Windows-Server2008下加强系统安全性系列之方案【三】
2010-03-09 00:32
316 查看
设置加密型恢复代理[/b][/b]
Xiaotang公司为了保证公司财务数据的保密性与机密性,公司财务部要求每个员工对自己所涉及的所有数据都要进行加密。为了防止由于某一个员工的突发离职,而导致这些加密型的文件无法打开,只有加密本人和administrator才能读取这些加密的文件,其它的人都不允许读取,而公司希望财务部的主管可以打开这些别的员工加密的文件,可以通过设置加密恢复代理等技术来实现。
1. 搭建一个域环境
(1)建立一个Windows 2008的域环境,域名命名为xiaotang.com.cn,在活动目录当中建立一个财务部的组织单位,名称为Caiwubu,在这个OU当中分别建立一个财务部主管A、财务部员工B、财务部员工C的账号,并把这些员工的账号都加入到Domain Aamins组。
(2)在域控制器的计算机当中安装“Active Directory证书服务”。
(3)以财务部员工B登录到域控制器当中,建立一个Caiwubu的文件夹,在这个文件夹当中建立一个Caiwubu.txt的文本文件,将刚才建立的文件夹和文件进行加密。
(4)以财务部主管A、财务部员工C登录到域控制器当中,访问财务部员工B建立的文件夹,系统会自动提示“拒绝访问”。
2. 申请证书
(1)以财务部主管A的账号登录到域控制器当中。
(2)运行“MMC”命令,在微软管理控制台当中添加“证书”单元。
(3)展开“证书”,右击“个人”,选择“所有任务”――“申请新证书”。
(4)单击“下一步”按钮,选择“EFS“故障恢复代理”,单击“注册”。
(5)单击“完成”按钮,完成证书的注册任务。
3. 申请证书
(1)右击刚刚注册的证书,选择“所有任务”――“导出”。
(2)单击“下一步”按钮,选择“不,不要导出私钥”,单击“下一步”按钮。
(3)单击“下一步”按钮,指定导出后保存的文件名,如“Key1.cer”,单击“下一步”按钮。
(4)单击“完成”按钮,系统会提示“导出成功“。
4.组策略
(1)单击“开始”――“程序”――“管理工具”――“组策略管理”。
(2)在展开域,单击“xiaotang.com.cn”域。
(3)右击“Default Domain Controller Policy”,选择“编辑”。在弹出的窗口中依次展开“计算机配置”――“策略”――“Windows设置”――“安全设置”――“公钥策略”,单击“加密文件系统”。
(4)右击“加密文件系统”,选择“添加数据恢复代理程序”,单击“下一步“按钮。
(5)单击“下一步”按钮,单击“浏览文件夹”按钮,选择前面导出的密钥,单击“打开”。
(6)单击“下一步”按钮,单击“完成”按钮,把刚才导出的密钥再导入到组策略当中来。
(7)运行“gpupdate /force”命令,应用更新后的策略。
4. 数据加密
(1) 以财务部员工B的账号登录到域控制器上,在前面建立的加密型文件中再建立一个新的文本文件,caiwubu2.txt。可以看到,该文件会被自动的加密。
(2)以财务部主管A的账号登录到域控制器上,打开财务部员工B加密的文件夹是可以打开的,而且还可以取消加密时的状态,这就说明财务部主管A是加密恢复代理。
(3)再以财务部员工C的账号登录到域控制器上,尝试一下打开财务部员工B加密的文件夹,仍然会提示“拒绝服务”。
本文出自 “唐德伟” 博客,请务必保留此出处http://tangdewei.blog.51cto.com/1094241/281944
Xiaotang公司为了保证公司财务数据的保密性与机密性,公司财务部要求每个员工对自己所涉及的所有数据都要进行加密。为了防止由于某一个员工的突发离职,而导致这些加密型的文件无法打开,只有加密本人和administrator才能读取这些加密的文件,其它的人都不允许读取,而公司希望财务部的主管可以打开这些别的员工加密的文件,可以通过设置加密恢复代理等技术来实现。
1. 搭建一个域环境
(1)建立一个Windows 2008的域环境,域名命名为xiaotang.com.cn,在活动目录当中建立一个财务部的组织单位,名称为Caiwubu,在这个OU当中分别建立一个财务部主管A、财务部员工B、财务部员工C的账号,并把这些员工的账号都加入到Domain Aamins组。
(2)在域控制器的计算机当中安装“Active Directory证书服务”。
(3)以财务部员工B登录到域控制器当中,建立一个Caiwubu的文件夹,在这个文件夹当中建立一个Caiwubu.txt的文本文件,将刚才建立的文件夹和文件进行加密。
(4)以财务部主管A、财务部员工C登录到域控制器当中,访问财务部员工B建立的文件夹,系统会自动提示“拒绝访问”。
2. 申请证书
(1)以财务部主管A的账号登录到域控制器当中。
(2)运行“MMC”命令,在微软管理控制台当中添加“证书”单元。
(3)展开“证书”,右击“个人”,选择“所有任务”――“申请新证书”。
(4)单击“下一步”按钮,选择“EFS“故障恢复代理”,单击“注册”。
(5)单击“完成”按钮,完成证书的注册任务。
3. 申请证书
(1)右击刚刚注册的证书,选择“所有任务”――“导出”。
(2)单击“下一步”按钮,选择“不,不要导出私钥”,单击“下一步”按钮。
(3)单击“下一步”按钮,指定导出后保存的文件名,如“Key1.cer”,单击“下一步”按钮。
(4)单击“完成”按钮,系统会提示“导出成功“。
4.组策略
(1)单击“开始”――“程序”――“管理工具”――“组策略管理”。
(2)在展开域,单击“xiaotang.com.cn”域。
(3)右击“Default Domain Controller Policy”,选择“编辑”。在弹出的窗口中依次展开“计算机配置”――“策略”――“Windows设置”――“安全设置”――“公钥策略”,单击“加密文件系统”。
(4)右击“加密文件系统”,选择“添加数据恢复代理程序”,单击“下一步“按钮。
(5)单击“下一步”按钮,单击“浏览文件夹”按钮,选择前面导出的密钥,单击“打开”。
(6)单击“下一步”按钮,单击“完成”按钮,把刚才导出的密钥再导入到组策略当中来。
(7)运行“gpupdate /force”命令,应用更新后的策略。
4. 数据加密
(1) 以财务部员工B的账号登录到域控制器上,在前面建立的加密型文件中再建立一个新的文本文件,caiwubu2.txt。可以看到,该文件会被自动的加密。
(2)以财务部主管A的账号登录到域控制器上,打开财务部员工B加密的文件夹是可以打开的,而且还可以取消加密时的状态,这就说明财务部主管A是加密恢复代理。
(3)再以财务部员工C的账号登录到域控制器上,尝试一下打开财务部员工B加密的文件夹,仍然会提示“拒绝服务”。
本文出自 “唐德伟” 博客,请务必保留此出处http://tangdewei.blog.51cto.com/1094241/281944
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Windows-Server2008下加强系统安全性系列之方案【四】
- Windows-Server2008下加强系统安全性系列之方案【二】
- Windows-Server2008下加强系统安全性系列之方案【一】
- Windows-Server下加强系统安全性系列之方案【六】
- Windows-Server下加强系统安全性系列之方案【八】
- Windows-Server下加强系统安全性系列之方案【九】
- Windows-Server下加强系统安全性系列之方案【七】
- windows 2008 R2系统检测检测高危漏洞整改方案建议
- Thinkpad E500在UEFI+GTP分区方案U盘安装Windows Server 2008 R2
- 系统不支持:sqlsrv windows 2008 r2 下面搭建 iis+sql server +php5.5 环境遇见的一些问题
- windows 2008server 修改系统的默认远程连接数
- Windows 7(server 2008) 下直接硬盘安装 Ubuntu 10.04成为双系统的方法
- 装机-服务器重装server2008系统卡在了“你想将windows安装在何处”或“找不到驱动器”
- windows 2008server 修改系统的默认远程连接数
- Windows server 2008 的系统安装
- HP ProLiant DL380 G5 服务器系列 - 手动安装Microsoft Windows Server 2008步骤演示
- 在windows 2008 server x64系统上,是否可以操作office x86?
- 部署Windows Storage Server 2008,LiveMigration系列之一