身份驗(yàn)證協(xié)議

那怎么看到客戶端上登錄的賬號(hào)是采用了什么身份驗(yàn)證協(xié)議訪問的網(wǎng)絡(luò)共享呢?

這個(gè)在事件查看器上也是有記錄的:

圖4

日志記錄

同樣,在轉(zhuǎn)為使用Kerberos協(xié)議進(jìn)行身份驗(yàn)證后,事件日志中也會(huì)有相應(yīng)的記錄:

圖5

可以看到cfo是使用的NTLM協(xié)議來進(jìn)行身份驗(yàn)證的.

為了讓他轉(zhuǎn)為使用Kerberos協(xié)議,我們需要重新以\\FQDN方式來定位到共享文件夾再進(jìn)行磁盤映射.請記住: 為了Kerberos的正常工作，所有通信都必須都使用完全限定的域名 (FQDN)。

所以請保證你域內(nèi)的DNS服務(wù)器運(yùn)行正常.

文件加密

我們再來試試對遠(yuǎn)程服務(wù)器上的文件加密:

圖6

可以看到,終于能夠在遠(yuǎn)程 服務(wù)器上使用EFS方式對文件加密了.

總結(jié)一下使用EFS的委派模式對遠(yuǎn)程服務(wù)器上文件加密的大體步驟:

1.在域控上對遠(yuǎn)程服務(wù)器進(jìn)行信任委派并重啟(安全起見只委派兩個(gè)服務(wù)即可,不再復(fù)述,詳見正文內(nèi)容)
2.在遠(yuǎn)程服務(wù)器上生成用戶的profile及private key(兩種方法,不再復(fù)述, 詳見正文內(nèi)容)
3.使用\\FQDN名稱訪問到共享文件夾并做磁盤映射到本地(必須)

最后仍有幾點(diǎn)需要說明:

1. 對于將要使用遠(yuǎn)程服務(wù)器的EFS加密的域用戶,務(wù)必在其賬號(hào)屬性中清除"敏感帳戶,不能被委派"復(fù)選框.

2.遠(yuǎn)程加密不支持跨林的委派服務(wù)器模式，要使用此方案，被委派的服務(wù)器須和用戶帳號(hào)在同一個(gè)域內(nèi).

3. EFS只能加密存儲(chǔ)在磁碟上的數(shù)據(jù).在網(wǎng)絡(luò)中傳輸數(shù)據(jù)時(shí)數(shù)據(jù)仍是沒有被加密的.所以為了保證在網(wǎng)絡(luò)傳輸時(shí)的數(shù)據(jù)安全,你可能需要使用IPsec或者EFS over WebDAV模式.

4. 在有多名用戶對某個(gè)文件夾都擁有足夠權(quán)限的時(shí)候,其中一個(gè)用戶使用EFS來加密了某些個(gè)文件都會(huì)導(dǎo)致別的用戶都無法再訪問這些文件.鑒于此, 請規(guī)劃好遠(yuǎn)程EFS加密的使用并且對用戶說明正確的使用場景.為了以防萬一,也請將EFS域恢復(fù)代理提早設(shè)置妥當(dāng).

5.雖然域內(nèi)可以使用自簽名( self-signed)的用戶證書,但對于涉及到證書的最佳實(shí)踐還是建立CA服務(wù)器以獲得和活動(dòng)目錄結(jié)合的PKI環(huán)境.

admin

收藏 海報(bào)分享