组策略大全
先给初学的扫扫盲:说到组策略,就不得不提注册表。注册表是 Windows 系统中保存系统、应用 软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是 可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理 计算机的目的。
简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
运行组策略的方法:在“开始”菜单中,单击“运行”命令项,输入gpedit.msc并确定,即可运行组策略。先看看组策略的全貌,如图。
本文将主要讲解以下内容:
计算机配置
|
|__Windows设置
| |
| |__脚本(启动/关机)
| |__ 安全设置
| |__账户策略
| | |__密码策略
| | |__账户锁定策略
| |__本地策略
| | |__审核策略
| | |__用户权利指派
| | |__安全选项
| |__公钥策略
| | |__正在加密文件系统@
| |__软件限制策略
| | |__安全级别
| | |__其他规则@
| |__IP安全策略,在本地计算机
|
|__用户配置
|
|__Windows设置
|
|__管理模板
|__ 任务栏和[开始]菜单
|__ 桌面
|__控制面板
|__ 网络
|__系统
|__Windows组件
Win2003 Server帐户和本地策略配置(上)
在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面,而其中的“帐户策略”又包括:密码策略、帐户锁定策略和Kerberos策略三个方面;另外的“本地策略”也包括:审核策略、用户权限分配和安全选项三部分。下面分别予以介绍。
一、密码策略的设置
密码策略作用于域帐户或本地帐户,其中就包含以下几个方面:
强制密码历史
密码最长使用期限
密码最短使用期限
密码长度最小值
密码必须符合复杂性要求
用可还原的加密来存储密码
以上各项的配置方法均需根据当前用户帐户类型来选择。默认情况下,成员计算机的配置与其域控制器的配置相同。下面分别根据几种不同用户类型介绍相应的密码策略配置方法。
1. 对于本地计算机
对于本地计算机的用户帐户,其密码策略设置是在“本地安全设置”管理工个中进行的。下面是具体的配置方法。
第1步,执行〖开始〗→〖管理工具〗→〖本地安全策略〗菜单操作,打开如图所示的“本地安全设置”界面。对于本地计算机中用户“帐户和本地策略”都查在此管理工具中进行配置的。
第2步,因密码策略是属于用户策略范畴,所以先需在如上图所示界面中单击选择“用户策略”选项,然后再选择“密码策略”选项,在右边详细信息窗口中将显示可配置的密码策略选项的当前配置。
因为各策略选项的配置方法基本一样,所以在此仅以一个选项的配置进行介绍,其它只对各选项的具体作用进行简单介绍。
如配置“密码必须符合复杂性要求”选项,可设置确定密码是否符合复杂性要求。启用该策略,则密码必须符合以下最低要求:
(1)不包含全部或部分的用户帐户名
(2)长度至少为六个字符
(3)包含来自以下四个类别中的三个的字符:
英文大写字母(从A到Z)
英文小写字母(从a到z)
10个基本数字(从0到9)
非字母字符(例如,!、$、#、%)
如果启用了此安全策略,而您所配置的用户密码不符合此配置要求时系统会提示错误。有时您可能百思不得其解,认为自己所设的密码已经够长,而且也是属于随机的,不全都是数字或字母,可系统为什么还是老说错误呢?一般来说是由于您所设的密码所包括的字符类型不足以上四个中的三个。通常只各个领域其中的两种,即数字和字母,而没有考虑到字母的大小写或者非字母字符,所以达不到复杂性要求。更改或创建密码时,会强制执行复杂性要求。
默认情况下,在域控制器上默认是已启用了这一策略的;而在独立服务器上则默认是禁用的。
这个安全选项的配置方法是在如上图所示界面的右边信息窗口中双击“密码必须符合复杂性要求”选项,打开如图所示对话框。在这个对话框中就可随意启用或者禁用这个安全策略选项,配置好后单击“确定”按钮使配置更改生效。
其它选项的配置方法都一样,都是通过双击或者单击右键,然后选择“属性”选项,打开类似如图2所示对话框,在这些对话框中进行配置即可。不过为了便于工作于大家理解和配置,下面简单介绍其它密码策略选项的含义。
强制密码历史
重新使用旧密码之前,该安全设置确定某个用户帐户所使用的新密码必须不能与该帐户所使用的最近多少旧密码一样。该值必须为0到24之间的一个数值。该策略通过确保旧密码不能在某段时间内重复使用,使用户帐户更安全。
在域控制器上的默认值为24;而在独立服务器上为0。
【注意】要维持密码历史记录的有效性,则在通过启用密码最短使用期限安全策略设置更改密码之后,不允许立即更改密码。
密码最长使用期限
该安全设置确定系统要求用户更改密码之前可以使用该密码的时间(单位为天)。可将密码的过期天数设置在1至999天之间;如果将天数设置为0,则指定密码永不过期。如果密码最长使用期限在1至999天之间,那么“密码最短使用期限”(下面将介绍)必须小于密码最长使用期限。如果密码最长使用期限设置为0,则密码最短使用期限可以是1至998天之间的任何值。
默认值:42。
【技巧】使密码每隔30至90天过期一次是一种安全最佳操作,取决于您的环境。通过这种方式,***者只能够在有限的时间内破解用户密码并访问您的 网络资源。
第三步,密码最短使用期限。该安全策略设置确定用户可以更改密码之前必须使用该密码的时间(单位为天)。可以设置1到998天之间的某个值,或者通过将天数设置为0,允许立即更改密码。密码最短使用期限必须小于上面设置的“密码最长使用期限”,除非密码最长使用期限设置为0(表明密码永不过期)。如果密码最长使用期限设置为0,那么密码最短使用期限可设置为0到998天之间的任意值。
如果希望上面设置的“强制密码历史”安全策略选项设置有效,请将密码最短有效期限配置为大于0。如果没有密码最短有效期限,则用户可以重复循环通过密码,直到获得喜欢的旧密码。默认设置不遵从这种推荐方法,因此管理员可以为用户指定密码,然后要求当用户登录时更改管理员定义的密码。如果将该密码的历史记录设置为0,则用户不必选择新密码。因此,默认情况下将密码历史记录设置为1。在域控制器上的默认值为1;而在独立服务器上为0。
第四步,密码长度最小值。该安全设置确定用户帐户的密码可以包含的最少字符个数。可以设置为1到14个字符之间的某个值,或者通过将字符数设置为0,可设置不需要密码。在域控制器上的默认值为7;而在独立服务器上为0。
第五步,用可还原的加密来存储密码。该安全设置确定 操作系统是否使用可还原的加密来存储密码。如果应用程序使用了要求知道用户密码才能进行身份验证的协议,则该策略可对它提供支持。使用可还原的加密存储密码和存储明文版本密码本质上是相同的。因此,除非应用程序有比保护密码信息更重要的要求,否则不必启用该策略。
当使用质询握手身份验证协议(CHAP)通过远程访问或 Internet身份验证服务(IAS)进行身份验证时,该策略是必需的。在Internet信息服务(IIS)中使用摘要式验证时也要求该策略。系统默认值为禁用。
上面介绍的是在本地计算机上配置以上密码安全策略选项的方法,下面继续介绍在其它两种情形中这些密码策略选项的配置方法。
2. 在域环境中,并且您位于已加入到域中的成员服务器或工作站
对于这种情形,用户的本地密码策略配置方法如下:
第1步,执行〖开始〗→〖运行〗菜单操作,在对话框的“打开”文本框中输入“mmc”命令,打开 Microsoft管理控制台(MMC),如图所示。
第2步,执行〖文件〗→〖添加/删除管理单元〗菜单操作,打开如图所示对话框。在这个对话框中可以添加在控制台管理的管理单元。
第3步,单击“添加”按钮,打开如下图所示对话框。在这个对话框中找到“组策略对象编辑器”选项,然后双击,或单击选择它后按“添加”按钮,打开如图所示对话框。在这个对话框中要求选择所添加的“组策略对象编辑器”所作用的对象。
因此处介绍的是成员服务器或工作站(非本地计算机),所以需单击“浏览”按钮,在打开的对话框中选中“计算机”选项卡(对话框如下图所示)。在对话框中选择“另一计算机”单选项,然后直接在下面的文本框中输入或再次通过单击“浏览”按钮,打开对话框查找。
第4步,输入或者选择好计算机名后,单击“确定”按钮即可返回到如上图所示对话框。单击“完成”按钮,如果所选择的成员服务器或工作站与当前服务器的网络连接正常的话,即可把它们指派到组策略对象编辑器中。
第5步,单击对话框中的“关闭”按钮,返回到如图所示对话框。单击“确定”按钮返回到控制台界面,不过此时已是添加了“组策略对象编辑器”管理单元的控制台,如图所示。
第6步,依次单击展开〖计算机配置〗→〖Windows设置〗→〖安全设置〗→〖帐户策略〗→〖密码策略〗选项,然后在右边详细信息窗口中选择相应的密码策略选项配置即可。配置方法也是在相应选项上单击右键,然后再选择“属性”选项,打开的对话框与前图一样,参照即可。
3. 您位于域控制器,或已安装 Windows Server 2003 管理工具包的工作站
对于这种情形,密码策略的配置方法如下:
第1步,执行〖开始〗→〖管理工具〗→〖Active Directory用户和计算机〗菜单操作,打开如图所示的“Active Directory用户和计算机”管理工具界面。
第2步,在控制台树中要设置组策略的域或组织单位上(本例以域grfwgz.com为例)单击右键,然后选择“属性”选项,在打开的对话框中选择“组策略”选项卡,对话框如图所示。
第3步,选择对话框“组策略对象链接”列表中的项目以选择现有的组策略对象(GPO),然后单击“编辑”按钮。也可单击“新建”按钮创建新的GPO,然后再单击“编辑”按钮,都可打开如图所示“组策略编辑器”界面。
第4步,在控制台树中依次单击展开以下选项〖计算机配置〗→〖Windows设置〗→〖安全设置〗→〖帐户策略〗→〖密码策略〗,展开后“密码策略”选项界面如图所示。在其中也包括本文前面所介绍的各密码策略选项。配置的方法也同上,不再赘述。
Win2003 Server帐户和本地策略配置(下)
帐户锁定策略用于域帐户或本地用户帐户,它们确定某个帐户被系统锁定的情况和时间长短。这部分包含以下三个方面:
帐户锁定时间
帐户锁定阈值
复位帐户锁定计数器
1. 帐户锁定时间
该安全设置确定锁定的帐户在自动解锁前保持锁定状态的分钟数。有效范围从0到99,999分钟。如果将帐户锁定时间设置为0,那么在管理员明确将其解锁前,该帐户将被锁定。如果定义了帐户锁定阈值,则帐户锁定时间必须大于或等于重置时间。
默认值:无。因为只有当指定了帐户锁定阈值时,该策略设置才有意义。
2. 帐户锁定阈值
该安全设置确定造成用户帐户被锁定的登录失败尝试的次数。无法使用锁定的帐户,除非管理员进行了重新设置或该帐户的锁定时间已过期。登录尝试失败的范围可设置为0至999之间。如果将此值设为0,则将无法锁定帐户。
对于使用Ctrl+Alt+Delete组合键或带有密码保护的屏幕保护程序锁定的工作站或成员服务器计算机上,失败的密码尝试计入失败的登录尝试次数中。默认值:0。
3.复位帐户锁定计数器
该安全设置确定在登录尝试失败计数器被复位为0(即0次失败登录尝试)之前,尝试登录失败之后所需的分钟数。有效范围为1到99,999分钟之间。
如果定义了帐户锁定阈值,则该复位时间必须小于或等于帐户锁定时间。
默认值:无,因为只有当指定了“帐户锁定阈值”时,该策略设置才有意义。
它们的配置也要因当前用户所在的网络环境而定。对于本地计算机用户帐户,在如图1所示界面中配置;对于域中的成员服务器或工作站则在如图8所示对话框中配置;而对于域控制器用户则在如图11所示界面中配置。
配置方法也是通过双击,或单击选择某帐户锁定策略选项,然后再单击右键,选择“属性”选项,都可打开类似如图所示对话框,在其中进行配置即可。
Kerberos V5身份验证协议是用于确认用户或主机身份的身份验证机制,也是Windows 2000和Windows Server 2003系统默认的身份验证服务。Internet协议安全性(IPSec)可以使用Kerberos协议进行身份验证。
对于在安装过程中所有加入到Windows Server 2003或Windows 2000域的计算机都默认启用Kerberos V5身份验证协议。Kerberos可对域内的资源和驻留在受信任的域中的资源提供单一登录。
可通过那些作为帐户策略一部分的Kerberos安全设置来控制Kerberos配置的某些方面。例如,可设置用户的Kerberos 5票证生存周期。作为管理员,可以使用默认的kerberos策略,也可以更改它以适应环境的需要。使用Kerberos V5进行成功的身份验证需要两个客户端系统都必须运行Windows 2000、Windows Server 2003家族或Windows XP Professional操作系统。
如果客户端系统尝试向运行 其他操作系统的服务器进行身份验证,则使用NTLM协议作为身份验证机制。NTLM身份验证协议是用来处理两台计算机(其中至少有一台计算机运行Windows NT 4.0或更早版本)之间事务的协议。
使用Kerberos进行身份验证的计算机必须使其时间设置在5分钟内与常规时间服务同步,否则身份验证将失败。运行Windows Server 2003家族成员、Windows XP Professional或Windows 2000的计算机将自动更新当前时间,并将域控制器用作网络时间服务。
Kerberos策略用于域用户帐户,确定与Kerberos相关的设置,例如票证的有效期限和强制执行。
Kerberos策略不存在于本地计算机策略中。这部分包含以下几个方面:
强制用户登录限制
服务票证最长寿命
用户票证最长寿命
用户票证续订最长寿命
计算机时钟同步的最大容差
1. 强制用户登录限制
本安全设置确定Kerberos V5密钥分发中心(KDC)是否要根据用户帐户的用户权限来验证每一个会话票证请求。验证每一个会话票证请求是可选的,因为额外的步骤需要花费时间,并可能降低服务的网络访问速度。默认值:已启用。
2. 服务票证最长寿命
该安全设置确定使用所授予的会话票证可访问特定服务的最长时间(以分钟为单位)。该设置必须大于10分钟并且小于或等于下面将要介绍的“用户票证最长寿命”选项中的设置。
【说明】票证是用于安全原则的标识数据集,是为了进行用户身份验证而由域控制器发行的。
Windows中的两种票证形式是票证授予式票证(TGT)和服务票证。
票证授予式票证(TGT)是用户登录时,Kerberos密钥分发中心(KDC)颁发给用户的凭据。当服务要求会话票证时,用户必须向KDC递交TGT。因为TGT对于用户的登录会话活动通常是有效的,它有时称为“用户票证”。
服务票证是由允许用户验证域中指定服务的KerberosV5票证授予服务(TGS)颁发的票证。如果客户端请求服务器连接时出示的会话票证已过期,服务器将返回错误消息。客户端必须从Kerberos V5密钥分发中心(KDC)请求新的会话票证。然而一旦连接通过了身份验证,该会话票证是否仍然有效就无关紧要了。会话票证仅用于验证和服务器的新建连接。如果用于验证连接的会话票证在连接时过期,则当前的操作不会中断。默认值:600分钟(10小时)。
3. 用户票证最长寿命
该安全设置确定用户票证授予票证(TGT)的最长使用时间(单位为小时)。用户TGT期满后,必须请求新的或“续订”现有的用户票证。默认值:10小时。
4. 用户票证续订最长寿命
该安全设置确定可以续订用户票证授予票证(TGT)的期限(以天为单位)。默认值:7天。
5. 计算机时钟同步的最大容差
本安全设置确定Kerberos V5所允许的客户端时钟和提供Kerberos身份验证的Windows Server 2003域控制器上的时间的最大差值(以分钟为单位)。
为防止“轮番***”,Kerberos V5在其协议定义中使用了时间戳。为使时间戳正常工作,客户端和域控制器的时钟应尽可能的保持同步。换言之,应该将这两台计算机设置成相同的时间和日期。因为两台计算机的时钟常常不同步,所以管理员可使用该策略来设置Kerberos V5所能接受的客户端时钟和域控制器时钟间的最大差值。如果客户端时钟和域控制器时钟间的差值小于该策略中指定的最大时间差,那么在这两台计算机的会话中使用的任何时间戳都将被认为是可信的。默认值:5分钟。
【注意】该设置并不是永久性的。如果配置该设置后重新启动计算机,那么该设置将被还原为默认值。
以上各Kerberos策略安全选项的配置方法如下:
第1步,在组策略界面中,依次单击展开下列选项〖计算机设置〗→〖Windows设置〗→〖安全设置〗→〖用户策略〗→〖Kerberos策略〗,在右边详细信息窗口中将列出当前所有的Kerberos策略选项,如图所示。
第2步,在详细信息窗口中显示了各Kerberos策略安全选项的当前配置,如果要重新配置某选项,可直接双击,也可在相应选项上单击右键,然后选择“属性”选项,都可打开类似如图所示的配置对话框。在这个对话框中可以选择是否启用或者重新配置该安全选项的参数值。
选择好后单击“确定”按钮即可生效。对 Kerberos 策略的任何修改都将影响域中的所有计算机。
Windows Server 2003系统审核策略的配置方法也要根据以下四种具体的情形而选择不同的配置方法。
1. 对于本地计算机
在这个情况下,审核策略的配置也是在 “本地安全设置”界面中进行的,只是此时要选择“本地策略”下的“审核策略”选项,如图所示。
双击详细信息窗格中要更改审核策略设置的事件类别,或在相应审核策略事件上单击右键,然后选择“属性”选项,都可打开如图所示对话框(本例选择的是“审核登录事件”选项)。执行以下一个或两个操作,然后单击“确定”按钮使配置生效。
要审核成功的尝试,请选中“成功”复选项。
要审核未成功的尝试,请选中“失败”复选项。
2. 您在一台域控制器上或已安装了Windows Server 2003管理工具包的工作站上
这种情形下审核策略的配置方法如下:
第1步,执行〖开始〗→〖管理工具〗→〖域控制器安全策略〗菜单操作,打开如图所示的“域控制器安全策略”管理工具界面。
第2步,在控制台树中,按〖Windows设置〗→〖安全设置〗→〖本地策略〗→〖审核策略〗顺序依次单击,展开各选项,直到“审核策略”选项。
第3步,双击详细信息窗格中要更改审核策略设置的事件类别,或者在相应事件上单击右键,然后选择“属性”选项,同样会打开如图5所示的对话框。配置方法与前一种情形“本地计算机”中介绍的方法一样,参照即可。
3. 您是在一台域控制器上或已安装了“管理工具包”的工作站上
在这种应用情形中,审核配置的配置方法是在“Active Directory用户和计算机”管理工具中打开组策略进行的。不同的此时选择的是“本地策略”下的“审核策略”选项,如图所示。
审核策略的配置方法与前两种情形中介绍的一样,不再赘述。
4. 对于域或组织单位,您是在一台成员服务器上或已加入域的工作站上
在这种情形中,审核策略的配置方法是在控制台中通过添加“组策略对象编辑器”管理单元进行的,参见图所示。不同的也只是在此处展开选择的是〖计算机配置〗→〖Windows设置〗→〖安全设置〗→〖帐户策略〗→〖审核策略〗选项。配置方法与上面介绍的三种情形完全一样,不再赘述。
对于Windows Server 2003系统中,它还有许多安全策略选项配置,如文件系统、注册表和系统服务的本地计算机安全、用户权利、特权和登录权利、防火墙策略、域安全策略等,在此不一一介绍了。
安全设置Windows组策略 有效阻止***
在本篇技术指南中,将概要介绍你如何修改最重要的组策略安全设置。
你可以在采用Windows XP、2000和Server 2003操作系统的本地计算机上使用这些方法,或者在Server 2003和2000中的OU域名级上使用这些方法。为了简明扼要和提供最新的信息,我准备介绍一下如何设置基于Windows Server 2003的域名。请记住,这些只是你在你的域名中能够设置的组策略对象中最有可能出现问题的。按照我的观点,这些设置可以保持或者破坏Windows的安全。而且由于设置的不同,你的进展也不同。因此,我鼓励你在使用每一个设置之前都进行深入的研究,以确保这些设置能够兼容你的网络。如果有可能的话,对这些设置进行试验(如果你很幸运有一个测试环境的话)。
如果你没有进行测试,我建议你 下载和安装 微软的组策略管理控制台(GPMC)来做这些改变。这个程序能够把组策略管理任务集中到一个单一的界面让你更全面地查看你的域名。要开始这个编辑流程,你就上载GPMC,扩展你的域名,用 鼠标右键点击“缺省域名策略”,然后选择“编辑”。这样就装载了组策略对象编辑器。如果你要以更快的速度或者“次企业级”的方式编辑你的域名组策略对象,你可以在“开始”菜单中运行“gpedit.msc”。
1.确定一个缺省的口令策略,使你的机构设置位于“计算机配置/Windows设置/安全设置/账号策略/口令策略”之下。
2.为了防止自动口令破解,在“计算机配置/Windows设置/安全设置/账号策略/账号关闭策略”中进行如下设置:
·账号关闭持续时间(确定至少5-10分钟)
·账号关闭极限(确定最多允许5至10次非法登录)
·随后重新启动关闭的账号(确定至少10-15分钟以后)
3.在“计算机配置/Windows设置/安全设置/本地策略/检查策略”中启用如下功能:
·检查账号管理
·检查登录事件
·检查策略改变
·检查权限使用
·检查系统事件
理想的情况是,你要启用记录成功和失败的登录。但是,这取决于你要保留什么类型的记录以及你是否能够管理这些记录。Roberta Bragg在这里介绍了一些普通的检查记录设置。要记住,启用每一种类型的记录都需要你的系统处理器和硬盘提供更多的资源。
4.作为增强Windows安全的最佳做法和为***者设置更多的障碍以减少对Windows的***,你可以在“计算机配置/Windows设置/安全设置/本地策略/安全选项”中进行如下设置:
·账号:重新命名管理员账号--不是要求更有效而是增加一个安全层(确定一个新名字)
·账号:重新命名客户账号(确定一个新名字)
·交互式登录:不要显示最后一个用户的名字(设置为启用)
·交互式登录:不需要最后一个用户的名字(设置为关闭)
·交互式登录: 为企图登录的用户提供一个消息文本(确定为让用户阅读banner text(旗帜文本),内容大致为“这是专用和受控的系统。
如果你滥用本系统,你将受到制裁。--首先让你的律师运行这个程序)
·交互式登录: 为企图登录的用户提供的消息题目--在警告!!!后面写的东西
·网络接入:不允许SAM账号和共享目录(设置为“启用”)
·网络接入:将“允许每一个人申请匿名用户”设置为关闭
·网络安全:“不得存储局域网管理员关于下一个口令变化的散列值”设置为“启用”
·关机:“允许系统在没有登录的情况下关闭”设置为“关闭”
·关机:“清除虚拟 内存的页面文件”设置为“启用”
如果你没有Windows Server 2003域名控制器,你在这里可以找到有哪些Windows XP本地安全设置的细节,以及这里有哪些详细的Windows 2000 Server组策略的设置。要了解更多的有关Windows Server 2003组策略的信息,请查看微软的专门网页。
本地策略
倘若在Win98工作站中通过“网上邻居”窗口,来访问WinXP操作系统的话,你会发现WinXP工作站会拒绝你的共享请求,这是怎么回事呢?原来WinXP系统在默认状态下是不允许以guest方式登录系统的,那么是不是将WinXP系统下的guest帐号“激活”,就能让WinXP工作站被随意共享了呢?其实不然,除了要将guest帐号启用起来,还需要指定guest帐号可以通过网络访问WinXP工作站的共享资源;下面就是让 WinXP被随意共享的具体实现步骤:
首先在WinXP工作站中,依次单击“开始”/“程序”/“管理工具”/“计算机管理”命令,在弹出的计算机管理界面中,再逐步展开“系统工具”、“本地用户和组”、“用户”分支,在对应“用户”分支的右边子窗口中,再双击“guest”选项,在弹出的帐号属性设置界面中,取消“帐号已停用”选项,再单击“确定”按钮,“guest”帐号就能被重新启用了;
接着打开系统的组策略编辑窗口,再用鼠标逐步展开其中的“本地计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“用户权利指派”分支,在弹出的图2界面中,双击右侧子窗口中的“拒绝从网络访问这台计算机”项目,在接着出现的界面中,将guest帐号选中并删除掉,然后再单击一下“确定”按钮,那么WinXP工作站中的共享资源就能被随意访问了。
在Windows XP/2003中实现远程关机(Windows XP/2003)
在Windows XP/2003中,新增了一条命令行工具“shutdown”,它可以关闭或重新启动本地或远程计算机。利用它,我们不但可以注销用户、关闭或重新启动计算机,还可以实现定时关机、远程关机。该命令的语法格式如下:
shutdown [-i |-l|-s |-r |-a][-f][-m[\\\\ComputerName]][-t xx][-c ″message″][-d
:xx:yy]
该命令具体的使用参数和技巧请参考Windows的帮助系统,帮助系统里面有全面的资料。我们现在简单地看一下该命令的一些基本用法:
1)注销当前用户
shutdown - l
该命令只能注销本机用户,对远程计算机不适用。
2)关闭本地计算机
shutdown - s
3)重启本地计算机
shutdown - r
4)定时关机
shutdown - s -t 30
指定在30秒之后自动关闭计算机。
5)中止计算机的关闭。有时我们设定了计算机定时关机后,如果出于某种原因又想取消这次关机操作,就可以用shutdown - a来中止。
在该命令的格式中,有一个参数[-m [\\\\ComputerName],用它可以指定将要关闭或重启的计算机名称,若省略的话则默认为对本机操作。你可以用以下命令来试一下:
shutdown -s -m [url=]\\\\Anyes-solon[/url] -t 30
在30秒内关闭计算机名为Anyes-solon(Anyes-solon为局域网内一台同样装有Windows XP/2003)的电脑。
该命令执行后,计算机Anyes-solon一点反应都没有,屏幕上却提示“Access is denied (拒绝访问)”。
出现这种情况是因为Windows XP默认的安全策略中,只有管理员组的用户才有权从远端关闭计算机,而一般情况下我们从局域网内的其他电脑访问该计算机时,则只有guest用户权限,所以当我们执行上述命令时,便会出现“拒绝访问”的情况。
而我们利用组策略即可赋予guest用户远程关机的权限。打开“组策略控制台→计算机配置→Windows 设置→安全设置→本地策略→用户权利指派中的从远端系统强制关机”,在弹出的对话框中显示目前只有“Administrators”组的成员才有权从远程关机;单击对话框下方的“添加用户或组”按钮,然后在新弹出的对话框中输入“guest”,再单击“确定”按钮。
通过上述操作后,我们便给计算机Anyes-solon的guest用户授予了远程关机的权限。以后,倘若你要远程关闭计算机Anyes-solon,只要在网络中其他装有Windows XP/2003的计算机中输入以下命令shutdown -s -m [url=]\\\\Anyes-solon[/url] -t 60即可。
这时,在Anyes-solon计算机的屏幕上将显示一个“系统关机”的对话框,在对话框下方还有一个计时器,显示离关机还有多少时间。在等待关机的时间里,用户还可以执行其他的任务,如关闭程序、打开文件等,但无法关闭该对话框,除非你用shutdown -a命令来中止关机任务.
公钥策略
加密文件系统 (EFS) 是 Windows2000WindowsXP Professional 和 Windows Server 2003 的 NTFS 文件系统的一个组件。(Windows XP Home 不包含 EFS。)EFS 采用高级的标准加密算法实现透明的文件加密和解密。任何不拥有合适密钥的个人或者程序都不能读取加密数据。即便是物理拥有驻留加密文件的计算机,加密文件仍然受到保护。甚至是有权访问计算机及其文件系统的用户,也无法读取这些数据。还应该采取其他防御策略,加密这种解决方法不是解决每种威胁的恰当对策,加密只是其他防御策略之外的又一种有力措施。EFS 是 Windows 文件系统的内置文件加密工具。
讨论:EFS加密文件夹无法打开怎么办
EFS(Encrypting File System,加密文件系统)是从Windows 2000开始就提出的一种基于NTFS文件系统的核心文件加密技术,主要是用于保护本地数据。在使用EFS加密文件的同时,也产生了诸多麻烦,比如重装系统后无法打开EFS加密过的文件夹等等,那么我们该如何解密?现在让我们先来看看大家的讨论。
备份及导入密钥来解密
为了防止在重装系统后无法打开加密文件夹,我们可以通过下面的方法来备份及导入密钥:点击“开始→运行”,输入“certmgr.msc”,回车后打开证书管理器。展开“证书/个人/证书”,右键单击在右侧窗口中以用户名为名称的证书,在“所有任务”中选择“导出”打开证书导出向导。单击“下一步”之后选择“是,导出私钥”,单击“下一步”,选择默认导出文件格式,再单击“下一步”,输入保护密码和确认密码,单击“下一步”后指定文件名,最后单击“完成”即可。
这样在重装系统之后,右键单击导出的私钥文件,选择“安装PFX”之后就可以一步一步导入私钥。导入完成后,就可以顺利地打开EFS加密的文件夹。
软件的方法不可靠
在没有备份密钥的情况下,要对EFS解密几乎是不可能的,虽然网上流行很多种方法,但是可行性微乎其微,劝大家放弃。因为某些EFS使用的是公钥证书对文件加密,而且在Windows 2000/XP中,每一个用户都使用了惟一的SID(安全标志)。第一次加密文件夹时,系统会根据加密者的SID生成该用户的密钥,并且会将公钥和密钥分开保存。如果在重装系统之前没有对当前的密钥进行备份,那就意味着无论如何都不可能生成此前的用户密钥,而解密文件不仅需要公钥,还需要密码,所以也就根本不能打开此前EFS加密过的文件夹。
编者按:通过各位大虾的谈论,至少应该得出这样一个结论,在进行EFS加密后一定要进行证书备份。否则遇到特殊情况,那被加密过的文件夹就无法打开了。
Windows 系统EFS加密出了问题怎么办?
什么是EFS
从Windows 2000开始,微软对NTFS文件系统进行了升级,将在Windows NT中使用的4.0升级为5.0,其最大的特点就是安全特性更加强大,特别是增加了加密文件系统EFS,用来在使用NTFS文件系统的卷上直接加密数据,能让用户在系统上使用公钥加密去保护私有的数据。
你可以为某个隐私的文件或文件夹加密,以防止他人使用。没有正确权限的人即使能访问到硬盘,若试图操作加密的文件或文件夹,则会收到一条“拒绝访问”错误消息。
另外,用户验证过程是在登录Windows时进行的,这就保证了EFS加密系统对计算机用户来说是透明的。通俗地说,只要具有权限的账户登录到Windows,就可以像打开任何一个普通文件一样使用自己加密的文件,而不像通常的加密软件会弹出一个对话框,让你输入密码,这就大大方便了使用者。
用ESF加密文件
当你使用了Windows 2000/XP/2003系统(注意Windows XP家庭版不支持EFS加密文件系统),且格式化磁盘为NTFS文件系统,你就具有了应用EFS的条件。
要使用EFS加密,只须打开资源管理器,在需要加密的文件(夹)上点鼠标右键,选“属性”,在“属性” 对话框中点“高级”打开“高级属性”对话框,勾选“加密内容以便保护数据”((取消该选项前的钩即可解密文件)。
“确定”后点击“应用”,如果加密的是文件夹,则会弹出图2所示对话框,你可以根据需要选择是仅加密此文件夹还是将此文件夹下的子文件夹和文件也一起
最后点击“确定”后,在默认情况下,一般你会发现文件(夹)在资源管理器中显示的颜色变为彩色,表示已经被加密(或压缩)了。
提示:你也可以不使文件(夹)变色,在资源管理器中,点“工具→文件夹选项→查看”,将“用彩色显示加密或压缩的NTFS文件”取消即可。
EFS加密解密技巧
在实际应用中,我们还可以通过各种技巧来完成EFS加密的相关操作。
1.添加“加密”右键菜单
如果觉得上述加密方法还是太烦琐,可以在“运行”中输入“regedit”,打开注册表编辑器,找到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced,在右边窗口中点击鼠标右键,选择“新建→Dword值”,取键名为“EncryptionContextMenu”,并设置键值为“1”。
退出注册表编辑器,打开资源管理器,任意选中一个NTFS分区上的文件(夹),点鼠标右键,菜单中多出了一个“加(解)密”的选项。你可以直接点击此菜单,即可完成加密解密操作。
2.禁止加密某个文件夹
如果你想设置禁止加密某个文件夹,可以在这个文件夹中创建一个名为“Desktop.ini”的文件,然后用记事本编辑内容为:
Encryption
Disable=1
但是这个方法不能禁止已加密文件夹的文件以及子文件夹。
3.彻底禁止EFS加密
要在机器上彻底禁用EFS加密,可以通过修改注册表实现。点击“开始→运行”,输入“Regedit”回车,打开注册表编辑器,找到HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\EFS,在“编辑”菜单上点击“新建→Dword值”,输入“EfsConfiguration”作为键名,并设置键值为“1”,这样本机的EFS加密就被禁用了。如果想重新使用EFS加密时,只要把键值改为“0”即可。
备份加密证书
重新安装系统后要打开加密文件的解决办法
EFS加密原理
让我们来简单了解一下EFS是如何工作的。在EFS中,数据靠FEK(文件加密钥匙)加密,而FEK跟用户的公钥一起加密保存;解密的时候顺序刚好相反,首先用私钥解密出FEK,然后用FEK解密数据。简言之,系统是靠你的公钥/私钥(统称密钥)来加解密的。
那么密钥从何而来呢?密钥是通过用户的SID产生的。在Windows 2000/XP中,每一个用户都有一个SID(安全标示符),首次使用EFS时,系统会根据SID首先生成密钥。SID都是惟一的,如同人的指纹,因而用户的密钥也绝不会相同,这就保证了EFS加密的可靠。目前,据官方消息说EFS还未证实被破解过。
需要注意的是,如果重新安装了系统,就会产生一个新的SID,即使你安装系统的时候采用的是原来的用户名和密码,也无法直接打开原来被加密的文件(夹)了,很多朋友经常由于忽略了这一点而导致数据损失。
备份密钥
既然EFS采用加密密钥来进行加解密,那么只要加密密钥存在,我们就能恢复数据。因此,将密钥备份下来以作不时之需是最好的办法。
点击“开始→运行”,在“运行”对话框中输入“certmgr.msc”打开证书管理器,打开“证书→当前用户”下的“个人→证书”,只要你做过加密操作,右边窗口就会有与用户名同名的(如果有多份证书,选“预期目的”为“加密文件系统”)证书。
选中证书后点鼠标右键,选“所有任务→导出”,在弹出的“证书导出向导”中,选择“导出私钥”,并按照向导的要求输入密码来保护导出的私钥,最后存储为一个PFX后缀的文件。
当加密文件的账户出现问题或重新安装了系统后需要访问或解密以前加密的文件时,只要使用鼠标右键单击备份的证书,选择“安装PFX”,系统将弹出“证书导入向导”,键入当初导出证书时输入用于保护备份证书的密码,然后选择让向导“根据证书类型,自动选择证书存储区”即可。完成后就可以访问以前的加密文件了。
提示:需要注意的是,任何其他用户只要获得了你备份的证书,都可以对你的加密文件进行解密,因此一定要确保备份证书的安全性。
小知识
1.把未加密的文件复制到已经加密的文件夹中,这些文件会被自动加密。
2.若是将加密文件移动到NTFS分区上,数据会保留加密属性;如果移动到FAT(FAT32)区上,这些数据将会被自动解密。另外,NTFS分区上保存的文件不能同时被压缩和加密。
3.Windows的系统文件和系统文件夹不能被加密。
用恢复代理解密文件
删除用户后打开加密文件的解决办法
EFS加密是安全可靠的,那么,一旦用户账户被删除,就像开头提到的那位,重新创建一个相同的用户可以打开吗?答案当然是否定的,重新创建的用户虽然与以前用户同名,但是系统却不会分配相同的SID(记住,不可能存在相同SID!除非是克隆系统),因此密钥也不同,加密的文件自然就无法打开了。
当然,这种情况也不是完全没有解决的办法,因为用EFS加密过的文件,除了加密者本人之外还有“恢复代理”可以打开。恢复代理是一种特殊的用户,作用是解开用EFS加密的文件。
对于Windows 2000来说,在单机和工作组环境下,默认的恢复代理是 Administrator ;Windows XP在单机和工作组环境下没有默认的恢复代理。而在域环境中就完全不同了,所有加入域的Windows 2000/XP计算机,默认的恢复代理全部是域管理员。所以我说那位网友是幸运的,因为他用的是Windows 2000,可以用Administrator这个用户登录系统,然后就能直接打开或者解密文件。
大量使用Windows XP的朋友就没有那么幸运了,由于没有默认的恢复代理,事先又没有设置恢复代理,一旦用户被删除,你面临的将是数据的丢失。因此如果你使用的是Windows XP用户,请事先设置恢复代理。
设置Windows XP恢复代理
1.首先确定用哪个用户作为恢复代理,可以设置任何用户,比如你想让USER成为恢复代理,就用USER账户登录系统(一般建议使用Administrator作为恢复代理)。
2.在“运行”中输入“cipher /rc:[url=file://test/]\\test[/url]”(test可以是任何其它名字),回车后系统会提示询问是否用密码把证书保护起来,你可以自己设置一个密码,也可不需要密码保护就直接按回车。完成后我们在C盘的根目录下可以发现test.cer和test.pfx两个文件(在资源管理器中点“工具→文件夹选项→查看”,取消“隐藏已知文件类型的扩展名”才能看到文件后缀名)。
3.先使用鼠标右键单击PFX文件,选择“安装PFX”,将弹出“证书导入向导”,如果提示输入密码,就输入步骤2中设置的密码,选中“标示此私钥为可导出的”,下一步选择“根据证书类型,自动选择证书存储区”导入证书。
4.在“运行”中输入“gpedit.msc”并回车,打开组策略编辑器。在“计算机配置→Windows设置→安全设置→公钥策略→正在加密文件系统”下,点击鼠标右键,并选择“添加数据恢复代理”,按“添加故障恢复代理向导”打开test.cer,完成后即成功将USER用户设置为指定恢复代理
现在,登录USER用户,就可以解密所有在指定恢复代理后被加密的文件(夹)了。注意,在设置恢复代理前已经加密的文件是不能解密的,所以必须未雨绸缪,事先设置恢复代理。
EFS加密疑难解答
1.重装系统后默认的恢复代理是否能恢复以前的加密数据?
不能,假设Administrator用户是默认恢复代理,重装系统后,这个Administrator的SID已经发生了变化,所以不能作为以前用户的恢复代理了,只有将备份的证书导入才能打开文件。
2.被EFS加密过的数据是否绝对安全?
不是,安全永远是相对的。EFS加密过的文件,如果不是用户本人或恢复代理,虽然无法打开加密文件,但是仍然可以删除,所以对于重要文件,最佳的做法是NTFS权限和EFS加密配合使用。只有同时具有NTFS权限以及密钥,才能操作文件。
3.我用的是Windows 2000系统,在局域网中且加入了域,我用Administrator为何不能解密文件?
由于加入域中,默认的恢复代理是域管理员,而不是本地管理员了,所以必须以管理员身份登录域,才能解密。
4.用Ghost备份了系统,恢复系统后可以打开以前的加密文件吗?
这要看什么时候做的克隆,如果已经用EFS加密文件后才克隆系统,用户账户和相应的SID都没有变,而且存在相应密钥,重新恢复系统,应该可以打开加密文件。但是如果第一次用EFS加密文件之前就克隆了系统,这时系统中还就没有密钥,而这样的克隆中也不包括密钥,所以在加密之前所做克隆恢复后不能打开加密文件。
5.所有的在Windows 2000上加密的文件都不可访问,包括EFS代理,而我并未重装系统,这是怎么回事?
如果在系统未发生故障,而每个人,包括EFS代理都不能访问所有的加密文件时,请打开注册表编辑器,找到HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\FileSystem,检查NtfsEncryptionService的值是否为默认值“EFS”(很可能已经被修改或是此键已被删除),如果被修改,你可以改回默认值。
6.如何检查谁加密的文件以及谁是恢复代理?
可以在资源管理器中选中要查看的文件,在文件上用鼠标右键点击,并选择“属性”,在“常规”选项卡上点击“高级”按钮,点击“详细信息”,在这里你可以查看谁可以透明打开这个加密文件(如果只有一个,则为加密者)以及查看文件的恢复代理是谁
重要文件的铠甲:EFS加密
随着稳定性和可靠性的逐步提高,Windows 2000/XP已经被越来越多的人使用,很多人还用Windows 2000/XP自带的EFS加密功能把自己的一些重要数据加密保存。虽然EFS易用性不错,不过发生问题后就难解决了,例如不做任何准备就重装了操作系统,那很可能导致以前的加密数据无法解密。最近一段时间我们已经可以在越来越多的论坛和新闻组中看到网友的求救,都是类似这样的问题而导致重要数据无法打开,损失惨重。为了避免更多人受到损失,这里我把使用EFS加密的注事项写出来,希望对大家有所帮助。
注意,下文中的Windows XP皆指Professional版,Windows XP Home版并不支持EFS加密。
什么是EFS加密
EFS(Encrypting File System,加密文件系统)是Windows 2000/XP所特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接被操作系统加密保存,在很大程度上提高了数据的安全性。
EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK (File Encryption Key,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。随后系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据。如果你登录到了域环境中,密钥的生成依赖于域控制器,否则它就依赖于本地机器。
EFS加密有什么好处
首先,EFS加密机制和操作系统紧密结合,因此我们不必为了加密数据安装额外的软件,这节约了我们的使用成本。
其次,EFS加密系统对用户是透明的。这也就是说,如果你加密了一些数据,那么你对这些数据的访问将是完全允许的,并不会受到任何限制。而其他非授权用户试图访问加密过的数据时,就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。
如何使用EFS加密
要使用EFS加密,首先要保证你的操作系统符合要求。目前支持EFS加密的Windows操作系统主要有Windows 2000全部版本和Windows XP Professional。至于还未正式发行的Windows Server 2003和传闻中的开发代号为Longhorn的新一带操作系统,目前看来也支持这种加密机制。其次,EFS加密只对NTFS5分区上的数据有效(注意,这里我们提到了NTFS5分区,这是指由Windows 2000/XP格式化过的NTFS分区;而由Windows NT4格式化的NTFS分区是NTFS4格式的,虽然同样是NTFS文件系统,但它不支持EFS加密),你无法加密保存在FAT和FAT32分区上的数据。
对于想加密的文件或文件夹,只需要用鼠标右键点击,然后选择“属性”,在常规选项卡下点击“高级”按钮,之后在弹出的窗口中选中“加密内容以保护数据”,然后点击确定,等待片刻数据就加密好了。如果你加密的是一个文件夹,系统还会询问你,是把这个加密属性应用到文件夹上还是文件夹以及内部的所有子文件夹。按照你的实际情况来操作即可。解密数据也是很简单的,同样是按照上面的方法,把“加密内容以保护数据”前的钩消除,然后确定。
如果你不喜欢图形界面的操作,还可以在命令行模式下用“cipher”命令完成对数据的加密和解密操作,至于“cipher”命令更详细的使用方法则可以通过在命令符后输入“cipher/?”并回车获得。
注意事项:如果把未加密的文件复制到具有加密属性的文件夹中,这些文件将会被自动加密。若是将加密数据移出来,如果移动到NTFS分区上,数据依旧保持加密属性;如果移动到FAT分区上,这些数据将会被自动解密。被EFS加密过的数据不能在Windows中直接共享。如果通过网络传输经EFS加密过的数据,这些数据在网络上将会以明文的形式传输。NTFS分区上保存的数据还可以被压缩,不过一个文件不能同时被压缩和加密。最后一点,Windows的系统文件和系统文件夹无法被加密。
这里还有个窍门,用传统的方法加密文件,必须打开层层菜单并依次确认,非常麻烦,不过只要修改一下注册表,就可以给鼠标的右键菜单中增添“加密”和“解密”的选项。
在运行中输入“regedit”并回车,打开注册表编辑器,定位到:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion /Explorer/Advanced ,在“编辑”菜单上点击“新建-Dword值”,输入“EncryptionContextMenu”作为键名,并设置键值为“1”。现在退出注册表编辑器,打开资源管理器,任意选中一个NTFS分区上的文件或者文件夹,然后点击鼠标右键,就可以在右键菜单中找到相应的选项,直接点击就可以完成加密解密的操作。
如果你想设置禁止加密某个文件夹,可以在这个文件夹中创建一个名为“Desktop.ini”的文件,然后用记事本打开,并添加如下内容:
[Encryption]
Disable=1
之后保存并关闭这个文件。这样,以后要加密这个文件夹的时候就会收到错误信息,除非这个文件被删除。
而如果你想在本机上彻底禁用EFS加密,则可以通过修改注册表实现。在运行中输入“Regedit”并回车,打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\EFS,在“编辑”菜单上点击“新建-Dword值”,输入“EfsConfiguration”作为键名,并设置键值为“1”,这样本机的EFS加密就被禁用了。而以后如果又想使用时只需把键值改为“0”。
如何保证EFS加密的安全和可靠
前面我们已经了解到,在EFS加密体系中,数据是靠FEK加密的,而FEK又会跟用户的公钥一起加密保存;解密的时候顺序刚好相反,首先用私钥解密出FEK,然后用FEK解密数据。可见,用户的密钥在EFS加密中起了很大作用。
密钥又是怎么来的呢?在Windows 2000/XP中,每一个用户都有一个SID(Security Identifier,安全标示符)以区分各自的身份,每个人的SID都是不相同的,并且有唯一性。可以这样理解:把SID想象成人的指纹,虽然世界上已经有几十亿人(同名同姓的也有很多),可是理论上还没有哪两个人的指纹是完全相同的。因此,这具有唯一性的SID就保证了EFS加密的绝对安全和可靠。因为理论上没有SID相同的用户,因而用户的密钥也就绝不会相同。在第一次加密数据的时候,操作系统就会根据加密者的SID生成该用户的密钥,并把公钥和私钥分开保存起来,供用户加密和解密数据。
这一切,都保证了EFS机制的可靠
其次,EFS机制在设计的时候就考虑到了多种突发情况的产生,因此在EFS加密系统中,还有恢复代理(Recovery Agent)这一概念。
举例来说,公司财务部的一个职工加密了财务数据的报表,某天这位职工辞职了,安全起见你直接删除了这位职工的账户。直到有一天需要用到这位职工创建的财务报表时才发现这些报表是被加密的,而用户账户已经删除,这些文件无法打开了。不过恢复代理的存在就解决了这些问题。因为被EFS加密过的文件,除了加密者本人之外还有恢复代理可以打开。
对于Windows 2000来说,在单机和工作组环境下,默认的恢复代理是 Administrator ;Windows XP在单机和工作组环境下没有默认的恢复代理。而在域环境中就完全不同了,所有加入域的Windows 2000/XP计算机,默认的恢复代理全部是域管理员。
这一切,都保证了被加密数据的安全。
如何避免不慎使用EFS加密带来的损失
如果你也和我一样,由于对EFS加密不了解致使重要数据丢失,那么也别气馁,就当买了个教训。毕竟通过这事情你还是能学会很多东西的。那就是:备份密钥!设置有效的恢复代理!
对于上面讲到的情况1,备份密钥可以避免这种悲剧的发生。在运行中输入“certmgr.msc”然后回车,打开证书管理器。密钥的导出和导入工作都将在这里进行。
在你加密过文件或文件夹后,打开证书管理器,在“当前用户”-“个人”-“证书”路径下,应该可以看见一个以你的用户名为名称的证书(如果你还没有加密任何数据,这里是不会有证书的)。右键点击这个证书,在“所有任务”中点击“导出”。之后会弹出一个证书导出向导,在向导中有一步会询问你是否导出私钥,在这里要选择“导出私钥”,其它选项按照默认设置,连续点击继续,最后输入该用户的密码和想要保存的路径并确认,导出工作就完成了。导出的证书将是一个pfx为后缀的文件。
重装操作系统之后找到之前导出的pfx文件,鼠标右键点击,并选择“安装PFX”,之后会出现一个导入向导,按照导入向导的提示完成操作(注意,如果你之前在导出证书时选择了用密码保护证书,那么在这里导入这个证书时就需要提供正确的密码,否则将不能继续),而之前加密的数据也就全部可以正确打开。
对于情况2,我们对Windows XP和Windows 2000两种情况分别加以说明。
由于Windows XP没有默认的恢复代理,因此我们加密数据之前最好能先指定一个默认的恢复代理(建议设置Administrator为恢复代理,虽然这个账户没有显示在欢迎屏幕上,不过确实是存在的)。这样设置:
首先要获得可以导入作为恢复代理的用户密钥,如果你想让Administrator成为恢复代理,首先就要用Administrator账户登录系统。在欢迎屏幕上连续按Ctrl+Alt+Del两次,打开登录对话框,在用户名处输入Administrator,密码框中输入你安装系统时设置的Administrator密码,然后登录。首先在硬盘上一个方便的地方建立一个临时的文件,文件类型不限。这里我们以C盘根目录下的一个1.txt文本文件文件为例,建立好后在运行中输入“CMD”然后回车,打开命令提示行窗口,在命令提示符后输入“cipher /r:c:\\1.txt”,回车后系统还会询问你是否用密码把证书保护起来,你可以按照你的情况来决定,如果不需要密码保护就直接按回车。完成后我们能在C盘的根目录下找到1.txt.cer和1.txt.pfx两个文件(为了显示的清楚我在文件夹选项中设置了显示所有文件类型的扩展名,这样我们可以更清楚地了解到底生成了哪些文件)。
之后开始设置恢复代理。对于1.txt.pfx这个文件,同样需要用鼠标右键点击,然后按照向导的提示安装。而1.txt.cer则有些不同,在运行中输入“gpedit.msc”并回车,打开组策略编辑器。在“计算机配置-Windows设置-安全设置-公钥策略-正在加密文件系统”菜单下,在右侧窗口的空白处点击鼠标右键,并选择“添加数据恢复代理”,然后会出现“添加故障恢复代理向导”按照这个向导打开1.txt.cer,如果一切无误就可以看见图五的界面,这说明我们已经把本机的Administrator设置为故障恢复代理。
如果你愿意,也可以设置其它用户为恢复代理。需要注意的是,你导入证书所用的1.txt.pfx和1.txt.cer是用哪个账户登录后生成的,那么导入证书后设置的恢复代理就是这位用户。
在设置了有效的恢复代理后,用恢复代理登录系统就可以直接解密文件。但如果你在设置恢复代理之前就加密过数据,那么这些数据恢复代理仍然是无法打开的。
而对于Windows 2000就更加简单,Windows 2000有恢复代理,因此只要用恢复代理(默认的就是Administrator)的账号登录系统,就可以解密文件。
如何在本机上共享经EFS加密过的数据
加密过的文件只有加密者本人和恢复代理可以打开,如果你要和本机的其它用户共享加密文件又该怎么办?这在Windows 2000中是不行的,不过在Windows XP中可以做到。
选中一个希望共享的加密文件(注意,只能是文件,而不能是文件夹),在文件上用鼠标右键点击,并选择“属性”,之后在属性对话框的“常规”选项卡上点击“高级”按钮,然后再点击“详细信息”,之后你可以看见类似图六的窗口,在这里你可以决定谁可以打开这个加密文件以及察看文件的恢复代理是具体是谁。
对EFS加密的几个错误认识
很多人对EFS理解的不够彻底,因此在使用过程中总会有一些疑问。一般情况下,我们最常见的疑问有以下几种:
1, 为什么打开加密过的文件时没有需要我输入密码?
这正是EFS加密的一个特性,同时也是EFS加密和操作系统紧密结合的最佳证明。因为跟一般的加密软件不同,EFS加密不是靠双击文件,然后弹出一个对话框,然后输入正确的密码来确认的用户的;EFS加密的用户确认工作在登录到Windows时就已经进行了。一旦你用适当的账户登录,那你就能打开相应的任何加密文件,并不需要提供什么额外的密码。
2, 我的加密文件已经打不开了,我能够把NTFS分区转换成FAT32分区来挽救我的文件吗?
这当然是不可能的了。很多人尝试过各种方法,例如把NTFS分区转换成FAT32分区;用NTFS DOS之类的软件到DOS下去把文件复制到FAT32分区等,不过这些尝试都以失败告终。毕竟EFS是一种加密,而不是一般的什么权限之类的东西,这些方法对付EFS加密都是无济于事。而如果你的密钥丢失或者没有做好备份,那么一旦发生事故所有加密过的数据就都没救了。
3, 我加密数据后重装了操作系统,现在加密数据不能打开了。如果我使用跟前一个系统相同的用户名和密码总应该就可以了吧?
这当然也是不行的,我们在前面已经了解到,跟EFS加密系统密切相关的密钥是根据每个用户的SID得来的。尽管你在新的系统中使用了相同的用户名和密码,但是这个用户的SID已经变了。这个可以理解为两个同名同姓的人,虽然他们的名字相同,不过指纹绝不可能相同,那么这种想法对于只认指纹不认人名的EFS加密系统当然是无效的。
4, 被EFS加密过的数据是不是就绝对安全了呢?
当然不是,安全永远都是相对的。以被EFS加密过的文件为例,如果没有合适的密钥,虽然无法打开加密文件,不过仍然可以删除(有些小人确实会这样想:你竟然敢加密了不让我看!那好,我就删除了它,咱们都别看)。所以对于重要文件,最佳的做法是NTFS权限和EFS加密并用。这样,如果非法用户没有合适的权限,将不能访问受保护的文件和文件夹;而即使拥有权限(例如为了非法获得重要数据而重新安装操作系统,并以新的管理员身份给自己指派权限),没有密钥同样还是打不开加密数据。
5, 我只是用Ghost恢复了一下系统,用户账户和相应的SID都没有变,怎么以前的加密文件也打不开了?
这也是正常的,因为EFS加密所用到的密钥并不是在创建用户的时候生成,而是在你第一次用EFS加密文件的时候。如果你用Ghost创建系统的镜像前还没有加密过任何文件,那你的系统中就没有密钥,而这样的系统制作的镜像当然也就不包括密钥。一旦你加密了文件,并用Ghost恢复系统到创建镜像的状态,解密文件所用的密钥就丢失了。因此这个问题一定需要主意!
软件限制策略
在Windows XP里的软件限制策略提供了一种透明的方式来隔离和使用不可靠的,有潜在危险的代码,这在某种程度上保护你的计算机免受各种通过电子邮件或网页传播的病毒、***程序和蠕虫等。这些策略荣允许你选择如何管理你系统里的软件。软件可以被严格管理,你可以决定:如何、什么时间、什么地点执行;或者软件可以被设置为不予管理、禁止指定代码运行等。通过在一个隔离区执行不可靠的代码和脚本,你可以获得那些被证明是良性的不可靠代码和脚本的功能,而那些受感染的代码是不能对你的系统造成任何危害的。例如,不可靠的代码在未被证明是安全代码之前,是被阻止发送电子邮件,访问文件,或是做其它的正常计算功能的。
软件限制策略保护你免受感染的电子邮件附件的***,包括存储在临时文件夹的文件,对象,和脚本。同时,也可以保护你的系统免受嵌入式不可靠脚本的URL/UNC连接、网上下载的ActiveX的危害。
菜鸟入门:软件限制策略的简单应用
单位的网络管理员肯定都遇到过这种困扰,老板不希望员工在工作的时间聊QQ或者玩游戏,而总有员工会私下里安装被禁止的软件。怎样避免这种情况?虽然有监控软件可以用,不过这样显得有些侵犯隐私。同时还有一种很麻烦的情况,现在越来越多的病毒通过电子邮件传播,很多人都是无意中运行了电子邮件的附件而中毒的,有没有什么好的手段 可以避免员工运行来历不明的文件?现在好了,如果你的客户端是Windows XP Professional,那么就可以使用其中的软件限制策略。
简单来说,软件限制策略是一种技术,通过这种技术,管理员可以决定哪些程序(虽然这里用了“程序”这个字眼,不过不单指exe文件,我们可以通过该技术限制任何类型扩展名的文件被执行)是可信赖的,而哪些是不可信赖的,对于不可信赖的程序,则系统会拒绝执行。通常,管理员可以让系统使用以下几种方式鉴别软件是否可信赖:文件的路径、文件的哈希(Hash)值、文件的证书、文件被下载的网站在Internet选项中的区域、文件的发行商、特定扩展名的所有文件,以及其他强制属性。
软件限制策略不仅可以在单机的Windows XP操作系统中设置,可以设置仅影响当前用户或用户组,或者影响所有本地登录到这台计算机上的所有用户;也可以通过域对所有加入该域的客户端计算机进行设置,同样可以设置影响某个特定的用户或用户组,或者所有用户。我们这里会以单机的形式进行说明,并设置影响 所有用户。单机和工作组环境下的设置和这个是类似的。另一方面,有时我们可能因为错误的设置而导致某些系统组件无法运行(例如禁止运行所有msc后缀的文件而无法打开组策略编辑器),这种情况下我们只要重新启动系统到安全模式,然后使用Administrator账号登录并删除或修改这一策略即可。因为安全模式下使用Administrator账号登录是不受这些策略影响的。
在本例中,我们假设了这样的应用:员工的计算机仅可运行操作系统自带的所有程序(C盘),以及工作所必须的Word、Excel、PowerPoint和Outlook,其版本号皆为2003,并假设Office程序安装在D盘,员工电脑的操作系统为Windows XP Professional。
运行Gpedit.msc打开组策略编辑器,仔细看就可以发现,在“计算机配置”和“用户设置”下都各有一个软件限制策略的条目,到底使用哪个?如果你希望这个策略仅对某个特定用户或用户组生效,则使用“用户配置”下的策略;如果你希望对本地登录到计算机的所有用户生效,则使用“ 计算机配置”下的策略。这里我们需要对所有用户生效,因此选择使用“计算机配置”下的策略。
在开始配置之前我们还需要考虑一个问题,我们所允许的软件都有哪些特征,而禁用的软件又有哪些特征,我们要想出一种最佳的策略,能使所有需要的软件正确运行,而所有不必要的软件一个都无法运行。在本例中,我们允许的大部分程序都位于系统盘(C盘)的Program Files以及Windows文件夹下,因此我们在这里可以通过文件所在路径的方法决定哪些程序是被信任的。而对于安装在D盘的Office程序,也可任意通过路径或者文件哈希的方法来决定。
点击打开“计算机配置”下的软件限制策略条目,接着在“操作”菜单下点击“创建新的策略”(目前在安装SP1的XP上,这里默认是没有任何策略的,但是对于安装SP2的系统,这里已经有了建好的默认策略),系统将会创建两个新的条目:“安全级别”和“其它规则”。其中在安全级别条目下有两条规则,“不允许的”和“不受限的”,其中前者的意思是,默认情况下,所有软件都不允许运行,只有特别配置过的少数软件才可以运行; 而后者的意思是,默认情况下,所有软件都可以运行,只有特别配置过的少数软件才被禁止运行。因为我们本例中需要运行的软件都已经定下来了,因此我们需要使用“不允许的”作为默认规则。双击这条规则,然后点击“设为默认”按钮,并在同意警告信息后继续。
接着打开“其他规则”条目,可以看到,默认情况下这里已经有四个规则,都是根据注册表路径设置的,而且默认都设置为“不受限的”。强烈提醒你,千万不要修改这四个规则,否则你的系统运行将会遇到很×××烦,因为这四个路径都涉及到了重要系统程序及文件所在的 位置。同时,我们前面说过的,位于系统盘下Program Files文件夹以及Windows文件夹下的文件是允许运行的,而这四条默认的规则已经包含了这个路径,因此我们后面要做的只是为Office程序添加一个规则。在右侧面板的空白处点击鼠标右键,选择“新建哈希规则”,然后可以看到下图的界面。在这里点击“浏览”按钮,然后定位所有允许使用的Office程序的可执行文件(还记得分别是什么吗?winword.exe、excel.exe、powerpnt.exe、outlook.exe),并双击加入。接着在“安全级别”下拉菜单下选择“不受限的”,然后点击确定退出。重复以上步骤,把这四个软件的可执行文件都添加进来,并设置为不受限的。
到这里大家可以考虑一个问题,为什么我们选择为每个程序的可执行文件建立哈希规则?统一为Office应用程序建立一个路径规则不是更简单?其实这样才可以避免可执行文件被替换,或者用户把一些不需要安装的绿色软件复制到这个目录下运行。因为如果建立的是目录规则,那么所有保存在允许目录下的文件都将可以被执行,包括允许程序本身的文件,也包括用户复制进 来的任何其他文件。而哈希规则就不同了,一个特定文件的哈希值是固定的,只要文件内容不发生变化,那么它的哈希值就永远不会变。这样也就避免了造假的可能。不过同时也存在一个问题,虽然文件的哈希值可以不变化,但是文件本身可能会需要某些改变。例如你安装 了一个Word的补丁程序,那么winword.exe文件的哈希值可能就会变化。因此如果你选择创建这种规则,每当软件更新后你也需要看情况同步更新一下相应的规则。否则正常程序的运行也会被影响。
除此之外,这里还有几条策略可以被我们利用:强制,可以限定软件限制策略应用到哪些文件以及是否应用到Administrator账户;指派的文件类型,用于指定具有哪些扩展名的文件可以被系统认为是可执行文件,我们可以添加或删除某种类型扩展名的文件;收信任的出版商,则可以用来决定哪些用户可以选择收信任的出版商,以及信任之前还需要采取的其他操作。这三个策略可以根据自己的实 际情况作出选择。
当软件显示策略设置好之后,一旦被限制的用户试图运行被禁止的程序,那么系统将会立刻发出警告并拒绝执行。
IP安全策略
IP安全性(Internet Protocol Security)是Windows 2000/2003中提供的一种安全技术,它是一种基于点到点的安全模型,可以实现更高层次局域网数据的安全性。
保护网络数据-巧用windows2000IP安全策略
对于在本地计算机上存储的重要数据,我们可以利用很多途径来对它进行一系列的保。但是,当数据在网络上传输时,不会被加密。这时候怎么办?Windows 2000的IP安全特性解决了这个问题。
IP安全性(Internet Protocol Security)是Windows 2000中提供的一种安全技术,它是一种基于点到点的安全模型,可以实现更高层次局域网数据的安全性。
创建IP安全策略
在网络上传输数据的时候,通过创建IP安全策略,利用点到点的安全模型,能够安全有效地把源计算机的数据传输到目标计算机。下面是创建IP安全策略的方法:
1.选“开始→运行”,在“运行”对话框窗口的“打开”编辑框中输入“mmc”,单击“确定”按钮,启动“控制台”对话框窗口。
2.单击“控制台”菜单中的“添加/删除管理单元”选项,启动“添加/删除管理单元”对话框,单击“独立”选项卡中的“添加”按钮,启动“添加独立管理单元”对话框窗口。
3.在“可用的独立管理单元”列表中选定“IP安全策略管理”。
4.单击“添加”按钮,启动“选择计算机”对话框窗口,并利用各个单选按钮确定当前IP安全策略待管理的计算机,可以将管理范围设置为:本地计算机、管理此计算机所在域的域策略、管理另一域或另外一台计算机(如图1所示)。
5.逐一单击“完成”按钮与“关闭”按钮即可。
设置IP过滤器
IP安全属性的每一个组成部分都称为安全策略,而IP过滤器又是安全策略中的重要组成部分,因此设置IP过滤器对保护网络数据的传输有着极为重要的作用。
1.添加新IP过滤器
(1)选“开始→运行”在“运行”对话框窗口的“打开”编辑框中输入“mmc”,单击“确定”按钮,启动“控制台”对话框窗口。
(2)在“控制台”对话框窗口左侧“控制台根节点”下的“IP安全策略”上单击鼠标右键,然后单击相应快捷菜单中的“管理IP筛选器表和筛选器操作”菜单项,出现“管理IP筛选器表和筛选器操作”对话框(如图2所示)。
(3)单击“管理IP筛选器列表”选项卡中的“添加”按钮,启动“IP筛选器列表”对话框,在“名称”编辑框中键入新创建IP过滤器的名称(如“我的IP地址”)并单击“添加”按钮,然后单击“下一步”按钮。
(4)在出现的窗口的“源地址”中输入服务器的IP地址和子网掩码,单击“下一步”按钮。
(5)在出现的窗口的“目标地址”中输入客户端的IP地址和子网掩码,单击“下一步”按钮。
(6)在窗口的“IP协议类型”中一般选择“TCP/IP”协议。最后单击“完成”按钮即可。
2.编辑已有IP过滤器
(1)在图2所示的窗口中单击“编辑”按钮,启动“IP筛选器列表”对话框窗口。
(2)在“IP筛选器列表”对话框窗口中单击“编辑”菜单选项,启动“筛选器属性”对话框窗口,利用对话框中的“寻址”、“协议”、“描述”选项卡更改指定筛选器列表的属性设置。例如:利用“寻址”可以更改IP通信的源地址和目标地址设置。
3.编辑指定筛选器
(1)窗口中选择“管理筛选器操作”选项卡的“筛选器操作”列表中选定待编辑其属性设置的筛选器操作,如“所有IP通讯”。
(2)单击“编辑”菜单项,启动“*(筛选器操作名称)属性”(如“所有IP通讯”)对话框窗口。
(3)利用对话框中定义的单选按钮、安全措施首选顺序列表以及复选框组设置筛选器操作,用户可以根据自己的需要合理设置筛选器,单击“确定”按钮即可(如图3所示)。
这样,通过创建IP安全策略和合理设置IP过滤器,能有效地保证数据在网络传输过程中的安全性。
巧用IP安全策略保护您的重要数据
利用EFS可以对数据进行一定程度的保护,但是,EFS仅负责本地计算机存储数据的安全保护,当数据在网络上传输时,数据不会被加密。这时候怎么办?Windows 2000的IP安全特性解决了这个问题。
IP安全性(Internet Protocol Security)是Windows 2000中新提供的一种安全技术,它是一种基于点到点的安全模型,可以实现更高层次的局域网数据安全性。
创建IP安全策略
在网络上传输数据的时候,通过创建IP安全策略,利用点到点的安全模型,能够安全有效地把源计算机的数据传输到目标计算机。下面是创建IP安全策略的方法:
1、选“开始→运行”,在“运行”对话框窗口的“打开”编辑框中输入“mmc”,单击[确定]按钮,启动“控制台”对话框窗口。
2、单击“控制台”菜单中的“添加/删除管理单元”选项,启动“添加/删除管理单元”对话框,单击“独立”选项卡中的[添加]按钮,启动“添加独立管理单元”对话框窗口。
3、在“可用的独立管理单元”列表中选定“IP安全策略管理”。
4、单击[添加]按钮,启动“选择计算机”对话框窗口,并利用各个单选按钮确定当前IP安全策略待管理的计算机,可以将管理范围设置为:本地计算机、管理此计算机所在域的域策略、管理另一域或另外一台计算机(如图1所示)。
5、逐一单击[完成]按钮与[关闭]按钮即可。
设置IP过滤器
IP安全属性的每一个组成部分都称为安全策略,而IP过滤器又是安全策略中的重要组成部分,因此设置IP过滤器对保护网络数据的传输有着极为重要的作用。
1、添加新IP过滤器
(1)选“开始→运行”在“运行”对话框窗口的“打开”编辑框中输入“mmc”,单击[确定]按钮,启动“控制台”对话框窗口。
(2)在“控制台”对话框窗口左侧“控制台根节点”下的“IP安全策略”上单击鼠标右键,然后单击相应快捷菜单中的“管理IP筛选器表和筛选器操作”菜单项,出现“管理IP筛选器表和筛选器操作”对话框(如图2所示)。
(3)单击“管理IP筛选器列表”选项卡中的[添加]按钮,启动“IP筛选器列表”对话框,在“名称”编辑框中键入新创建IP过滤器的名称(如“我的IP地址”)并单击[添加]按钮,然后单击[下一步]按钮。
(4)在出现的窗口的“源地址”中输入服务器的IP地址和子网掩码,单击[下一步]按钮。
(5)在出现的窗口的“目标地址”中输入客户端的IP地址和子网掩码,单击[下一步]按钮,出现如图3所示的窗口。
(6)在图3所示窗口的“IP协议类型”中一般选择“TCP/IP”协议。最后单击[完成]按钮即可。
2、编辑已有IP过滤器
(1)在图2所示的窗口中单击[编辑]按钮,启动“IP筛选器列表”对话框窗口。
(2)在“IP筛选器列表”对话框窗口中单击“编辑”菜单选项,启动“筛选器属性”对话框窗口(如图4所示),利用对话框中的“寻址”、“协议”、“描述”选项卡更改指定筛选器列表的属性设置。例如:利用“寻址”可以更改IP通信的源地址和目标地址设置。
3、编辑指定筛选器
(1)在图3所示窗口中选择“管理筛选器操作”选项卡的“筛选器操作”列表中选定待编辑其属性设置的筛选器操作,如“所有IP通讯”。
(2)单击“编辑”菜单项,启动“*(筛选器操作名称)属性”(如“所有IP通讯”)对话框窗口。
(3)利用对话框中定义的单选按钮、安全措施首选顺序列表以及复选框组设置筛选器操作,用户可以根据自己的需要合理设置筛选器,单击[确定]按钮即可(如图5所示)。
这样,通过创建IP安全策略和合理设置IP过滤器,能有效地保证数据在网络传输过程中的安全性。
--
浅谈分析TCP/IP筛选 VS IPSec 策略
配置 TCP/IP 安全:
1. 单击开始,指向设置,单击控制面板,然后双击网络和拨号连接。
2. 右键单击要在其上配置入站访问控制的接口,然后单击属性。
3. 在选定的组件被这个连接所使用框中,单击 Internet 协议 (TCP/IP),然后单击属性。
4. 在 Internet 协议 (TCP/IP) 属性对话框中,单击高级。
5. 单击选项选项卡。
6. 单击 TCP/IP 筛选,然后单击属性。
7. 选中启用 TCP/IP 筛选(所有适配器)复选框。选中此复选框后,将对所有适配器启用筛选,但您要逐个为适配器配置筛选器。同一筛选器并不适用于所有适配器。
8. 该窗口中一共有三列,分别标记为:
TCP 端口
UDP 端口
IP 协议在每一列中,都必须选择下面的某个选项:
全部允许。如果要允许 TCP 或 UDP 通信的所有数据包,请保留全部允许处于选中状态。
仅允许。如果只允许选定的 TCP 或 UDP 通信,请单击仅允许,再单击添加,然后在添加筛选器对话框中键入相应的端口。
如果要阻止所有 UDP 或 TCP 流量,请单击仅允许,但不要在 UDP 端口或 TCP 端口列中添加任何端口号。如果您为 IP 协议选中了仅允许并排除了 IP 协议 6 和 17,并不能阻止 UDP 或 TCP 通信。
请注意,即使在 IP 协议列中选择了仅允许而且不添加 IP 协议 1,也无法阻止 ICMP 消息。
“TCP/IP 筛选”只能筛选入站流量。此功能不影响出站流量,也不影响为接受来自出站请求的响应而创建的响应端口。如果需要更好地控制出站访问,请使用 IPSec 策略或数据包筛选。
以下是关于IPSec 策略的官方说明
Internet 协议安全 (IPSec) 循序渐进指南
在进行IPSec完整性配置时,有两个选项 :Message Digest 5 (MD5)和安全散列算法1(Secure Hash Algorithm 1 ,简称SHA1)。后者的安全度更高,但需要更多的 CPU资源,MD5使用128位散列算法,而SHA1使用的160位算法。
IPSec 认证协议
当两个系统互相交换加密数据之前,需要相互对加密的数据包进行安全认定。这个安全认定成为安全协定(security association,简称SA)。在相互通信之前,两个系统必须认定对同一SA。
因特网密钥交换协议(Internet Key Exchange,简称IKE)管理着用于IPSec连接的 SA协议过程。IKE是因特网工程任务组(Internet Engineering Task Force,简称IETF)制定的关于安全协议和密钥交换的标准方法。IKE的操作分两阶段:第一阶段确保通信信道的安全,第二阶段约定SA的操作。
为了建立IPSec通信,两台主机在SA协定之前必须互相认证,有三种认证方法:
Kerberos - Kerberos v5常用于Windows Server 2003,是其缺省认证方式。 Kerberos能在域内进行安全协议认证,使用时,它既对用户的身份也对网络服务进行验证。Kerberos的优点是可以在用户和服务器之间相互认证,也具有互操作性。Kerberos可以在 Server 2003的域和使用Kerberos 认证的UNix环境系统之间提供认证服务。
公钥证书 (PKI) - PKI用来对非受信域的成员,非Windows客户,或者没有运行Kerberos v5 认证协议的计算机进行认证,认证证书由一个作为证书机关(CA)系统签署。
预先共享密钥 -在预先共享密钥认证中,计算机系统必须认同在IPSec策略中使用的一个共享密钥 ,使用预先共享密钥仅当证书和Kerberos无法配置的场合。
IPSec加密协议
IPSec提供三种主要加密方法,如下
数据加密标准 (DES 40位) - 该加密方法性能最好,但安全性较低。该 40位数据加密标准(Data Encryption Standard,简称DES)通常被称为 安全套接字层(Secure Sockets Layer,简称SSL)。适用于数据安全性要求较低的场合。
数据加密标准 (DES 56位) - 通过IPSec策略,可以使用56位 DES的加密方法。1977年美国国家标准局公布了DES算法,它可以在通信过程中经常生成密钥。该功能可防止因为一个DES密钥被破译而整个数据集的安全受到影响。但是在商业中被认为过时了,仅用于传统的应用支持,有专门的硬件可以破译标准的 56位密钥。
3DES - IPSec策略可以选择一个强大的加密算法3DES,其安全性比DES更高。3DES也使用了56位密钥,但使用了三个。结果3DES成为 168位加密算法,用于诸如美国政府这样的高机密的环境中。采用该策略的所有计算机将都遵守这样的机制。
IPSec传输模式
IPSec可以在两种不同的模式下运作:传输模式和隧道模式。这些模式指的是数据在网络中是如何发送和加密的。在传输模式下,IPSec的保护贯穿全程:从源头到目的地,被称为提供终端到终端的传输安全性 。
隧道模式仅仅在隧道点或者网关之间加密数据。隧道模式提供了网关到网关的传输安全性。当数据在客户和服务器之间传输时,仅当数据到达网关时才得到加密,其余路径不受保护。一旦到达网关,就采用IPSec进行加密,等到达目的网关之后,数据包被解密和验证,之后数据发送到不受保护的目的主机。隧道模式通常适用于数据必须离开安全的LAN或者WAN的范围,且在诸如互联网这样的公共网络中传输的场合。
我看了几个朋友的服务器配置,每一个人都使用的是TCP/IP筛选对网站的访问端口进行设定,这到没什么关系,但对IPSec 策略最多也只设定封一下ICMP,别的都没设定,出于安全考虑,这样做不是很好,因为...
我来做个比较
TCP/IP筛选只可只设定客户端通过几个固定的TCP或UDP端口进行对服务器的访问,或限定IP访问,每增加一次就要重启服务器一次,只能适合比较小型访问,原来我为了让Serv_u能进行正常访问,加了N个端口,累的要死(因为FTP软件连接到FTP服务器的话,会随机使用一些端口,因为设定问题,就看不到目录了)...现在想起来也好笑.
IPSec 策略可设定即时生效,不用重启服务器,可对端口或IP进行封锁或访问,可拒绝一些不安全端口的
先给初学的扫扫盲:说到组策略,就不得不提注册表。注册表是 Windows 系统中保存系统、应用 软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是 可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理 计算机的目的。
简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
运行组策略的方法:在“开始”菜单中,单击“运行”命令项,输入gpedit.msc并确定,即可运行组策略。先看看组策略的全貌,如图。
本文将主要讲解以下内容:
计算机配置
|
|__Windows设置
| |
| |__脚本(启动/关机)
| |__ 安全设置
| |__账户策略
| | |__密码策略
| | |__账户锁定策略
| |__本地策略
| | |__审核策略
| | |__用户权利指派
| | |__安全选项
| |__公钥策略
| | |__正在加密文件系统@
| |__软件限制策略
| | |__安全级别
| | |__其他规则@
| |__IP安全策略,在本地计算机
|
|__用户配置
|
|__Windows设置
|
|__管理模板
|__ 任务栏和[开始]菜单
|__ 桌面
|__控制面板
|__ 网络
|__系统
|__Windows组件
Win2003 Server帐户和本地策略配置(上)
在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面,而其中的“帐户策略”又包括:密码策略、帐户锁定策略和Kerberos策略三个方面;另外的“本地策略”也包括:审核策略、用户权限分配和安全选项三部分。下面分别予以介绍。
一、密码策略的设置
密码策略作用于域帐户或本地帐户,其中就包含以下几个方面:
强制密码历史
密码最长使用期限
密码最短使用期限
密码长度最小值
密码必须符合复杂性要求
用可还原的加密来存储密码
以上各项的配置方法均需根据当前用户帐户类型来选择。默认情况下,成员计算机的配置与其域控制器的配置相同。下面分别根据几种不同用户类型介绍相应的密码策略配置方法。
1. 对于本地计算机
对于本地计算机的用户帐户,其密码策略设置是在“本地安全设置”管理工个中进行的。下面是具体的配置方法。
第1步,执行〖开始〗→〖管理工具〗→〖本地安全策略〗菜单操作,打开如图所示的“本地安全设置”界面。对于本地计算机中用户“帐户和本地策略”都查在此管理工具中进行配置的。
第2步,因密码策略是属于用户策略范畴,所以先需在如上图所示界面中单击选择“用户策略”选项,然后再选择“密码策略”选项,在右边详细信息窗口中将显示可配置的密码策略选项的当前配置。
因为各策略选项的配置方法基本一样,所以在此仅以一个选项的配置进行介绍,其它只对各选项的具体作用进行简单介绍。
如配置“密码必须符合复杂性要求”选项,可设置确定密码是否符合复杂性要求。启用该策略,则密码必须符合以下最低要求:
(1)不包含全部或部分的用户帐户名
(2)长度至少为六个字符
(3)包含来自以下四个类别中的三个的字符:
英文大写字母(从A到Z)
英文小写字母(从a到z)
10个基本数字(从0到9)
非字母字符(例如,!、$、#、%)
如果启用了此安全策略,而您所配置的用户密码不符合此配置要求时系统会提示错误。有时您可能百思不得其解,认为自己所设的密码已经够长,而且也是属于随机的,不全都是数字或字母,可系统为什么还是老说错误呢?一般来说是由于您所设的密码所包括的字符类型不足以上四个中的三个。通常只各个领域其中的两种,即数字和字母,而没有考虑到字母的大小写或者非字母字符,所以达不到复杂性要求。更改或创建密码时,会强制执行复杂性要求。
默认情况下,在域控制器上默认是已启用了这一策略的;而在独立服务器上则默认是禁用的。
这个安全选项的配置方法是在如上图所示界面的右边信息窗口中双击“密码必须符合复杂性要求”选项,打开如图所示对话框。在这个对话框中就可随意启用或者禁用这个安全策略选项,配置好后单击“确定”按钮使配置更改生效。
其它选项的配置方法都一样,都是通过双击或者单击右键,然后选择“属性”选项,打开类似如图2所示对话框,在这些对话框中进行配置即可。不过为了便于工作于大家理解和配置,下面简单介绍其它密码策略选项的含义。
强制密码历史
重新使用旧密码之前,该安全设置确定某个用户帐户所使用的新密码必须不能与该帐户所使用的最近多少旧密码一样。该值必须为0到24之间的一个数值。该策略通过确保旧密码不能在某段时间内重复使用,使用户帐户更安全。
在域控制器上的默认值为24;而在独立服务器上为0。
【注意】要维持密码历史记录的有效性,则在通过启用密码最短使用期限安全策略设置更改密码之后,不允许立即更改密码。
密码最长使用期限
该安全设置确定系统要求用户更改密码之前可以使用该密码的时间(单位为天)。可将密码的过期天数设置在1至999天之间;如果将天数设置为0,则指定密码永不过期。如果密码最长使用期限在1至999天之间,那么“密码最短使用期限”(下面将介绍)必须小于密码最长使用期限。如果密码最长使用期限设置为0,则密码最短使用期限可以是1至998天之间的任何值。
默认值:42。
【技巧】使密码每隔30至90天过期一次是一种安全最佳操作,取决于您的环境。通过这种方式,***者只能够在有限的时间内破解用户密码并访问您的 网络资源。
第三步,密码最短使用期限。该安全策略设置确定用户可以更改密码之前必须使用该密码的时间(单位为天)。可以设置1到998天之间的某个值,或者通过将天数设置为0,允许立即更改密码。密码最短使用期限必须小于上面设置的“密码最长使用期限”,除非密码最长使用期限设置为0(表明密码永不过期)。如果密码最长使用期限设置为0,那么密码最短使用期限可设置为0到998天之间的任意值。
如果希望上面设置的“强制密码历史”安全策略选项设置有效,请将密码最短有效期限配置为大于0。如果没有密码最短有效期限,则用户可以重复循环通过密码,直到获得喜欢的旧密码。默认设置不遵从这种推荐方法,因此管理员可以为用户指定密码,然后要求当用户登录时更改管理员定义的密码。如果将该密码的历史记录设置为0,则用户不必选择新密码。因此,默认情况下将密码历史记录设置为1。在域控制器上的默认值为1;而在独立服务器上为0。
第四步,密码长度最小值。该安全设置确定用户帐户的密码可以包含的最少字符个数。可以设置为1到14个字符之间的某个值,或者通过将字符数设置为0,可设置不需要密码。在域控制器上的默认值为7;而在独立服务器上为0。
第五步,用可还原的加密来存储密码。该安全设置确定 操作系统是否使用可还原的加密来存储密码。如果应用程序使用了要求知道用户密码才能进行身份验证的协议,则该策略可对它提供支持。使用可还原的加密存储密码和存储明文版本密码本质上是相同的。因此,除非应用程序有比保护密码信息更重要的要求,否则不必启用该策略。
当使用质询握手身份验证协议(CHAP)通过远程访问或 Internet身份验证服务(IAS)进行身份验证时,该策略是必需的。在Internet信息服务(IIS)中使用摘要式验证时也要求该策略。系统默认值为禁用。
上面介绍的是在本地计算机上配置以上密码安全策略选项的方法,下面继续介绍在其它两种情形中这些密码策略选项的配置方法。
2. 在域环境中,并且您位于已加入到域中的成员服务器或工作站
对于这种情形,用户的本地密码策略配置方法如下:
第1步,执行〖开始〗→〖运行〗菜单操作,在对话框的“打开”文本框中输入“mmc”命令,打开 Microsoft管理控制台(MMC),如图所示。
第2步,执行〖文件〗→〖添加/删除管理单元〗菜单操作,打开如图所示对话框。在这个对话框中可以添加在控制台管理的管理单元。
第3步,单击“添加”按钮,打开如下图所示对话框。在这个对话框中找到“组策略对象编辑器”选项,然后双击,或单击选择它后按“添加”按钮,打开如图所示对话框。在这个对话框中要求选择所添加的“组策略对象编辑器”所作用的对象。
因此处介绍的是成员服务器或工作站(非本地计算机),所以需单击“浏览”按钮,在打开的对话框中选中“计算机”选项卡(对话框如下图所示)。在对话框中选择“另一计算机”单选项,然后直接在下面的文本框中输入或再次通过单击“浏览”按钮,打开对话框查找。
第4步,输入或者选择好计算机名后,单击“确定”按钮即可返回到如上图所示对话框。单击“完成”按钮,如果所选择的成员服务器或工作站与当前服务器的网络连接正常的话,即可把它们指派到组策略对象编辑器中。
第5步,单击对话框中的“关闭”按钮,返回到如图所示对话框。单击“确定”按钮返回到控制台界面,不过此时已是添加了“组策略对象编辑器”管理单元的控制台,如图所示。
第6步,依次单击展开〖计算机配置〗→〖Windows设置〗→〖安全设置〗→〖帐户策略〗→〖密码策略〗选项,然后在右边详细信息窗口中选择相应的密码策略选项配置即可。配置方法也是在相应选项上单击右键,然后再选择“属性”选项,打开的对话框与前图一样,参照即可。
3. 您位于域控制器,或已安装 Windows Server 2003 管理工具包的工作站
对于这种情形,密码策略的配置方法如下:
第1步,执行〖开始〗→〖管理工具〗→〖Active Directory用户和计算机〗菜单操作,打开如图所示的“Active Directory用户和计算机”管理工具界面。
第2步,在控制台树中要设置组策略的域或组织单位上(本例以域grfwgz.com为例)单击右键,然后选择“属性”选项,在打开的对话框中选择“组策略”选项卡,对话框如图所示。
第3步,选择对话框“组策略对象链接”列表中的项目以选择现有的组策略对象(GPO),然后单击“编辑”按钮。也可单击“新建”按钮创建新的GPO,然后再单击“编辑”按钮,都可打开如图所示“组策略编辑器”界面。
第4步,在控制台树中依次单击展开以下选项〖计算机配置〗→〖Windows设置〗→〖安全设置〗→〖帐户策略〗→〖密码策略〗,展开后“密码策略”选项界面如图所示。在其中也包括本文前面所介绍的各密码策略选项。配置的方法也同上,不再赘述。
Win2003 Server帐户和本地策略配置(下)
帐户锁定策略用于域帐户或本地用户帐户,它们确定某个帐户被系统锁定的情况和时间长短。这部分包含以下三个方面:
帐户锁定时间
帐户锁定阈值
复位帐户锁定计数器
1. 帐户锁定时间
该安全设置确定锁定的帐户在自动解锁前保持锁定状态的分钟数。有效范围从0到99,999分钟。如果将帐户锁定时间设置为0,那么在管理员明确将其解锁前,该帐户将被锁定。如果定义了帐户锁定阈值,则帐户锁定时间必须大于或等于重置时间。
默认值:无。因为只有当指定了帐户锁定阈值时,该策略设置才有意义。
2. 帐户锁定阈值
该安全设置确定造成用户帐户被锁定的登录失败尝试的次数。无法使用锁定的帐户,除非管理员进行了重新设置或该帐户的锁定时间已过期。登录尝试失败的范围可设置为0至999之间。如果将此值设为0,则将无法锁定帐户。
对于使用Ctrl+Alt+Delete组合键或带有密码保护的屏幕保护程序锁定的工作站或成员服务器计算机上,失败的密码尝试计入失败的登录尝试次数中。默认值:0。
3.复位帐户锁定计数器
该安全设置确定在登录尝试失败计数器被复位为0(即0次失败登录尝试)之前,尝试登录失败之后所需的分钟数。有效范围为1到99,999分钟之间。
如果定义了帐户锁定阈值,则该复位时间必须小于或等于帐户锁定时间。
默认值:无,因为只有当指定了“帐户锁定阈值”时,该策略设置才有意义。
它们的配置也要因当前用户所在的网络环境而定。对于本地计算机用户帐户,在如图1所示界面中配置;对于域中的成员服务器或工作站则在如图8所示对话框中配置;而对于域控制器用户则在如图11所示界面中配置。
配置方法也是通过双击,或单击选择某帐户锁定策略选项,然后再单击右键,选择“属性”选项,都可打开类似如图所示对话框,在其中进行配置即可。
Kerberos V5身份验证协议是用于确认用户或主机身份的身份验证机制,也是Windows 2000和Windows Server 2003系统默认的身份验证服务。Internet协议安全性(IPSec)可以使用Kerberos协议进行身份验证。
对于在安装过程中所有加入到Windows Server 2003或Windows 2000域的计算机都默认启用Kerberos V5身份验证协议。Kerberos可对域内的资源和驻留在受信任的域中的资源提供单一登录。
可通过那些作为帐户策略一部分的Kerberos安全设置来控制Kerberos配置的某些方面。例如,可设置用户的Kerberos 5票证生存周期。作为管理员,可以使用默认的kerberos策略,也可以更改它以适应环境的需要。使用Kerberos V5进行成功的身份验证需要两个客户端系统都必须运行Windows 2000、Windows Server 2003家族或Windows XP Professional操作系统。
如果客户端系统尝试向运行 其他操作系统的服务器进行身份验证,则使用NTLM协议作为身份验证机制。NTLM身份验证协议是用来处理两台计算机(其中至少有一台计算机运行Windows NT 4.0或更早版本)之间事务的协议。
使用Kerberos进行身份验证的计算机必须使其时间设置在5分钟内与常规时间服务同步,否则身份验证将失败。运行Windows Server 2003家族成员、Windows XP Professional或Windows 2000的计算机将自动更新当前时间,并将域控制器用作网络时间服务。
Kerberos策略用于域用户帐户,确定与Kerberos相关的设置,例如票证的有效期限和强制执行。
Kerberos策略不存在于本地计算机策略中。这部分包含以下几个方面:
强制用户登录限制
服务票证最长寿命
用户票证最长寿命
用户票证续订最长寿命
计算机时钟同步的最大容差
1. 强制用户登录限制
本安全设置确定Kerberos V5密钥分发中心(KDC)是否要根据用户帐户的用户权限来验证每一个会话票证请求。验证每一个会话票证请求是可选的,因为额外的步骤需要花费时间,并可能降低服务的网络访问速度。默认值:已启用。
2. 服务票证最长寿命
该安全设置确定使用所授予的会话票证可访问特定服务的最长时间(以分钟为单位)。该设置必须大于10分钟并且小于或等于下面将要介绍的“用户票证最长寿命”选项中的设置。
【说明】票证是用于安全原则的标识数据集,是为了进行用户身份验证而由域控制器发行的。
Windows中的两种票证形式是票证授予式票证(TGT)和服务票证。
票证授予式票证(TGT)是用户登录时,Kerberos密钥分发中心(KDC)颁发给用户的凭据。当服务要求会话票证时,用户必须向KDC递交TGT。因为TGT对于用户的登录会话活动通常是有效的,它有时称为“用户票证”。
服务票证是由允许用户验证域中指定服务的KerberosV5票证授予服务(TGS)颁发的票证。如果客户端请求服务器连接时出示的会话票证已过期,服务器将返回错误消息。客户端必须从Kerberos V5密钥分发中心(KDC)请求新的会话票证。然而一旦连接通过了身份验证,该会话票证是否仍然有效就无关紧要了。会话票证仅用于验证和服务器的新建连接。如果用于验证连接的会话票证在连接时过期,则当前的操作不会中断。默认值:600分钟(10小时)。
3. 用户票证最长寿命
该安全设置确定用户票证授予票证(TGT)的最长使用时间(单位为小时)。用户TGT期满后,必须请求新的或“续订”现有的用户票证。默认值:10小时。
4. 用户票证续订最长寿命
该安全设置确定可以续订用户票证授予票证(TGT)的期限(以天为单位)。默认值:7天。
5. 计算机时钟同步的最大容差
本安全设置确定Kerberos V5所允许的客户端时钟和提供Kerberos身份验证的Windows Server 2003域控制器上的时间的最大差值(以分钟为单位)。
为防止“轮番***”,Kerberos V5在其协议定义中使用了时间戳。为使时间戳正常工作,客户端和域控制器的时钟应尽可能的保持同步。换言之,应该将这两台计算机设置成相同的时间和日期。因为两台计算机的时钟常常不同步,所以管理员可使用该策略来设置Kerberos V5所能接受的客户端时钟和域控制器时钟间的最大差值。如果客户端时钟和域控制器时钟间的差值小于该策略中指定的最大时间差,那么在这两台计算机的会话中使用的任何时间戳都将被认为是可信的。默认值:5分钟。
【注意】该设置并不是永久性的。如果配置该设置后重新启动计算机,那么该设置将被还原为默认值。
以上各Kerberos策略安全选项的配置方法如下:
第1步,在组策略界面中,依次单击展开下列选项〖计算机设置〗→〖Windows设置〗→〖安全设置〗→〖用户策略〗→〖Kerberos策略〗,在右边详细信息窗口中将列出当前所有的Kerberos策略选项,如图所示。
第2步,在详细信息窗口中显示了各Kerberos策略安全选项的当前配置,如果要重新配置某选项,可直接双击,也可在相应选项上单击右键,然后选择“属性”选项,都可打开类似如图所示的配置对话框。在这个对话框中可以选择是否启用或者重新配置该安全选项的参数值。
选择好后单击“确定”按钮即可生效。对 Kerberos 策略的任何修改都将影响域中的所有计算机。
Windows Server 2003系统审核策略的配置方法也要根据以下四种具体的情形而选择不同的配置方法。
1. 对于本地计算机
在这个情况下,审核策略的配置也是在 “本地安全设置”界面中进行的,只是此时要选择“本地策略”下的“审核策略”选项,如图所示。
双击详细信息窗格中要更改审核策略设置的事件类别,或在相应审核策略事件上单击右键,然后选择“属性”选项,都可打开如图所示对话框(本例选择的是“审核登录事件”选项)。执行以下一个或两个操作,然后单击“确定”按钮使配置生效。
要审核成功的尝试,请选中“成功”复选项。
要审核未成功的尝试,请选中“失败”复选项。
2. 您在一台域控制器上或已安装了Windows Server 2003管理工具包的工作站上
这种情形下审核策略的配置方法如下:
第1步,执行〖开始〗→〖管理工具〗→〖域控制器安全策略〗菜单操作,打开如图所示的“域控制器安全策略”管理工具界面。
第2步,在控制台树中,按〖Windows设置〗→〖安全设置〗→〖本地策略〗→〖审核策略〗顺序依次单击,展开各选项,直到“审核策略”选项。
第3步,双击详细信息窗格中要更改审核策略设置的事件类别,或者在相应事件上单击右键,然后选择“属性”选项,同样会打开如图5所示的对话框。配置方法与前一种情形“本地计算机”中介绍的方法一样,参照即可。
3. 您是在一台域控制器上或已安装了“管理工具包”的工作站上
在这种应用情形中,审核配置的配置方法是在“Active Directory用户和计算机”管理工具中打开组策略进行的。不同的此时选择的是“本地策略”下的“审核策略”选项,如图所示。
审核策略的配置方法与前两种情形中介绍的一样,不再赘述。
4. 对于域或组织单位,您是在一台成员服务器上或已加入域的工作站上
在这种情形中,审核策略的配置方法是在控制台中通过添加“组策略对象编辑器”管理单元进行的,参见图所示。不同的也只是在此处展开选择的是〖计算机配置〗→〖Windows设置〗→〖安全设置〗→〖帐户策略〗→〖审核策略〗选项。配置方法与上面介绍的三种情形完全一样,不再赘述。
对于Windows Server 2003系统中,它还有许多安全策略选项配置,如文件系统、注册表和系统服务的本地计算机安全、用户权利、特权和登录权利、防火墙策略、域安全策略等,在此不一一介绍了。
安全设置Windows组策略 有效阻止***
在本篇技术指南中,将概要介绍你如何修改最重要的组策略安全设置。
你可以在采用Windows XP、2000和Server 2003操作系统的本地计算机上使用这些方法,或者在Server 2003和2000中的OU域名级上使用这些方法。为了简明扼要和提供最新的信息,我准备介绍一下如何设置基于Windows Server 2003的域名。请记住,这些只是你在你的域名中能够设置的组策略对象中最有可能出现问题的。按照我的观点,这些设置可以保持或者破坏Windows的安全。而且由于设置的不同,你的进展也不同。因此,我鼓励你在使用每一个设置之前都进行深入的研究,以确保这些设置能够兼容你的网络。如果有可能的话,对这些设置进行试验(如果你很幸运有一个测试环境的话)。
如果你没有进行测试,我建议你 下载和安装 微软的组策略管理控制台(GPMC)来做这些改变。这个程序能够把组策略管理任务集中到一个单一的界面让你更全面地查看你的域名。要开始这个编辑流程,你就上载GPMC,扩展你的域名,用 鼠标右键点击“缺省域名策略”,然后选择“编辑”。这样就装载了组策略对象编辑器。如果你要以更快的速度或者“次企业级”的方式编辑你的域名组策略对象,你可以在“开始”菜单中运行“gpedit.msc”。
1.确定一个缺省的口令策略,使你的机构设置位于“计算机配置/Windows设置/安全设置/账号策略/口令策略”之下。
2.为了防止自动口令破解,在“计算机配置/Windows设置/安全设置/账号策略/账号关闭策略”中进行如下设置:
·账号关闭持续时间(确定至少5-10分钟)
·账号关闭极限(确定最多允许5至10次非法登录)
·随后重新启动关闭的账号(确定至少10-15分钟以后)
3.在“计算机配置/Windows设置/安全设置/本地策略/检查策略”中启用如下功能:
·检查账号管理
·检查登录事件
·检查策略改变
·检查权限使用
·检查系统事件
理想的情况是,你要启用记录成功和失败的登录。但是,这取决于你要保留什么类型的记录以及你是否能够管理这些记录。Roberta Bragg在这里介绍了一些普通的检查记录设置。要记住,启用每一种类型的记录都需要你的系统处理器和硬盘提供更多的资源。
4.作为增强Windows安全的最佳做法和为***者设置更多的障碍以减少对Windows的***,你可以在“计算机配置/Windows设置/安全设置/本地策略/安全选项”中进行如下设置:
·账号:重新命名管理员账号--不是要求更有效而是增加一个安全层(确定一个新名字)
·账号:重新命名客户账号(确定一个新名字)
·交互式登录:不要显示最后一个用户的名字(设置为启用)
·交互式登录:不需要最后一个用户的名字(设置为关闭)
·交互式登录: 为企图登录的用户提供一个消息文本(确定为让用户阅读banner text(旗帜文本),内容大致为“这是专用和受控的系统。
如果你滥用本系统,你将受到制裁。--首先让你的律师运行这个程序)
·交互式登录: 为企图登录的用户提供的消息题目--在警告!!!后面写的东西
·网络接入:不允许SAM账号和共享目录(设置为“启用”)
·网络接入:将“允许每一个人申请匿名用户”设置为关闭
·网络安全:“不得存储局域网管理员关于下一个口令变化的散列值”设置为“启用”
·关机:“允许系统在没有登录的情况下关闭”设置为“关闭”
·关机:“清除虚拟 内存的页面文件”设置为“启用”
如果你没有Windows Server 2003域名控制器,你在这里可以找到有哪些Windows XP本地安全设置的细节,以及这里有哪些详细的Windows 2000 Server组策略的设置。要了解更多的有关Windows Server 2003组策略的信息,请查看微软的专门网页。
本地策略
倘若在Win98工作站中通过“网上邻居”窗口,来访问WinXP操作系统的话,你会发现WinXP工作站会拒绝你的共享请求,这是怎么回事呢?原来WinXP系统在默认状态下是不允许以guest方式登录系统的,那么是不是将WinXP系统下的guest帐号“激活”,就能让WinXP工作站被随意共享了呢?其实不然,除了要将guest帐号启用起来,还需要指定guest帐号可以通过网络访问WinXP工作站的共享资源;下面就是让 WinXP被随意共享的具体实现步骤:
首先在WinXP工作站中,依次单击“开始”/“程序”/“管理工具”/“计算机管理”命令,在弹出的计算机管理界面中,再逐步展开“系统工具”、“本地用户和组”、“用户”分支,在对应“用户”分支的右边子窗口中,再双击“guest”选项,在弹出的帐号属性设置界面中,取消“帐号已停用”选项,再单击“确定”按钮,“guest”帐号就能被重新启用了;
接着打开系统的组策略编辑窗口,再用鼠标逐步展开其中的“本地计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“用户权利指派”分支,在弹出的图2界面中,双击右侧子窗口中的“拒绝从网络访问这台计算机”项目,在接着出现的界面中,将guest帐号选中并删除掉,然后再单击一下“确定”按钮,那么WinXP工作站中的共享资源就能被随意访问了。
在Windows XP/2003中实现远程关机(Windows XP/2003)
在Windows XP/2003中,新增了一条命令行工具“shutdown”,它可以关闭或重新启动本地或远程计算机。利用它,我们不但可以注销用户、关闭或重新启动计算机,还可以实现定时关机、远程关机。该命令的语法格式如下:
shutdown [-i |-l|-s |-r |-a][-f][-m[\\\\ComputerName]][-t xx][-c ″message″][-d
:xx:yy]
该命令具体的使用参数和技巧请参考Windows的帮助系统,帮助系统里面有全面的资料。我们现在简单地看一下该命令的一些基本用法:
1)注销当前用户
shutdown - l
该命令只能注销本机用户,对远程计算机不适用。
2)关闭本地计算机
shutdown - s
3)重启本地计算机
shutdown - r
4)定时关机
shutdown - s -t 30
指定在30秒之后自动关闭计算机。
5)中止计算机的关闭。有时我们设定了计算机定时关机后,如果出于某种原因又想取消这次关机操作,就可以用shutdown - a来中止。
在该命令的格式中,有一个参数[-m [\\\\ComputerName],用它可以指定将要关闭或重启的计算机名称,若省略的话则默认为对本机操作。你可以用以下命令来试一下:
shutdown -s -m [url=]\\\\Anyes-solon[/url] -t 30
在30秒内关闭计算机名为Anyes-solon(Anyes-solon为局域网内一台同样装有Windows XP/2003)的电脑。
该命令执行后,计算机Anyes-solon一点反应都没有,屏幕上却提示“Access is denied (拒绝访问)”。
出现这种情况是因为Windows XP默认的安全策略中,只有管理员组的用户才有权从远端关闭计算机,而一般情况下我们从局域网内的其他电脑访问该计算机时,则只有guest用户权限,所以当我们执行上述命令时,便会出现“拒绝访问”的情况。
而我们利用组策略即可赋予guest用户远程关机的权限。打开“组策略控制台→计算机配置→Windows 设置→安全设置→本地策略→用户权利指派中的从远端系统强制关机”,在弹出的对话框中显示目前只有“Administrators”组的成员才有权从远程关机;单击对话框下方的“添加用户或组”按钮,然后在新弹出的对话框中输入“guest”,再单击“确定”按钮。
通过上述操作后,我们便给计算机Anyes-solon的guest用户授予了远程关机的权限。以后,倘若你要远程关闭计算机Anyes-solon,只要在网络中其他装有Windows XP/2003的计算机中输入以下命令shutdown -s -m [url=]\\\\Anyes-solon[/url] -t 60即可。
这时,在Anyes-solon计算机的屏幕上将显示一个“系统关机”的对话框,在对话框下方还有一个计时器,显示离关机还有多少时间。在等待关机的时间里,用户还可以执行其他的任务,如关闭程序、打开文件等,但无法关闭该对话框,除非你用shutdown -a命令来中止关机任务.
公钥策略
加密文件系统 (EFS) 是 Windows2000WindowsXP Professional 和 Windows Server 2003 的 NTFS 文件系统的一个组件。(Windows XP Home 不包含 EFS。)EFS 采用高级的标准加密算法实现透明的文件加密和解密。任何不拥有合适密钥的个人或者程序都不能读取加密数据。即便是物理拥有驻留加密文件的计算机,加密文件仍然受到保护。甚至是有权访问计算机及其文件系统的用户,也无法读取这些数据。还应该采取其他防御策略,加密这种解决方法不是解决每种威胁的恰当对策,加密只是其他防御策略之外的又一种有力措施。EFS 是 Windows 文件系统的内置文件加密工具。
讨论:EFS加密文件夹无法打开怎么办
EFS(Encrypting File System,加密文件系统)是从Windows 2000开始就提出的一种基于NTFS文件系统的核心文件加密技术,主要是用于保护本地数据。在使用EFS加密文件的同时,也产生了诸多麻烦,比如重装系统后无法打开EFS加密过的文件夹等等,那么我们该如何解密?现在让我们先来看看大家的讨论。
备份及导入密钥来解密
为了防止在重装系统后无法打开加密文件夹,我们可以通过下面的方法来备份及导入密钥:点击“开始→运行”,输入“certmgr.msc”,回车后打开证书管理器。展开“证书/个人/证书”,右键单击在右侧窗口中以用户名为名称的证书,在“所有任务”中选择“导出”打开证书导出向导。单击“下一步”之后选择“是,导出私钥”,单击“下一步”,选择默认导出文件格式,再单击“下一步”,输入保护密码和确认密码,单击“下一步”后指定文件名,最后单击“完成”即可。
这样在重装系统之后,右键单击导出的私钥文件,选择“安装PFX”之后就可以一步一步导入私钥。导入完成后,就可以顺利地打开EFS加密的文件夹。
软件的方法不可靠
在没有备份密钥的情况下,要对EFS解密几乎是不可能的,虽然网上流行很多种方法,但是可行性微乎其微,劝大家放弃。因为某些EFS使用的是公钥证书对文件加密,而且在Windows 2000/XP中,每一个用户都使用了惟一的SID(安全标志)。第一次加密文件夹时,系统会根据加密者的SID生成该用户的密钥,并且会将公钥和密钥分开保存。如果在重装系统之前没有对当前的密钥进行备份,那就意味着无论如何都不可能生成此前的用户密钥,而解密文件不仅需要公钥,还需要密码,所以也就根本不能打开此前EFS加密过的文件夹。
编者按:通过各位大虾的谈论,至少应该得出这样一个结论,在进行EFS加密后一定要进行证书备份。否则遇到特殊情况,那被加密过的文件夹就无法打开了。
Windows 系统EFS加密出了问题怎么办?
什么是EFS
从Windows 2000开始,微软对NTFS文件系统进行了升级,将在Windows NT中使用的4.0升级为5.0,其最大的特点就是安全特性更加强大,特别是增加了加密文件系统EFS,用来在使用NTFS文件系统的卷上直接加密数据,能让用户在系统上使用公钥加密去保护私有的数据。
你可以为某个隐私的文件或文件夹加密,以防止他人使用。没有正确权限的人即使能访问到硬盘,若试图操作加密的文件或文件夹,则会收到一条“拒绝访问”错误消息。
另外,用户验证过程是在登录Windows时进行的,这就保证了EFS加密系统对计算机用户来说是透明的。通俗地说,只要具有权限的账户登录到Windows,就可以像打开任何一个普通文件一样使用自己加密的文件,而不像通常的加密软件会弹出一个对话框,让你输入密码,这就大大方便了使用者。
用ESF加密文件
当你使用了Windows 2000/XP/2003系统(注意Windows XP家庭版不支持EFS加密文件系统),且格式化磁盘为NTFS文件系统,你就具有了应用EFS的条件。
要使用EFS加密,只须打开资源管理器,在需要加密的文件(夹)上点鼠标右键,选“属性”,在“属性” 对话框中点“高级”打开“高级属性”对话框,勾选“加密内容以便保护数据”((取消该选项前的钩即可解密文件)。
“确定”后点击“应用”,如果加密的是文件夹,则会弹出图2所示对话框,你可以根据需要选择是仅加密此文件夹还是将此文件夹下的子文件夹和文件也一起
最后点击“确定”后,在默认情况下,一般你会发现文件(夹)在资源管理器中显示的颜色变为彩色,表示已经被加密(或压缩)了。
提示:你也可以不使文件(夹)变色,在资源管理器中,点“工具→文件夹选项→查看”,将“用彩色显示加密或压缩的NTFS文件”取消即可。
EFS加密解密技巧
在实际应用中,我们还可以通过各种技巧来完成EFS加密的相关操作。
1.添加“加密”右键菜单
如果觉得上述加密方法还是太烦琐,可以在“运行”中输入“regedit”,打开注册表编辑器,找到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced,在右边窗口中点击鼠标右键,选择“新建→Dword值”,取键名为“EncryptionContextMenu”,并设置键值为“1”。
退出注册表编辑器,打开资源管理器,任意选中一个NTFS分区上的文件(夹),点鼠标右键,菜单中多出了一个“加(解)密”的选项。你可以直接点击此菜单,即可完成加密解密操作。
2.禁止加密某个文件夹
如果你想设置禁止加密某个文件夹,可以在这个文件夹中创建一个名为“Desktop.ini”的文件,然后用记事本编辑内容为:
Encryption
Disable=1
但是这个方法不能禁止已加密文件夹的文件以及子文件夹。
3.彻底禁止EFS加密
要在机器上彻底禁用EFS加密,可以通过修改注册表实现。点击“开始→运行”,输入“Regedit”回车,打开注册表编辑器,找到HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\EFS,在“编辑”菜单上点击“新建→Dword值”,输入“EfsConfiguration”作为键名,并设置键值为“1”,这样本机的EFS加密就被禁用了。如果想重新使用EFS加密时,只要把键值改为“0”即可。
备份加密证书
重新安装系统后要打开加密文件的解决办法
EFS加密原理
让我们来简单了解一下EFS是如何工作的。在EFS中,数据靠FEK(文件加密钥匙)加密,而FEK跟用户的公钥一起加密保存;解密的时候顺序刚好相反,首先用私钥解密出FEK,然后用FEK解密数据。简言之,系统是靠你的公钥/私钥(统称密钥)来加解密的。
那么密钥从何而来呢?密钥是通过用户的SID产生的。在Windows 2000/XP中,每一个用户都有一个SID(安全标示符),首次使用EFS时,系统会根据SID首先生成密钥。SID都是惟一的,如同人的指纹,因而用户的密钥也绝不会相同,这就保证了EFS加密的可靠。目前,据官方消息说EFS还未证实被破解过。
需要注意的是,如果重新安装了系统,就会产生一个新的SID,即使你安装系统的时候采用的是原来的用户名和密码,也无法直接打开原来被加密的文件(夹)了,很多朋友经常由于忽略了这一点而导致数据损失。
备份密钥
既然EFS采用加密密钥来进行加解密,那么只要加密密钥存在,我们就能恢复数据。因此,将密钥备份下来以作不时之需是最好的办法。
点击“开始→运行”,在“运行”对话框中输入“certmgr.msc”打开证书管理器,打开“证书→当前用户”下的“个人→证书”,只要你做过加密操作,右边窗口就会有与用户名同名的(如果有多份证书,选“预期目的”为“加密文件系统”)证书。
选中证书后点鼠标右键,选“所有任务→导出”,在弹出的“证书导出向导”中,选择“导出私钥”,并按照向导的要求输入密码来保护导出的私钥,最后存储为一个PFX后缀的文件。
当加密文件的账户出现问题或重新安装了系统后需要访问或解密以前加密的文件时,只要使用鼠标右键单击备份的证书,选择“安装PFX”,系统将弹出“证书导入向导”,键入当初导出证书时输入用于保护备份证书的密码,然后选择让向导“根据证书类型,自动选择证书存储区”即可。完成后就可以访问以前的加密文件了。
提示:需要注意的是,任何其他用户只要获得了你备份的证书,都可以对你的加密文件进行解密,因此一定要确保备份证书的安全性。
小知识
1.把未加密的文件复制到已经加密的文件夹中,这些文件会被自动加密。
2.若是将加密文件移动到NTFS分区上,数据会保留加密属性;如果移动到FAT(FAT32)区上,这些数据将会被自动解密。另外,NTFS分区上保存的文件不能同时被压缩和加密。
3.Windows的系统文件和系统文件夹不能被加密。
用恢复代理解密文件
删除用户后打开加密文件的解决办法
EFS加密是安全可靠的,那么,一旦用户账户被删除,就像开头提到的那位,重新创建一个相同的用户可以打开吗?答案当然是否定的,重新创建的用户虽然与以前用户同名,但是系统却不会分配相同的SID(记住,不可能存在相同SID!除非是克隆系统),因此密钥也不同,加密的文件自然就无法打开了。
当然,这种情况也不是完全没有解决的办法,因为用EFS加密过的文件,除了加密者本人之外还有“恢复代理”可以打开。恢复代理是一种特殊的用户,作用是解开用EFS加密的文件。
对于Windows 2000来说,在单机和工作组环境下,默认的恢复代理是 Administrator ;Windows XP在单机和工作组环境下没有默认的恢复代理。而在域环境中就完全不同了,所有加入域的Windows 2000/XP计算机,默认的恢复代理全部是域管理员。所以我说那位网友是幸运的,因为他用的是Windows 2000,可以用Administrator这个用户登录系统,然后就能直接打开或者解密文件。
大量使用Windows XP的朋友就没有那么幸运了,由于没有默认的恢复代理,事先又没有设置恢复代理,一旦用户被删除,你面临的将是数据的丢失。因此如果你使用的是Windows XP用户,请事先设置恢复代理。
设置Windows XP恢复代理
1.首先确定用哪个用户作为恢复代理,可以设置任何用户,比如你想让USER成为恢复代理,就用USER账户登录系统(一般建议使用Administrator作为恢复代理)。
2.在“运行”中输入“cipher /rc:[url=file://test/]\\test[/url]”(test可以是任何其它名字),回车后系统会提示询问是否用密码把证书保护起来,你可以自己设置一个密码,也可不需要密码保护就直接按回车。完成后我们在C盘的根目录下可以发现test.cer和test.pfx两个文件(在资源管理器中点“工具→文件夹选项→查看”,取消“隐藏已知文件类型的扩展名”才能看到文件后缀名)。
3.先使用鼠标右键单击PFX文件,选择“安装PFX”,将弹出“证书导入向导”,如果提示输入密码,就输入步骤2中设置的密码,选中“标示此私钥为可导出的”,下一步选择“根据证书类型,自动选择证书存储区”导入证书。
4.在“运行”中输入“gpedit.msc”并回车,打开组策略编辑器。在“计算机配置→Windows设置→安全设置→公钥策略→正在加密文件系统”下,点击鼠标右键,并选择“添加数据恢复代理”,按“添加故障恢复代理向导”打开test.cer,完成后即成功将USER用户设置为指定恢复代理
现在,登录USER用户,就可以解密所有在指定恢复代理后被加密的文件(夹)了。注意,在设置恢复代理前已经加密的文件是不能解密的,所以必须未雨绸缪,事先设置恢复代理。
EFS加密疑难解答
1.重装系统后默认的恢复代理是否能恢复以前的加密数据?
不能,假设Administrator用户是默认恢复代理,重装系统后,这个Administrator的SID已经发生了变化,所以不能作为以前用户的恢复代理了,只有将备份的证书导入才能打开文件。
2.被EFS加密过的数据是否绝对安全?
不是,安全永远是相对的。EFS加密过的文件,如果不是用户本人或恢复代理,虽然无法打开加密文件,但是仍然可以删除,所以对于重要文件,最佳的做法是NTFS权限和EFS加密配合使用。只有同时具有NTFS权限以及密钥,才能操作文件。
3.我用的是Windows 2000系统,在局域网中且加入了域,我用Administrator为何不能解密文件?
由于加入域中,默认的恢复代理是域管理员,而不是本地管理员了,所以必须以管理员身份登录域,才能解密。
4.用Ghost备份了系统,恢复系统后可以打开以前的加密文件吗?
这要看什么时候做的克隆,如果已经用EFS加密文件后才克隆系统,用户账户和相应的SID都没有变,而且存在相应密钥,重新恢复系统,应该可以打开加密文件。但是如果第一次用EFS加密文件之前就克隆了系统,这时系统中还就没有密钥,而这样的克隆中也不包括密钥,所以在加密之前所做克隆恢复后不能打开加密文件。
5.所有的在Windows 2000上加密的文件都不可访问,包括EFS代理,而我并未重装系统,这是怎么回事?
如果在系统未发生故障,而每个人,包括EFS代理都不能访问所有的加密文件时,请打开注册表编辑器,找到HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\FileSystem,检查NtfsEncryptionService的值是否为默认值“EFS”(很可能已经被修改或是此键已被删除),如果被修改,你可以改回默认值。
6.如何检查谁加密的文件以及谁是恢复代理?
可以在资源管理器中选中要查看的文件,在文件上用鼠标右键点击,并选择“属性”,在“常规”选项卡上点击“高级”按钮,点击“详细信息”,在这里你可以查看谁可以透明打开这个加密文件(如果只有一个,则为加密者)以及查看文件的恢复代理是谁
重要文件的铠甲:EFS加密
随着稳定性和可靠性的逐步提高,Windows 2000/XP已经被越来越多的人使用,很多人还用Windows 2000/XP自带的EFS加密功能把自己的一些重要数据加密保存。虽然EFS易用性不错,不过发生问题后就难解决了,例如不做任何准备就重装了操作系统,那很可能导致以前的加密数据无法解密。最近一段时间我们已经可以在越来越多的论坛和新闻组中看到网友的求救,都是类似这样的问题而导致重要数据无法打开,损失惨重。为了避免更多人受到损失,这里我把使用EFS加密的注事项写出来,希望对大家有所帮助。
注意,下文中的Windows XP皆指Professional版,Windows XP Home版并不支持EFS加密。
什么是EFS加密
EFS(Encrypting File System,加密文件系统)是Windows 2000/XP所特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接被操作系统加密保存,在很大程度上提高了数据的安全性。
EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK (File Encryption Key,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。随后系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据。如果你登录到了域环境中,密钥的生成依赖于域控制器,否则它就依赖于本地机器。
EFS加密有什么好处
首先,EFS加密机制和操作系统紧密结合,因此我们不必为了加密数据安装额外的软件,这节约了我们的使用成本。
其次,EFS加密系统对用户是透明的。这也就是说,如果你加密了一些数据,那么你对这些数据的访问将是完全允许的,并不会受到任何限制。而其他非授权用户试图访问加密过的数据时,就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。
如何使用EFS加密
要使用EFS加密,首先要保证你的操作系统符合要求。目前支持EFS加密的Windows操作系统主要有Windows 2000全部版本和Windows XP Professional。至于还未正式发行的Windows Server 2003和传闻中的开发代号为Longhorn的新一带操作系统,目前看来也支持这种加密机制。其次,EFS加密只对NTFS5分区上的数据有效(注意,这里我们提到了NTFS5分区,这是指由Windows 2000/XP格式化过的NTFS分区;而由Windows NT4格式化的NTFS分区是NTFS4格式的,虽然同样是NTFS文件系统,但它不支持EFS加密),你无法加密保存在FAT和FAT32分区上的数据。
对于想加密的文件或文件夹,只需要用鼠标右键点击,然后选择“属性”,在常规选项卡下点击“高级”按钮,之后在弹出的窗口中选中“加密内容以保护数据”,然后点击确定,等待片刻数据就加密好了。如果你加密的是一个文件夹,系统还会询问你,是把这个加密属性应用到文件夹上还是文件夹以及内部的所有子文件夹。按照你的实际情况来操作即可。解密数据也是很简单的,同样是按照上面的方法,把“加密内容以保护数据”前的钩消除,然后确定。
如果你不喜欢图形界面的操作,还可以在命令行模式下用“cipher”命令完成对数据的加密和解密操作,至于“cipher”命令更详细的使用方法则可以通过在命令符后输入“cipher/?”并回车获得。
注意事项:如果把未加密的文件复制到具有加密属性的文件夹中,这些文件将会被自动加密。若是将加密数据移出来,如果移动到NTFS分区上,数据依旧保持加密属性;如果移动到FAT分区上,这些数据将会被自动解密。被EFS加密过的数据不能在Windows中直接共享。如果通过网络传输经EFS加密过的数据,这些数据在网络上将会以明文的形式传输。NTFS分区上保存的数据还可以被压缩,不过一个文件不能同时被压缩和加密。最后一点,Windows的系统文件和系统文件夹无法被加密。
这里还有个窍门,用传统的方法加密文件,必须打开层层菜单并依次确认,非常麻烦,不过只要修改一下注册表,就可以给鼠标的右键菜单中增添“加密”和“解密”的选项。
在运行中输入“regedit”并回车,打开注册表编辑器,定位到:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion /Explorer/Advanced ,在“编辑”菜单上点击“新建-Dword值”,输入“EncryptionContextMenu”作为键名,并设置键值为“1”。现在退出注册表编辑器,打开资源管理器,任意选中一个NTFS分区上的文件或者文件夹,然后点击鼠标右键,就可以在右键菜单中找到相应的选项,直接点击就可以完成加密解密的操作。
如果你想设置禁止加密某个文件夹,可以在这个文件夹中创建一个名为“Desktop.ini”的文件,然后用记事本打开,并添加如下内容:
[Encryption]
Disable=1
之后保存并关闭这个文件。这样,以后要加密这个文件夹的时候就会收到错误信息,除非这个文件被删除。
而如果你想在本机上彻底禁用EFS加密,则可以通过修改注册表实现。在运行中输入“Regedit”并回车,打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\EFS,在“编辑”菜单上点击“新建-Dword值”,输入“EfsConfiguration”作为键名,并设置键值为“1”,这样本机的EFS加密就被禁用了。而以后如果又想使用时只需把键值改为“0”。
如何保证EFS加密的安全和可靠
前面我们已经了解到,在EFS加密体系中,数据是靠FEK加密的,而FEK又会跟用户的公钥一起加密保存;解密的时候顺序刚好相反,首先用私钥解密出FEK,然后用FEK解密数据。可见,用户的密钥在EFS加密中起了很大作用。
密钥又是怎么来的呢?在Windows 2000/XP中,每一个用户都有一个SID(Security Identifier,安全标示符)以区分各自的身份,每个人的SID都是不相同的,并且有唯一性。可以这样理解:把SID想象成人的指纹,虽然世界上已经有几十亿人(同名同姓的也有很多),可是理论上还没有哪两个人的指纹是完全相同的。因此,这具有唯一性的SID就保证了EFS加密的绝对安全和可靠。因为理论上没有SID相同的用户,因而用户的密钥也就绝不会相同。在第一次加密数据的时候,操作系统就会根据加密者的SID生成该用户的密钥,并把公钥和私钥分开保存起来,供用户加密和解密数据。
这一切,都保证了EFS机制的可靠
其次,EFS机制在设计的时候就考虑到了多种突发情况的产生,因此在EFS加密系统中,还有恢复代理(Recovery Agent)这一概念。
举例来说,公司财务部的一个职工加密了财务数据的报表,某天这位职工辞职了,安全起见你直接删除了这位职工的账户。直到有一天需要用到这位职工创建的财务报表时才发现这些报表是被加密的,而用户账户已经删除,这些文件无法打开了。不过恢复代理的存在就解决了这些问题。因为被EFS加密过的文件,除了加密者本人之外还有恢复代理可以打开。
对于Windows 2000来说,在单机和工作组环境下,默认的恢复代理是 Administrator ;Windows XP在单机和工作组环境下没有默认的恢复代理。而在域环境中就完全不同了,所有加入域的Windows 2000/XP计算机,默认的恢复代理全部是域管理员。
这一切,都保证了被加密数据的安全。
如何避免不慎使用EFS加密带来的损失
如果你也和我一样,由于对EFS加密不了解致使重要数据丢失,那么也别气馁,就当买了个教训。毕竟通过这事情你还是能学会很多东西的。那就是:备份密钥!设置有效的恢复代理!
对于上面讲到的情况1,备份密钥可以避免这种悲剧的发生。在运行中输入“certmgr.msc”然后回车,打开证书管理器。密钥的导出和导入工作都将在这里进行。
在你加密过文件或文件夹后,打开证书管理器,在“当前用户”-“个人”-“证书”路径下,应该可以看见一个以你的用户名为名称的证书(如果你还没有加密任何数据,这里是不会有证书的)。右键点击这个证书,在“所有任务”中点击“导出”。之后会弹出一个证书导出向导,在向导中有一步会询问你是否导出私钥,在这里要选择“导出私钥”,其它选项按照默认设置,连续点击继续,最后输入该用户的密码和想要保存的路径并确认,导出工作就完成了。导出的证书将是一个pfx为后缀的文件。
重装操作系统之后找到之前导出的pfx文件,鼠标右键点击,并选择“安装PFX”,之后会出现一个导入向导,按照导入向导的提示完成操作(注意,如果你之前在导出证书时选择了用密码保护证书,那么在这里导入这个证书时就需要提供正确的密码,否则将不能继续),而之前加密的数据也就全部可以正确打开。
对于情况2,我们对Windows XP和Windows 2000两种情况分别加以说明。
由于Windows XP没有默认的恢复代理,因此我们加密数据之前最好能先指定一个默认的恢复代理(建议设置Administrator为恢复代理,虽然这个账户没有显示在欢迎屏幕上,不过确实是存在的)。这样设置:
首先要获得可以导入作为恢复代理的用户密钥,如果你想让Administrator成为恢复代理,首先就要用Administrator账户登录系统。在欢迎屏幕上连续按Ctrl+Alt+Del两次,打开登录对话框,在用户名处输入Administrator,密码框中输入你安装系统时设置的Administrator密码,然后登录。首先在硬盘上一个方便的地方建立一个临时的文件,文件类型不限。这里我们以C盘根目录下的一个1.txt文本文件文件为例,建立好后在运行中输入“CMD”然后回车,打开命令提示行窗口,在命令提示符后输入“cipher /r:c:\\1.txt”,回车后系统还会询问你是否用密码把证书保护起来,你可以按照你的情况来决定,如果不需要密码保护就直接按回车。完成后我们能在C盘的根目录下找到1.txt.cer和1.txt.pfx两个文件(为了显示的清楚我在文件夹选项中设置了显示所有文件类型的扩展名,这样我们可以更清楚地了解到底生成了哪些文件)。
之后开始设置恢复代理。对于1.txt.pfx这个文件,同样需要用鼠标右键点击,然后按照向导的提示安装。而1.txt.cer则有些不同,在运行中输入“gpedit.msc”并回车,打开组策略编辑器。在“计算机配置-Windows设置-安全设置-公钥策略-正在加密文件系统”菜单下,在右侧窗口的空白处点击鼠标右键,并选择“添加数据恢复代理”,然后会出现“添加故障恢复代理向导”按照这个向导打开1.txt.cer,如果一切无误就可以看见图五的界面,这说明我们已经把本机的Administrator设置为故障恢复代理。
如果你愿意,也可以设置其它用户为恢复代理。需要注意的是,你导入证书所用的1.txt.pfx和1.txt.cer是用哪个账户登录后生成的,那么导入证书后设置的恢复代理就是这位用户。
在设置了有效的恢复代理后,用恢复代理登录系统就可以直接解密文件。但如果你在设置恢复代理之前就加密过数据,那么这些数据恢复代理仍然是无法打开的。
而对于Windows 2000就更加简单,Windows 2000有恢复代理,因此只要用恢复代理(默认的就是Administrator)的账号登录系统,就可以解密文件。
如何在本机上共享经EFS加密过的数据
加密过的文件只有加密者本人和恢复代理可以打开,如果你要和本机的其它用户共享加密文件又该怎么办?这在Windows 2000中是不行的,不过在Windows XP中可以做到。
选中一个希望共享的加密文件(注意,只能是文件,而不能是文件夹),在文件上用鼠标右键点击,并选择“属性”,之后在属性对话框的“常规”选项卡上点击“高级”按钮,然后再点击“详细信息”,之后你可以看见类似图六的窗口,在这里你可以决定谁可以打开这个加密文件以及察看文件的恢复代理是具体是谁。
对EFS加密的几个错误认识
很多人对EFS理解的不够彻底,因此在使用过程中总会有一些疑问。一般情况下,我们最常见的疑问有以下几种:
1, 为什么打开加密过的文件时没有需要我输入密码?
这正是EFS加密的一个特性,同时也是EFS加密和操作系统紧密结合的最佳证明。因为跟一般的加密软件不同,EFS加密不是靠双击文件,然后弹出一个对话框,然后输入正确的密码来确认的用户的;EFS加密的用户确认工作在登录到Windows时就已经进行了。一旦你用适当的账户登录,那你就能打开相应的任何加密文件,并不需要提供什么额外的密码。
2, 我的加密文件已经打不开了,我能够把NTFS分区转换成FAT32分区来挽救我的文件吗?
这当然是不可能的了。很多人尝试过各种方法,例如把NTFS分区转换成FAT32分区;用NTFS DOS之类的软件到DOS下去把文件复制到FAT32分区等,不过这些尝试都以失败告终。毕竟EFS是一种加密,而不是一般的什么权限之类的东西,这些方法对付EFS加密都是无济于事。而如果你的密钥丢失或者没有做好备份,那么一旦发生事故所有加密过的数据就都没救了。
3, 我加密数据后重装了操作系统,现在加密数据不能打开了。如果我使用跟前一个系统相同的用户名和密码总应该就可以了吧?
这当然也是不行的,我们在前面已经了解到,跟EFS加密系统密切相关的密钥是根据每个用户的SID得来的。尽管你在新的系统中使用了相同的用户名和密码,但是这个用户的SID已经变了。这个可以理解为两个同名同姓的人,虽然他们的名字相同,不过指纹绝不可能相同,那么这种想法对于只认指纹不认人名的EFS加密系统当然是无效的。
4, 被EFS加密过的数据是不是就绝对安全了呢?
当然不是,安全永远都是相对的。以被EFS加密过的文件为例,如果没有合适的密钥,虽然无法打开加密文件,不过仍然可以删除(有些小人确实会这样想:你竟然敢加密了不让我看!那好,我就删除了它,咱们都别看)。所以对于重要文件,最佳的做法是NTFS权限和EFS加密并用。这样,如果非法用户没有合适的权限,将不能访问受保护的文件和文件夹;而即使拥有权限(例如为了非法获得重要数据而重新安装操作系统,并以新的管理员身份给自己指派权限),没有密钥同样还是打不开加密数据。
5, 我只是用Ghost恢复了一下系统,用户账户和相应的SID都没有变,怎么以前的加密文件也打不开了?
这也是正常的,因为EFS加密所用到的密钥并不是在创建用户的时候生成,而是在你第一次用EFS加密文件的时候。如果你用Ghost创建系统的镜像前还没有加密过任何文件,那你的系统中就没有密钥,而这样的系统制作的镜像当然也就不包括密钥。一旦你加密了文件,并用Ghost恢复系统到创建镜像的状态,解密文件所用的密钥就丢失了。因此这个问题一定需要主意!
软件限制策略
在Windows XP里的软件限制策略提供了一种透明的方式来隔离和使用不可靠的,有潜在危险的代码,这在某种程度上保护你的计算机免受各种通过电子邮件或网页传播的病毒、***程序和蠕虫等。这些策略荣允许你选择如何管理你系统里的软件。软件可以被严格管理,你可以决定:如何、什么时间、什么地点执行;或者软件可以被设置为不予管理、禁止指定代码运行等。通过在一个隔离区执行不可靠的代码和脚本,你可以获得那些被证明是良性的不可靠代码和脚本的功能,而那些受感染的代码是不能对你的系统造成任何危害的。例如,不可靠的代码在未被证明是安全代码之前,是被阻止发送电子邮件,访问文件,或是做其它的正常计算功能的。
软件限制策略保护你免受感染的电子邮件附件的***,包括存储在临时文件夹的文件,对象,和脚本。同时,也可以保护你的系统免受嵌入式不可靠脚本的URL/UNC连接、网上下载的ActiveX的危害。
菜鸟入门:软件限制策略的简单应用
单位的网络管理员肯定都遇到过这种困扰,老板不希望员工在工作的时间聊QQ或者玩游戏,而总有员工会私下里安装被禁止的软件。怎样避免这种情况?虽然有监控软件可以用,不过这样显得有些侵犯隐私。同时还有一种很麻烦的情况,现在越来越多的病毒通过电子邮件传播,很多人都是无意中运行了电子邮件的附件而中毒的,有没有什么好的手段 可以避免员工运行来历不明的文件?现在好了,如果你的客户端是Windows XP Professional,那么就可以使用其中的软件限制策略。
简单来说,软件限制策略是一种技术,通过这种技术,管理员可以决定哪些程序(虽然这里用了“程序”这个字眼,不过不单指exe文件,我们可以通过该技术限制任何类型扩展名的文件被执行)是可信赖的,而哪些是不可信赖的,对于不可信赖的程序,则系统会拒绝执行。通常,管理员可以让系统使用以下几种方式鉴别软件是否可信赖:文件的路径、文件的哈希(Hash)值、文件的证书、文件被下载的网站在Internet选项中的区域、文件的发行商、特定扩展名的所有文件,以及其他强制属性。
软件限制策略不仅可以在单机的Windows XP操作系统中设置,可以设置仅影响当前用户或用户组,或者影响所有本地登录到这台计算机上的所有用户;也可以通过域对所有加入该域的客户端计算机进行设置,同样可以设置影响某个特定的用户或用户组,或者所有用户。我们这里会以单机的形式进行说明,并设置影响 所有用户。单机和工作组环境下的设置和这个是类似的。另一方面,有时我们可能因为错误的设置而导致某些系统组件无法运行(例如禁止运行所有msc后缀的文件而无法打开组策略编辑器),这种情况下我们只要重新启动系统到安全模式,然后使用Administrator账号登录并删除或修改这一策略即可。因为安全模式下使用Administrator账号登录是不受这些策略影响的。
在本例中,我们假设了这样的应用:员工的计算机仅可运行操作系统自带的所有程序(C盘),以及工作所必须的Word、Excel、PowerPoint和Outlook,其版本号皆为2003,并假设Office程序安装在D盘,员工电脑的操作系统为Windows XP Professional。
运行Gpedit.msc打开组策略编辑器,仔细看就可以发现,在“计算机配置”和“用户设置”下都各有一个软件限制策略的条目,到底使用哪个?如果你希望这个策略仅对某个特定用户或用户组生效,则使用“用户配置”下的策略;如果你希望对本地登录到计算机的所有用户生效,则使用“ 计算机配置”下的策略。这里我们需要对所有用户生效,因此选择使用“计算机配置”下的策略。
在开始配置之前我们还需要考虑一个问题,我们所允许的软件都有哪些特征,而禁用的软件又有哪些特征,我们要想出一种最佳的策略,能使所有需要的软件正确运行,而所有不必要的软件一个都无法运行。在本例中,我们允许的大部分程序都位于系统盘(C盘)的Program Files以及Windows文件夹下,因此我们在这里可以通过文件所在路径的方法决定哪些程序是被信任的。而对于安装在D盘的Office程序,也可任意通过路径或者文件哈希的方法来决定。
点击打开“计算机配置”下的软件限制策略条目,接着在“操作”菜单下点击“创建新的策略”(目前在安装SP1的XP上,这里默认是没有任何策略的,但是对于安装SP2的系统,这里已经有了建好的默认策略),系统将会创建两个新的条目:“安全级别”和“其它规则”。其中在安全级别条目下有两条规则,“不允许的”和“不受限的”,其中前者的意思是,默认情况下,所有软件都不允许运行,只有特别配置过的少数软件才可以运行; 而后者的意思是,默认情况下,所有软件都可以运行,只有特别配置过的少数软件才被禁止运行。因为我们本例中需要运行的软件都已经定下来了,因此我们需要使用“不允许的”作为默认规则。双击这条规则,然后点击“设为默认”按钮,并在同意警告信息后继续。
接着打开“其他规则”条目,可以看到,默认情况下这里已经有四个规则,都是根据注册表路径设置的,而且默认都设置为“不受限的”。强烈提醒你,千万不要修改这四个规则,否则你的系统运行将会遇到很×××烦,因为这四个路径都涉及到了重要系统程序及文件所在的 位置。同时,我们前面说过的,位于系统盘下Program Files文件夹以及Windows文件夹下的文件是允许运行的,而这四条默认的规则已经包含了这个路径,因此我们后面要做的只是为Office程序添加一个规则。在右侧面板的空白处点击鼠标右键,选择“新建哈希规则”,然后可以看到下图的界面。在这里点击“浏览”按钮,然后定位所有允许使用的Office程序的可执行文件(还记得分别是什么吗?winword.exe、excel.exe、powerpnt.exe、outlook.exe),并双击加入。接着在“安全级别”下拉菜单下选择“不受限的”,然后点击确定退出。重复以上步骤,把这四个软件的可执行文件都添加进来,并设置为不受限的。
到这里大家可以考虑一个问题,为什么我们选择为每个程序的可执行文件建立哈希规则?统一为Office应用程序建立一个路径规则不是更简单?其实这样才可以避免可执行文件被替换,或者用户把一些不需要安装的绿色软件复制到这个目录下运行。因为如果建立的是目录规则,那么所有保存在允许目录下的文件都将可以被执行,包括允许程序本身的文件,也包括用户复制进 来的任何其他文件。而哈希规则就不同了,一个特定文件的哈希值是固定的,只要文件内容不发生变化,那么它的哈希值就永远不会变。这样也就避免了造假的可能。不过同时也存在一个问题,虽然文件的哈希值可以不变化,但是文件本身可能会需要某些改变。例如你安装 了一个Word的补丁程序,那么winword.exe文件的哈希值可能就会变化。因此如果你选择创建这种规则,每当软件更新后你也需要看情况同步更新一下相应的规则。否则正常程序的运行也会被影响。
除此之外,这里还有几条策略可以被我们利用:强制,可以限定软件限制策略应用到哪些文件以及是否应用到Administrator账户;指派的文件类型,用于指定具有哪些扩展名的文件可以被系统认为是可执行文件,我们可以添加或删除某种类型扩展名的文件;收信任的出版商,则可以用来决定哪些用户可以选择收信任的出版商,以及信任之前还需要采取的其他操作。这三个策略可以根据自己的实 际情况作出选择。
当软件显示策略设置好之后,一旦被限制的用户试图运行被禁止的程序,那么系统将会立刻发出警告并拒绝执行。
IP安全策略
IP安全性(Internet Protocol Security)是Windows 2000/2003中提供的一种安全技术,它是一种基于点到点的安全模型,可以实现更高层次局域网数据的安全性。
保护网络数据-巧用windows2000IP安全策略
对于在本地计算机上存储的重要数据,我们可以利用很多途径来对它进行一系列的保。但是,当数据在网络上传输时,不会被加密。这时候怎么办?Windows 2000的IP安全特性解决了这个问题。
IP安全性(Internet Protocol Security)是Windows 2000中提供的一种安全技术,它是一种基于点到点的安全模型,可以实现更高层次局域网数据的安全性。
创建IP安全策略
在网络上传输数据的时候,通过创建IP安全策略,利用点到点的安全模型,能够安全有效地把源计算机的数据传输到目标计算机。下面是创建IP安全策略的方法:
1.选“开始→运行”,在“运行”对话框窗口的“打开”编辑框中输入“mmc”,单击“确定”按钮,启动“控制台”对话框窗口。
2.单击“控制台”菜单中的“添加/删除管理单元”选项,启动“添加/删除管理单元”对话框,单击“独立”选项卡中的“添加”按钮,启动“添加独立管理单元”对话框窗口。
3.在“可用的独立管理单元”列表中选定“IP安全策略管理”。
4.单击“添加”按钮,启动“选择计算机”对话框窗口,并利用各个单选按钮确定当前IP安全策略待管理的计算机,可以将管理范围设置为:本地计算机、管理此计算机所在域的域策略、管理另一域或另外一台计算机(如图1所示)。
5.逐一单击“完成”按钮与“关闭”按钮即可。
设置IP过滤器
IP安全属性的每一个组成部分都称为安全策略,而IP过滤器又是安全策略中的重要组成部分,因此设置IP过滤器对保护网络数据的传输有着极为重要的作用。
1.添加新IP过滤器
(1)选“开始→运行”在“运行”对话框窗口的“打开”编辑框中输入“mmc”,单击“确定”按钮,启动“控制台”对话框窗口。
(2)在“控制台”对话框窗口左侧“控制台根节点”下的“IP安全策略”上单击鼠标右键,然后单击相应快捷菜单中的“管理IP筛选器表和筛选器操作”菜单项,出现“管理IP筛选器表和筛选器操作”对话框(如图2所示)。
(3)单击“管理IP筛选器列表”选项卡中的“添加”按钮,启动“IP筛选器列表”对话框,在“名称”编辑框中键入新创建IP过滤器的名称(如“我的IP地址”)并单击“添加”按钮,然后单击“下一步”按钮。
(4)在出现的窗口的“源地址”中输入服务器的IP地址和子网掩码,单击“下一步”按钮。
(5)在出现的窗口的“目标地址”中输入客户端的IP地址和子网掩码,单击“下一步”按钮。
(6)在窗口的“IP协议类型”中一般选择“TCP/IP”协议。最后单击“完成”按钮即可。
2.编辑已有IP过滤器
(1)在图2所示的窗口中单击“编辑”按钮,启动“IP筛选器列表”对话框窗口。
(2)在“IP筛选器列表”对话框窗口中单击“编辑”菜单选项,启动“筛选器属性”对话框窗口,利用对话框中的“寻址”、“协议”、“描述”选项卡更改指定筛选器列表的属性设置。例如:利用“寻址”可以更改IP通信的源地址和目标地址设置。
3.编辑指定筛选器
(1)窗口中选择“管理筛选器操作”选项卡的“筛选器操作”列表中选定待编辑其属性设置的筛选器操作,如“所有IP通讯”。
(2)单击“编辑”菜单项,启动“*(筛选器操作名称)属性”(如“所有IP通讯”)对话框窗口。
(3)利用对话框中定义的单选按钮、安全措施首选顺序列表以及复选框组设置筛选器操作,用户可以根据自己的需要合理设置筛选器,单击“确定”按钮即可(如图3所示)。
这样,通过创建IP安全策略和合理设置IP过滤器,能有效地保证数据在网络传输过程中的安全性。
巧用IP安全策略保护您的重要数据
利用EFS可以对数据进行一定程度的保护,但是,EFS仅负责本地计算机存储数据的安全保护,当数据在网络上传输时,数据不会被加密。这时候怎么办?Windows 2000的IP安全特性解决了这个问题。
IP安全性(Internet Protocol Security)是Windows 2000中新提供的一种安全技术,它是一种基于点到点的安全模型,可以实现更高层次的局域网数据安全性。
创建IP安全策略
在网络上传输数据的时候,通过创建IP安全策略,利用点到点的安全模型,能够安全有效地把源计算机的数据传输到目标计算机。下面是创建IP安全策略的方法:
1、选“开始→运行”,在“运行”对话框窗口的“打开”编辑框中输入“mmc”,单击[确定]按钮,启动“控制台”对话框窗口。
2、单击“控制台”菜单中的“添加/删除管理单元”选项,启动“添加/删除管理单元”对话框,单击“独立”选项卡中的[添加]按钮,启动“添加独立管理单元”对话框窗口。
3、在“可用的独立管理单元”列表中选定“IP安全策略管理”。
4、单击[添加]按钮,启动“选择计算机”对话框窗口,并利用各个单选按钮确定当前IP安全策略待管理的计算机,可以将管理范围设置为:本地计算机、管理此计算机所在域的域策略、管理另一域或另外一台计算机(如图1所示)。
5、逐一单击[完成]按钮与[关闭]按钮即可。
设置IP过滤器
IP安全属性的每一个组成部分都称为安全策略,而IP过滤器又是安全策略中的重要组成部分,因此设置IP过滤器对保护网络数据的传输有着极为重要的作用。
1、添加新IP过滤器
(1)选“开始→运行”在“运行”对话框窗口的“打开”编辑框中输入“mmc”,单击[确定]按钮,启动“控制台”对话框窗口。
(2)在“控制台”对话框窗口左侧“控制台根节点”下的“IP安全策略”上单击鼠标右键,然后单击相应快捷菜单中的“管理IP筛选器表和筛选器操作”菜单项,出现“管理IP筛选器表和筛选器操作”对话框(如图2所示)。
(3)单击“管理IP筛选器列表”选项卡中的[添加]按钮,启动“IP筛选器列表”对话框,在“名称”编辑框中键入新创建IP过滤器的名称(如“我的IP地址”)并单击[添加]按钮,然后单击[下一步]按钮。
(4)在出现的窗口的“源地址”中输入服务器的IP地址和子网掩码,单击[下一步]按钮。
(5)在出现的窗口的“目标地址”中输入客户端的IP地址和子网掩码,单击[下一步]按钮,出现如图3所示的窗口。
(6)在图3所示窗口的“IP协议类型”中一般选择“TCP/IP”协议。最后单击[完成]按钮即可。
2、编辑已有IP过滤器
(1)在图2所示的窗口中单击[编辑]按钮,启动“IP筛选器列表”对话框窗口。
(2)在“IP筛选器列表”对话框窗口中单击“编辑”菜单选项,启动“筛选器属性”对话框窗口(如图4所示),利用对话框中的“寻址”、“协议”、“描述”选项卡更改指定筛选器列表的属性设置。例如:利用“寻址”可以更改IP通信的源地址和目标地址设置。
3、编辑指定筛选器
(1)在图3所示窗口中选择“管理筛选器操作”选项卡的“筛选器操作”列表中选定待编辑其属性设置的筛选器操作,如“所有IP通讯”。
(2)单击“编辑”菜单项,启动“*(筛选器操作名称)属性”(如“所有IP通讯”)对话框窗口。
(3)利用对话框中定义的单选按钮、安全措施首选顺序列表以及复选框组设置筛选器操作,用户可以根据自己的需要合理设置筛选器,单击[确定]按钮即可(如图5所示)。
这样,通过创建IP安全策略和合理设置IP过滤器,能有效地保证数据在网络传输过程中的安全性。
--
浅谈分析TCP/IP筛选 VS IPSec 策略
配置 TCP/IP 安全:
1. 单击开始,指向设置,单击控制面板,然后双击网络和拨号连接。
2. 右键单击要在其上配置入站访问控制的接口,然后单击属性。
3. 在选定的组件被这个连接所使用框中,单击 Internet 协议 (TCP/IP),然后单击属性。
4. 在 Internet 协议 (TCP/IP) 属性对话框中,单击高级。
5. 单击选项选项卡。
6. 单击 TCP/IP 筛选,然后单击属性。
7. 选中启用 TCP/IP 筛选(所有适配器)复选框。选中此复选框后,将对所有适配器启用筛选,但您要逐个为适配器配置筛选器。同一筛选器并不适用于所有适配器。
8. 该窗口中一共有三列,分别标记为:
TCP 端口
UDP 端口
IP 协议在每一列中,都必须选择下面的某个选项:
全部允许。如果要允许 TCP 或 UDP 通信的所有数据包,请保留全部允许处于选中状态。
仅允许。如果只允许选定的 TCP 或 UDP 通信,请单击仅允许,再单击添加,然后在添加筛选器对话框中键入相应的端口。
如果要阻止所有 UDP 或 TCP 流量,请单击仅允许,但不要在 UDP 端口或 TCP 端口列中添加任何端口号。如果您为 IP 协议选中了仅允许并排除了 IP 协议 6 和 17,并不能阻止 UDP 或 TCP 通信。
请注意,即使在 IP 协议列中选择了仅允许而且不添加 IP 协议 1,也无法阻止 ICMP 消息。
“TCP/IP 筛选”只能筛选入站流量。此功能不影响出站流量,也不影响为接受来自出站请求的响应而创建的响应端口。如果需要更好地控制出站访问,请使用 IPSec 策略或数据包筛选。
以下是关于IPSec 策略的官方说明
Internet 协议安全 (IPSec) 循序渐进指南
在进行IPSec完整性配置时,有两个选项 :Message Digest 5 (MD5)和安全散列算法1(Secure Hash Algorithm 1 ,简称SHA1)。后者的安全度更高,但需要更多的 CPU资源,MD5使用128位散列算法,而SHA1使用的160位算法。
IPSec 认证协议
当两个系统互相交换加密数据之前,需要相互对加密的数据包进行安全认定。这个安全认定成为安全协定(security association,简称SA)。在相互通信之前,两个系统必须认定对同一SA。
因特网密钥交换协议(Internet Key Exchange,简称IKE)管理着用于IPSec连接的 SA协议过程。IKE是因特网工程任务组(Internet Engineering Task Force,简称IETF)制定的关于安全协议和密钥交换的标准方法。IKE的操作分两阶段:第一阶段确保通信信道的安全,第二阶段约定SA的操作。
为了建立IPSec通信,两台主机在SA协定之前必须互相认证,有三种认证方法:
Kerberos - Kerberos v5常用于Windows Server 2003,是其缺省认证方式。 Kerberos能在域内进行安全协议认证,使用时,它既对用户的身份也对网络服务进行验证。Kerberos的优点是可以在用户和服务器之间相互认证,也具有互操作性。Kerberos可以在 Server 2003的域和使用Kerberos 认证的UNix环境系统之间提供认证服务。
公钥证书 (PKI) - PKI用来对非受信域的成员,非Windows客户,或者没有运行Kerberos v5 认证协议的计算机进行认证,认证证书由一个作为证书机关(CA)系统签署。
预先共享密钥 -在预先共享密钥认证中,计算机系统必须认同在IPSec策略中使用的一个共享密钥 ,使用预先共享密钥仅当证书和Kerberos无法配置的场合。
IPSec加密协议
IPSec提供三种主要加密方法,如下
数据加密标准 (DES 40位) - 该加密方法性能最好,但安全性较低。该 40位数据加密标准(Data Encryption Standard,简称DES)通常被称为 安全套接字层(Secure Sockets Layer,简称SSL)。适用于数据安全性要求较低的场合。
数据加密标准 (DES 56位) - 通过IPSec策略,可以使用56位 DES的加密方法。1977年美国国家标准局公布了DES算法,它可以在通信过程中经常生成密钥。该功能可防止因为一个DES密钥被破译而整个数据集的安全受到影响。但是在商业中被认为过时了,仅用于传统的应用支持,有专门的硬件可以破译标准的 56位密钥。
3DES - IPSec策略可以选择一个强大的加密算法3DES,其安全性比DES更高。3DES也使用了56位密钥,但使用了三个。结果3DES成为 168位加密算法,用于诸如美国政府这样的高机密的环境中。采用该策略的所有计算机将都遵守这样的机制。
IPSec传输模式
IPSec可以在两种不同的模式下运作:传输模式和隧道模式。这些模式指的是数据在网络中是如何发送和加密的。在传输模式下,IPSec的保护贯穿全程:从源头到目的地,被称为提供终端到终端的传输安全性 。
隧道模式仅仅在隧道点或者网关之间加密数据。隧道模式提供了网关到网关的传输安全性。当数据在客户和服务器之间传输时,仅当数据到达网关时才得到加密,其余路径不受保护。一旦到达网关,就采用IPSec进行加密,等到达目的网关之后,数据包被解密和验证,之后数据发送到不受保护的目的主机。隧道模式通常适用于数据必须离开安全的LAN或者WAN的范围,且在诸如互联网这样的公共网络中传输的场合。
我看了几个朋友的服务器配置,每一个人都使用的是TCP/IP筛选对网站的访问端口进行设定,这到没什么关系,但对IPSec 策略最多也只设定封一下ICMP,别的都没设定,出于安全考虑,这样做不是很好,因为...
我来做个比较
TCP/IP筛选只可只设定客户端通过几个固定的TCP或UDP端口进行对服务器的访问,或限定IP访问,每增加一次就要重启服务器一次,只能适合比较小型访问,原来我为了让Serv_u能进行正常访问,加了N个端口,累的要死(因为FTP软件连接到FTP服务器的话,会随机使用一些端口,因为设定问题,就看不到目录了)...现在想起来也好笑.
IPSec 策略可设定即时生效,不用重启服务器,可对端口或IP进行封锁或访问,可拒绝一些不安全端口的
转载于:https://blog.51cto.com/yllmz/975597
9073
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
