高级应用ppt课件

EFS高级应用,课程目标,了解EFS加密的概念 学会使用EFS对文件、文件夹加、解密 掌握windows2000/2003系统中密钥恢复代理 学会在windows2003实现共享密钥 学会导出、导出密钥,学习内容,文件加密系统 数据传输加密 禁用隐藏共享,加密技术（加密意义）,（续）,证书的用途 服务器验证 客户端验证 代码签名 安全电子邮件 时间戳 EFS IPSec,EFS,NTFS特性与数据存储安全 文件/文件夹级安全 EFS（加密文件系统） 磁盘配额 压缩,文件加密系统EFS,什么是EFS加密 EFS加密有什么好处 如何使用EFS加密的安全和可靠 如何避免不慎使用EFS加密带来的损失 如何在本机上共享EFS加密过的数据 对EFS加密的几个错误认识,什么是EFS加密,Eycrypting File System,加密文件系统 基于公钥策略,EFS（什么是EFS？）,EFS - 加密文件系统 用户可以使用EFS对存储在Windows 2000、Windows XP Professional和Windows Server 2003 计算机文件系统中的文件进行加密； 对于用户和应用程序来说，EFS加密和解密过程都是透明的； EFS采用对称（使用一个密钥来加密文件）和非对称（使用两个密钥来保护加密密钥）加密； EFS并没有设计成可以保护从一个系统传送到另一个系统的数据； EFS是最佳的文件加密系统-不存在“后门”的问题： 如果没有密钥存档，文件就可能丢失 EFS密钥依靠用户的密码来保护；,EFS加密有什么好处,降低使用成本 透明特性 安全,如何使用EFS加密,操作系统要求 NTFS版本要求 GUI/CIPHER命令行 启用/禁用EFS,EFS加密文件或文件夹,包含使用用户公钥加密后的 FEK（文件加密密钥）的 DDF（数据解密区）及DRF （数据恢复区）存放于文件夹,EFS解密文件或文件夹,EFS加密及解密操作,文件加密和解密的过程非常简单，但是要确定哪些内容要加密，留意不同操作系统上EFS的差异尤为重要。,EFS,只有Windows XP和Windows Server 2003才带有共享加密文件的GUI Windows 2000中用户可以采用共享加密文件的编程式解决方案，然而，不提供界面。,DEMO,GUI/CIPHER命令行 启用/禁用EFS,打开注册表创建一个双字节值,把数值数据0改成1,把数值数据0改成1,EFS,禁用或阻止加密 禁用EFS的最佳方法是设置一个空的恢复策略 亦可以通过清除域或OU上的组策略中公钥策略的属性页面中的复选框来实现 Windows XP Professional Windows Server 2003,右键轻松实现加密解密,右键轻松实现加密解密,待续,如何保证EFS加密的安全和可靠,密钥的作用 EFS机理（恢复代理),EFS恢复加密文件和文件夹,如何避免不慎使用EFS加密带来的损失,备份密钥 设置有效的恢复代理,EFS,确保独立计算机上的数据恢复 1.创建默认的恢复证书 a.cipher.exe/R:filenarne b.向CA申请用于数据恢复的证书 2.定义数据恢复策略,EFS,确保域中计算机上的数据恢复 在建立第一个域控制器时，即会为该域配置一个默认恢复策略。 默认恢复策略使用自签名证书，以将域管理员帐户指定为恢复代理。 如果决定使用默认恢复策略，则您不再需要申请文件恢复证书。 在域需要多个恢复代理的情况下，或者由于法律或公司政策等原因需要由域管理员以外的人员担任恢复代理，这时您可能将特定用户指定为恢复代理。必须向这些用户颁发文件恢复证书。,EFS,将特定用户指定为恢复代理 要实现此目的，您必须完成下列过程： 必须有企业证书颁发机构（CA）； 企业CA中的策略必须允许指定用户/代理申请并获得文件恢复证书； 每个用户都必须申请一个文件恢复证书。 操作步骤： 设置企业CA； 为指定为恢复代理的用户创建安全组； 将创建的安全组添加到EFS恢复摸板中； 申请文件恢复证书； 将证书导出为.CER格式以便通过组策略进行指派； 将证书添加到恢复策略中。,备份普通用户A的密钥,注意：要备份某用户的密钥，此用户必须先加密过数据。,命令行模式输入mmc打开管理控制台,把A的密钥导出来,导出证书向导,导出A的私钥,启用密码保护私钥,完成私钥导出向导,导出A的私钥,设置有效的密钥恢复代理,注意： 1.在Windows 2000 中administrator是计算机中的默认密钥恢复代理 2.在Windows XP/2003中administrator不再是默认的密钥恢复代理。,Windows2000中设置密钥恢复代理,以Administrator登录系统并导出文件恢复代理密钥,以普通用户C登录并导出文件恢复密钥代理,导入A的私钥,找到A导出的私钥,完成导入A的私钥,Windows XP 中设置密钥恢复代理,Cipher /R:c:1(导出密钥恢复代理到C盘中并命名为1),Cipher /R:c:1(导出密钥恢复代理到C盘中并命名为1),在运行里调用secpol.msc,添加数据恢复代理程序,添加故障恢复代理向导,找到证书文件,完成故障恢复代理向导,打开管理控制台,添加证书,导入个人证书文件,导入个人证书文件,在安装A的私钥的时候要输入导入的密码,导入A的文件故障恢复证书,EFS,Windows 2000 Windows XP 和Windows server 2003之间的EFS存在的主要差异。 Windows XP,Windows Server 2003 用户可以授权其他用户访问加密文件； 可以加密脱机文件； 建议使用数据恢复代理，但只是可选项： XP并不自动包含默认的恢复代理如果存在的话XP将利用现有的WINDOES 2000域级恢复代理； 要请求自签名恢复代理证书，需使用“cipher/R:/filename”命令 “三重DES”（3DES）加密算法可用来替换“数据加密标准X”（DESX）且在XP SP1的后续版本，高级加密标准（AES）就作为EFS的默认加密算法； 对于Windows XP和Windows Server 2003的本地帐户、密码，重设磁盘可以用来安全地重设用户的密码； 加密文件也可以存储在WEB文件夹中。,（续）,Windows Server 2003 创建默认的域公钥恢复策略，给管理员帐户发行恢复代理证书； 证书服务器提供自定义证书摸板和密钥存档的功能： 完成合适的配置之后。可以进行用户EFS密钥的存档通过恢复用户的加密密钥，而不是通过文件恢复代理来解密，就可完成EFS加密文件的恢复； Windows Server 2003允许用户通过GUI备份自己的EFS密钥； 可以直接使用命令行（cipher/xiefsfilefilenamewindows xp亦可）也可以单击“备份密钥”按钮从详细属性页进行操作。,对EFS加密的几个错误认识,1.为什么打开加密过的文件时没有我需要输入的密码？ 2.我的加密文件已经打不开了，我能够把NTFS分