加密文件系统的规划、实现和故障排除2823A_05.ppt

第5章加密文件系统的规划、实现和故障排除 网络安全的实现和管理——以Windows Server 2003和ISA Server 2004为例 第1章 规划和配置授权和身份验证策略 第2章 安装、配置和管理证书颁发机构 第3章 配置、部署和管理证书 第4章 智能卡证书的规划、实现和故障诊断 第5章 加密文件系统的规划、实现和故障排除 第6章 规划、配置和部署安全的成员服务器基线 第7章 为服务器角色规划、配置和部署安全基线 第8章 规划、配置、实现和部署安全客户端计算机基线 第9章 规划和实现软件更新服务 第10章 数据传输安全性的规划、部署和故障排除 第11章 部署配置和管理SSL 第12章 规划和实施无线网络的安全措施 第13章 保护远程访问安全 网络安全的实现和管理——以Windows Server 2003和ISA Server 2004为例 第14章 Microsoft ISA Server 概述 第15章 安装和维护 ISA Server 第16章 允许对 Internet 资源的访问 第17章 配置 ISA Server 作为防火墙 第18章 配置对内部资源的访问 第19章 集成 ISA Server 2004和Microsoft Exchange Server 第20章 高级应用程序和Web筛选 第21章 为远程客户端和网络配置虚拟专用网络访问 第22章 实现缓存 第23章 监视ISA Server2004 第5章 加密文件系统的规划、实现和故障排除 EFS 简介 在独立 Microsoft Windows XP 环境中实现 EFS 在使用 PKI 的域环境中规划和实现 EFS 实现 EFS 文件共享 EFS 故障排除 企业的敏感数据保护应该从哪几个方面去考虑？ 什么是EFS，应用EFS有什么基本条件？ EFS是如何工作的？ 系统中的数据本身已有多重安全保护机制：身份验证、访问控制等，为什么还需要EFS来保护数据？ 为什么数据恢复代理可以打开你加密的文件？ EFS加密的文件可以实现共享吗？ EFS 简介 EFS EFS 的工作原理 EFS简介 EFS 的工作原理 当用户初次加密文件时，EFS 会在本地证书存储区内寻找供 EFS 使用的该用户的证书 （公钥） 如果证书可用，EFS为该文件生成一个随机数，作为文件加密密钥（FEK，File Encryption Key），并用它加密文件，加密算法可用DESX、3DES（Data Encryption Standard）、AES等对称加密算法 如果证书不可用，EFS向联机的CA申请证书，如果不存在CA，则计算机生成自签名证书 EFS用证书中的公钥采用RSA(Rivest、Shamir、Adleman)加密算法对FEK加密 EFS将加密后的FEK存储在该加密文件的头中的DDF（Data Decrypton Field,数据解密字段）中 如要实现加密文件共享，可用共享人的公钥对该文件的FEK加密，一起存在DDF中，DDF上限为256K，最多可存大约800个证书 介绍一下：DRF（Data Recover Field,数据恢复区域） 第5章 加密文件系统的规划、实现和故障排除 EFS 简介 在独立 Microsoft Windows XP 环境中实现 EFS 在使用 PKI 的域环境中规划和实现 EFS 实现 EFS 文件共享 EFS 故障排除 在工作组或单机环境下能否使用EFS？ 在独立 Microsoft Windows XP 环境中实现 EFS 自签名的证书 使用资源管理器加密和解密文件的方法 创建数据恢复代理的方法 管理明文数据的指导方针 创建密码重设磁盘的方法 在独立计算机上禁用 EFS 在独立环境中实现 EFS 的最佳实践 自签名的证书 使用资源管理器加密和解密文件的方法 创建数据恢复代理的方法 关于使用DRA说明 在独立环境中，DRA 必须位于对文件进行解密的计算机上。 windows 2000要求在加密前必须存在DRA，否则EFS无法工作（XP和2003没有这个要求） 对于XP和2003计算机，必须手工建立DRA，对于2000，administrator默认就是DRA 如果用户加入域，所有用户（包括本地用户）将从域继承DRA 管理明文数据的指导方针 创建密码重设磁盘的方法 在独立计算机上禁用 EFS 禁用个别文件夹加密 如果只想禁止加密某个文件夹，方法是只要在该文件夹中用记事本创建一个名为Desktop.ini的文件，然后添加如下内容： [Encryption] Disable=1 这样如果以后其他用户试图加密该文件夹时就会出现错误信息，无法进行下去。 注意，你只能使用这种方法禁止其他用户加密该文件夹，文件夹中的子文件夹将不受