《網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù)》課件項(xiàng)目二 任務(wù)三 使用文件加密系統(tǒng)加強(qiáng)Windows文件系統(tǒng)安全

項(xiàng)目二Windows桌面系統(tǒng)安全運(yùn)行與維護(hù)項(xiàng)目主要內(nèi)容：任務(wù)一提高Windows主機(jī)安全訪問權(quán)限任務(wù)二使用Windows防火墻規(guī)則加強(qiáng)Windows主機(jī)安全任務(wù)三使用文件加密系統(tǒng)加強(qiáng)Windows文件系統(tǒng)安全任務(wù)四使用本地安全策略加強(qiáng)Windows主機(jī)整體安全任務(wù)五使用安全審計(jì)加強(qiáng)Windows主機(jī)安全維護(hù)任務(wù)提出

在任務(wù)二中，通過使用WindowsServer2008系統(tǒng)自帶的防火墻功能提高了辦公網(wǎng)絡(luò)中桌面系統(tǒng)的安全防御能力。在網(wǎng)絡(luò)安全中，除了外部威脅，還會(huì)有內(nèi)部安全泄密，引發(fā)重要文件泄密等事件。在WindowsServer2008系統(tǒng)中，通過NTFS權(quán)限和共享權(quán)限管理技術(shù)保障了文件資源共享安全，但仍有部分黑客利用相關(guān)的軟件突破企業(yè)設(shè)置的文件共享安全權(quán)限，獲取其權(quán)限范圍之外的文件，造成企業(yè)數(shù)據(jù)泄密。企業(yè)必須及時(shí)解決辦公網(wǎng)絡(luò)中的安全問題。

保護(hù)數(shù)據(jù)最好的方法是將數(shù)據(jù)加密，加密文件系統(tǒng)（EncryptingFileSystem,EFS）是Windows提供的一種快捷數(shù)據(jù)加密方法。只要數(shù)據(jù)存儲(chǔ)在NTFS分區(qū)，就可以使用EFS技術(shù)給文件夾或者文件加密。本任務(wù)中，主要實(shí)施以下模塊：設(shè)置共享文件夾的數(shù)據(jù)加密

通過使用EFS數(shù)據(jù)加密技術(shù)對用戶創(chuàng)建的文件夾進(jìn)行加密，測試其他用戶對加密后的共享文件夾的訪問權(quán)限。任務(wù)分析設(shè)置共享文件夾的數(shù)據(jù)加密EFS技術(shù)提供了對日常文件進(jìn)行加密的功能，保護(hù)文件系統(tǒng)的安全。文件經(jīng)過EFS加密后，只有對其加密的用戶或被授權(quán)的用戶才能夠讀取，即使非法用戶獲得了該文件，也會(huì)因其被加密而無法訪問，因此可以提高網(wǎng)絡(luò)中共享文件的安全。

經(jīng)過EFS技術(shù)加密的文件夾，用戶或應(yīng)用程序想要讀取加密文件時(shí)，系統(tǒng)會(huì)將文件從磁盤內(nèi)讀出，自動(dòng)解密后提供給用戶或應(yīng)用程序使用，而存儲(chǔ)在磁盤內(nèi)的文件仍然處于加密狀態(tài)。當(dāng)用戶或應(yīng)用程序要將文件寫入磁盤時(shí)，文件會(huì)被自動(dòng)加密后再寫入磁盤，這些操作對用戶來說都是透明的，用戶完全感覺不到整個(gè)過程的實(shí)施。

在本任務(wù)中，結(jié)合任務(wù)一中的文件夾共享技術(shù)，應(yīng)用EFS數(shù)據(jù)加密技術(shù)保護(hù)共享文件的安全。在一個(gè)用戶下創(chuàng)建文件夾，并進(jìn)行加密，再使用其他用戶進(jìn)行訪問測試，驗(yàn)證加密效果。任務(wù)實(shí)施設(shè)置共享文件夾的數(shù)據(jù)加密操作步驟如下：步驟1：實(shí)驗(yàn)準(zhǔn)備階段，根據(jù)項(xiàng)目一中任務(wù)一知識點(diǎn)，在VMwareWorkstation中部署兩臺WindowsServer2008R2虛擬機(jī)Server和PC，并將兩臺虛擬機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)連通。Server和PC的IP地址規(guī)劃如表所示。設(shè)備名稱設(shè)備角色操作系統(tǒng)IP地址Server數(shù)據(jù)存儲(chǔ)服務(wù)器WindowsServer2008192.168.159.3/24PC測試計(jì)算機(jī)WindowsServer2008192.168.159.4/24步驟2：在Server上，創(chuàng)建用戶（user1、user2、user3)和組（group1、group2、group3)，并將用戶分別加入相應(yīng)組中。步驟3：在Server上，根據(jù)不同的用戶創(chuàng)建相應(yīng)的文件夾（1）在C盤上創(chuàng)建文件夾C:\File。（2）用戶user1登錄，創(chuàng)建文件夾C:\File\group1，并在group1文件夾中創(chuàng)建一個(gè)文本文件group1.txt。（3）用戶user2登錄，創(chuàng)建文件夾C:\File\group2，并在group2文件夾中創(chuàng)建圖像文件group2.bmp。（4）用戶user3登錄，創(chuàng)建文件夾C:\File\group3，并在group3文件夾中創(chuàng)建壓縮文件group3.zip。步驟4：對Server上的文件夾加密（1）用戶user1登錄，打開File文件夾中的group1文件夾，右擊group1文件夾，在彈出的快捷菜單中選擇“屬性”-“高級”命令，打開“高級屬性”對話框，選中“加密內(nèi)容以便保護(hù)數(shù)據(jù)”復(fù)選框，如圖1所示。圖1（2）操作完成后，點(diǎn)擊“應(yīng)用”，在“確認(rèn)屬性更改”對話框中，選擇“將更改應(yīng)用于此文件夾、子文件夾和文件”。group1文件夾變成綠色，表示文件使用EFS技術(shù)進(jìn)行了加密，如圖2所示。圖2（3）按照第1、2步操作所示，分別使用用戶user2、user3登錄，針對group2、group3文件夾進(jìn)行EFS加密設(shè)置。步驟5：在PC上驗(yàn)證測試第1步：不同的用戶訪問不同的文件夾。（1）在Server和PC上開啟遠(yuǎn)程桌面連接功能，具體操作同項(xiàng)目二任務(wù)二，在PC上打開遠(yuǎn)程桌面連接，在遠(yuǎn)程桌面連接窗口中，選擇用戶user1，進(jìn)行登錄。（2）訪問文件夾C:\File，查看子文件夾，如圖3所示。通過user1帳戶可以看見3個(gè)子文件夾，表示user1在查看這3個(gè)子文件夾時(shí)沒有受NTFS權(quán)限限制。圖3第2步：查看加密文件的訪問狀態(tài)。打開group2文件夾，可以看到其中的group2.bmp文件，雙擊此文件，彈出拒絕訪問對話框，如圖4所示。圖4第3步：驗(yàn)證結(jié)果分析（1）user1用戶可以看到并且訪問共享文件夾File，原因是設(shè)置File文件夾的共享權(quán)限時(shí)沒有限制其讀取權(quán)限。（2）user1用戶可以打開3個(gè)子文件夾，可以查看3個(gè)子文件夾中的文件，表示這3個(gè)子文件夾沒有限制user1、user2、user3用戶瀏覽。（3）user1用戶在雙擊group2.bmp文件，試圖查看其內(nèi)容時(shí)，彈出拒絕訪問對話框，這并不是因?yàn)镹TFS起了作用。在設(shè)置group2文件夾時(shí)沒有拒絕user1的讀取，但文件卻無法打開，拒絕訪問，這是EFS加密技術(shù)發(fā)揮了作用。

在EFS中，用戶建立和加密的文件只有自己才可以訪問，即只有u