Windows XP中的数据保护和恢复二(组图)
9.右键单击想要进行文件恢复的证书。这个默认的域 DRA 证书应该具有 99 年的生存期。
10.右键单击文件恢复证书之后,选择所有任务,然后从上下文菜单选择导出。一个向导将引导此导出过程。
重要须知:在导出过程中选择正确的密钥十分关键,这是因为一旦导出过程完成,原来的私钥和证书将从机器上删除。如果它不能被还原到机器上,则不能使用 DRA 证书进行文件恢复。
11.如下图 13 中所示,选择是,导出私钥,然后单击下一步。
图 13:. 导出私钥
重要须知:务必选中“是,导出私钥”单选按钮以确保在导出结束时从系统中删除私钥,这一点很重要。
导出私钥时,使用 *.PFX 文件格式。*.PFX 文件格式基于指定用于存储或传输用户私钥、证书或其他机密等的可移植格式的 PKCS #12 标准。有关详细信息,请参见列在本文“相关链接”一节的 PKCS #12 标准。
作为最佳实践之一,私钥在成功完成导出任务后应从系统中删除。强私钥保护还应用作对私钥的一个附加安全级。
选中适当的复选框,如下图 14 中所示,然后单击下一步。
图 14:. 选择文件格式
*.PFX 文件格式 (PKCS #12) 允许使用密码来保护存储在文件中的私钥。选择一个强密码,并单击下一步。
最后一步就是保存这个实际的 *.PFX 文件。证书和私钥可被导出到任何可写设备,包括网络驱动器或软盘。在键入或浏览到文件名和路径后,单击下一步。
一旦 *.PFX 文件和私钥被导出,应该根据组织内的安全指南和条例将该文件保存在一个处于安全位置的稳定介质上。例如,一个组织可能将该 *.PFX 文件保存在一张或多张 CD-ROM 上,存储于严格控制物理访问的保险箱或保险库中。如果这个文件和与之相关的私钥丢失,不可能对任何现有使用特定 DRA 证书作为数据恢复代理的文件进行解密。
导入密钥
与导出密钥相比,导入密钥的步骤要简单得多。若要导入一个以 PKCS #12 格式文件(*.PFX 文件)存储的密钥,双击该文件以启动“证书导入向导”。否则,完成下列步骤:
1.用有效的帐户登陆到工作站。
2.从“开始”菜单选择运行。
3.键入mmc.exe并按回车。将启动一个空白的 MMC 外壳。
4.选择控制台菜单,然后选择添加/删除管理单元。将弹出带有已经添加到此 MMC 外壳中的所有管理单元列表的对话框。
5.单击添加按钮。将出现当前机器上所有注册的管理单元的列表。
6.双击证书管理单元。选择我的用户帐户,然后单击完成按钮。
7.在“添加独立的管理单元”对话框上单击关闭按钮,然后在“添加独立的管理单元”对话框上单击确定。此时,MMC 包含管理员的个人证书储存区。
8.扩展该证书储存区的树形视图。按照下列路径,依次单击:证书、当前用户、个人,然后单击证书。右键单击该文件夹并选择所有任务,然后单击导入。将启动“证书导入向导”。
9.单击下一步。
该向导将提示指定文件及其路径位置,如下图 15 中所示。
图 15:. 提示指定文件及其路径
10.如果是 PKCS #12 文件,键入所导入文件的密码。
注意:用强密码保护私钥进行保存总是最佳做法之一。
11.如果想在以后从当前机器再次导出密钥,选定标记此密钥为可导出的复选框是非常重要的。单击“下一步”。
12.该向导可能会提示您指定证书和私钥导出后的储存区。为了确保私钥被导出到个人存储区,不要使用自动单选按钮。选择将所有证书放在下列存储区,然后单击下一步。
13.突出显示“个人”存储区,单击确定。
14.单击“下一步”,如图 16 中所示。
图 16:. 确认证书存储区的位置
15.单击“完成”来完成导入过程。
重要须知:在进行与 DRA 相关的操作时,应该始终使用基于域的帐户——非本地工作站帐户。本地工作站帐户易于遭受物理脱机攻击。
在“Windows 资源管理器”菜单上启用“加密/解密”
有些组织可能会发现通过在鼠标右键单击文件时出现的 Microsoft Windows 资源管理器上下文菜单上设置“加密”和“解密”来启用 EFS 要简便一些。若要在 Windows 2000 或 Windows XP 中启用这一特性,请在下列注册表配置单元路径下创建 DWORD 值:
HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Explorer \Advanced
DWORD Name:EncryptionContextMenu
Value:1
注意:这个注册表项在默认条件下不存在,必须创建它。
数据恢复——最佳实践
一般来说,对于数据恢复而言,各个组织需要遵循的最佳实践是部署一个密钥基础结构 (PKI) 来为用户和由证书颁发机构授权的数据恢复代理颁发证书。Microsoft 企业证书颁发机构使用户易于自动获取 EFS 所使用的证书。
其他最佳实践包括:
使用 DRA 证书颁发机构生成的证书。证书颁发机构颁发的证书不是自签证书,在撤销、更新和过期方面更易于管理。
每个域使用一个以上的 DRA,并将实际的 DRA 私钥保存到受到保护并且只有在符合适当的安全策略和条例的情况下才能进行检索的介质上(软盘、CD-ROM 等)。与任何其他“组策略”一样,DRA 可以在站点、域或 OU 处进行定义,并且可以基于 Active Directory 的组织作为聚合策略进行合并。
使 DRA 在本地可用以恢复用户数据。由于用户配置文件的属性以及在配置文件中储存私钥的事实两方面的原因,有必要由 DRA 本地登陆到用户机器、导入 DRA 私钥,然后恢复用户的文件。对于拥有分布到整个企业的多个 DRA 的组织来说,这种方法特别有用。
中央恢复工作站
另一种数据恢复的方法是在企业中使用中央恢复工作站。这可以通过使用备份实用程序(如 ntbackup.exe)来执行加密文件的原始备份、然后还原中央还原机器上的那些文件来完成。DRA 私钥可以保存在恢复机器上或者在必要时导入。对于维持单个中央恢复 DRA 的组织而言,这种方法非常有价值。
EFS 和证书颁发机构
通过 Windows XP 企业证书颁发机构,用户可以采取下列三种方法之一来获得可被 EFS 使用的证书:
自动使用用户证书自动注册
使用企业证书颁发机构和适当配置的证书模板进行按需注册
由最终用户进行手动注册
使用企业证书颁发机构将确保用户轻松地获得 EFS 所使用的证书。与其它技术和方法相比,这种方法还确保了证书部署的低成本。
自动注册
对于 Intranet 用户来说,最简单也最可靠的证书分发方法是自动注册。自动注册在后台进行,确保在用户需要它们时证书可用。
自动注册的关键优势在于:
自动注册还可用于将证书注册与数据和密钥恢复方法进行合并。版本 2 的证书模板可用于在后台自动注册用户,同时将私钥归档。
自动注册还可使用需要其他证书签发的证书请求的证书模板。也就是说,一个组织可以通过个人到个人交换来手动(而安全)地颁发智能卡,然后要求使用智能卡证书来签发自动注册证书请求。这被称为“自注册颁发机构”,是一个通过自动过程安全地颁发证书的强大机制。
用户存储区证书管理(清理)。
自动证书续订(撤销的证书、过期的证书等)。
自动检索挂起的证书请求。
使用默认的域配置
在默认条件下,域管理员是 Windows 2000 域中的默认 DRA。在域管理员用该帐户首次登陆时:生成一个自签证书;将私钥储存在该机器上的配置文件中;默认域“组策略”包含作为域默认 DRA 的证书的公钥。
丢失或过期的 DRA 私钥
虽然 DRA 证书过期是小事一桩,但 DRA 私钥的丢失或损坏则可能给企业带来巨大损失。
过期的 DRA 证书(私钥)仍能用于对文件解密,然而,新的或更新后的文件不能使用过期的证书(公钥)。当组织丢失 DRA 的私钥或者 DRA 证书过期时,一个组织应该遵循的最佳实践是尽快生成一个或多个新的 DRA 证书并尽快更新“组策略”或“策略”以反映新的 DRA。当用户对新文件加密或更新现有加密文件时,将用新的 DRA 公钥对这些文件进行自动更新。企业有必要鼓励用户更新所有的现有文件以反映一个或多个新的 DRA。
在 Windows XP 中,命令行实用程序 cipher.exe 已经得到更新,可以使用 /U 参数来更新本地驱动器上所有文件的文件加密密钥或恢复代理密钥。例如:
Cipher.exe /U
C:\Temp\test.txt:加密得到更新。
C:\My Documents\wordpad.doc:加密得到更新。
注意:使用默认设定时,对于域中缺乏证书颁发机构的自签证书,其生存期为 99 年
数据保护——最佳实践
对于关注于在机器失盗或丢失发生时保护移动用户数据的组织而言,应遵循下列最佳实践:
对机器的物理保护至关重要。
始终作为 Windows 2000 域的一部分来使用移动计算机。
将来自移动计算机的用户私钥分开存储,在必要时导入。
对于诸如“我的文档”和“临时文件夹”等公用的存储文件夹,对它们进行加密,使得所有的新文件和临时文件在创建时即被加密。
当数据异常敏感时,总是在加密文件夹中创建新文件或复制现有的纯文本文件。这将确保所有的文件从未以纯文本形式存在于该机器上,并且临时数据文件不会被复杂的磁盘分析攻击进行还原。
通过使用组策略、登陆脚本和安全模板的组合体以确保将“我的文档”等标准文件夹配置为加密文件夹,在域中执行文件夹加密。
Windows XP 操作系统支持对脱机文件中的数据进行加密。在使用客户端缓存策略时,应对缓存到本地的脱机文件和文件夹进行加密。
使用移动计算机上 SYSKEY 模式 2 或模式 3 来防止系统被恶意的用户启动。
注意:在 Windows 2000 和 Windows XP 上,默认启用 SYSKEY 模式 1。若要调用 SYSKEY,从命令提示符或“开始”菜单上的“运行”行键入 "syskey.exe"。(请参见http://support.microsoft.com/default.aspx?scid=kb;en-us;143475&sd=tech 了解更多关于 SYSKEY 的详细信息)。
重要须知:对系统 TEMP 文件夹或路径进行加密可能会负面影响系统的总体性能。对所有的临时文件进行加密可能会极大地增加系统 CPU 开销,在启用之前应加以审慎考虑。
删除纯文本数据
每当新数据文件在 NTFS 驱动器上被创建时,文件系统将数据以被称为簇的组块的形式分配到该驱动器上。如果该文件超出了所分配簇的大小,NTFS 分配附加的簇。如果以后该文件收缩或被删除,NTFS 从该文件收回多余的簇,如有需要,可将它们作为分配给其他文件的可用资源。随着时间的推移,取消分配的文件在新文件和数据写入磁盘时被覆盖。了解 NTFS 如何工作对于运用 EFS 实施数据保护策略非常重要。
关于 NTFS 的附加信息及其操作可在微软开发者网络 (MSDN) 上找到:http://msdn.microsoft.com/library/default.asp?url=/library/en-us/fileio/storage_1shf.asp
减少发现纯文本碎片的风险
EFS 纳入一个故障恢复方案,在系统崩溃、磁盘已满或硬件故障等致命性错误出现时避免数据丢失。这是通过为进行加密或解密的原始文档创建一个纯文本备份来实现的。一旦原始文档被成功加密或解密,该备份文件将被删除。创建纯文本副本具有一个副作用;该文件的纯文本版本可能存在于磁盘上,直到那些磁盘区块被 NTFS 用于其他文件。
作为对现有文件进行加密的过程的一部分,EFS 为进行加密的文件创建一个备份副本。使用 EFS 加密敏感数据的推荐方式是创建一个文件夹、在其上设置加密属性,然后在该文件夹内创建文件。如果这样做,则文件从一开始就被加密。EFS 不会创建包含纯文本的备份文件,这就确保了在驱动器上永远不会存在纯文本碎片。
Cipher.exe 命令行实用程序
Cipher.exe 命令行实用程序可用于从 NTFS 磁盘中取消分配给文件的簇,从而减少发现文件转换过程中留下的纯文本碎片的风险。
C:\>cipher /?
显示或者更改 NTFS 分区上目录[文件]的加密。
CIPHER [/E | /D] [/S:directory] [/A] [/I] [/F] [/Q] [/H] [pathname [...]]
CIPHER /W:directory
/W
从整个卷上可用的未使用磁盘空间删除数据。如果选中此选项,将忽略所有其它选项。所指定的目录可以位于本地卷上的任意位置。如果它是另一个卷上一个目录的装入点,此卷上的数据将被删除。
运行 Cipher.exe
1.以本地机器的管理员身份登陆。
2.关闭所有应用程序。
3.通过选择“开始”、“运行”并输入 CMD 命令来打开命令提示符。
4.键入 "Cipher /W:<'directory'>" (没有双引号),其中 <'directory'> 是您想要清理的驱动器上的任意目录。例如,"Cipher /W:c:\test" 将覆盖 C: 驱动器上解除分配的空间。
5.Cipher.exe 将开始运行,在它完成时将显示消息。
重要须知:Cipher.exe 可能需要运行一段很长的时间,尤其是在大容量卷上,更是如此。一旦开始,它就不能停止,因此这个操作将运行到完成为止。完成之后,最好在该卷上运行 chkdsk.exe 命令。此外,建议不要多次运行 cipher.exe;这个过程旨在对磁盘进行一次清理即可。
注意:NTFS 驱动器可以作为目录装入。例如,一个驱动器可以作为 C:\folder1\D_Drive 装入。这种用法可使这种类型的驱动器得到清理。
新的 cipher 工具也对 Windows 2000 可用,可从以下微软Web 站点下载:http://www.microsoft.com/technet/security/tools/cipher.mspx
对脱机文件进行加密
Windows 2000 引入了针对脱机文件执行缓存处理的功能(也被称为客户端缓存)。这种 IntelliMirror? 管理技术允许网络用户访问网络共享上的文件,即使在客户端计算机与网络系统连接被断开的情况下,也不会受到影响。
例如,当某移动用户在脱机状态下查看共享资源时,他(她)仍可对目标文件执行浏览、读取和编辑操作,因为这些文件已经被缓存到客户端计算机中。当用户在稍后连接到服务器时,系统将在服务器上应用这些变化。
Windows XP 客户端如今可以使用加密文件系统对脱机文件及文件夹进行加密。对于经常需要出差的专业人士来说,由于需要在确保数据安全的前提下定期以脱机方式开展工作,这一特性尤其具有吸引力。
本地机器上的通用数据库用于存储所有的用户文件,并通过精确的访问控制列表 (ACL) 限制对这些文件的访问。该数据库采用隐藏数据库结构与格式而以普通文件夹面貌示人的方式来为用户显示这些文件。其它用户文件及文件夹既不会被显示出来,也无法供其它用户访问。对脱机文件进行加密后,将使用 EFS 机器证书对整个数据库进行加密处理。无法选取单个文件及文件夹进行解密。因此,整个脱机文件数据库便会在默认情况下避免遭受在启用这一特性时来自本地 EFS 的攻击。 然而,加密脱机文件数据库的一个限定条件是,文件和文件夹将无法在脱机工作状态下以其它替代颜色呈现给用户。远程服务器还可能在联机状态下有选择地运用文件及文件夹的加密,因此,当以联机和脱机方式显示加密文件时,用户所看到的效果将不尽相同。
重要须知:CSC 通常作为系统进程运行,因此可供任何用户或者以系统进程方式运行或充当系统进程的其它进程进行访问。这包括本地计算机上的管理员。有鉴于此,当敏感数据被存储到脱机文件夹时,管理访问权限均应被限制在特定用户范围内,且始终运用 SYSKEY 防范脱机攻击。
对脱机文件进行加密
用户可在 Windows 资源管理器中选择工具,然后选择命令菜单中的文件夹选项,通过设定文件夹选项来启用加密脱机文件特性。
1.选择脱机文件选项卡,如下图 17 中所示。
注意:此选项仅在 Windows XP Professional 中可用。
图 17:. 选择“脱机文件”选项卡
2.同时选中“启用脱机文件”和“为保护数据安全而对脱机文件进行加密”复选框。
3.单击“确定”。
在进行本地缓存时,脱机文件将使用客户端计算机上用户的私钥和证书进行加密。
重要须知:切勿对存储在漫游用户配置文件中的文件进行加密,这是因为配置文件中的文件在登录过程中被加载时不能被系统打开。
永久脱机用户
一般来说,EFS 脱机用户(那些不定期连接到域或网络的用户)对 EFS 操作很少有或者没有特殊的需求。然而,有些组织可能选择允许一些脱机用户在软盘上维持 DRA 私钥和证书的一个副本以备用户出差或脱机的不时之需。应当注意的是,建议一般不要采用这种方式,只能在极端场合方能使用。在采用上面的操作时,私钥文件 (*.PFX) 应该用强密码加以保护并且那个软盘应该保存在不同于移动计算机的地方。
针对 WebDAV 文件夹使用 EFS
“针对 WebDAV 文件夹使用 EFS”为个人或公司用户在不安全的网络中共享敏感数据提供了一种简单而安全的途径。“针对 WebDAV 文件夹使用 EFS”消除了购买专门软件以在用户、业务或组织间以安全的方式共享加密文件的需要。EFS 强大的加密功能以及在 Windows XP 中启用的文件共享功能简化了共享敏感数据的过程。文件可以存储在公共文件服务器或 Internet 社区,如微软网络 (www.msn.com),通过 EFS 维持强大的安全性的同时,还提供便捷的访问。
“针对 WebDAV 文件夹使用 EFS”还为期望无需部署复杂的基础结构或昂贵的产品科技即可获得简单的安全性解决方案的企业带来了数不胜数的业务到业务和合作情境。有关“针对 WebDAV 文件夹使用 EFS”的更多信息,请参见本文后面的“服务器上的加密文件”一节。
在关机时清理页面文件
确保在关机前清理系统页面文件。这将确保在关机时内存数据片断不会以纯文本形式发送到磁盘。通过本地或域的“组策略”来启用它。
在关机时清理页面文件
1.按照下列路径,依次单击:
计算机配置
Windows 设置
安全设置
本地策略
安全选项
2.打开关机:清除虚拟内存页面文件对象。
3.选择启用单选按钮,如图 18 中所示,并单击确定。
4.关闭组策略 MMC 管理单元。
图 18:. 定义关机:清除虚拟内存页面文件策略设定
使用 3DES 加密算法
Windows XP 操作系统支持使用比默认的 DESX 算法更强大的对称算法。对于要求使用符合 FIPS 140-1 标准的算法以获得更大的对称密钥强度的用户来说,应该启用 3DES 算法。
启用 Windows XP 中的 3DES 算法
若要启用 Windows XP 中的 3DES 算法,请启用本地计算机策略或者启用站点、域或目标计算机 OU 上适当的“组策略”。
1.按照下列路径,依次单击:
计算机配置
Windows 设置
安全设置
本地策略
安全选项
2.打开系统加密:对加密对象使用符合 FIPS 标准的算法。
重要须知:系统加密同时应用于 EFS 和 IPSEC。
3.选择启用单选按钮,如下图 19 中所示,然后单击确定。
一旦被启用,Windows XP 客户端可以打开用 DESX 和 3DES 算法加密的文件。然而,所有的新文件将用新的 3DES 算法进行加密。
图 19:. 定义系统加密:使用符合 FIPS 标准的算法策略设定
注意:如果需要从 Windows 2000 和 Windows XP 访问加密文件,则不应启用 3DES 算法。Windows 2000 操作系统不支持 3DES 算法。
其他 EFS 最佳实践,请参见微软知识库文章:http://support.microsoft.com/default.aspx?scid=kb;en-us;223316&sd=tech
用彩色显示加密文件
Windows XP 客户端如今允许加密和压缩文件以替代颜色在 Windows 资源管理器中显示。可在 Windows 资源管理器中选择工具,然后选择命令菜单中的文件夹选项通过设定文件夹选项来启用这一特性。
用彩色显示加密文件
1.在文件夹选项对话框中选择查看选项卡
2.选中“用彩色显示加密或压缩的 NTFS 文件”,如下图 20 中所示。当它被应用到一个文件夹时,其中所有的加密文件都将在 Windows 资源管理器中用绿色显示。
3.如果想要将这一设定应用于机器上所有的文件夹,选择应用于所有文件夹按钮并在提示是时选定它。
4.单击“确定”关闭此对话框。
图 20:. 选择用彩色显示加密文件的选项
针对独立的机器或 NT 4.0 域使用 EFS
虽然在独立的机器上使用 EFS 上时 EFS 所具有的功能不同,但在工作组模式下或者作为 NT 4.0 域成员使用 EFS 是一个有效的情境。
注意:只有 Windows 2000 或 Windows XP 工作站可以使用 EFS。EFS 功能被绑定到机器而不是用户帐户。这也意味着在 NT4.0/Windows 2000 混合环境中,其配置文件中具有适当 EFS 密钥的漫游用户不能从 Windows NT 4.0 工作站打开或读取 EFS 加密文件。
在非 Active Directory 环境中管理 EFS
与在非 Active Directory 环境中使用 EFS 相关的最大问题在于管理性。
考虑事项包括:
默认设定允许以管理员帐户身份登陆到工作站或服务器上的任何人对该机器上任何用户的加密文件进行解密。这使得工作组模式下的机器特别易于遭受脱机磁盘编辑器的攻击。
如果一个用户对文件加密并且损坏或删除了用户和本地 DRA 的证书存储区,将不可能对文件进行恢复或解密操作。
如果需要未征得用户许可对文件进行恢复,如终止后或应执法机构命令要求,如果用户 a) 损坏证书储存区并且 b) 误操作或恶意删除 DRA 证书,这些文件将不可恢复。
不存在针对恢复的中央密钥数据库。
在非 Active Directory 环境中使用 EFS 时,应该遵循一些关键的最佳实践:
默认的 DRA 私钥应该总是从在工作组模式下运行的系统中移除,并保存在不同于该系统的其他位置。工作组模式下的机器尤其易于遭受脱机磁盘编辑器的攻击。
用户应该将其私钥保存在不同于该系统的其他位置并在有必要时执行密钥的导入/导出操作,从而确保最高级别的安全性。
采用需要启动软盘或必须在系统启动之前输入主密码的 SYSKEY 模式。启动软盘和/或主密码应该保存在不同于该系统的其他位置。
采用 sysprep 和自定义脚本安装机器来启用中央恢复代理。这可以通过拥有运行一次、删除已有的本地 DRA 并插入企业中央 DRA 的注册表项来实现。这项修改必须在 sysprep 最小化安装生成默认的 DRA 之后才能进行。这种方法对于 NT 4.0 域中的机器尤其有用。最好是使用微软证书颁发机构作为中央恢复代理颁发 DRA 证书。
如果以后机器和/或用户迁移到使用企业证书颁发机构的 Windows 2000 或 Windows XP Active Directory 环境,需要注意的是客户端将继续使用自签证书并且它们加入到 Active Directory 域以后不会自动注册新证书,这一点很重要。然而,默认的域恢复代理将在文件更改时对所有的新文件和旧的加密文件自动生效。
查看独立的机器或 NT 4.0 域中的机器的当前 DRA 证书
1.打开本地计算机的组策略 MMC 管理单元。依次单击到本地计算机策略以查找本地 DRA,如下图 21 中所示。
计算机配置
Windows 设置
安全设置
公钥策略
加密数据恢复代理
图 21:. 查找本地加密数据恢复代理(点击看大图)
重置 Windows XP 上的本地密码
关于在本地修改的密码和 EFS,Windows XP 具有新的行为。在 Windows 2000 中,当本地用户密码被管理员重置时,理论上管理员或第三方可以使用新修改的帐户作为用户登陆并对加密文件进行解密。在 Windows XP 中,由管理员修改本地用户密码或者采取用户修改密码以外的其他途径,都将阻止对此前由用户加密的文件的所有访问。
总结起来,用户配置文件和密钥将丢失,对具有重置密码的帐户不可用。在试图重置用户密码时,Windows XP 将给出下列警告:
警告:“重置此密码可能会造成不可逆的用户帐户信息丢失。出于安全方面的原因,Windows 通过使相应的信息在重置用户密码后不可访问来进行保护。”
这一特性有助于防范脱机攻击并防止恶意的管理员获得对其他用户加密文件的访问权限。
针对不同的密钥长度使用 EFS
除非应用 128-位的加密程序包,Windows 2000 的所有导出版本默认都使用 56-位的密钥。安装了 128-位加密程序包的工作站可以对使用 56-位密钥长度的文件进行解密并使用128-位密钥长度对所有新文件进行加密。然而,只具有 56-位功能的机器不能打开使用128-位密钥长度加密的文件。对于拥有漫游用户配置文件并可能使用具有不同加密功能的机器的用户而言,这种情形尤其重要。
服务器上的加密文件
Windows XP 支持两种类型的远程服务器上的加密文件:
委派的服务器模式
WebDAV 上的 EFS
注意:Windows 2000 操作系统仅支持委派的服务器模式。
委派的服务器模式
Windows 2000 和 Windows XP 允许用户对服务器上的文件执行远程加密操作(如果服务器拥有 NTFS 分区并且该服务器受信任在 Active Directory 中委派的话)。用户帐户也必须标记为可在 Active Directory 中委派的帐户。
远程加密要求用户证书和私钥被装载到进行加密和解密操作的服务器上的本地配置文件中。服务器通过 Kerberos 委派获得对配置文件的访问权限。仅使用保存在此配置文件中的私钥对远程加密文件进行加密。如果漫游配置文件可用,它将被复制到本地机器。
注意:即便是用户从未互动地连接到服务器,用户也会拥有在服务器上存储的配置文件和私钥。
基于智能卡的证书和密钥目前不受加密文件系统的支持。远程服务器上的文件跨林加密在针对远程加密的委派的服务器模式下不受支持。对于跨林边界、远程服务器上的文件加密而言,应该采用 WebDAV 上的 EFS 方式。
配置文件可采取两种方式之一来获得:
用户拥有一个漫游用户配置文件 (RUP),当服务器模拟用户时进行下载。
服务器以用户的名义生成一个新的本地配置文件,并随后请求或生成一个自签 EFS 证书。
重要须知:如果对微软群集服务器在委派的服务器模式下使用 EFS,所有用户都要拥有漫游用户配置文件,这一点很重要。由于用户配置文件中存在的用户密钥资料的属性的原因,在进行故障转移时,需要在群集节点上同时具有相同密钥的漫游配置文件。如果不使用漫游用户配置文件,在故障转移发生时,用户数据不能在第二个节点上进行加密。
远程服务器上的文件共享
受信任进行委派的远程服务器上的文件共享在共享其他用户的证书方面面临一些独特的挑战。如果用户不使用漫游用户配置文件,则服务器将对在服务器上对文件进行加密操作的用户使用唯一的证书。尽管用户可能已经注册了 EFS 证书并将该证书发布到 Active Directory,但这种情况依然存在。实际上,在对加密文件添加其他用户时,用户无法知晓应该从 Active Directory 中选择哪个证书。无法确定服务器为加密操作使用了哪个证书。
用户从本地机器存储区或 Active Directory 而不是从服务器上的“其他人”或“受信任人”存储区选择证书的事实加剧了这种情形。建议不要共享在服务器上加密的文件,除非采用下列解决方法之一:
具有漫游用户配置文件的用户
使用 WebDAV 上的 EFS 文件共享
提供了识别正确证书的替代方法(例如:仅将服务器创建的证书发布到 Active Directory)
性能
Windows Server 2003 对服务器用作远程服务器加密时服务器上的用户密钥缓存进行了优化。在默认条件下,服务器将在内存中缓存至多 15 个用户密钥以提高服务器上的加密性能。然而,该默认值可以由管理员通过编辑下列注册表项进行更改:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS\UserCacheSize DWORD
该注册表项可接受的值在 5 到 30 之间。
灾难恢复
在要求管理员采取措施保留用户对此前加密的文件进行解密的能力的灾难恢复方面,对服务器上的文件进行远程加密面临新的挑战。在灾难恢复情境中,如果数据文件经过备份,但包含用户私钥的安全用户配置文件没有备份(并且不使用 RUP),用户将不能对此前加密的文件进行解密或访问。如果这种情况发生,只有数据恢复代理可以对此前加密的文件进行解密。
对有些组织而言,这可能是一个繁琐的过程。为了规避这种情形,有几个选项可供选择:
备份整个操作系统和配置文件配置单元,而不仅仅是数据文件。
使用漫游用户配置文件。
在通过组策略将“我的文档”重定向至一个文件服务器的情形中,更改组策略对象 (GPO) 将“我的文档”重定向至一个替代服务器。(例如,如果对“我的文档”中的文件进行加密并且通过组策略将“我的文档”重定向至一个服务器,更改组策略中的服务器路径将缓和这个问题。)有关组策略的更多信息,请参见以下地址上的组策略相关文章:http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp
有关此主题的更多信息,请参见微软知识库文章:283223 - 服务器上加密文件的恢复.
针对 WebDAV 文件夹使用 EFS
Windows XP 客户端通过被称为 WebDAV 的协议支持对远程服务器上文件进行加密的一种新方法。当 Windows XP 客户端将一个驱动器映射到一个远程服务器的 WebDAV 访问点时,文件可以在客户端本地进行加密,然后通过使用 HTTP PUT 命令将它们以原始加密文件的形式传输到 WebDAV 服务器。同样,下载到 Windows XP 客户端的加密文件使用 HTTP GET 命令将它们以原始加密文件的形式传输并在客户端本地进行解密。临时 Internet 文件位置用于使用 HTTP 进行中间文件传输,其中 WebDAV "proppatch" 和 "propfind" 动词用于检测和设置 Windows XP 的加密文件属性。因此,在加密文件时只使用了客户端上的公钥和私钥对。
WebDAV 转发程序是一个新增的小型转发程序,它支持使用超文本传输协议 (HTTP) 进行远程文档共享的 WebDAV 协议。WebDAV 转发程序支持现有应用程序的使用,并且允许跨 Internet(通过防火墙、路由器等)将文件共享至 HTTP 服务器。Internet 信息服务 (IIS) 5.0 (Windows 2000) 和 IIS 6.0 (Windows XP) 支持被称为 Web 文件夹的 WebDAV 文件夹。WebDAV 转发程序的确对可通过 WebDAV 协议进行传输的文件具有一些通用的限制。取决于可用虚拟内存的容量,实际的限制条件可能有别,但一般说来,在 Windows XP 中,在 WebDAV 上使用 EFS 的文件大小最大值是 400 兆字节。
通过启用服务器上文件夹的 Web 共享,可以在 Windows 2000 或 Windows XP 服务器上创建 WebDAV 文件夹。
启用 Web 共享
1.右键单击服务器上的一个文件夹并选择属性。
2.选择Web 共享选项卡,如下图 22 中所示。
图 22:. 属性—Web 共享
3.接下来,单击共享此文件夹单选按钮,然后单击确定。如今通过此文件夹在服务器上启用了 WebDAV。
如果用户或管理员登录到本地服务器,采用 WebDAV 共享进行加密的文件和文件夹以未进行加密的形式显示。一旦使用 WebDAV 对文件进行加密,该文件只应采用 WebDAV 进行访问和解密。然而,这一独特的行为不会影响使用 NTBACKUP.exe 或 NT 备份 API 集对服务器进行备份和还原的能力。
管理员和用户切勿对宿主 WebDAV 共享的卷进行本地文件加密或在本地设置加密属性。所有的管理都应只通过 WebDAV 共享进行。另外需要注意的要点是,如果用户没有对 WebDAV 共享上的文件进行解密的私钥,用户将不能指定该文件的高级 EFS 详细信息,如指定允许对该文件进行解密的用户。用户将会得到“拒绝访问”的错误信息。
注意:WebDAV 服务器不能用作分布式文件系统 (DFS) 的根。然而,WebDAV 文件夹(共享)可被用作 DFS 路径中的叶链接。
迁移到新证书
出于各种原因,用户可能希望在一段时间之后迁移到使用新证书。对于在非域环境或者没有微软证书颁发机构的环境中使用 EFS 的用户来说,这一点尤其重要。可以采取两个步骤来取代由 EFS 使用的、针对本地文件加密的证书:
1.利用将要使用的新证书指纹取代当前用户本地机器上的下列注册表项:
HKCU\Software\Microsoft\Windows NT\EFS\CurrentKeys\CertificateHash
2.运行 cipher.exe 实用程序,附带 /K 选项
C:\>cipher /?
显示或更改 NTFS 分区上的目录[文件]的加密。
CIPHER [/E | /D] [/S:directory] [/A] [/I] [/F] [/Q] [/H] [pathname [...]]
CIPHER /K
/K
为运行 Cipher 的用户创建新的文件加密密钥。如果选中此选项,所有其他选项将会被忽略。
第三方证书颁发机构
可采用第三方证书颁发机构颁发 EFS 和数据恢复代理的证书。有关的详细信息,请参见知识库文章 273856:http://support.microsoft.com/default.aspx?scid=kb;en-us;273856&sd=tech
EFS 与系统还原
Windows XP 包括被称之为“系统还原”的新特性。通过自动监视和归档系统文件,“系统还原”允许用户将操作系统还原到一个以前已知的状态。一般而言,由于要进行加密的正常的用户文件不会被监视,“系统还原”不会影响 EFS。此外,由于系统文件不能用 EFS 进行加密,在这个方面也没有影响。然而,由于应用程序二进制可被加密,了解“系统还原”如何影响加密文件的安全性是十分重要的。
如果对一个此前经过加密且受到监视的文件进行解密操作,然后还原到文件被解密之前的系统还原点,“系统还原”不会将该文件转换到其加密状态,在还原之后仍将保持解密状态。如果撤销还原操作,该文件将保持解密状态。
如果你对一个受监视的文件进行加密,然后还原到该受监视的文件进行加密之前的点,“系统还原”将把该文件转换到加密之前或未加密的状态。如果撤销还原操作,该文件将保持未加密状态。
如果修改一个面向多个用户的受监视文件,然后还原到修改发生之前的点,“系统还原”将还原该文件,但此时该文件只能由还原点创建之后修改该文件的首个用户进行访问。
如果撤销还原操作,只有执行还原的用户可以访问该文件,因为在执行还原操作的用户上下文上还原时筛选器将备份该文件。
如果对一个目录进行加密,然后还原到该目录被加密之前的点,该目录仍保持加密状态。还原点期间在此目录中创建的受监视文件将继承该目录的加密属性,但还原时将被删除。移动到此目录中的受监视(以及未受监视)的文件将保留他们被创建时所在目录的加密状态(如果有的话)。执行还原操作之后,受监视的文件将被移回到原来的目录,并保留他们被重新创建时所在目录的加密状态。如果撤销还原操作,该目录将保持加密状态并且在此目录中创建的文件将被还原为所有以前的加密密钥。此外,移动到此目录中的任何文件将被还原到其正确的加密状态(这可能意味着它们没有被加密)。
如果删除一个受监视的加密文件,然后还原到该受监视的加密文件被删除之前的点,“系统还原”将把还原被删除的文件并还保持其加密属性完好无损。撤销还原操作将再次删除该文件。
如果删除一个加密文件夹,然后还原到它被删除之前的点,“系统还原”将还原该目录并还保持其加密属性完好无损。撤销还原操作将再次删除该目录。
如果修改一个加密文件夹(更改名称),然后还原到它被修改之前的点,“系统还原”将还原对该目录所作的修改并还保持其加密属性完好无损。撤销还原操作将撤销取代和修改操作,并且保持其加密属性完好无损。
最佳实践
在受监视的文件类型(例如:.dll, .exe, .ini 等)上使用加密时,建议按照下列方式进行加密操作以保持最好的安全性覆盖:
关闭系统还原(丢失所有以前的还原点)。
完成加密设定,然后将“系统还原”重新勾上以确保系统不会还原到加密之前的状态。
如果在受“系统还原”监视的文件类型上使用加密,建议将加密应用到那些排除在“系统还原”保护之外的分区/驱动器中的文件。 这将减少还原到加密之前的状态的风险。
数据恢复 VS 密钥恢复
Windows XP 和 Windows Server 2003 操作系统同时支持密钥恢复与数据恢复。两种解决方案各有其优缺点。对“哪种恢复方案更好,密钥还是数据?”这个问题,没有明确的答案。两种解决方案在技术层面上各有其优缺点,选择使用其中之一或者同时使用的决定带有主观性。分开使用或者同时使用时都能提供有效的解决方案。本节旨在辨别出与这两种恢复方案相关的关键优点和缺点,从而企业可以做出更明智的决策。
数据恢复应该用在企业希望得到恢复数据的能力而不访问用户独立的私钥的场合。一个组织可以通过以下方式禁用在域 (Active Directory) 环境中执行数据恢复操作的能力:首先启用域中的数据恢复代理,然后毁掉与 DRA 相关的私钥。这样做的最终效果是启用 EFS 但禁用恢复数据的能力。
数据恢复和密钥恢复不应用在一个组织想要保护数据以免受到除初始用户之外的各方进行访问的场合。如果数据不能被除作者/所有者之外的任何人恢复,数据恢复和密钥恢复过程都不应该实施。
数据恢复的优点
不需要证书颁发机构和 PKI 基础结构。
数据恢复策略可以通过使用 Active Directory 进行集中管理。
用户无需管理证书和私钥。
解密操作仅限于用户本人(在保持策略时需删除 DRA 密钥)。
数据恢复的缺点
管理过程必须恢复用户数据。用户不能恢复其自身的数据。
数据恢复操作以文件到文件为基础,是一个手动过程。
用户必须为新证书重新注册。这是因为只有数据得到恢复,而用户密钥没有得到恢复。
管理员必须撤销旧证书。这是因为它假定密钥丢失时密钥已泄露。
独立的工作站或非 Active Directory 环境中的工作站不能进行集中管理。
数据恢复专门针对 EFS 应用。
密钥恢复的优点
用户无需为证书执行注册操作、更改安全设置等。
现有的证书无需撤销。
用户无需为丢失私钥而恢复任何数据或电子邮件。
所有用证书中的公钥进行加密的数据可在恢复私钥后进行恢复。
密钥恢复的缺点
用户密钥恢复是一个包括管理员和用户的手动过程
密钥恢复允许对用户私钥的管理权限访问。
进行密钥存档和恢复时,非拒绝保证可能不可用。
疑难解答
使用 EFS 时最常见的问题是文件与用于对文件进行加密的证书之间的关联。如果用户或 DRA 没有与在文件高级详细信息中指定的证书相关的私钥,用户不能打开该文件。
用户最常接收到的错误消息是“拒绝访问”。若要轻松地确定使用了哪个证书进行文件加密,请选择文件属性的高级详细信息按钮。列出了可以对该文件进行解密的用户、可以对该文件进行恢复的 DRA,以及对该文件的会话密钥进行加密所使用的证书的证书指纹,如下图 23 中所示。证书指纹是实际用于对给定用户的会话进行加密所使用的证书的哈希。
图 23:. 演示加密详细信息
一个证书的证书哈希或指纹可以通过在该用户的证书 MMC 管理单元中打开该证书来查看,如下图 24 中所示。
图 24:. 证书详细信息
第二个最常见的问题是:在尝试对远程服务器上的文件进行加密或解密时,服务器不受信任进行委派。其他的问题可能涉及到使用不当的加密服务提供程序 (CSP) 或无效的 EFS 所要求的证书扩展名。
有关的附加信息,请参见微软知识库:http://support.microsoft.com.
摘要
Windows XP 为保护企业中及漫游时的用户数据提供了一个强健而可靠的平台。
除了解释 Windows XP 中的数据恢复和数据保护策略之外,本文还包括很多步进式的示例,演示了如何在部署 Windows XP 数据恢复和保护解决方案时建立想要使用的数据恢复和数据保护特性。
| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |