返回
ad 活动目录域中恢复代理的配置

ad 活动目录域中恢复代理的配置

ID:6053171

大小:1.02 MB

页数:22页

时间:2018-01-01

ad 活动目录域中恢复代理的配置_第1页
ad 活动目录域中恢复代理的配置_第2页
ad 活动目录域中恢复代理的配置_第3页
ad 活动目录域中恢复代理的配置_第4页
ad 活动目录域中恢复代理的配置_第5页
资源描述:

《ad 活动目录域中恢复代理的配置》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、在域环境下如何保护重要资料文件的安全(一)---EFS加密(上)这篇文章中我们回顾了如何通过使用EFS加密从而达到保护重要资料文件安全的目的.相信通过演示,大家也是对EFS的效果比较满意的,有兄弟就蠢蠢欲动了,想推广和部署在生产环境中了.哦,先别急别急,多听我说几句. EFS在生产环境中使用,你需要考虑这么几个很现实的问题: 1.含密钥的用户证书的导出和备份 因为EFS操作简单易用,可能会有很多人使用它.但是使用EFS的人越多,对于用户证书及密钥的管理就越麻烦,不备份证书及密钥当然不可行,遇到系统故障

2、需要重做系统或者用户账号被删除,都是极其麻烦的事情;导出来了存放在什么安全的位置又需要考虑,总不能还放在用户磁盘中让"有心人"很容易就能找到吧. 2.需要防止用户无意或者恶意地对一些共享性质文件加密操作.举个极端点的例子,某某员工在离职前夕用EFS加密了很多办公电脑上的重要资料,他倒是拍拍屁股走了后脚开会要用到这些资料了,而他的域账号刚巧也被IT管理人员kill掉了,这个时候他的工作接班人可就难受了.其实域账号还好了,网管员还能从AD备份中执行授权还原回来(请参考:http://mrfly.blog.

3、51cto.com/151750/191430),要是那个员工用的是自己建立的本地账号,而后还删除掉了,那就没那么简单了.所以,在你的环境中如果给予用户账号权限过大,这个是需要你结合起来慎重考虑的. 3.EFS是微软推出的蛮久的一种系统应用,正因为其历史悠久,它的算法及加密流程等已被计算机高手所攻破,所以网上也散布着不少破解工具(有兴趣的朋友可以看下http://www.cctips.com/?p=39).如果你的环境中没有能有效防止"有心人"在别人电脑上使用这些软件的手段(包括技术上和行政上的),那

4、么别有用心之徒还有有机会将加密文件解开的....... 所以在上篇的讨论部分中胡兄的友情提示大家还是要用心体会一下的.   其实,在域环境下,我们还是有一些技术手段设置能缓解上面的问题的. Now,为大家介绍EFSRecoveryAgent,中文官名:EFS恢复代理,文中以下简称EFSRA. EFSRA,说简单点,就相当于一个或多个被用户信任的人,他/他们手里握有一种万能钥匙,拿着这把钥匙,可以解密任何信任他/他们的用户使用EFS加密过的文件. 在比较早的时候,处于工作组环境下的Windows2000

5、pro/server系统中默认的EFSRA就是管理员账户administrator(这里我就不截图了,手头一时找不到没有加域的Windows2000的机器).这意味着就算发生上面提到过的状况,使用administrator都可以打开任何用户的加密文件.这样会产生一些问题,对于网管朋友们可能就根本不用去思考要不要备份用户私钥,对于用户加密过的文件安全性不高.所以到了xppro/Windowsserver2003时代,微软修正了工作组环境下的管理员账户已经不再是默认的EFSRA了. 这里我打开一台还未加域

6、的XPSP3计算机,使用本地管理员帐号加密了一个文件,然后在属性中看它的EFS恢复代理,可以看到,确实为空白,没有任何恢复代理账号的存在. 我现在把这台机器加入域.仍使用上篇中使用过的普通域账号cto登陆. 查看刚才本地管理员加密过的文件属性里的EFSRA信息,没变化,还是空白. 新建一个文件然后加密,看看属性...看到了有一个EFSRA了吧,又是administrator,他是被自动添加进来的哦.不过,这个administrator可不是次计算机本地管理员帐号的证书,而是domainadminist

7、rator的.他能被自动加进来也是因为默认域组策略生效的使然.口说无凭,我们到DC上看一下.打开默认域策略DefaultDomainPolicy,找到"计算机配置"---"Windows设置"--"安全设置"--"公钥策略"---"加密文件系统"我们可以看到这里有一个证书的存在,名称是administrator,预期目的是"文件故障恢复". 双击此证书浏览到"详细信息"选项卡仔细看一下证书微缩图号码.(若是在Windowsserver2003上则被称为证书指纹)AD中:客户端上:证明这俩是同一个物件.

8、 那么,我们怎么使用EFSRA来解密用户的加密文件呢?模拟情景:cto此域账号已经被删除并无法还原,在WindowsXPpro上经cto使用EFS加密的文件全部无法打开(包括使用localadministrator和domainadministrator账号登录),EFSRA为domainadministrator. 我们开始救援行动,先到DC上导出EFS恢复代理的证书和密钥. 注意一定要选择一并导出私钥余下过程图略,与上篇演示相似. 然后到客户机上使用

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。