在使用微軟基礎設施和企業部署這麼多年的過程中,微軟的檔案加密系統(
eps)是我迄今為止見過的最安全但也是最未被充分應用的技術之一。在企業級或者中等規模的開發過程中很少被使用,無論是個人還是團隊在安全控制中都孤立的來使用(
eps)。由於
eps易於個人設定和自主使用,但是在大規模部署時需要進行認證,恢復**管理,備份,儲存以及在實現訪問模型方面要進行詳細計畫。
eps的錯誤部署可能導致資料的丟失。雖然通過物理途徑可以解決,但是為了說得更具體,舉個例子假設在一次失敗的場景中設計不合理的
eps控制導致加密檔案阻止檔案的解密。
eps最簡單的形式是乙個基於
windows
作業系統的特色,它允許使用者(管理員或者其他使用者)給資料夾或者單個檔案加密。最典型的應用是通過
eps在資料夾層次上的加密,這保證了
所有新增到加密資料夾的檔案都會自動進行加密。在本章中的例子是基於目錄下建立資料夾進行的,當選中乙個資料夾加密時這個資料夾將標記為已加密。如上文所述,當乙個資料夾加密後此資料夾內的檔案都將被其所有者加密。對資料夾加密非常簡單;只需要單擊高階屬性,然後選擇加密內容以保護資料即可。如圖
2.1所示
eps是一種基於使用者的加密控制。基本上他的工作方式如下:當使用者對乙個檔案或者資料夾加密時
:eps
會為使用者生成乙個證書並將其私有金鑰放在使用者的配置檔案中。公鑰與使用者建立的檔案一併儲存,只有這樣使用者才能解密這些檔案。正因為如此,恢復**證書通常與不同的使用者賬號聯絡並且使用者的公鑰也嵌入到這個檔案中。正因為如此,即使使用者丟失了用來加密檔案的證書而恢復**使用者或者是更明確的私有金鑰的持有者也能夠解密檔案,同樣的恢復**的公鑰是自動和加密檔案一起儲存的,也可以為檔案分配其他使用者的公鑰,以便允許他們解密檔案。這就使得多個使用者可以共享乙個已加密的檔案。當
eps證書通過
ca(證書管理機構)分配時或在某個域領域中
eps操作的第一次請求時自動建立,使用者的公鑰儲存在
ad當中。對恢復**認證也是如此。實際上,公鑰自動被包含在域中,
eps檔案的建立方式為:在基於策略設定的
ad中直接抽取出來。我將在後面對此進行更多詳細描述。
我們利用一點時間來詳述一下加密過程。當出現多個使用者共享乙個加密檔案時,了解這些檔案工作的原理以及加密過程有助於我們更好地理解
eps是如何在企業或者更小的
ad環境中工作的。
eps證書並沒有什麼神奇的。它是由
rsa演算法生成的乙個私有公用金鑰組,
eps通過這個金鑰進行簡單的
x.509
認證。如圖
2.2當為使用者建立這些證書時,採用
rsa演算法生成公鑰和私鑰,並把他們儲存在使用者證書當中。只有公鑰存放在
ad中。資料使用公鑰進行加密,私鑰進行解密,這就是公鑰之所以公開的原因,這樣其他使用者才可以為你加密資料,而只有持有私鑰的使用者才能進行解密。這樣,資料被某些使用者用公鑰加密後不能立即對資料進行解密。
在我認識的大多數人當中,他們對
rsa金鑰的印象是對於某個加密檔案使用金鑰進行加密或者解密工作。其實這種方法不僅僅使用者
eps,也可以應用到人和基於
rsa的加密過程中。實際情況是在檔案加密之前已經生成乙個強隨機的金鑰。這個金鑰預設是基於高階加密標準(
aes)的密碼。
rsa演算法加密的是金鑰,而非資料本身。公共
rsa金鑰用來加密
aes金鑰,而
aes金鑰才是用來加密實際資料的。
《雷神的微軟平台安全寶典》簡介
在使用微軟基礎設施和企業部署這麼多年的過程中,微軟的檔案加密系統 eps 是我迄今為止見過的最安全但也是最未被充分應用的技術之一。在企業級或者中等規模的開發過程中很少被使用,無論是個人還是團隊在安全控制中都孤立的來使用 eps 由於eps 易於個人設定和自主使用,但是在大規模部署時需要進行認證,恢復...
雷神的微軟平台安全寶典 第二章 簡介
introduction 簡介在我參與微軟基礎設施和企業部署的這麼多年裡,微軟的檔案加密系統 efs 是迄今我所見的安全效能最強大,卻也是最未被充分利用的技術之一。我很少見它在企業裡甚至是中等規模的環境中的使用,它已經被孤立 無論個人還是團隊都在靠自己的努力去實現基於efs的安全控制。這並不是完全的...
各平台安裝和使用Docker的差異
使用docker for mac開啟虛擬化的硬體支援,可以通過命令來檢查 sysctl kern.hv support os x 10.10.3 或者更高版本 至少4g記憶體 使用mac的docker toolboxmacos執行 10.8 mountain lion 或者以上版本 macos支援硬...