3 再以财务部员工 C 账号登录到域控制器上,尝试一下打开财务部员工 B 加密的文件夹,仍然会提示 “ 拒绝服务 ”
Xiaotang 公司为了保证公司财务数据的失密性与机密性,公司财务部要求每个员工对自己所涉及的所有数据都要进行加密。为了防止由于某一个员工的突发离职,而导致这些加密型的文件无法打开,只有加密自己和 administrator 才干读取这些加密的文件,其它人都不允许读取,而公司希望财务部的主管可以打开这些别的员工加密的文件 , 可以通过设置加密恢复代理等技术来实现。
1. 搭建一个域环境
1 建立一个 Window 2008 域环境,域名命名为 xiaotang.com.cn 活动目录当中建立一个财务部的组织单位,名称为 Caiwubu, 这个 OU 当中分别建立一个财务部主管 A 财务部员工 B 财务部员工 C 账号,并把这些员工的账号都加入到 Domain Aamins 组。
2 域控制器的计算机当中装置 “ A ctiv Directory 证书服务 ”
3 以财务部员工 B 登录到域控制器当中,建立一个 Caiwubu 文件夹,这个文件夹当中建立一个 Caiwubu.txt 文本文件,将刚才建立的文件夹和文件进行加密。
4 以财务部主管 A 财务部员工 C 登录到域控制器当中,访问财务部员工 B 建立的文件夹,系统会自动提示 “ 拒绝访问 ”
Windows-Server2008下加强系统安全性办法
2. 申请证书
1 以财务部主管 A 账号登录到域控制器当中。
2 运行 “ MMC 命令,微软管理控制台当中添加 “ 证书 ” 单元。
3 展开 “ 证书 ” 右击 “ 个人 ” 选择 “ 所有任务 ” 申请新证书 ”
Windows-Server2008下加强系统安全性办法
4 单击 “ 下一步 ” 按钮,选择 “ EFS 故障恢复代理 ” 单击 “ 注册 ”
Windows-Server2008下加强系统安全性办法
5 单击 “ 完成 ” 按钮,完成证书的注册任务。
Windows-Server2008下加强系统安全性办法
3. 申请证书
1 右击刚刚注册的证书,选择 “ 所有任务 ” 导出 ” Windows-Server2008下加强系统安全性办法
2 单击 “ 下一步 ” 按钮,选择 “ 不,不要导出私钥 ” 单击 “ 下一步 ” 按钮。
Windows-Server2008下加强系统安全性办法
3 单击 “ 下一步 ” 按钮,指定导出后保存的文件名,如 “ Key1.cer 单击 “ 下一步 ” 按钮。
Windows-Server2008下加强系统安全性办法
4 单击 “ 完成 ” 按钮,系统会提示 “ 导出胜利 “
Windows-Server2008下加强系统安全性办法
4. 组策略
1 单击 “ 开始 ” 顺序 ” 管理工具 ” 组策略管理 ”
2 展开域,单击 “ xiaotang.com.cn 域。
3 右击 “ Default Domain Control Policy 选择 “ 编辑 ” 弹出的窗口中依次展开 “ 计算机配置 ” 战略 ” Windows 设置 ” 平安设置 ” 公钥策略 ” 单击 “ 加密文件系统 ”
Windows-Server2008下加强系统安全性办法
4 右击 “ 加密文件系统 ” 选择 “ 添加数据恢复代理顺序 ” 单击 “ 下一步 “ 按钮。
Windows-Server2008下加强系统安全性办法
5 单击 “ 下一步 ” 按钮,单击 “ 浏览文件夹 ” 按钮,选择前面导出的密钥,单击 “ 打开 ”
Windows-Server2008下加强系统安全性办法
6 单击 “ 下一步 ” 按钮,单击 “ 完成 ” 按钮,把刚才导出的密钥再导入到组策略当中来。
Windows-Server2008下加强系统安全性办法
7 运行 “ gpupd /force 命令,应用更新后的战略。
Windows-Server2008下加强系统安全性办法
4. 数据加密
1 以财务部员工 B 账号登录到域控制器上,前面建立的加密型文件中再建立一个新的文本文件, caiwubu2.txt 可以看到该文件会被自动的加密。 Windows-Server2008下加强系统安全性办法
2 以财务部主管 A 账号登录到域控制器上,打开财务部员工 B 加密的文件夹是可以打开的而且还可以取消加密时的状态,这就说明财务部主管 A 加密恢复代理。
Windows-Server2008下加强系统安全性办法来自:http://www.czlw.cn