■ 使用NTFS文件系统中的EFS加密磁盘上的数据 ■ 使用NTFS文件系统压缩数据 ■ 使用NTFS文件系统实现磁盘配额 ■ 配置卷影副本
实验(一) 加密文件和文件夹
Windows Server 2003数据加密使用一种叫做“文件加密系统(EFS)”的功能。可以对保存在硬盘上的文件进行加密。
EFS加密系统作为NTFS文件系统的一个内置功能,其加密和解密过程对应用程序和用户而言是完全透明的。 (EFS只能够保护数据不被他人识别真正内容,但不能够保护数据不被破坏。对方能够乱改加密后的内容,甚至删除该份数据) 注意:
(1) 具有“系统”属性的文件不能够加密,也不能对%systemroot%文件夹加密
(2) 加密和压缩不能够同时使用
(3) 不能够对整个磁盘驱动器加密(不能够对根目录加密)
(4)使用加密功能时,较方便的做法是对文件夹加密,里面文件自动加密
(一)文件夹加密
(1) 在要加密的文件夹上右击——属性——常规——“高级”按钮 (2) 选中“加密内容以便保护数据”复选框——按两次确定按钮 (3) 确认属性更改的选项——确定——完成
加密的项目默认使用绿色文字,对于自己没有什么差异,但是对于其他的用户来说,即使有读取文件的权限,也无法查看文件在加密前的属性。
如果将加密的文件复制或移动到非NTFS格式的卷上,该文件将会被解密
(二)文件加密
(1) 在要加密的文件上右击——属性——常规——“高级”按钮 (2) 选中“加密内容以便保护数据”复选框——按两次确定按钮 (3) 选择“只加密文件”选项——确定——完成
(三)允许他人将文件解密
(1) 在加密的文件上右击——属性——常规——“高级”按钮 (2) 选择“详细信息”按钮——单击“添加”按钮 (3) 选择允许解密的其他用户——确定——完成
数据加密功能(EFS:Encrypting File System):非对称加密
〈1〉runas命令
系统管理员平常以一般权限较低的用户帐户登录,只有在做系统管理工作时才使用amdinistrator或相同权限的账户。
runas /user:accountname@domainname “filename” 或 runas /user:domainname\\accountname “filename”
〈2〉允许其他人解密
无法加入其他用户:因为要加入的用户先前未做过加密动作。此时必须先请该用户登录域,并加密任意文件,便会出现产生该用户的证书。有了证书后,他的帐户名才会出现在选取用户对话框中。
〈3〉加密数据修复代理
默认系统管理员(administrator)为修复代理人
指定修复代理人:
当以administrator登录DC后,执行命令cipher /r:c:\\mykey\\administrator 则在c:\\mykey文件夹产生administrator.cer 和 adminstrator.pfx 文件
.cer文件包含公开密钥 .pfx文件包含私有密钥
1、利用runas 命令 不必让administrator注销,可以用xx用户身份登录执行cipher.exe ,产生xx用户的证书文件。(xx用户加入管理员组)
2、将xx用户的.cer文件导入组策略,指定XX为修复代理人(默认100年) Windows设置/安全性设置/公开密钥策略/加密系统文件
3、以修复代理人身份解密
在解密中,需要XX用户的私钥.pfx文件
因此必须将.pfx文件导入,才能使XX用户真正具有解密能力。(个人证书)
现在XX用户登录域后,便能够解读所有人加密的文件了。
〈4〉删除修复代理人
打开组策略,
Windows设置/安全性设置/公开密钥策略/加密系统文件 选择删除的数据代理人(可复选),删除即可。
为了保障数据安全,避免修复代理人肆无忌惮地解读他人的数据。平时无需导入修复代理人的.pfx文件,只有在需要依赖修复代理人解密时才导入。最好将.pfx文件存在磁盘,单独妥善保存。
Administrator默认能够解开所有的加密文件,是一个漏洞。因此,指定第二位修复代理人之后,请删除administrator的数据代理人资格。
实验(二)NTFS文件系统的数据压缩
数据压缩功能是NTFS文件系统的内置功能,压缩过程和解压过程对于用户而言是完全透明的。利用这一功能,可以节省一定的硬盘使用空间。但是数据的压缩和解压过程是要消耗CPU运算资源的,是以牺牲CPU运算性能为代价而换取空间的(这也是任何一种压缩软件的共性)
如果不是硬盘空间十分吃紧,建议不要使用该功能。另外,NTFS压缩功能对于一些已经是压缩过的文件(如:ZIP、JPG、MP3文件等)来说不会进一步缩小该类文件所占用的硬盘空间。
(一)文件夹压缩
(1)在要压缩的文件夹/文件上右击——属性——常规——“高级”按钮 选中“压缩内容以便节省磁盘空间”复选框——确定
(2)单击应用按钮——确认属性更改——仅将更改应用于该文件夹——确认——完成 (3)解压和压缩的步骤一样
实验(三)NTFS系统的磁盘配额
磁盘配额只能针对驱动器(分区)来设置。利用这个功能可以限制用户对NTFS分区上磁盘空间的使用。
(一)设置磁盘配额
(1) 选择要设定磁盘配额的驱动器——右击“属性”——配额 (2) 选中“启用配额管理”复选项框
(3) 选中“拒绝将磁盘空间经超过配额限制的用户”复选项框 (4) 设置“磁盘空间”大小
以上操作针对新创建用户是有效的,对于已经存在的用户,按下面设置
(5)对于原来存在的用户——“配额项”选项——单击“配额”按钮,在下拉菜单中选择“新建配额项”命令——输入用户——设置——完成
实验(四)配置共享文件夹的卷影副本
在Windows Server 2003中,增加了一项新的功能——卷影副本。共享文件夹的卷影副本提供共享资源(如文件服务器)中文件的即时点副本。通过共享文件夹的卷影副本,可以查看在过去的时间点中存在的共享文件和文件夹。这对访问文件以前的版本或卷影副本非常有用,因为这样可以进行如下操作。
恢复意外删除的文件——如果意外删除了某个文件,可以打开以前的版本,然后复制到安全的位置 恢复意外覆盖的文件——如果意外覆盖了某个文件,可以恢复该文件以前的版本 工作时比较文件版本——如果要查看文件两个版本之间的区别,则可以打开以前的版本
要使用共享文件夹的卷影副本有两项关键:
系统管理员需在文件服务器上启用共享文件夹的卷影副本功能
客户端计算机需安装“以前版本的客户端”软件,才能够由我的电脑、资源管理器救回先前备份的“以前版本”
要使用共享文件夹的卷影副本有两项限制: 只能够用于NTFS磁盘
启用时只能够以磁盘为单位,此时“vssadmin.exe”会替换磁盘上的所有共享文件夹建立副本。换言之,我们不能够只对磁盘中某个共享文件夹启用卷影副本功能
实验4-1:文件服务器启用共享文件夹的卷影副本
1、 打开“计算机管理”窗口
2、 在左侧子窗口中,右击“共享文件”/“所有任务”/“配置卷影副本” 3、 在要启用卷影副本的共享文件夹所在磁盘,单击“启用”/“是” 4、 计算机开始启用卷影副本,经过一段时间,卷影副本启用完毕
实验4-2:客户端使用卷影副本功能
客户端在使用卷影副本功能之前,需要安装卷影副本的客户端软件“twcli32.msi”。\\\\%systemroot%\\system32\\clients\wclient\\x86”目录中。
此客户端适用于Windows Server 2003/XP/2000/98等操作系统。
实验4-3:查看、救回文件以前的版本 (服务器端操作)
5、 启用“E”盘卷影副本选项
6、 在“E”盘中新建一个文件夹“temp”,里面一个文件“1.txt”,内容是“panda” 7、 在“E”盘,立即创建一个卷影副本
在“(客户端操作)
8、 在网络上访问共享文件夹中的文件“1.txt”,(不小心覆盖了文件)将内容修改为“熊猫”,并保存 9、 右击文件“属性”/“以前版本”,单击“还原”则救回原文件;单击“查看”则显示原文件内容;
单击“复制”则将原文件另存。
10、 在网络上访问共享文件夹中的文件“1.txt”,(不小心删除了文件)将文件“1.txt”删除
11、 在包含“1.txt” 文件的文件夹(temp)右击“属性”/“以前的版本”,按“查看”按钮,打开文件
夹,在“1.txt”右击“复制”,回到“temp”文件夹,单击“粘贴”命令,即可将文件复制回来 (注:虽然可选择“还原”来救回文件,但此举会将整个文件夹的所有文件都变成“以前版本”,可能使原本没问题的文件变成旧的内容,因此最好不要使用这种方式)
因篇幅问题不能全部显示,请点此查看更多更全内容