遠(yuǎn)程文件服務(wù)器文件加密攻略(圖)
這兩天在論壇上又看到有網(wǎng)友提問,"能不能利用一些比較簡單地方法實現(xiàn)對文件服務(wù)器上的私人文件/文件夾的保護呢?因為不想讓別的用戶瀏覽到自己的共享文件夾中的某些個文件!".
應(yīng)對這種需求時,文件服務(wù)器管理員在平常一般都會采用在文件服務(wù)器上共享出來的大目錄下新建子目錄然后修改NTFS權(quán)限來實現(xiàn).但是對于普通域用戶,他們想更為靈活和簡單地掌控自己文件檔案的安全性和隱私性的話,權(quán)限的疊加或者設(shè)置對他們而言就有些難以掌握了.
其實,對于大量采用Windows XP作為客戶端,Windows server 2003以上作為文件服務(wù)器操作系統(tǒng)并且有域環(huán)境的企業(yè)來說,讓用戶可以使用EFS對自己存儲在遠(yuǎn)程服務(wù)器上的私有資料進(jìn)行加密就成為了一種可供選擇的方案.畢竟EFS對于用戶操作的透明性和簡易性比較于其他方案是有很大優(yōu)勢的.
下面我們就一起來看一下如何配置使得用戶可以使用EFS對遠(yuǎn)程文件服務(wù)器上的文件加密.
相信看過我之前博文<域環(huán)境下如何保護重要資料文件的安全---EFS加密(上下篇)>的朋友對于域環(huán)境中的EFS使用已經(jīng)有了一些共識:本地計算機上使用EFS加密操作真的好簡單.在要加密的檔案上右鍵,選擇"常規(guī)"-->;"屬性"-->;"高級"-->;"加密內(nèi)容以便保護數(shù)據(jù)"就完事了,同樣的做法直接搬到遠(yuǎn)程文件服務(wù)器上呢?
加密失敗
這里我使用一個名稱為"cfo"的普通域用戶賬號登陸客戶端(IP:172.16.0.201),先對他在文件服務(wù)器(IP:172.16.0.101,FQDN:contoso-sccm.contoso.com)上要訪問的共享文件夾(共享名test, cfo對其擁有完全控制權(quán)限)做一個磁盤映射,然后對其中的檔案試圖進(jìn)行EFS加密,可以看到
.jpg "clip_image002")
會直接提示"應(yīng)用屬性時出錯",試圖加密失敗.#p#
委派任務(wù)
其實動手之前稍微想一下,失敗是必然的事情,遠(yuǎn)程服務(wù)器沒有得到用戶的信任和授權(quán),同時也并不擁有用戶的證書和密鑰(如果您對證書及密鑰的概念不是很理解請詳細(xì)閱讀我之前的博文),怎么可能就這樣輕而易舉地代替用戶實現(xiàn)加密.
所以我們需要先對遠(yuǎn)程服務(wù)器進(jìn)行委派的動作.來到域控上,
打開"Active Directory用戶和計算機",找到文件服務(wù)器的機器名,右鍵選擇"屬性",然后點擊"委派"選項卡,選擇"僅信任此計算機來委派指定的服務(wù)",跟著單擊"添加",然后單擊"用戶和計算機",瀏覽到文件服務(wù)器后點擊"確定",這時會出現(xiàn)一個"可用服務(wù)"列表,選擇添加其中的"cifs"和"protectedstorage"服務(wù).完成操作后需要將文件服務(wù)器進(jìn)行一次重啟.
.jpg "clip_image004")
圖2#p#
證書和密鑰
完成了委派的操作,就相當(dāng)于對服務(wù)器進(jìn)行了授權(quán),允許它代表用戶執(zhí)行某種(或全部的)服務(wù).下邊需要做的就是讓文件服務(wù)器擁有域用戶的證書和密鑰.關(guān)于這一步,有兩種做法,
一,直接在文件服務(wù)器上使用域用戶賬號登錄一次,并且隨便加密一個文件,這樣就可以生成域用戶的證書和密鑰了.
二,是在域用戶擁有用戶漫游配置文件(Roaming Users Profile)的情況下,直接將RUP下載到文件服務(wù)器上對應(yīng)的位置即可.(此步圖略,并且由于本人的實驗環(huán)境問題,選擇了第一種方式獲得的用戶證書及密鑰).
做完了以上的操作,我們再在客戶端試著用EFS來加密遠(yuǎn)程服務(wù)器上的共享文檔看看.
咦,竟然還是圖1的報錯. 這時我們不妨到文件服務(wù)器上看看有沒有相關(guān)的信息.
來到文件服務(wù)器上執(zhí)行eventvwr.msc打開事件查看器,可以看到有這么一條報錯信息:
.jpg "clip_image006")
圖3
這是因為EFS不支持NTLM身份驗證協(xié)議,而只能使用Kerberos協(xié)議.#p#
身份驗證協(xié)議
那怎么看到客戶端上登錄的賬號是采用了什么身份驗證協(xié)議訪問的網(wǎng)絡(luò)共享呢?
這個在事件查看器上也是有記錄的:
.jpg "clip_image008")
圖4
可以看到cfo是使用的NTLM協(xié)議來進(jìn)行身份驗證的.
為了讓他轉(zhuǎn)為使用Kerberos協(xié)議,我們需要重新以\\FQDN方式來定位到共享文件夾再進(jìn)行磁盤映射.請記住: 為了Kerberos的正常工作,所有通信都必須都使用完全限定的域名 (FQDN)。
所以請保證你域內(nèi)的DNS服務(wù)器運行正常.#p#
日志記錄
同樣,在轉(zhuǎn)為使用Kerberos協(xié)議進(jìn)行身份驗證后,事件日志中也會有相應(yīng)的記錄:
.jpg "clip_image010")
圖5#p#
文件加密
我們再來試試對遠(yuǎn)程服務(wù)器上的文件加密:
.jpg "clip_image012")
圖6
可以看到,終于能夠在遠(yuǎn)程 服務(wù)器上使用EFS方式對文件加密了.
總結(jié)一下使用EFS的委派模式對遠(yuǎn)程服務(wù)器上文件加密的大體步驟:
1.在域控上對遠(yuǎn)程服務(wù)器進(jìn)行信任委派并重啟(安全起見只委派兩個服務(wù)即可,不再復(fù)述,詳見正文內(nèi)容)
2.在遠(yuǎn)程服務(wù)器上生成用戶的profile及private key(兩種方法,不再復(fù)述, 詳見正文內(nèi)容)
3.使用\\FQDN名稱訪問到共享文件夾并做磁盤映射到本地(必須)#p#
最后仍有幾點需要說明:
1. 對于將要使用遠(yuǎn)程服務(wù)器的EFS加密的域用戶,務(wù)必在其賬號屬性中清除"敏感帳戶,不能被委派"復(fù)選框.
2.遠(yuǎn)程加密不支持跨林的委派服務(wù)器模式,要使用此方案,被委派的服務(wù)器須和用戶帳號在同一個域內(nèi).
3. EFS只能加密存儲在磁碟上的數(shù)據(jù).在網(wǎng)絡(luò)中傳輸數(shù)據(jù)時數(shù)據(jù)仍是沒有被加密的.所以為了保證在網(wǎng)絡(luò)傳輸時的數(shù)據(jù)安全,你可能需要使用IPsec或者EFS over WebDAV模式.
4. 在有多名用戶對某個文件夾都擁有足夠權(quán)限的時候,其中一個用戶使用EFS來加密了某些個文件都會導(dǎo)致別的用戶都無法再訪問這些文件.鑒于此, 請規(guī)劃好遠(yuǎn)程EFS加密的使用并且對用戶說明正確的使用場景.為了以防萬一,也請將EFS域恢復(fù)代理提早設(shè)置妥當(dāng).
5.雖然域內(nèi)可以使用自簽名( self-signed)的用戶證書,但對于涉及到證書的最佳實踐還是建立CA服務(wù)器以獲得和活動目錄結(jié)合的PKI環(huán)境.
【編輯推薦】
