當(dāng)前位置:
  1. 首頁(yè)
  2. 加密技術(shù)

遠(yuǎn)程文件服務(wù)器文件加密攻略(一)

admin 加密技術(shù)

這兩天在論壇上又看到有網(wǎng)友提問(wèn),"能不能利用一些比較簡(jiǎn)單地方法實(shí)現(xiàn)對(duì)文件服務(wù)器上的私人文件/文件夾的保護(hù)呢?因?yàn)椴幌胱寗e的用戶瀏覽到自己的共享文件夾中的某些個(gè)文件!".

應(yīng)對(duì)這種需求時(shí),文件服務(wù)器管理員在平常一般都會(huì)采用在文件服務(wù)器上共享出來(lái)的大目錄下新建子目錄然后修改NTFS權(quán)限來(lái)實(shí)現(xiàn).但是對(duì)于普通域用戶,他們想更為靈活和簡(jiǎn)單地掌控自己文件檔案的安全性和隱私性的話,權(quán)限的疊加或者設(shè)置對(duì)他們而言就有些難以掌握了.

其實(shí),對(duì)于大量采用Windows XP作為客戶端,Windows server 2003以上作為文件服務(wù)器操作系統(tǒng)并且有域環(huán)境的企業(yè)來(lái)說(shuō),讓用戶可以使用EFS對(duì)自己存儲(chǔ)在遠(yuǎn)程服務(wù)器上的私有資料進(jìn)行加密就成為了一種可供選擇的方案.畢竟EFS對(duì)于用戶操作的透明性和簡(jiǎn)易性比較于其他方案是有很大優(yōu)勢(shì)的.

下面我們就一起來(lái)看一下如何配置使得用戶可以使用EFS對(duì)遠(yuǎn)程文件服務(wù)器上的文件加密.

本地計(jì)算機(jī)上使用EFS加密操作真的好簡(jiǎn)單.在要加密的檔案上右鍵,選擇"常規(guī)"-->;"屬性"-->;"高級(jí)"-->;"加密內(nèi)容以便保護(hù)數(shù)據(jù)"就完事了,同樣的做法直接搬到遠(yuǎn)程文件服務(wù)器上呢?

加密失敗

這里我使用一個(gè)名稱為"cfo"的普通域用戶賬號(hào)登陸客戶端(IP:172.16.0.201),先對(duì)他在文件服務(wù)器(IP:172.16.0.101,FQDN:contoso-sccm.contoso.com)上要訪問(wèn)的共享文件夾(共享名test, cfo對(duì)其擁有完全控制權(quán)限)做一個(gè)磁盤映射,然后對(duì)其中的檔案試圖進(jìn)行EFS加密,可以看到

遠(yuǎn)程文件服務(wù)器文件加密攻略
圖1

會(huì)直接提示"應(yīng)用屬性時(shí)出錯(cuò)",試圖加密失敗.

委派任務(wù)

其實(shí)動(dòng)手之前稍微想一下,失敗是必然的事情,遠(yuǎn)程服務(wù)器沒(méi)有得到用戶的信任和授權(quán),同時(shí)也并不擁有用戶的證書和密鑰(如果您對(duì)證書及密鑰的概念不是很理解請(qǐng)?jiān)敿?xì)閱讀我之前的博文),怎么可能就這樣輕而易舉地代替用戶實(shí)現(xiàn)加密.

所以我們需要先對(duì)遠(yuǎn)程服務(wù)器進(jìn)行委派的動(dòng)作.來(lái)到域控上,

打開(kāi)"Active Directory用戶和計(jì)算機(jī)",找到文件服務(wù)器的機(jī)器名,右鍵選擇"屬性",然后點(diǎn)擊"委派"選項(xiàng)卡,選擇"僅信任此計(jì)算機(jī)來(lái)委派指定的服務(wù)",跟著單擊"添加",然后單擊"用戶和計(jì)算機(jī)",瀏覽到文件服務(wù)器后點(diǎn)擊"確定",這時(shí)會(huì)出現(xiàn)一個(gè)"可用服務(wù)"列表,選擇添加其中的"cifs"和"protectedstorage"服務(wù).完成操作后需要將文件服務(wù)器進(jìn)行一次重啟.

遠(yuǎn)程文件服務(wù)器文件加密攻略?(

圖2

證書和密鑰

完成了委派的操作,就相當(dāng)于對(duì)服務(wù)器進(jìn)行了授權(quán),允許它代表用戶執(zhí)行某種(或全部的)服務(wù).下邊需要做的就是讓文件服務(wù)器擁有域用戶的證書和密鑰.關(guān)于這一步,有兩種做法,

一,直接在文件服務(wù)器上使用域用戶賬號(hào)登錄一次,并且隨便加密一個(gè)文件,這樣就可以生成域用戶的證書和密鑰了.

二,是在域用戶擁有用戶漫游配置文件(Roaming Users Profile)的情況下,直接將RUP下載到文件服務(wù)器上對(duì)應(yīng)的位置即可.(此步圖略,并且由于本人的實(shí)驗(yàn)環(huán)境問(wèn)題,選擇了第一種方式獲得的用戶證書及密鑰).

做完了以上的操作,我們?cè)僭诳蛻舳嗽囍肊FS來(lái)加密遠(yuǎn)程服務(wù)器上的共享文檔看看.

咦,竟然還是圖1的報(bào)錯(cuò). 這時(shí)我們不妨到文件服務(wù)器上看看有沒(méi)有相關(guān)的信息.

來(lái)到文件服務(wù)器上執(zhí)行eventvwr.msc打開(kāi)事件查看器,可以看到有這么一條報(bào)錯(cuò)信息:

遠(yuǎn)程文件服務(wù)器文件加密攻略

圖3

這是因?yàn)镋FS不支持NTLM身份驗(yàn)證協(xié)議,而只能使用Kerberos協(xié)議.

小知識(shí)之NTLM概念:

NTLM是NT LAN Manager的縮寫,這也說(shuō)明了協(xié)議的來(lái)源。NTLM 是 Windows NT 早期版本的標(biāo)準(zhǔn)安全協(xié)議,Windows 2000 支持 NTLM 是為了保持向后兼容。Windows 2000內(nèi)置三種基本安全協(xié)議之一。