這兩天在論壇上又看到有網(wǎng)友提問(wèn),"能不能利用一些比較簡(jiǎn)單地方法實(shí)現(xiàn)對(duì)文件服務(wù)器上的私人文件/文件夾的保護(hù)呢?因?yàn)椴幌胱寗e的用戶(hù)瀏覽到自己的共享文件夾中的某些個(gè)文件!".

應(yīng)對(duì)這種需求時(shí),文件服務(wù)器管理員在平常一般都會(huì)采用在文件服務(wù)器上共享出來(lái)的大目錄下新建子目錄然后修改NTFS權(quán)限來(lái)實(shí)現(xiàn).但是對(duì)于普通域用戶(hù),他們想更為靈活和簡(jiǎn)單地掌控自己文件檔案的安全性和隱私性的話(huà),權(quán)限的疊加或者設(shè)置對(duì)他們而言就有些難以掌握了.

其實(shí),對(duì)于大量采用Windows XP作為客戶(hù)端,Windows server 2003以上作為文件服務(wù)器操作系統(tǒng)并且有域環(huán)境的企業(yè)來(lái)說(shuō),讓用戶(hù)可以使用EFS對(duì)自己存儲(chǔ)在遠(yuǎn)程服務(wù)器上的私有資料進(jìn)行加密就成為了一種可供選擇的方案.畢竟EFS對(duì)于用戶(hù)操作的透明性和簡(jiǎn)易性比較于其他方案是有很大優(yōu)勢(shì)的.

下面我們就一起來(lái)看一下如何配置使得用戶(hù)可以使用EFS對(duì)遠(yuǎn)程文件服務(wù)器上的文件加密.

相信看過(guò)我之前博文<域環(huán)境下如何保護(hù)重要資料文件的安全---EFS加密(上下篇)>的朋友對(duì)于域環(huán)境中的EFS使用已經(jīng)有了一些共識(shí):本地計(jì)算機(jī)上使用EFS加密操作真的好簡(jiǎn)單.在要加密的檔案上右鍵,選擇"常規(guī)"-->;"屬性"-->;"高級(jí)"-->;"加密內(nèi)容以便保護(hù)數(shù)據(jù)"就完事了,同樣的做法直接搬到遠(yuǎn)程文件服務(wù)器上呢?

加密失敗

這里我使用一個(gè)名稱(chēng)為"cfo"的普通域用戶(hù)賬號(hào)登陸客戶(hù)端(IP:172.16.0.201),先對(duì)他在文件服務(wù)器(IP:172.16.0.101,FQDN:contoso-sccm.contoso.com)上要訪(fǎng)問(wèn)的共享文件夾(共享名test, cfo對(duì)其擁有完全控制權(quán)限)做一個(gè)磁盤(pán)映射,然后對(duì)其中的檔案試圖進(jìn)行EFS加密,可以看到

會(huì)直接提示"應(yīng)用屬性時(shí)出錯(cuò)",試圖加密失敗.#p#

委派任務(wù)

其實(shí)動(dòng)手之前稍微想一下,失敗是必然的事情,遠(yuǎn)程服務(wù)器沒(méi)有得到用戶(hù)的信任和授權(quán),同時(shí)也并不擁有用戶(hù)的證書(shū)和密鑰(如果您對(duì)證書(shū)及密鑰的概念不是很理解請(qǐng)?jiān)敿?xì)閱讀我之前的博文),怎么可能就這樣輕而易舉地代替用戶(hù)實(shí)現(xiàn)加密.

所以我們需要先對(duì)遠(yuǎn)程服務(wù)器進(jìn)行委派的動(dòng)作.來(lái)到域控上,

打開(kāi)"Active Directory用戶(hù)和計(jì)算機(jī)",找到文件服務(wù)器的機(jī)器名,右鍵選擇"屬性",然后點(diǎn)擊"委派"選項(xiàng)卡,選擇"僅信任此計(jì)算機(jī)來(lái)委派指定的服務(wù)",跟著單擊"添加",然后單擊"用戶(hù)和計(jì)算機(jī)",瀏覽到文件服務(wù)器后點(diǎn)擊"確定",這時(shí)會(huì)出現(xiàn)一個(gè)"可用服務(wù)"列表,選擇添加其中的"cifs"和"protectedstorage"服務(wù).完成操作后需要將文件服務(wù)器進(jìn)行一次重啟.

圖2#p#

證書(shū)和密鑰

完成了委派的操作,就相當(dāng)于對(duì)服務(wù)器進(jìn)行了授權(quán),允許它代表用戶(hù)執(zhí)行某種(或全部的)服務(wù).下邊需要做的就是讓文件服務(wù)器擁有域用戶(hù)的證書(shū)和密鑰.關(guān)于這一步,有兩種做法,

一,直接在文件服務(wù)器上使用域用戶(hù)賬號(hào)登錄一次,并且隨便加密一個(gè)文件,這樣就可以生成域用戶(hù)的證書(shū)和密鑰了.

二，是在域用戶(hù)擁有用戶(hù)漫游配置文件(Roaming Users Profile)的情況下,直接將RUP下載到文件服務(wù)器上對(duì)應(yīng)的位置即可.(此步圖略,并且由于本人的實(shí)驗(yàn)環(huán)境問(wèn)題,選擇了第一種方式獲得的用戶(hù)證書(shū)及密鑰).

做完了以上的操作,我們?cè)僭诳蛻?hù)端試著用EFS來(lái)加密遠(yuǎn)程服務(wù)器上的共享文檔看看.

咦,竟然還是圖1的報(bào)錯(cuò). 這時(shí)我們不妨到文件服務(wù)器上看看有沒(méi)有相關(guān)的信息.

來(lái)到文件服務(wù)器上執(zhí)行eventvwr.msc打開(kāi)事件查看器,可以看到有這么一條報(bào)錯(cuò)信息:

圖3

這是因?yàn)镋FS不支持NTLM身份驗(yàn)證協(xié)議,而只能使用Kerberos協(xié)議.#p#

身份驗(yàn)證協(xié)議

那怎么看到客戶(hù)端上登錄的賬號(hào)是采用了什么身份驗(yàn)證協(xié)議訪(fǎng)問(wèn)的網(wǎng)絡(luò)共享呢?

這個(gè)在事件查看器上也是有記錄的:

圖4

可以看到cfo是使用的NTLM協(xié)議來(lái)進(jìn)行身份驗(yàn)證的.

為了讓他轉(zhuǎn)為使用Kerberos協(xié)議,我們需要重新以\\FQDN方式來(lái)定位到共享文件夾再進(jìn)行磁盤(pán)映射.請(qǐng)記住: 為了Kerberos的正常工作，所有通信都必須都使用完全限定的域名 (FQDN)。

所以請(qǐng)保證你域內(nèi)的DNS服務(wù)器運(yùn)行正常.#p#

日志記錄

同樣,在轉(zhuǎn)為使用Kerberos協(xié)議進(jìn)行身份驗(yàn)證后,事件日志中也會(huì)有相應(yīng)的記錄:

圖5#p#

文件加密

我們?cè)賮?lái)試試對(duì)遠(yuǎn)程服務(wù)器上的文件加密:

圖6

可以看到,終于能夠在遠(yuǎn)程 服務(wù)器上使用EFS方式對(duì)文件加密了.

總結(jié)一下使用EFS的委派模式對(duì)遠(yuǎn)程服務(wù)器上文件加密的大體步驟:

1.在域控上對(duì)遠(yuǎn)程服務(wù)器進(jìn)行信任委派并重啟(安全起見(jiàn)只委派兩個(gè)服務(wù)即可,不再?gòu)?fù)述,詳見(jiàn)正文內(nèi)容)
2.在遠(yuǎn)程服務(wù)器上生成用戶(hù)的profile及private key(兩種方法,不再?gòu)?fù)述, 詳見(jiàn)正文內(nèi)容)
3.使用\\FQDN名稱(chēng)訪(fǎng)問(wèn)到共享文件夾并做磁盤(pán)映射到本地(必須)#p#

最后仍有幾點(diǎn)需要說(shuō)明:

1. 對(duì)于將要使用遠(yuǎn)程服務(wù)器的EFS加密的域用戶(hù),務(wù)必在其賬號(hào)屬性中清除"敏感帳戶(hù),不能被委派"復(fù)選框.

2.遠(yuǎn)程加密不支持跨林的委派服務(wù)器模式，要使用此方案，被委派的服務(wù)器須和用戶(hù)帳號(hào)在同一個(gè)域內(nèi).

3. EFS只能加密存儲(chǔ)在磁碟上的數(shù)據(jù).在網(wǎng)絡(luò)中傳輸數(shù)據(jù)時(shí)數(shù)據(jù)仍是沒(méi)有被加密的.所以為了保證在網(wǎng)絡(luò)傳輸時(shí)的數(shù)據(jù)安全,你可能需要使用IPsec或者EFS over WebDAV模式.

4. 在有多名用戶(hù)對(duì)某個(gè)文件夾都擁有足夠權(quán)限的時(shí)候,其中一個(gè)用戶(hù)使用EFS來(lái)加密了某些個(gè)文件都會(huì)導(dǎo)致別的用戶(hù)都無(wú)法再訪(fǎng)問(wèn)這些文件.鑒于此, 請(qǐng)規(guī)劃好遠(yuǎn)程EFS加密的使用并且對(duì)用戶(hù)說(shuō)明正確的使用場(chǎng)景.為了以防萬(wàn)一,也請(qǐng)將EFS域恢復(fù)代理提早設(shè)置妥當(dāng).

5.雖然域內(nèi)可以使用自簽名( self-signed)的用戶(hù)證書(shū),但對(duì)于涉及到證書(shū)的最佳實(shí)踐還是建立CA服務(wù)器以獲得和活動(dòng)目錄結(jié)合的PKI環(huán)境.

【編輯推薦】

1. 遠(yuǎn)程服務(wù)器管理技巧大全
2. 無(wú)法連接Windows遠(yuǎn)程服務(wù)器的幾種解決辦法
3. Windows 7遠(yuǎn)程服務(wù)器管理工具下載及安裝