger、DNS、DHCP、NFS、SendMail之類所有不需要的服務，僅保留Telnet和FTP服務，以保證系統(tǒng)運行穩(wěn)定，提高網絡安全性。 啟動IPChains后，為保證安全性，首先將Forward Chains的策略設置為DENY，禁止所有的未許可包轉發(fā)，保障內部網安全性，以滿足需求1。 eg： ipchainsP forward DENY 為滿足需求2，必須禁止所有來自外部網段對防火墻發(fā)起的低于1024端口號的連接請求。在此，我做了如下設定來阻止對ETH1端口請求連接小于1024端口號的TCP協議的數據報（請求連接數據報帶有SYN標記，IPChains中使用參數y表示） eg：ipchains A input p tcp d 0:1024 y i eth1 j DENY 　　之所以不是簡單的拒絕所有小于1024端口號的數據報在于，某些情況下服務器會回復一個小于1024接口的數據報。比如某些搜索引擎就可能在回復查詢中使用一個不常用的小于1024的端口號。此外，當使用DNS查詢域名時，如果服務器回復的數據超過512字節(jié)，客戶機使用TCP連接從53端口獲得數據。 為滿足需求3，必須使用IP地址翻譯功能。來自內部保留地址的用戶數據包在經過防火墻時被重寫，使包看起來象防火墻自身發(fā)出的。然后防火墻重寫返回的包，使它們看起來象發(fā)往原來的申請者。采用這種方法，用戶就可以透明地使用因特網上的各種服務，同時又不會泄露自身的網絡情況。注意，對于FTP服務，需要加載FTP偽裝模塊。命令如下： eg: insmod ip_masq_ftp為滿足需求4，可以在已經設置為DENY的Forward Chains中添加許可用戶。因為許可這部分用戶使用所有的服務，訪問所有的地址，所以不用再指定目標地址和端口號。，配置命令如下： eg: ipchainsA forwards j MASQ 同時，必須啟動系統(tǒng)的IP包轉發(fā)功能。出于安全的考慮，建議在設置了Forward Chains的策略設置為DENY，禁止所有的未許可包轉發(fā)后再開啟轉發(fā)功能。 配置命令如下： echo 1 /proc/sys/net/ipv4/ip_forward 關于防止IP地址盜用問題，在本網絡拓撲中，可見所有用戶都是通過兩個路由器連接到防火墻，所以只需要在路由器中建立授權IP地址到MAC地址的靜態(tài)映射表即可。如果有客戶機直接連接到防火墻主機，就需要使用ARP命令在防火墻主機中建立IP地址到MAC地址的靜態(tài)映射表。 只要在進入端口中設定IP地址確認，丟棄不可能來自端口的數據包就可以了。配置命令如下： ipchains A input i eth1 s 至此，就算基本建立起來一個較為安全的防火墻了，再針對運行中出現的問題進行修改，調試無誤后就可以用ipchainssave命令將配置保存起來。需要再次使用時，用命令 ipchainsrestore即可。 其他的包過濾防火墻與IPChains的運行原理都相差不遠，配置命令也大同小異。市面上出售的防火墻雖然可以預置一些基本的內容，但由于最終用戶要求和環(huán)境千差萬別，免不了要自己動手配置。 從上面的例子我們可以看出，建立一個安全的防火墻關鍵在于對實際情況的了解，對用戶需求的掌握和對工具的熟練運用與正確實施上，這是真正的重點。數據加密的術語有：明文，即原始的或未加密的數據。通過加密算法對其進行加密，加密算法的輸入信息為明文和密匙；密文，明文加密后的格式，是加密算法的輸出信息。加密算法是公開的，而密鑰則是不公開的。密文，不應為無密鑰的用戶理解，用于數據的存儲以及傳輸。例：明文為字符串： AS KINGFISHERS CATCH FIRE 為簡便起見，假定所處理的數據字符僅為大寫字母和空格符）。假定密鑰為字符串： ELIOT 加密算法為： 1) 將明文劃分成多個密鑰字符串長度大小的塊（空格符以+表示） AS+KI NGFIS HERS+ CATCH +FIRE 2) 用00~26范圍的整數取代明文的每個字符，空格符=00，A=01，...，Z=26： 0119001109 1407060919 0805181900 0301200308 0006091805 3)