2024年4月7日发(作者:)
Infrastructure Mgmt. & Data Mgmt.
基础设施与数据管理
责任编辑:季莹 投稿信箱:
netadmin@
Windows Server 2016数据加密
■ 河南 郭建伟
编者按:对于Windows Server 2016来说,如何保护数据的安全性,是管理员必须面对的问题。
实际上,在Windows Server 2016中已经内置了完善的加密功能,包括EFS和BitLocker加密
机制。要想灵活的使用这些加密功能,需要对其进行深入的了解。这样才可以在在实际使用
过程中,有效的解决与之相关的各种问题。
EFS加密的运作机制
对于EFS加密来说,允许
系统中的所有用户加密自己
的文件。和一般的加密软件
不同,EFS加密使用的是AES
256位加密算法,不需要用户
输入密钥,对于用户来说,加
密过程是完全透明的。
一旦加密完成,只有该用
户才可以打开加密文件,即
使是管理员,也无权访问这
些文件。
实际上,EFS是使用证
书中的私钥对文件进行加密
的,在默认情况下,其会生成
或者申请用于加密的证书。
如果没有证书架构体系的
话,其会帮助用户生成自签
名证书。
当然,EFS加密必须依赖
NTFS文件系统,当用户将加
密文件移动到别的NTFS分
区时,系统会自动对其解密,
然后执行移动和加密处理,
该过程对于用户是透明的,
文件移动完成后依然处于加
密状态。在默认情况下,只
有该用户或者恢复代理可以
打开加密文件。
例如以域用户身份登录
某台主机,选择目标文件或
文件夹,在其属性窗口中的
“常规”面板中点击“高级”
按钮,选择“加密内容以便保
护数据”项,点击确定按钮,
完成加密操作。
运行“mmc”程序,在控制
台中点击菜单“文件”→“添
加/删除管理单元”项,在左
侧选择“证书”项,点击添加
按钮,选择“我的用户账户”
项,将其添加进来。在左侧
选择“证书”→“个人”→“证
书”项,在右侧显示颁发给用
户的自签名证书。
EFS就是使用该证书的
私钥对文件进行加密的。对
于EFSL来说,其实际上使用
了FEK(即File Encryption
Key),来对用户的文件进行
直接加密。
而FEK自身也会被用户
证书中的公钥进行加密,用
户需要使用证书中的私钥对
FEK进行解密,并通过FEK对
文件进行解密。
可以看出,真正加密和
解密文件的是FEK。对于用
户的私钥来说,是使用用户
密码的哈希值对其进行加密
的。
86
2019.06
责任编辑:季莹 投稿信箱:
netadmin@
基础设施与数据管理
Infrastructure Mgmt. & Data Mgmt.
对EFS加密进行管控
在实际的网络环境中,
需要部署证书颁发机构服务
器,为用户颁发证书,来更好
的完成EFS加密操作。选择
上述自签名证书,点击工具
栏上的删除按钮,将其删除。
为了便于操作,可以登
录到Windows Server 2016
域控服务器,在服务器管理
器中点击“添加角色和功
能”项,在向导界面中选择
“Active Directory证书服
务”项,完成该角色安装。在
配置界面中选择“证书颁发
机构”项,其余选项保持默
认。这样,当在客户机上选
择目标文件夹,在去属性窗
口中选择“加密内容以便保
护数据”项,点击确定按钮,
可以发现其操作速度变得迟
缓,其实在后台系统会向证
书颁发机构服务器申请证
书,
当申请完成后,才会使
用FEK完成加密操作,然后
使用证书对FEK进行加密。
打开上述证书管理窗口,可
以发现证书颁发机构为其
发布的证书。对于这种基
于证书架构体系的加密模
式来说,域管理员可以需要
图1 EFS加密属性窗口
这样,其会无法使用EFS对
文件进行加密。对应地,在
上述组策略设置窗口中选择
“允许”项,允许执行EFS加
密,并可以选择是否加密用
户的文档文件夹内容,创建
或更改用户密钥时显示密钥
备份通知等项目。在“证书”
面板(如图1)中的“自动证
书申请的EFS模版”栏中显
示“基本EFS”,说明其使用
的是基本的EFS证书模版。
如果取消“允许EFS的
证书颁发机构不可用时生成
自签名证书”项,那么就会禁
止客户端使用自签名证书。
打开证书颁发机构控制台,
在左侧选择“证书模版”项,
在右侧的右键菜单上点击
“管理”项,双击“基本EFS”
项,在其属性窗口中打开“安
全”面板,可以看到只要是
“Authenticated Users”(身
份验证的用户)或者“Doamin
Users”(域用户)组的成员,
都是可以注册该证书的。利
用这一特性,可以控制哪些
用户可以使用该证书模版。
例如选择“Domain
来决定哪些用户可以EFS加
密,哪些用户则不允许执行
加密操作。在域控上打开
组策略编辑器,在左侧选择
“林”→“域”→“域名”项,
在其中选择某个OU,在其
右键菜单上点击“在这个域
中创建GPO并在此处链接”
项,输入GPO的名称(例如
“EFSgpo”)。
在该GPO的右键菜单
上点击“编辑”项,在编辑
窗口左侧选择“计算机配
置”→“Windos设置”→“安
全设置”→“公钥策略”→“加
密文件系统”项,在其右键
菜单上点击“属性”项,在打
开窗口选择“不允许”项,点
击应用按钮保存配置。当以
该OU中的域用户身份登录
客户机后,执行“gpupdate /
force”命令,来刷新组策略。
Users”组,点击删除按钮,将
其从列表中清除。点击“添
2019.06
87
Infrastructure Mgmt. & Data Mgmt.
基础设施与数据管理
责任编辑:季莹 投稿信箱:
netadmin@
加”按钮,导入所需的组(例
如“Domain Admins”等),之
后选中这些组,在权限列表
中的的“允许”列中选择“注
册”项,这样只有指定的组中
的用户才可以申请证书,来
执行EFS加密操作。对于其
他的用户来说,是无法进行
文件加密操作的。
使用EFS保护共享存储
在一般情况下,EFS加密
文件都是存储在本地的。在
网络环境中,常常需要将加
密文件存储到共享文件夹
或者文件服务器中,作为备
份之用。为此管理员需要对
文件服务器启用委派功能,
并为用户创建对应的配置文
件,在文件服务器中来生成
所需的证书。当然,无论加
密文件,创建配置文件的证
书,对于用户来说完全是透
明的。
例如,当用户在本地复制
了加密文件夹后,在地址栏
中的访问“.
com”地址,来访问目标文件
服务器。当在其中粘贴时,
系统会出现“确实要在不加
密的情况下复制此文件夹?”
的提示,点击“是”按钮,执
行粘贴操作,系统先在本地
对加密文件进行解密,之后
将其上传到文件服务器中。
在共享路径中选择该文
件夹,在其属性窗口中的“常
规”面板中点击“高级”按
钮,选择“加密内容以便保护
数据”项,试图对其进行加密
时,系统会出现“文件应用属
性时出错”的提示,导致加密
失败。
为了解决该问题,需
要在域控上打开Active
Directory用户和计算机窗
口,在左侧选择“Computers”
容器,在右侧选择目标文件
服务器,在其属性窗口中的
“委派”面板(如图2)中选择
“信任此计算机来委派任何
服务( 仅限Kerberos)”项,
图2 启用委派功能
点击应用按钮保存配置。
使用域管理员登录文件
服务器,在CMD窗口中执行
“”命令,在系统属
性窗口中的“高级”面板中
的“用户配置文件”栏中点
击“设置”按钮,在打开窗口
中可以看到客户端用户的配
置文件。虽然该客户端用户
没有登录过本服务器,但是
当其将文件上传之后试图执
行加密操作时,系统就会自
动创建该配置文件。
选择该配置文件项目,点
击删除按钮将其清除。之后
在客户端上重新登录,再次
访问共享文件夹。对上传的
文件进行加密,可以看到加
密成功了。
当客户端复制了个加密
文件,将其转帖到共享文件
夹后,系统会先对其进行解
密,之后将其上传到共享路
径,然后对其进行加密。注
意,在解密和加密的过程中,
使用的是不同的证书。
88
2019.06
责任编辑:季莹 投稿信箱:
netadmin@
基础设施与数据管理
Infrastructure Mgmt. & Data Mgmt.
使用恢复代理,找回加密数据
如果用户误操作(例如
格式化C盘等),就会导致无
法访问其他磁盘上的加密文
件。因为这会造成用户证书
异常的问题,没有办法使用
证书来解开FEK密钥,自然
无法解密EFS加密文件。使
用数据恢复代理功能,可以
应对这一情况。
对于数据恢复代理来说,
存在两种不同的选项,其一
是与EFS相关的,即允许设
置另外一个用户(一般为管
理员),可以作为数据恢复代
理的用户,对于用户加密的
文件来说,数据恢复代理的
用户也是可以访问的。
另外一种是和证书相关
的,当用户丢失了证书的私
钥,自然无法访问加密文件。
因为证书是由证书颁发机构
颁发的,如果在证书颁发机
构服务器存储了用户的私
钥,就可以很轻松的帮助用
户回复私钥。用户得到私钥
后,将其导入当前的系统中,
就可以顺利访问EFS加密文
件了。
这里以前者为例进行说
明,当证书信息丢失后,在域
控上打开组策略管理器,在
左侧选择“l”→“域”→“域
名”→“Default Doamin
Policy”项,在其编辑窗
口中左侧选择“计算机配
置”→“Windows设置”→“安
全设置”→“公钥策略”→“加
密文件系统”项,在右侧可以
看到其已经配置好了文件恢
复的代理项目。
默认是管理员颁发给自
己的自签名证书,这不适用
于实际的生产环境,所以将
其删除掉。
在左侧的“加密文件系
统”项的右键菜单上点击“创
建数据恢复代理程序”项,其
就会自动寻找证书颁发机构
服务器,来申请新的证书,作
为文件恢复代理之用。
之后选择该证书,在其
右键菜单上点击“所有任
务”→“导出”项,在向导界
面中选择“是,导出私钥”项,
输入管理员密码,将其导出
为独立的文件,例如“gly.
pfx”。在客户端上执行
“gpedit /force”命令。来
刷新组策略。
注意,这必须在系统处于
正常状态,即用户没有加密文
件之前进行。
当用户选择目标文件或
文件夹,在其属性窗口中的
“常规”面板中点击“高级”
按钮,选择“加密内容以便保
护数据”项,点击“详细信息”
按钮,在“此文件由恢复策略
定义的恢复证书”栏中可以
看到恢复证书信息。
当用户证书丢失后,可以
将上述“”文件复制
过来,双击该文件,输入密码
后将其导入进来。这样,就
可以访问加密文件了。
BitLocker加密的特点
EFS加密技术虽然简单
易用,但是却存在一些不
足,例如其无法对整个驱
动器进行加密等。相比之
下。BitLocker可以实现更
加高级的加密操作。使用
BitLocker不仅可以加密普
通的磁盘,对于诸如Azure
等云平台中的虚拟机来说,
2019.06
89
Infrastructure Mgmt. & Data Mgmt.
基础设施与数据管理
责任编辑:季莹 投稿信箱:
netadmin@
同样可以对VHD/VHDX等虚
拟磁盘进行加密,从而有效
保护其安全。
对于Windows 10等客户
机来说,可以打开控制面板,
在系统和安全窗口中点击
“BitLocker驱动器加密”项,
在对应的磁盘右侧点击“启
动BitLocker”项,来激活
BitLocker加密功能。
对于Windows Server
色和功能”项,在向导界面中
选择“BitLocker驱动器加
密”项,来安装该角色。在目
标驱动器的右键菜单上点击
“启用BitLocker”项,在打
图3 使用BitLocker加密磁盘
开窗口(如图3)中可以使用
密码的方式,对其进行加密
操作。根据需要,可以将恢
复密钥备份到优盘,文件或
者将其打印出来。例如将其
备份到指定的文件,之后选
择新加密模式或者兼容模式
(适用于加密移动存储),执行
加密的过程。
和EFS加密不同,
BitLocker仅仅是针对磁盘
进行的,对于用户则没有限
制。
2016服务器来说,需要在服
务器管理器中点击“添加角
BitLocker加密机制部署方式
在实际的生产环境中,如
果每次访问BitLocker加密
盘,都需要输入密码的话,操
作起来是比较繁琐的。
其实,BitLocker支持
多种解密方法,例如可以将
Startup Key(可以理解为
密钥)保存到优盘中,利用该
优盘直接解密。
对于公有云中的虚拟机
来说,可以启用虚拟TPM功
能,来执行解密操作。
如果主机配置了TPM芯
片,可以采用TPM+ Startup
Key的方式,进行解密操作。
如果主机配置了TPM芯
片和Smart Card设备,可以
采用PM+PIN的方式,来实现
解密操作。
当然,如果采用
TPM+PIN+Startup Key的方
式进行解密,无疑是安全性
的。可以看出,Bitlocker提
供了多种灵活的部署方式。
使用BitLocker保护虚拟机安全
例如对于Windows
进行BitLocker加密,但是
对系统盘进行加密时,系统
会提示出错信息。
运行“”程
序,在组策略窗口左侧选
择“计算机配置”→“管
理模版”→“Windows组
件”→“Bitlocker”→“操
作系统驱动器”项,在右侧双
击“启动时需要附加身份验
证”项,在打开窗口(如图4)
中选择“已启用”项,那么允
许在没有兼容的TPM时允许
BitLocker加密系统盘。之
Server 2016的Hyper-V虚
拟机中,增加了虚拟的TPM
芯片的功能,可以有效保护
虚拟机的安全。如果没有启
用该功能,在默认情况下,虽
然可以对虚拟机中的数据盘
90
2019.06
责任编辑:季莹 投稿信箱:
netadmin@
基础设施与数据管理
Infrastructure Mgmt. & Data Mgmt.
后才可以对系统盘进行加密
处理,可以使用密码或者包
含Startup Key的优盘进行
解密。
但是,对于公有云中的虚
拟机来说,这样的解密操作
是难以实施的。在Hyper-V
管理器中选择目标虚拟机,
在右侧点击“设置”按钮,
在打开窗口左侧选择“硬
件”→“安全”项,在右侧选
择“启用受信任的平台模块”
项,可以启用虚拟的TPM芯
片功能。进入虚拟机环境,
打开组策略窗口,在上述配
图4 启用附加身份验证功能
置窗口中选择“未配置”项。
默认情况下,Bitlocker就
会识别到本机已经配置好了
TPM芯片,之后就可以对系统
盘进行加密处理,并将解密
密钥保存在TPM芯片中。当
然,恢复密钥是可以保存在
指定的文件中,或者可以将
其打印出来。这样,当启动
该虚拟机时,系统就会自动
从虚拟的TPM芯片中读取密
钥,对系统盘进行解密操作。
利用活动目录管理恢复密钥
当用户不慎将密钥丢失
后,可以使用恢复密钥进行
解密,可以将恢复密钥保存
优盘。文件中或者打印出来,
但是如果用户将恢复密钥也
丢失的话,是无法进行恢复
的。为了解决这一问题,可
以将恢复信息保存在活动目
录中,这样就会使其变得更
可靠更稳定,管理员可以据
此来恢复用户的加密数据。
以域管理员身份登录
启用了Bitlocker加密功
能的服务器,打开Active
Directory用户和计算机窗
口,在左侧选择域名,在其右
键菜单上点击“委派控制”
项,在向导界面中点击下一
步按钮,在用户或组窗口中
点击“添加”按钮,在打开窗
口中的额“输入对象名称来
选择”栏中输入“self”,将
其导入进来,即允许每台主
机在启用BitLocker供后,
可以向活动目录写入恢复密
钥信息。点击下一步按钮,
选择“创建自定义任务去委
图5使用BitLocker加密磁盘
派”项,在下一步窗口中选
择“只是在这个文件夹中的
下列对象”项,在列表中选择
“计算机 对象”项.
点击下一步按钮,在权
限窗口(如图5)中选择“特
定属性”和“特定子对象的
创建/删除”项,在“权限”
列表中选择“写入 msTPM-
TpminfomationForComputer”
项,可以如果用户拥有向活
动目录写入恢复密钥的权
限。点击完成按钮,完成配
置操作。
打开组策略编辑器,在左
侧选择“计算机配置”→“管
理模版”→“Windows组
件”→“Bitl
【下转第92页】
2019.06
91
Infrastructure Mgmt. & Data Mgmt.
基础设施与数据管理
责任编辑:季莹 投稿信箱:
netadmin@
GPT分区数据恢复
■ 甘肃 权建军
GPT是
编者按:现代智能仪器设备广泛使用磁盘进行数据存储。
传统的MBR分区表由于对磁盘容量局限于2.2TB,并且只能
有四个主分区,因此,在Windows 8系统改用了GPT分区表。
由于设备故障或误操作,数据丢失往往造成重大损失。本文
通过实验的方法,对GPT分区表进行数据恢复。实验表明,
在GPT头和分区表被破坏时,可以根据GPT分区表特征,通
过其备份进行数据恢复。
表不支持大
于2.2TB的
分区,微软
Windows 8
放弃了MBR
分区格式,使
用了GPT磁
GUID Partion
Table的缩写,
其含义是“全
局唯一标识磁
盘分区表”。由
于MBR分区
【上接第91页】
ocker驱
Directory用户和计算机窗
口,在左侧选择“Computers”
容器,在右侧选择目标主
机,在其属性窗口中打开
“BitLocker恢复”面板,可
看到写入到活动目录中的
恢复密钥项目。在“详细信
息”栏中显详细的密钥信
息。当用户丢失了密钥后,
就可以利用这里提供的密
钥,来恢复加密磁盘。但是,
对于Windows 10等客户端
主机来说,虽然之前启用了
BitLocker加密功能,但是在
Active Directory用户和计
算机窗口打开这些主机时,
却没发现恢复密钥的信息。
为此可以使用Manage-
bde工具,来允许其将恢复密
钥写入到活动目录中。在这
些客户机上中打开CMD窗口,
执行“manage-bde
动器加密”项,可以选择不同
类别的驱动器(包括操作系
统驱动器,固定数据驱动器,
可移动数据驱动器等),例如
选择操作系统驱动器,在右
侧双击“选择如何才能恢复
受BitLocker保护的操作系
统驱动器”项,在其属性窗
口中选择“已启用”项,确保
选择“为操作系统驱动器将
BitLocker恢复信息保存在
AD DS中”项。
完成了以上配置
后,当在指定的Windows
Server 2016服务器执行
了BitLocker加密操作后,
恢复密钥就会写入到活动
目录中。以域管理员身份
登录服务器,打开Active
-protectors -get d:”命令,
来获取指定驱动器(这里为D
盘)的恢复密钥信息,复制其
中的数字密码。执行
“manage-bde -protectors
-adbackup d: -id {xxx} ”
命令,即可将指定磁盘的恢
复密钥写入到活动目录中。
其中的“xxx”表示数字密码。
当然,在客户机上也需要在
组策略窗口中针对特定的驱
动器,来允许其将恢复密钥
写入到AD DS中。实际上,
这里仅仅在本机上进行了配
置,在实际的网络环境中,需
要在活动目录的组策略中进
行统一的配置,这样操作起
来就更加快捷。
N
92
2019.06
发布评论