网络安全的实现和管理 (5).ppt

第5章加密文件系统的规划 实现和故障排除 网络安全的实现和管理 以WindowsServer2003和ISAServer2004为例 第1章规划和配置授权和身份验证策略第2章安装 配置和管理证书颁发机构第3章配置 部署和管理证书第4章规划 实现和故障诊断智能卡证书第5章加密文件系统的规划 实现和故障排除第6章规划 配置和部署安全的成员服务器基线第7章为服务器角色规划 配置和部署安全基线第8章规划 配置 实现和部署安全客户端计算机基线第9章规划和实现软件更新服务第10章数据传输安全性的规划 部署和故障排除第11章部署配置和管理SSL第12章规划和实施无线网络的安全措施第13章保护远程访问安全 网络安全的实现和管理 以WindowsServer2003和ISAServer2004为例 第14章MICROSOFTISASERVER概述第15章安装和维护ISAServer第16章允许对Internet资源的访问第17章配置ISAServer作为防火墙第18章配置对内部资源的访问第19章集成ISAServer2004和MicrosoftExchangeServer第20章高级应用程序和Web筛选第21章为远程客户端和网络配置虚拟专用网络访问第22章实现缓存第23章监视ISAServer2004 第5章 加密文件系统的规划 实现和故障排除 EFS简介在独立MicrosoftWindowsXP环境中实现EFS在使用PKI的域环境中规划和实现EFS实现EFS文件共享EFS故障排除 EFS简介 EFSEFS的工作原理 5 1EFS简介 EFS EFS EFS为NTFS文件系统卷上创建的文件提供文件级别的加密 EFS的默认配置无需管理工作 用户可以立即开始加密文件 EFS使用公 私钥对系统来加密文件 该系统针对特定的安全主体是全球惟一的 5 1 1EFS EFS的工作原理 当用户初次加密文件时 EFS会在本地证书存储区内寻找供EFS使用的证书 然后EFS取出用户证书中指定与EFS一起使用的公钥 并使用基于公钥的RSA加密算法加密FEK EFS取出用户证书中指定与EFS一起使用的公钥 EFS将FEK存储在正被加密的文件的头中的数据解密字段 DDF DataDecryptionField 中 1 2 3 4 5 1 2EFS的工作原理 第5章 加密文件系统的规划 实现和故障排除 EFS简介在独立MicrosoftWindowsXP环境中实现EFS在使用PKI的域环境中规划和实现EFS实现EFS文件共享EFS故障排除 在独立环境中实现EFS的最佳实践自签名的证书使用WindowsExplorer加密和解密文件的方法创建数据恢复代理的方法管理明文数据的指导方针创建密码重设磁盘的方法在独立计算机上禁用EFS 5 2在独立MicrosoftWindowsXP环境中实现EFS 在独立MicrosoftWindowsXP环境中实现EFS 导出独立环境中使用的每台计算机上的DRA密钥使用SYSKEY EXE程序来帮助保护本地SAM数据库 5 2 1独立环境中实现EFS的最佳实践 在独立环境中实现EFS的最佳实践 自签名的证书 在独立计算机的情况下 不存在企业CA 所以计算机将生成一个自签名的证书供EFS使用 自签名的证书工作方式 本地计算机生成供EFS使用的证书并为其签名 所以证书路径与根CA相同 即使该证书不被信任 它仍然可被EFS使用 5 2 2自签名的证书 演示 使用WindowsExplorer加密和解密文件的方法 5 2 3使用WindowsExplorer加密和解密文件的方法 使用WindowsExplorer加密和解密文件的方法 创建数据恢复代理的方法 演示 创建数据恢复代理 5 2 4创建数据恢复代理的方法 管理明文数据的指导方针 指导原则 总是在文件夹级别执行加密通过使用Cipher exe程序覆盖可重新分配的簇 5 2 5管理明文数据的指导方针 创建密码重设磁盘的方法 演示 创建密码重设磁盘的方法 5 2 6创建密码重设磁盘的方法 在独立计算机上禁用EFS 演示 通过使用MMC控制台和使用注册表在独立计算机上禁用EFS 5 2 7在独立计算机上禁用EFS 实验5 1 在独立MicrosoftWindowsXP环境中实现EFS 目的 在独立计算机上生成证书 然后加密文件 5 2 8实验5 1 在独立MicrosoftWindowsXP环境中实现EFS 第5章 加密文件系统的规划 实现和故障排除 EFS简介在独立MicrosoftWindowsXP环境中实现EFS在使用PKI的域环境中规划和实现EFS实现EFS文件共享EFS故障排除 在使用PKI的域环境中规划EFS的指导方针确定计算机上是否在使用EFS的方法更改域的恢复策略的方法迁移到新的证书的方法在WindowsXP中启用3DES算法的方法在关机时清除页面文件的方法 5 3在使用PKI的域环境中规划和实现EFS 在使用PKI的域环境中规划和实现EFS 指导原则 仔细地评估加密密钥丢失时丢失数据的风险在组织中实现恢复代理 另一个规划因素是恢复代理的使用决定将用来加密文件的密钥长度 5 3 1在使用PKI的域环境中规划EFS的指导方针 在使用PKI的域环境中规划EFS的指导方针 演示 确定计算机上是否在使用EFS的方法 5 3 2确定计算机上是否在使用EFS的方法 确定计算机上是否在使用EFS的方法 演示 更改域的恢复策略的方法 5 3 3更改域的恢复策略的方法 更改域的恢复策略的方法 迁移到新的证书的方法 演示 迁移到新的证书的方法 5 3 4迁移到新的证书的方法 演示 在WindowsXP中启用3DES算法的方法 5 3 5在WindowsXP中启用3DES算法的方法 在WindowsXP中启用3DES算法的方法 演示 在关机时清除页面文件的方法 5 3 6在关机时清除页面文件的方法 在关机时清除页面文件的方法 目的 通过场景掌握规划域与EFS有关的问题 5 3 7实验5 2 在使用PKI的域环境中规划EFS 实验5 2 在使用PKI的域环境中规划EFS 第5章 加密文件系统的规划 实现和故障排除 EFS简介在独立MicrosoftWindowsXP环境中实现EFS在使用PKI的域环境中规划和实现EFS实现EFS文件共享EFS故障排除 实现EFS文件共享 EFS文件共享在多个用户之间共享加密文件的方法远程服务器上的文件共享在不同位置之间移动或复制加密文件的影响WebDAV服务器 5 4实现EFS文件共享 EFS文件共享 EFS文件共享提供 不能通过电子邮件发送加密后的文件在WindowsXP和WindowsServer2003中 可以在DDF中添加多个公共证书 5 4 1EFS文件共享 演示 在多个用户之间共享加密文件的方法 5 4 2在多个用户之间共享加密文件的方法 在多个用户之间共享加密文件的方法 文件共享 通过委派加密存储在远程服务器上的文件必须是受信任的服务器才能在ActiveDirectory中委派 获得其他用户私钥 如果用户拥有漫游用户配置文件 可将该配置文件下载到服务器服务器会为用户生成新的配置文件并申请或生成一个自签名的证书来加密文件或文件夹 5 4 3远程服务器上的文件共享 远程服务器上的文件共享 加密文件到未加密的文件夹 B 在远程服务器上的文件 5 4 4在不同位置之间移动或复制加密文件的影响WebDAV服务器 在不同位置之间移动或复制加密文件的影响WebDAV服务器 WebDAV服务器 WebDAV服务器 WebDAV是超文本传输协议 HTTP 协议的扩展集 可以让用户远程管理和控制在远程文件服务器上的文件 如何使用WebDAV服务器 5 4 5WebDAV服务器 目的 使用EFS加密文件WindowsExplorer中把其他用户的证书添加到你加密的一个文件 5 4 6实验5 3 启用EFS文件共享 实验5 3 启用EFS文件共享 第5章 加密文件系统的规划 实现和故障排除 EFS简介在独立MicrosoftWindowsXP环境中实现EFS在使用PKI的域环境中规划和实现EFS实现EFS文件共享EFS故障排除 EFS故障排除 管理远程加密文件的指导方针EFS常见问题故障排除指导方针 5 5EFS故障排除 确保每个用户都有漫游配置文件确保远程服务器将从漫游配置文件上下载证书 而不会生成新的惟一密钥配合WebDAV使用EFS允许在客户端计算机本地加密文件 然后复制到远程服务器 5 5 1管理远程加密文件的指导方针 管理远程加密文件的指导方针 5 5 2EFS常见问题故障排除指导方针 EFS常见问题故障排除指导方针 5 5 2EFS常见问题故障排除指导方针 DRA或用户并不拥有与加密文件关联的私钥 实验5 4 加密文件系统的规划 部署和故障排除 练习1实