欢迎来到天天文库
浏览记录
ID:57646284
大小:429.93 KB
页数:9页
时间:2020-08-30
《Windows-Server-2008-R2之15-EFS(加密文件系统).docx》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、WindowsServer2008R2之15_EFS(加密文件系统)加密文件系统(EFS)是一个功能强大的工具,用于对客户端计算机和远程文件服务器上的文件和文件夹进行加密。它使用户能够防止其数据被其他用户或外部攻击者未经授权的访问。它是NTFS文件系统的一个组件,只有拥有加密钥和故障恢复代理可以读取数据。 EFS的应用条件:1、NTFS;2、具有系统属性的文件无法加密 故障恢复代理:指定用于进行EFS文件恢复的用户帐号,该帐号将申请一张文件故障恢复的证书,同是还有持有与这张证书相应的公钥私钥对,用于对加密文件进行故障恢复。
2、 EFS加密过程:1、当一个用户第一次加密某个文件时,EFS会在本地证书产生一个EFS证书(非对称);2、EFS也会随机产生一个FEK(文件加密密钥,对称)3、EFS会用第一步产生的证书的公钥对FEK进行加密4、EFS会将加密后的FEK存储在DDF(数据解压区)(DDF区域大约能够存储近800个经过用户公钥加密的FEK) 实验环境:独立服务器R2RODC(安装好WindowsServer2008R2) 实验要求: EFS的基本操作 备份文件恢复密钥 新增故障恢复代理 操作步骤:为了便于演示,我
3、在C盘建立一个文件夹EFSFOLDER,并在这个文件夹下建立了一个文件1.txt一、EFS的基本操作启用EFS可以在图形界面完成,也可以通过命令Cipher完成。相比图形界面,Cipher更为加大。加密完成后,默认情况加密后的文件(文件夹)会彩色显示。我们也可以使用命令完成以上任务:默认情况下Cipher加密文件夹命令并不会加密码文件夹中已存在的文件,而是让Windows加密文件中的新文件。所以要加加密C:EFSFolder文件夹以及其中已存在的文件,需要输入以下命令Cipher/EC:EFSFolderCipher/EC:E
4、FSFolder*当然我们也可以输入以下命令Cipher/e/s:c:efsfolder(注意/s和后面的文件夹路径不能留空格) 解密Cipher/dC:EFSFolder(解密文件夹,不含文件)Cipher/dC:EFSFolder*(解密文件下的文件) 二、备份密钥图形方式1、打开控制面版下的用户帐号,进行如下图操作2、运行MMC,添加管理单元,选择“证书”,选择我的用户帐号选择“个人”“证书”,操作如下图3、通过Cipher命令备份cipher/x三、恢复代理在操作之前,我先启用c:efsfolder文件夹的EFS
5、,下面通过操作增加故障恢复代理dcadmin,同时演示在增加前后对文件的影响1、增加故障恢复代理注销计算机,以EFSadmin登录计算机。运行cipher/r:C:UsersEFSAdminefsadmin导入上一步操作产生efsadmin.pfx。打开这个文件所在文件夹,双击这个文件出现向导,选择导入(过程略)注销计算机,以administrator登录计算机,运行Gpedit.msc,进行如下操作现在注销administrator,以efsadmin登录,打开c:efsfolder下的1.txt还是不能打开(这是因为故障
6、恢复只能打开添加代理之后的文件,而1.txt是添加之前的文件)重新以administrator登录,运行cipher/u然后以efsadmin登录,就可以打开1.txt文件了;或者先解密,然后再加密。 补充说明1、启用右键快键中的加密[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]"EncryptionContextMenu"=dword:000000012、域中计算机上的数据恢复代理在建立第一个DC时,即将为该域配置一个默
7、认的恢复策略,默认的恢复策略使用自签名证书,将域管理员帐号作为恢复代理。如果使用默认的恢复策略,则不需要使用再申请恢复证书。如果域中需要多个恢复代理,则需要颁布恢复证书。要求:必须有CA;CA中的策略必须允许指定用户(代理)申请并获取文件恢复证书;每个用户必须申请一个文件恢复证书。步骤:设置企业CA;为指定为恢复代理的用户创建安全组;将创建的安全组添加到EFS恢复模板中;申请文件恢复证书;将证书导出为.cer证书文件;将导出的证书文件添加到恢复策略中3、禁止EFS可以通过组策略或通过修改注册表 注册表键:HKEY_LOCAL_MAC
8、HINESOFTWAREMicrosoftWindowsNTCurrentVersionEFS键值名称:EfsConfiguration数据类型:REG_DWORD(DWORDValue)数据内容:(1=disableEFS
此文档下载收益归作者所有