基础设施与数据管理责任编辑:季莹投稿信箱:netadmin@365master
I n f r a s t r uc t ur e M gm t.&D a t a Mgm t.
Windows Server 2016数据加密■ 河南 郭建伟
编者按:对于Windows Server 2016来说,如何保护数据的安全性,是管理员必须面对的问题。实际上,在Windows Server 2016中已经内置了完善的加密功能,包括EFS和BitLocker加密机制。要想灵活的使用这些加密功能,需要对其进行深入的了解。这样才可以在在实际使用过程中,有效的解决与之相关的各种问题。
EFS加密的运作机制
对于EFS加密来说,允许系统中的所有用户加密自己的文件。和一般的加密软件不同,EFS加密使用的是AES 256位加密算法,不需要用户输入密钥,对于用户来说,加密过程是完全透明的。
一旦加密完成,只有该用户才可以打开加密文件,即使是管理员,也无权访问这些文件。
实际上,EFS是使用证书中的私钥对文件进行加密的,在默认情况下,其会生成或者申请用于加密的证书。如果没有证书架构体系的话,其会帮助用户生成自签名证书。
当然,EFS加密必须依赖NTFS文件系统,当用户将加
密文件移动到别的NTFS分
区时,系统会自动对其解密,
然后执行移动和加密处理,
该过程对于用户是透明的,
文件移动完成后依然处于加
密状态。在默认情况下,只
有该用户或者恢复代理可以
打开加密文件。
例如以域用户身份登录
某台主机,选择目标文件或
文件夹,在其属性窗口中的
“常规”面板中点击“高级”
按钮,选择“加密内容以便保
护数据”项,点击确定按钮,
完成加密操作。
运行“mmc”程序,在控制
台中点击菜单“文件”→“添
加/删除管理单元”项,在左
侧选择“证书”项,点击添加
按钮,选择“我的用户账户”
项,将其添加进来。在左侧
选择“证书”→“个人”→“证
书”项,在右侧显示颁发给用
户的自签名证书。
EFS就是使用该证书的
私钥对文件进行加密的。对
于EFSL来说,其实际上使用
了FEK(即File Encryption
Key),来对用户的文件进行
直接加密。
而FEK自身也会被用户
证书中的公钥进行加密,用
户需要使用证书中的私钥对
FEK进行解密,并通过FEK对
文件进行解密。
可以看出,真正加密和
解密文件的是FEK。对于用
户的私钥来说,是使用用户
密码的哈希值对其进行加密
的。
基础设施与数据管理
责任编辑:季莹投稿信箱:netadmin@365master I n f r a s t r uc t ur e M gm t.&D a t a M gm t.
对EFS加密进行管控
在实际的网络环境中,
需要部署证书颁发机构服务
器,为用户颁发证书,来更好
的完成EFS加密操作。选择
上述自签名证书,点击工具
栏上的删除按钮,将其删除。
为了便于操作,可以登
录到Windows Server 2016
域控服务器,在服务器管理
器中点击“添加角和功能”项,在向导界面中选择“Active Directory证书服务”项,完成该角安装。在配置界面中选择“证书颁发机构”项,其余选项保持默认。这样,当在客户机上选择目标文件夹,在去属性窗口中选择“加密内容以便保护数据”项,点击确定按钮,可以发现其操作速度变得迟缓,其实在后台系统会向证书颁发机构服务器申请证书,
当申请完成后,才会使用FEK完成加密操作,然后使用证书对FEK进行加密。打开上述证书管理窗口,可以发现证书颁发机构为其发布的证书。对于这种基于证书架构体系的加密模式来说,域管理员可以需要
来决定哪些用户可以EFS加
密,哪些用户则不允许执行
加密操作。在域控上打开
组策略编辑器,在左侧选择
“林”→“域”→“域名”项,
在其中选择某个OU,在其
右键菜单上点击“在这个域
中创建GPO并在此处链接”
项,输入GPO的名称(例如
“EFSgpo”)。
在该GPO的右键菜单
上点击“编辑”项,在编辑
窗口左侧选择“计算机配
置”→“Windos设置”→“安
全设置”→“公钥策略”→“加
密文件系统”项,在其右键
菜单上点击“属性”项,在打
开窗口选择“不允许”项,点
击应用按钮保存配置。当以
该OU中的域用户身份登录
windows server2016
客户机后,执行“gpupdate /
force”命令,来刷新组策略。
这样,其会无法使用EFS对
文件进行加密。对应地,在
上述组策略设置窗口中选择
“允许”项,允许执行EFS加
密,并可以选择是否加密用
户的文档文件夹内容,创建
或更改用户密钥时显示密钥
备份通知等项目。在“证书”
面板(如图1)中的“自动证
书申请的EFS模版”栏中显
示“基本EFS”,说明其使用
的是基本的EFS证书模版。
如果取消“允许EFS的
证书颁发机构不可用时生成
自签名证书”项,那么就会禁
止客户端使用自签名证书。
打开证书颁发机构控制台,
在左侧选择“证书模版”项,
在右侧的右键菜单上点击
“管理”项,双击“基本EFS”
项,在其属性窗口中打开“安
全”面板,可以看到只要是
“Authenticated Users”(身
份验证的用户)或者“Doamin
Users”(域用户)组的成员,
都是可以注册该证书的。利
用这一特性,可以控制哪些
用户可以使用该证书模版。
例如选择“Domain
Users”组,点击删除按钮,将
其从列表中清除。点击
“添图1 EFS加密属性窗口
基础设施与数据管理
责任编辑:季莹 投稿信箱:netadmin@365master
I n f r a s t r uc t ur e M gm t . & D a t a Mgm t .加”按钮,导入所需的组(例如“Domain Admins”等),之后选中这些组,在权限列表
中的的“允许”列中选择“注册”项,这样只有指定的组中的用户才可以申请证书,来
执行EFS 加密操作。对于其他的用户来说,是无法进行文件加密操作的。
使用EFS 保护共享存储
在一般情况下,EFS 加密文件都是存储在本地的。在网络环境中,常常需要将加密文件存储到共享文件夹或者文件服务器中,作为备份之用。为此管理员需要对文件服务器启用委派功能,并为用户创建对应的配置文件,在文件服务器中来生成所需的证书。当然,无论加密文件,创建配置文件的证书,对于用户来说完全是透明的。
例如,当用户在本地复制了加密文件夹后,在地址栏中的访问“\\”地址,来访问目标文件服务器。当在其中粘贴时,系统会出现“确实要在不加密的情况下复制此文件夹?”的提示,点击“是”按钮,执行粘贴操作,系统先在本地对加密文件进行解密,之后将其上传到文件服务器中。
在共享路径中选择该文件夹,在其属性窗口中的“常
规”面板中点击“高级”按钮,选择“加密内容以便保护数据”项,试图对其进行加密时,系统会出现“文件应用属性时出错”的提示,导致加密失败。
为了解决该问题,需要在域控上打开Active Directory 用户和计算机窗口,在左侧选择“Computers”容器,在右侧选择目标文件服务器,在其属性窗口中的“委派”面板(如图2)中选择“信任此计算机来委派任何服务( 仅限Kerberos)”项,
点击应用按钮保存配置。
使用域管理员登录文件服务器,在CMD 窗口中执行“sysdm.cpl”命令,在系统属性窗口中的“高级”面板中的“用户配置文件”栏中点击“设置”按钮,在打开窗口中可以看到客户端用户的配置文件。虽然该客户端用户没有登录过本服务器,但是当其将文件上传之后试图执行加密操作时,系统就会自动创建该配置文件。
选择该配置文件项目,点击删除按钮将其清除。之后在客户端上重新登录,再次访问共享文件夹。对上传的文件进行加密,可以看到加密成功了。
当客户端复制了个加密文件,将其转帖到共享文件夹后,系统会先对其进行解密,之后将其上传到共享路径,然后对其进行加密。注意,在解密和加密的过程中,
使用的是不同的证书。
图2 启用委派功能
基础设施与数据管理责任编辑:季莹 投稿信箱:netadmin@365master
I n f r a s t r uc t ur e M gm t . & D a t a M gm t .
使用恢复代理,回加密数据
如果用户误操作(例如格式化C 盘等),就会导致无法访问其他磁盘上的加密文件。因为这会造成用户证书异常的问题,没有办法使用证书来解开FEK 密钥,自然无法解密EFS 加密文件。使用数据恢复代理功能,可以应对这一情况。
对于数据恢复代理来说,存在两种不同的选项,其一是与EFS 相关的,即允许设置另外一个用户(一般为管理员),可以作为数据恢复代理的用户,对于用户加密的文件来说,数据恢复代理的用户也是可以访问的。
另外一种是和证书相关的,当用户丢失了证书的私钥,自然无法访问加密文件。因为证书是由证书颁发机构颁发的,如果在证书颁发机构服务器存储了用户的私钥,就可以很轻松的帮助用户回复私钥。用户得到私钥
后,将其导入当前的系统中,就可以顺利访问EFS 加密文件了。
这里以前者为例进行说明,当证书信息丢失后,在域控上打开组策略管理器,在左侧选择“l”→“域”→“域名”→“Default Doamin Policy”项,在其编辑窗口中左侧选择“计算机配置”→“Windows 设置”→“安全设置”→“公钥策略”→“加密文件系统”项,在右侧可以看到其已经配置好了文件恢复的代理项目。
默认是管理员颁发给自己的自签名证书,这不适用于实际的生产环境,所以将其删除掉。
在左侧的“加密文件系统”项的右键菜单上点击“创建数据恢复代理程序”项,其就会自动寻证书颁发机构服务器,来申请新的证书,作为文件恢复代理之用。
之后选择该证书,在其右键菜单上点击“所有任务”→“导出”项,在向导界面中选择“是,导出私钥”项,输入管理员密码,将其导出为独立的文件,例如“gly.pfx”。在客户端上执行“gpedit /force”命令。来刷新组策略。
注意,这必须在系统处于正常状态,即用户没有加密文件之前进行。
当用户选择目标文件或文件夹,在其属性窗口中的“常规”面板中点击“高级”按钮,选择“加密内容以便保护数据”项,点击“详细信息”按钮,在“此文件由恢复策略定义的恢复证书”栏中可以看到恢复证书信息。
当用户证书丢失后,可以将上述“gly.pfx”文件复制过来,双击该文件,输入密码后将其导入进来。这样,就可以访问加密文件了。
BitLocker 加密的特点
EFS 加密技术虽然简单易用,但是却存在一些不足,例如其无法对整个驱
动器进行加密等。相比之下。BitLocker 可以实现更加高级的加密操作。使用
BitLocker 不仅可以加密普通的磁盘,对于诸如Azure 等云平台中的虚拟机来说,
基础设施与数据管理责任编辑:季莹投稿信箱:netadmin@365master
I n f r a s t r uc t ur e M gm t.&D a t a Mgm t.
同样可以对VHD/VHDX等虚
拟磁盘进行加密,从而有效
保护其安全。
对于Windows 10等客户
机来说,可以打开控制面板,
在系统和安全窗口中点击
“BitLocker驱动器加密”项,
在对应的磁盘右侧点击“启
动BitLocker”项,来激活BitLocker加密功能。
对于Windows Server 2016服务器来说,需要在服务器管理器中点击“添加角
和功能”项,在向导界面中
选择“BitLocker驱动器加
密”项,来安装该角。在目
标驱动器的右键菜单上点击
“启用BitLocker”项,在打
开窗口(如图3)中可以使用
密码的方式,对其进行加密
操作。根据需要,可以将恢
复密钥备份到优盘,文件或
者将其打印出来。例如将其
备份到指定的文件,之后选
择新加密模式或者兼容模式
(适用于加密移动存储),执行
加密的过程。
和EFS加密不同,
BitLocker仅仅是针对磁盘
进行的,对于用户则没有限
制。
图3 使用BitLocker加密磁盘
BitLocker加密机制部署方式
在实际的生产环境中,如果每次访问BitLocker加密盘,都需要输入密码的话,操作起来是比较繁琐的。
其实,BitLocker支持多种解密方法,例如可以将Startup Key(可以理解为密钥)保存到优盘中,利用该优盘直接解密。
对于公有云中的虚拟机
来说,可以启用虚拟TPM功
能,来执行解密操作。
如果主机配置了TPM芯
片,可以采用TPM+ Startup
Key的方式,进行解密操作。
如果主机配置了TPM芯
片和Smart Card设备,可以
采用PM+PIN的方式,来实现
解密操作。
当然,如果采用
TPM+PIN+Startup Key的方
式进行解密,无疑是安全性
的。可以看出,Bitlocker提
供了多种灵活的部署方式。
使用BitLocker保护虚拟机安全
例如对于Windows Server 2016的Hyper-V虚拟机中,增加了虚拟的TPM 芯片的功能,可以有效保护虚
拟机的安全。如果没有启用该功能,在默认情况下,虽然可以对虚拟机中的数据盘进行BitLocker加密,但是
对系统盘进行加密时,系统
会提示出错信息。
运行“gpedit.msc”程
序,在组策略窗口左侧选
择“计算机配置”→“管
理模版”→“Windows组
件”→“Bitlocker”→“操
作系统驱动器”项,在右侧双
击“启动时需要附加身份验
证”项,在打开窗口(如图4)
中选择“已启用”项,那么允
许在没有兼容的TPM时允许
BitLocker加密系统盘。之
发表评论