格式：doc&&&
贡献者：Rexie
上传时间： 14:16
此文档归属以下专题
暂无相关专题
-------------
新增文件夹...
(多个标签用逗号分隔)
&基于组密钥服务器的加密文件系统的设计和实现
分享到：&&
下载本文档需要登录，并付出相应积分。()
文件大小:284KB
所需积分:& 8
&2006-, All rights reserved.远程文件服务器文件加密攻略
这两天在论坛上又看到有网友提问,&能不能利用一些比较简单地方法实现对文件服务器上的私人文件/文件夹的保护呢?因为不想让别的用户浏览到自己的共享文件夹中的某些个文件!&.
应对这种需求时,文件服务器管理员在平常一般都会采用在文件服务器上共享出来的大目录下新建子目录然后修改NTFS权限来实现.但是对于普通域用户,他们想更为灵活和简单地掌控自己文件档案的安全性和隐私性的话,权限的叠加或者设置对他们而言就有些难以掌握了.
其实,对于大量采用Windows XP作为客户端,Windows server 2003以上作为文件服务器操作系统并且有域环境的企业来说,让用户可以使用EFS对自己存储在远程服务器上的私有资料进行加密就成为了一种可供选择的方案.毕竟EFS对于用户操作的透明性和简易性比较于其他方案是有很大优势的.
下面我们就一起来看一下如何配置使得用户可以使用EFS对远程文件服务器上的文件加密.
相信看过我之前博文&域环境下如何保护重要资料文件的安全---EFS加密(上下篇)&的朋友对于域环境中的EFS使用已经有了一些共识:本地计算机上使用EFS加密操作真的好简单.在要加密的档案上右键,选择&常规&--&;&属性&--&;&高级&--&;&加密内容以便保护数据&就完事了,同样的做法直接搬到远程文件服务器上呢?
这里我使用一个名称为&cfo&的普通域用户账号登陆客户端(IP:172.16.0.201),先对他在文件服务器(IP:172.16.0.101,FQDN:contoso-)上要访问的共享文件夹(共享名test, cfo对其拥有完全控制权限)做一个磁盘映射,然后对其中的档案试图进行EFS加密,可以看到
会直接提示&应用属性时出错&,试图加密失败.
其实动手之前稍微想一下,失败是必然的事情,远程服务器没有得到用户的信任和授权,同时也并不拥有用户的证书和密钥(如果您对证书及密钥的概念不是很理解请详细阅读我之前的博文),怎么可能就这样轻而易举地代替用户实现加密.
所以我们需要先对远程服务器进行委派的动作.来到域控上,
打开&Active Directory用户和计算机&,找到文件服务器的机器名,右键选择&属性&,然后点击&委派&选项卡,选择&仅信任此计算机来委派指定的服务&,跟着单击&添加&,然后单击&用户和计算机&,浏览到文件服务器后点击&确定&,这时会出现一个&可用服务&列表,选择添加其中的&cifs&和&protectedstorage&服务.完成操作后需要将文件服务器进行一次重启.
证书和密钥
完成了委派的操作,就相当于对服务器进行了授权,允许它代表用户执行某种(或全部的)服务.下边需要做的就是让文件服务器拥有域用户的证书和密钥.关于这一步,有两种做法,
一,直接在文件服务器上使用域用户账号登录一次,并且随便加密一个文件,这样就可以生成域用户的证书和密钥了.
二，是在域用户拥有用户漫游配置文件(Roaming Users Profile)的情况下,直接将RUP下载到文件服务器上对应的位置即可.(此步图略,并且由于本人的实验环境问题,选择了第一种方式获得的用户证书及密钥).
做完了以上的操作,我们再在客户端试着用EFS来加密远程服务器上的共享文档看看.
咦,竟然还是图1的报错. 这时我们不妨到文件服务器上看看有没有相关的信息.
来到文件服务器上执行eventvwr.msc打开事件查看器,可以看到有这么一条报错信息:
这是因为EFS不支持NTLM身份验证协议,而只能使用Kerberos协议.
身份验证协议
那怎么看到客户端上登录的账号是采用了什么身份验证协议访问的网络共享呢?
这个在事件查看器上也是有记录的:
可以看到cfo是使用的NTLM协议来进行身份验证的.
为了让他转为使用Kerberos协议,我们需要重新以方式来定位到共享文件夹再进行磁盘映射.请记住: 为了Kerberos的正常工作，所有通信都必须都使用完全限定的域名 (FQDN)。
所以请保证你域内的DNS服务器运行正常.
同样,在转为使用Kerberos协议进行身份验证后,事件日志中也会有相应的记录:
我们再来试试对远程服务器上的文件加密:
可以看到,终于能够在远程 服务器上使用EFS方式对文件加密了.
总结一下使用EFS的委派模式对远程服务器上文件加密的大体步骤:
1.在域控上对远程服务器进行信任委派并重启(安全起见只委派两个服务即可,不再复述,详见正文内容)
2.在远程服务器上生成用户的profile及private key(两种方法,不再复述, 详见正文内容)
3.使用名称访问到共享文件夹并做磁盘映射到本地(必须)
最后仍有几点需要说明:
1. 对于将要使用远程服务器的EFS的域用户,务必在其账号属性中清除&敏感帐户,不能被委派&复选框.
2.远程加密不支持跨林的委派服务器模式，要使用此方案，被委派的服务器须和用户帐号在同一个域内.
3. EFS只能加密存储在磁碟上的数据.在网络中传输数据时数据仍是没有被加密的.所以为了保证在网络传输时的数据安全,你可能需要使用IPsec或者EFS over WebDAV模式.
4. 在有多名用户对某个文件夹都拥有足够权限的时候,其中一个用户使用EFS来加密了某些个文件都会导致别的用户都无法再访问这些文件.鉴于此, 请规划好远程EFS加密的使用并且对用户说明正确的使用场景.为了以防万一,也请将EFS域恢复代理提早设置妥当.
5.虽然域内可以使用自签名( self-signed)的用户证书,但对于涉及到证书的最佳实践还是建立CA服务器以获得和活动目录结合的PKI环境
您对本文章有什么意见或着疑问吗？请到您的关注和建议是我们前行的参考和动力&&
您的浏览器不支持嵌入式框架，或者当前配置为不显示嵌入式框架。您好， []|
安全网关与加密调制服务器信息安全良药
上一篇札记中，老黄分析到，很多企业已经意识到了信息安全的重要性，但就是苦于不知如何下手来进行防护。上一篇案例中提到的外贸企业，其内部信息化结构相对简单，本次老黄选取的案例是内部信息化结构相对复杂，日常工作都是通过PDM、ERP等信息管理系统来开展的制造型企业。众所周知，随着企业业务的发展以及信息化技术的进步，越来越多企业将内部海量的信息尤其是机密信息存放于如ERP、PDM、OA等企业级管理系统上。因此保护这些系统上信息的安全成为企业亟需解决的问题。 出诊札记制造企业D，非常关注内网信息安全，ERP/OA/PDM等系统是企业常用的系统。企业内部大部分核心机密如设计图纸以及销售数据都保存在这些系统上，而且内部人员都可以通过网络到本地。担忧的是信息防泄露系统会使得这些常用的管理系统效率降低。想要达到的效果是保护管理系统上销售数据以及设计图纸的安全，但是要让相关人员能看到这些信息，对工作不造成任何影响。困扰所在担心因安全失效率。ERP\OA\PDM是D企业常用的系统，因此其担忧部署防泄漏系统会降低这些管理系统的效率，影响正常工作的开展。如何实现“能看不能动”如何做到让内部人员既能看到与其工作相关的信息，保证工作的顺畅开展，但无法复制，把信息外泄出去，这不仅困扰着D企业，目前大部分企业普遍都遇到这样的困惑。对症下药综合D企业心存的困惑以及其内部的信息化情况，溢信科技领先推出的以“整体信息防泄漏”理念为核心的IP-guard三重保护信息防泄漏解决方案正是其所需的良方。下面，老黄将结合这个药方为D企业对症下药，帮助其建立全面的信息防泄漏体系。D企业担忧防泄漏系统会影响ERP/OA/PDM的效率，依老黄之见，性能好的信息防泄漏系统如IP-guard三重保护信息防泄漏解决方案对ERP/OA/PLM等这些管理系统的影响是很小的，因为信息防泄漏系统的一个关键目的就是要保护存储于这些系统中数据的安全，因此不会影响其正常使用。防泄漏系统对业务系统效率的影响程度是每个企业都很关心的问题，这也是挑选防泄漏系统的一个重要指标。因此在正式部署前，需要经过多次测试，选择性能较好的防泄漏系统，避免由于信息防泄漏系统而造成其他系统崩溃，影响正常工作。加密与安全网关，配制出“安全与效率兼收”良药D企业内部常用的管理系统是ERP、OA、PDM，而其向老黄提出的防护需求是在不影响正常业务的前提下，保护存放在这些系统上信息的安全。根据其具体的信息化情况以及安全需求，老黄认为最佳的防护方案是在核心部门如设计部、财务部部署透明加密，非核心部门但需要接触到核心信息如销售部部署只读加密，并在企业常用的管理系统前部署上IP-guard加密安全网关。“只读加密”功能是溢信科技根据“文档能看但不能外泄”的客户需求设计的，并将领先市场正式推出。它实现了加密文档只允许阅读，禁止进行其他操作的效果。通过这一功能，非核心部门不需再部署透明加密，也可以需要阅读相关的加密文档，顺畅开展工作，避免了因透明加密而引起的繁重非核心文档解密工作，同时，也杜绝通过合法手段获取的信息的外泄风险。结合IP-guard透明加密以及加密安全网关，既可对想要访问服务器的终端进行严格的身份认证，杜绝非法接入服务器而带来的信息泄露隐患。而且，还实现文档上传至服务器时自动解密，下载到本地时自动加密，装有透明加密的客户端可对文档进行修改，而只读加密客户端则只允许阅读，禁止复制、修改、截屏等操作，有效避免了文档在本地的二次泄露风险。安全网关原理示意图通过这样的防护方案，D企业面临的既要保护管理系统上信息的安全，但不影响工作正常开展这一困惑便可迎刃而解了。信息防泄漏对“面”不对“点”鉴于D企业目前仍无任何信息安全的防护措施，老黄认为，除了对管理系统的信息以及核心部门采取上述的防护方案外，在企业全范围也需要相应的管理。信息防泄漏工作需要全面的防护，不能只顾核心部门，否则很细小的漏洞便可能导致重大的泄密事件。首先，可借助信息防泄漏系统如IP-guard三重保护信息防泄漏解决方案的审计功能，将内部的安全问题梳理清楚，然后根据具体的问题来进行相应的防护。在将企业内部的安全问题都审视清楚后，需要通过信息防泄漏系统如IP-guard三重保护信息防泄漏解决方案在企业全范围内部署基础审计，详细记录企业内部人员的操作，及时发现安全威胁，并形成震慑力，在一定程度上降低泄密事件发生的几率。除了基础的审计外，还需要根据每个部门具体的安全状况以及需求，辅以适当的管控。比如人事行政部、财务部、设计部等跟外界沟通比较少的部门，可通过IP-guard的网页浏览、邮件管控、即时通讯管控等管控功能，限定邮件发送的主题、附件大小等，并严格限制在上班时间使用IM、网络上传，防止将通过合法手段获得的信息外泄出去。对于对外窗口销售部，则可灵活处理，允许使用即时通讯与外界联系，但管控的度也需把握好，做相应的管理，比如利用IP-guard的即时通讯管控、邮件管控，限定只能使用指定账号与外界联系，发送邮件必须抄送主管/经理。由于IP-guard采用的是模块化管理，并将所有的管理整合到同一平台实现，这样企业可根据具体的需求进行采购，集中进行管理，提高管理效率，并随时进行功能扩展，无缝集成。出诊总结“允许文档能看，但不能外泄出去”是企业长久以来都存在的需求，而将企业内部的信息尤其是核心机密存放于企业级管理系统上也逐渐成为趋势，IP-guard就是针对这样的市场变化以及需求，推出了加密安全网关以及只读加密。通过加密以及安全网关两者相互配合，既能实现系统上信息的安全，也不影响企业正常业务的开展。当然，没有绝对的安全，企业的安全管理并非要达到绝对安全的效果，而是根据企业各个部门的具体问题以及安全需求，有针对性地进行防护，形成力度轻重不一的整体防护，让安全、效率和成本达到最优平衡。
[责任编辑：frontzhang]
(请登录发言，并遵守)
如果你对科技频道有任何意见或建议，请到交流平台反馈。【】
新闻排行财经科普数码科技
Copyright & 1998 - 2015 Tencent. All Rights Reserved问题补充&&
本页链接：
猜你感兴趣
服务声明： 信息来源于互联网，不保证内容的可靠性、真实性及准确性，仅供参考，版权归原作者所有！Copyright &
Powered by