Windows安全配置 教学课件 作者 冯秀彦 吕秀鉴 褚云霞 第四章 数据安全.ppt

4.6 设置EFS文件保护 任务描述5：NTFS 分区自带的有EFS文件和文件夹的加密保护功能，利用它，可以设置不同用户对不同文件的操作，保证文件和数据的安全。什么是EFS文件系统？如何实现EFS的加密保护呢？ 技能要求：设置EFS文件的加密和解密 4.6.1 EFS文件夹加密 EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK(File?Encryption?Key，文件加密钥匙)，然后将利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。随后系统利用你的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥对(统称为密钥)，则会首先生成密钥，然后加密数据。如果你登录到了域环境中，密钥的生成依赖于域控制器，否则依赖于本地机器。? EFS加密系统对用户是透明的。这也就是说，如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制。而其他非授权用户试图访问加密过的数据时，就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。 (2)EFS加密实现  4.6.2 EFS文件夹解密 证书的备份与还原 EFS是一种公钥加密体系，因此，加密和解密操作都需要证书（也叫做密钥）的参与。如果其他人想共享经过EFS加密的文件或文件夹，又该怎么办呢？由于重装系统后，SID(安全标示符)的改变会使原来由EFS加密的文件无法打开，在目前的技术水平下，如果想要在缺少证书的情况下解密文件，几乎是不可能的。所以为了保证别人能共享EFS加密文件或者重装系统后可以打开EFS加密文件，必须要进行备份证书。 点击“开始→“所有程序”→“附件→”运行”菜单项，在出现的对话框中输入“certmgr.msc”，回车后，在出现的“证书”对话框中，图4-43.依次双击展开“证书-当前用户→个人→证书”选项，在右侧栏目里会出现以你的用户名为名称的证书。选择此证书，出现图4-44所示的“导出证书向导”界面，设置导出证书的文件名，导出私钥，导出文件的格式分别如图4-45,4-46,4-47所示，最后导出成功，如图4-48所示。 实训: Windows数据安全综合训练 一、实训题目：设置文件的NTFS权限 实训目的:通过设置文件和文件夹的NTFS权限，确定用户最终的权限 实训准备: Windows 7环境 实训过程：1、在D盘上创建一个文件夹test，在文件夹test内新建文件ab.txt 创建用户Manager学号，LocalUser1。 要求： (1)允许同时连接4个用户 (2)将完全控制权限指定给用户“Administrator”和“Manager学号” (3)用户“LocalUser1”对文件夹TEST具有只读权限 （4）以Manager学号用户访问共享文件夹test，进行如下操作：打开test文件夹，新建文件夹，新建文件cd.txt，打开文件cd.txt，更改文件cd.txt的内容，删除文件cd.txt，是否成功？为什么？ (5)以LocalUser1用户访问共享文件夹test，进行如下操作：打开test文件夹，新建文件夹，打开文件ab.txt，更改文件ab.txt的内容，删除文件ab.txt，新建文件cd.txt，是否成功？为什么？ 实训总结：对本次课的实验内容进行总结，并做记录。 二、实训题目：设置文件权限 实训目的:理解文件夹的共享权限，并根据用户要求设置文件的权限。 实训准备: Windows 7环境 实训内容：通过设置文件的共享权限和NTFS权限共同作用，理解文件和文件夹的最终权限。 实训过程：1、在D盘上创建一个文件夹test，将该文件夹设为共享，在文件夹test内新建文件ab.txt 创建用户Manager学号，LocalUser1。 要求： (1) 共享名为“network学号” (2) 允许同时连接4个用户 (3) 将完全控制权限指定给用户“Administrator”和“Manager学号” (4) 用户“LocalUser1”在任何时刻都不能更改此文件夹 （5）分别通过“网上邻居”、“运行”对话框、“浏览器”、“映射网络驱动器”的方式访问相邻计算机上所设置的共享文件夹 （6）在相邻计算机上以Manager学号用户访问共享文件夹test，进行如下操作：打开test文件夹，新建文件夹，新建文件cd.txt，打开文件cd.txt，更改文件cd.txt的内容，删除文件cd