在工作组中的保护敏感信息以防止被窃取
Submitted by 海东青 on 2009, February 25, 2:43 PM. 网络安全
很多企业用户外出旅行时都会携带便携式计算机,以在客户机构、机场、酒店以及家中使用。 这种灵活性引起了新的风险:便携式计算机可能被偷,从而使敌对用户得以访问其中的数据。 例如,对您的计算机具有物理访问权的攻击者可能会使用启动盘访问您的硬盘,或卸下硬盘并将其连接到另一台计算机。
其他机构的用户会共享台式计算机。 他们可能会共享某些数据,但通常都至少会有一些文档需要受到保护,以防止其他用户阅读或修改。
将风险降到最低的一种方法是使用加密文件系统 (EFS)。 EFS 是 Microsoft 的一项技术,它可以加密您的计算机上的文件,并控制谁可以解密或恢复这些文件。 数据经过加密后,即使入侵者对计算机硬盘具有物理访问权,也不能轻易阅读或修改数据。 (但是,经过加密的数据仍然可被删除。)
要使用 EFS,用户必须具有专门的加密文件系统证书和私钥,以便允许持有者使用 EFS 加密和解密数据。 但是,允许用户使用 EFS 也会产生一些其特有的风险。 首先,如果用户丢失了 EFS 证书和私钥,则将不再能访问加密数据。 因此,有必要在便携式计算机或工作站上备份用于加密数据的证书和私钥。
如果用户不在或突然离开机构,则加密的数据也可能不再能够被访问。 要防止这些潜在的风险,安装和注册数据恢复代理是非常重要的,它可在其管理范围内解密计算机上所有 EFS 加密的文件。
本文档提供了有关在未安装 Active Directory® 目录服务的中小型企业中使用 EFS 以保护敏感数据免遭窃取以及防止泄露秘密的逐步说明。 它未讨论对存储在网络文件服务器上的共享数据应该采取的特殊安全措施。 本文档中的过程将指导您完成以下任务:
• 在运行 Windows XP Professional 的计算机上开始使用 EFS。 此过程大概需要一到五分钟时间,这取决于进行加密的文件夹和文件数。
• 配置 Windows 资源管理器以简化使用 EFS。 此过程大概需要三分钟时间。
• 创建并保护恢复密钥,以确保原始用户可以安全地恢复加密的数据。 此过程大概需要三分钟时间。
• 注册一个或多个数据恢复代理,它可以在原始用户不能恢复加密文件时恢复加密文件。 此过程大概需要五分钟时间。
• 备份并导入加密密钥,以便可以安全地恢复加密文件和文件夹。 这些过程大概都需要三分钟时间。
• 在原始用户不能恢复数据时恢复数据。 此过程大概需要一到五分钟时间,这取决于要恢复的文件和文件夹数。
注: 本文档介绍的所有过程同样适用于在运行 Windows Server 2003 的单机上管理 EFS。
通过执行本文档中的过程,您将在系统范围内作出以下更改:
• 使 EFS 可以加密计算机硬盘上的数据。
• 配置 Windows 资源管理器,使其包括 EFS 选项。
• 创建数据恢复代理。
此文档还列出了使用 EFS 的若干重要的最佳做法。
重要事项 :本文档中的所有逐步说明是通过使用 开始 菜单逐步展开的,在默认情况下,当安装操作系统时会出现该菜单。 如果您修改了 开始 菜单,这些步骤可能会稍有不同。
准备工作
在计算机断开网络连接且未实施基于域的 EFS 管理的情况下,本文档中的过程将帮助您在运行通用配置的 Windows XP Professional 的计算机上配置和使用 EFS。
在开始之前,您应该了解使用 EFS 的一些基本需求和条件:
• 仅能在 NTFS 文件系统卷上加密文件和文件夹。 您不能使用 EFS 来保护采用 FAT 或 FAT32 文件系统的硬盘驱动器上的数据。 除非有特定的原因需要继续使用 FAT 文件系统,否则建议您将 FAT 文件系统卷转换为 NTFS。
• 在 NTFS 卷上加密文档后,一旦从 NTFS 卷中移动,则这些文档会立即被解密。 这包括将文件附加到电子邮件、在网络上将它们复制到文件服务器或将它们保存到多种类型的可移动介质。 如果您希望在将文档复制到其他位置时保持文档处于加密状态,则可以通过单击 开始 、 所有程序 、 附件 、 系统工具 ,使用在其中找到的备份程序。
• 另外,还不能加密压缩文件或文件夹。 如果加密压缩文件或文件夹,则会解压缩这些文件或文件夹。
• 不能加密 %systemroot % 文件夹中的文件,例如 C:\Windows。 对于标记为隶属于该操作系统的文件,您也不能进行加密。
• 系统会在用户首次加密文件或文件夹时创建专门的加密文件系统证书。 如果删除或丢失此证书及其相应的私钥,则基本上不可能重新获得对该加密数据的访问权。 因此,有必要在首次使用 EFS 前创建数据恢复代理 (DRA)。
使用和传输敏感文档的方式通常受机构政策和程序或公共法律和法规的约束。 在执行此文档中的过程前,请与您的法律顾问联系,以确保您计划的加密政策和程序符合法律要求。
使用 EFS
此部分提供了有关使用 EFS 的说明。 作为整体策略的一部分,请确保创建恢复代理,并生成和备份恢复密钥,以便使用 EFS 帮助保护文件和文件夹免遭未经授权的访问。
注 :本文档中的屏幕截图反映了测试环境,其中的信息可能与您的计算机上显示的信息有所不同。
需求
• 您必须是具有 NTFS 许可权的用户,以便修改文件或文件夹。 您还需要一个 EFS 证书,它将在此过程中自动发出。
• 使用 Windows 资源管理器执行此过程。
要使用 EFS 加密文件或文件夹
1.
右键单击"开始",然后单击"浏览"。 单击"我的文档"。
2.
右键单击您要加密的文件或文件夹,然后单击 属性 。
注 :通常加密文件夹而不是加密单个文件,因为存储在这些文件夹中的所有文件都将各自被加密,这会简化数据管理。
3.
在 常规 选项卡中单击 高级 。
4.
选择 加密内容以便保护数据 复选框,然后单击 确定 。
5.
在 属性 对话框中单击 确定 ,然后执行以下其中之一:
• 如果您要加密文件:
• 如果您要加密文件及其父文件夹,则在"加密警告"对话框中单击"加密文件及其父文件夹"。
• 如果您仅希望加密文件,则在"加密警告"对话框中单击"只加密文件"。
• 如果您要加密文件夹:
• 如果您要加密文件夹及其子文件夹和文件,则在"确认属性更改"对话框中单击"将更改应用于此文件夹及其子文件夹和文件"。 这是管理选项最安全和最简单的方法。
• 如果您仅希望加密文件夹,则在"确认属性更改"对话框中单击"仅将更改应用于此文件夹"。 此文件夹中现有文件和子文件夹不会被加密,但会加密放入此文件夹中的所有文件或文件夹。
6.
单击 确定 以接受并应用您所作的加密选择。
验证是否已启用 EFS
要验证是否已正确完成此过程,请打开 Windows 资源管理器,并检查已加密的文件和文件夹的名称与属性。 如果文件和文件夹名称及其相关属性显示为绿色,而不是默认的黑色字体,则表明文件和文件夹已成功加密。
如果已加密的文件和文件夹名称未显示为绿色,则您可能需要为每个用户启用此功能。
要用彩色显示加密的文件和文件夹名称与属性
1.
在 Windows 资源管理器的 工具 菜单中,单击 文件夹选项 。
2.
单击 查看 选项卡,然后向下滚动并单击 用彩色显示加密或压缩的 NTFS 文件 。 单击 确定 。
您也可以右键单击文件夹或文件,单击"属性",然后单击"高级"。 应该选择"加密内容以便保护数据"复选框。
或者,注销并使用其他用户帐户再次登录。 尝试使用原始用户帐户打开加密文件。 如果访问被拒绝,则表明文件已加密。
返回页首
返回页首
在 Windows 资源管理器菜单上启用"加密/解密"选项
如果用户要定期修改文件与文件夹的加密和解密选项,您可能希望为他们提供更为直接地访问这些选项的方法,而无需使用上述过程进行访问。 您可以通过配置 Windows 资源管理器,以便当用户右键单击文件时在每台计算机的快捷方式菜单上显示 加密 和 解密 ,从而简化这些步骤。 要启用它,您需要在每台计算机上编辑 Windows 注册表,以创建默认情况下不存在的新注册表值。
注意 :错误地编辑注册表可能会严重破坏您的系统。 在更改注册表前,您应该备份计算机上的全部有用数据。
需求
• 您必须以管理员身份登录,且具有编辑注册表的经验才可以完成此过程。
• 使用"注册表编辑器"(Regedit.exe) 执行此过程。
要启用 Windows 资源管理器菜单上的加密/解密选项
1.
依次单击 开始 和 运行 ,然后输入 regedit ,最后单击 确定 。
2.
导航至以下注册表路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\
3.
在 编辑 菜单中单击 新建 ,然后单击 DWORD 值 。
4.
为 DWORD 值的名称输入 EncryptionContextMenu ,然后按 Enter 键。
请参见实际大小的图像
5.
右键单击刚创建的 DWORD 值,然后单击 修改 。
6.
在 编辑 DWORD 值 对话框的 数值数据 框中输入 1 ,然后单击 确定 。 (在 基数 下,不要更改默认选择 十六进制 。)
7.
单击 文件 ,然后单击 退出 以关闭"注册表编辑器"。
验证是否已启用 Windows 资源管理器菜单上的加密/解密选项
要验证您是否已正确完成此过程,请打开 Windows 资源管理器 并右键单击文件或文件夹。 如果未加密文件或文件夹,则在上下文菜单中会显示 加密 选项。 如果已加密文件或文件夹,则会在上下文菜单中显示 解密 选项。
返回页首
返回页首
备份用户的 EFS 证书
在很多机构中,用户有责任备份他们自已的 EFS 证书。 在计算机上的 EFS 证书不再可用的情况下,将会需要该备份好的证书来恢复用户的加密数据。
需求
• 您必须是被确认为证书持有者的用户,才可以备份 EFS 证书。
• 要完成此过程,请使用 Microsoft Management Console 中的 证书 管理单元。
为用户导出 EFS 证书
1.
依次单击 开始 和 运行 ,然后输入 mmc ,最后单击 确定 。
2.
在 文件 菜单中单击 添加/删除 管理单元 。
3.
单击 添加 。 此时会显示当前计算机上所有注册的管理单元的列表。
4.
双击 证书 管理单元,然后单击 完成 。 此时 添加/删除管理单元 对话框中会列出表示 证书 - 当前用户 管理单元已安装的图标。
注 :如果要作为具有管理员凭证的用户执行此过程,则将必须指定是否使用 证书 管理单元来管理与"用户"帐户、"服务"帐户或"计算机"帐户相关的证书。 您应该从列表中选择您的"用户"帐户。
5.
在 添加单机管理单元 对话框中单击 关闭 ,然后在 添加/删除管理单元 对话框中单击 确定 。 MMC 现在会显示您的帐户的个人证书。
6.
导航至 证书 - 当前用户\个人\证书 文件夹。 详细信息窗格(在右侧)会显示用户帐户的所有证书的列表。 找到"加密文件系统"证书。
请参见实际大小的图像
7.
右键单击"加密文件系统"证书,接着单击 所有任务 ,然后单击 导出 以启动 证书导出向导 。 单击 下一步 。
8.
在 导出私钥 页面中单击 是 , 导出私钥 。 单击 下一步 。
9.
在 导出文件格式 页面中单击 个人信息交换 - PKCS #12 (.PFX) ,然后单击 下一步 。
注 :为了获取最大安全性,某些用户可能要选择 如果导出成功,删除私钥 复选框。 然而,此选项将在您每次访问加密文件时要求导入私钥。
导出私钥时使用 .pfx 文件格式。 .pfx 文件格式基于 PKCS #12 标准,这是一种可以很方便地存储或传输用户信息(包括私钥、证书和其他各种机密)的格式。 .pfx 文件格式 (PKCS #12) 还允许密码保护存储在文件中的私钥。
10.
在 密码 页面的 密码 和 确认密码 文本框中输入加强密码。 加强密码至少七个字符长;切勿包含您的用户名、真实名称或公司名称;切勿包含完整的字典单词。 另外,此密码应不同于用来登录系统的密码。 然后,单击 下一步 。
最后一步是保存实际的 .pfx 文件。 可将 .pfx 文件导出到任何存储设备,包括 USB 存储设备、可写 CD-ROM、网络驱动器或软盘。
11.
在 要导出的文件 页面中,输入或浏览文件名和路径,然后单击 下一步 。 复查下一屏中显示的信息,以验证所选的文件名、文件位置和文件格式,然后单击 完成 。
验证是否已导出 EFS 证书和密钥
通知将报告是否成功导出。
阅读此通知后,单击 确定 以退出 证书导出向导 。
如果丢失文件和相关私钥,则无法解密任何将那些特定的"文件恢复"证书作为数据恢复代理的现有文件。 一旦导出证书和私钥,请将 .pfx 文件存储到稳定的可移动介质,放置在符合公司安全准则和行为规范的安全位置。 例如,公司可能将 .pfx 文件存储在一个或多个 CD-ROM 中,放置在仅最值得信赖的用户可以存取的保险箱或保险库。 便携机用户不应将包含 .pfx 文件的可移动介质存储在其电脑便携袋或公文包中。 否则,倘若便携机被偷,敌对用户就可能使用 .pfx 文件获取对用户加密数据的访问权。
返回页首
返回页首
建立数据恢复代理
数据恢复代理是一种被授权可以访问受 EFS 保护的文件的用户帐户。 Windows XP Professional 不会自动为独立计算机或工作组成员建立本地数据恢复代理。 您必须在计算机上手动创建和注册数据恢复证书。 仅可以使用数据恢复代理恢复在创建数据恢复证书且注册数据恢复代理后加密的数据。
重要事项 :如果您在建立数据恢复代理前已加密了某些文件和文件夹,建议您先解密这些文件和文件夹,然后在注册数据恢复代理后再次加密它们。
需求
• 要创建数据恢复证书,最简单的办法是使用 Cipher.exe 实用程序。
• 要为本地计算机注册数据恢复代理,您必须是本地管理员组成员。
要创建数据恢复证书
1.
依次单击 开始 和 运行 ,然后输入 cmd ,最后单击 确定 。
2.
在命令提示符处输入 cipher /R: 文件名 ,然后按 Enter 键。
注 :请使用对您有意义的文件名。 切勿为文件名添加扩展名。
3.
当系统提示时,请输入加强密码,然后单击 Enter 键。 此时会提示您两次输入此密码,以确保密码准确无误。
此过程会为创建数据恢复代理的用户在 \Documents and Settings\ username 文件夹中创建两个文件:数据恢复证书的私钥 filename .pfx , 以及用来为本地计算机配置恢复策略的 filename .cer。
生成这些密钥后,您必须为本地计算机修改恢复策略,以便注册新的数据恢复代理。 这使您可以通过新的数据恢复证书恢复计算机上的加密文件。
成功注册新的数据恢复代理后,请将 filename .pfx 和 filename .cer 复制到安全备份介质,然后从本地计算机上删除它们,并将备份副本放置在安全位置。
要为本地计算机注册数据恢复代理
1.
依次单击 开始 和 运行 ,然后输入 mmc ,最后单击 确定 。
2.
在 文件 菜单中单击 添加/删除管理单元 。单击 添加 。
3.
在 添加独立管理单元 对话框中单击 组策略 。单击 完成 。
4.
在 组策略对象 中确保显示 本地计算机 。 单击 完成 。
5.
在 添加独立管理单元 对话框中单击 关闭 ,然后在 添加/删除管理单元 对话框中单击 确定 。
6.
在 本地计算机策略 中,导航至 计算机配置 \ Windows 设置 \ 安全设置 \ 公钥策略 。 右键单击 加密文件系统 ,然后单击 添加数据恢复代理 。 当出现 添加恢复代理向导 时,单击 下一步 。
7.
在 选择恢复代理 页面中单击 浏览文件夹 ,以浏览至前面过程中创建的数据恢复证书 ( filename .cer) 的位置,选择此证书,单击 打开 ,然后单击 下一步 。
验证是否已建立数据恢复代理
在您按照本地安全策略注册数据恢复代理证书后,会显示页面通知您已成功完成 添加恢复代理向导 。 复查有关指定作为数据恢复代理的用户的信息后,单击 完成 。
导出数据恢复密钥
当普通的恢复失效时,数据恢复代理需要使用数据恢复密钥,以允许代理恢复加密数据。 因此,保护恢复密钥是非常重要的。 有一种好方法可以防止丢失恢复密钥,那就是仅在需要时才将这些恢复密钥导入本地计算机。 而在其他时候,您应将数据恢复代理的数据恢复证书和私钥导出,并以 .pfx 格式文件存储到安全的可移动介质。
需求
• 您必须是本地计算机上的用户才能完成此过程。
• 要完成此过程,您需要 Microsoft Management Console 中的 证书 管理单元。
要导出数据恢复代理的证书和私钥
1.
依次单击 开始 和 运行 ,然后输入 mmc ,最后单击 确定 。
2.
在 文件 菜单中单击 添加/删除管理单元 。
3.
单击 添加 。 此时会显示当前计算机上所有注册的管理单元的列表。
4.
双击 证书 管理单元,单击 我的用户帐户 ,然后单击 完成 。
5.
在 添加独立管理单元 对话框中单击 关闭 ,然后在 添加
« 上一篇 | 下一篇 »
Trackbacks
发表评论