《第三章windowsxp系统文件安全.ppt》由会员分享,可在线阅读,更多相关《第三章windowsxp系统文件安全.ppt(19页珍藏版)》请在三一文库上搜索。
1、第三章 Windowsxp系统文件安全,本讲的目标,理解掌握各种文件系统格式 理解Windows 文件保护原理,保护系统文件 理解EFS 工作原理,掌握EFS 实际应用对文件进行加密保护 文件共享的安全问题,授课建议,简单介绍各种文件系统格式 简要介绍Windows文件安全的相关问题 通过实验重点介绍理解EFS工作原理,掌握EFS实际应用对文件进行加密保护 重点介绍文件共享的安全问题及防范措施,文件共享简单文件共享,简单文件共享设置 开启GUEST账户 保证GUEST具有网络访问这台主机的权利,文件共享高级文件共享,禁止简单文件共享 设置新账户 设置共享 删除everyone用户的权限 添加新
2、用户的权限,默认的文件系统,NTFS具有更高的安全控制能力 转换命令:convert x: /fs:ntfs(其中x 是驱动器的盘符),交换文件和存储文件,要求机器在关机的时候清除系统的页面文件(交换文件) HKEY_local_machinesystemcurrentcontrolsetcontrolsessionmanagermemory management,然后创建或修改ClearPageFileAtShutdown,把这个DWORD值设置为1。 系统在遇到严重问题时,会把内存中的数据保存到转储文件。 禁止Windows创建转储文件的步骤如下:打开“控制面板”“系统”,找到“高级”,然
3、后点击“启动和故障恢复”下面的“设置”按钮,将“写入调试信息”这一栏设置成“(无)”,系统文件替换,根据文件名的最后一个字符用底线“_”的同名文件替换: EXPAND D:SETUPNOTEPAD.EX_ C:Windows NOTEPAD.EXE 根据CAB文件替换 EXTRACT /L C:Windows D:I386Driver.cab Notepad.exe,加密文件与文件夹 EFS的基本原理,EFS加密基于公钥策略。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK(File Encryption Key,文件加密钥匙),然后利用FEK和数据扩展标准X算法创
4、建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。接下来系统利用你的公钥来加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。 在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据。如果你登录到了域环境中,密钥的生成依赖于域控制器,否则它就依赖于本地机器。 EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。 被EFS加密过的数据不能在Windows中直接共享。如果通过网络传输经EFS加密
5、过的数据,这些数据在网络上将会以明文的形式传输。如果你要使用EFS加密,必须将FAT32格式转换为NTFS。,故障恢复代理,运行certmgr.msc,导出使用EFS的用户证书 运行“gpedit.msc”,打开组策略编辑器。在“计算机配置Windows设置安全设置公钥策略正在加密文件系统”,设置故障恢复代理,EFS操作实例,如果想将EFS 选项添加至快捷菜单,请依次执行下列操作步骤:在注册表编辑器内浏览至下列子键:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced,然后新建一个DWORD 值Encr
6、yptionContextMenu,并将它的键值设为1 当然可以彻底禁用它。只要在“运行”中输入Regedit并回车,打开注册表编辑器,依次展开到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionEFS,然后新建一个Dword值EfsConfiguration,并将其键值设为1,加密文件夹(不加密其中某一个子文件夹),在不需要加密的子文件夹下建立一个“Desktop.ini”文件即可。具体地说就是在不需要加密的子文件夹下建立一个名为“Desktop.ini”的文件,用记事本程序打开并录入以下内容: encryption Di
7、sable=1,EFS的共享特性,打开文件的属性,在“常规”选项卡中点击“高级”按钮,在“高级属性”对话框里点击“详细信息”按钮;然后点击“添加”按钮,添加另外一个用户的EFS证书,在用户证书列表里面选择一个证书,然后点击“确定”按钮完成添加工作,对EFS加密的几个错误认识,1 为什么打开加密过的文件时没有需要我输入密码? 2 我的加密文件已经打不开了,我能够把NTFS分区转换成FAT32分区来挽救我的文件吗? 3 我加密数据后重装了操作系统,现在加密数据不能打开了。如果我使用跟前一个系统相同的用户名和密码总应该就可以了吧? 4 被EFS加密过的数据是不是就绝对安全了呢? 5 我只是用Ghos
8、t恢复了一下系统,用户账户和相应的SID都没有变,怎么以前的加密文件也打不开了?,备份及导入密钥来解密,运行certmgr.msc,导出证书和私钥 在重装系统之后,右键单击导出的私钥文件,选择“安装PFX”之后就可以一步一步导入私钥。,文件夹的安全,搜索文件的限制,默认情况下不搜索隐藏文件和文件夹 将文件夹设为专用文件夹 要使某个文件夹专人专用,只需将该文件夹移动到“x:Documents and Settings用户名”文件夹中(x是指Windows XP安装文件所在分区),然后右击该文件夹,选择“属性”选项,在“共享”选项卡中勾选“将这个文件夹设为个人的,这样只有我才能访问”复选框。 恢复
9、EXE文件关联 在安全模式下输入:assoc.exe=exefile,重启后,exe文件又可以执行 文件夹设置审核 跟踪文件的访问操作,在审核策略中进行配置,搜索隐藏文件和文件夹,直接设置 修改注册表 “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer”分支,在右边的窗口中找到DWORD值“SearchHidden”并将其值设为“1”即可。,清除垃圾文件,移动IE 临时文件夹 将IE临时文件夹移到其他分区。打开IE 浏览器,选择“工具/Internet 选项/常规”,点击“Internet临时文件”下的“设置”按钮,
10、点击“移动文件夹”按钮将临时目录移至C盘以外的分区中, 无用文件全清除 建议删除以下无用的文件,你可以手动删除它们,也可以借助第三方的软件如Windows 优化大师等来清理。 驱动程序备份Driver.cab:在WindowsDriver cachei386 下,约70MB。XP 自带了大量的硬件驱动程序,除了需要使用的驱动外,其他的完全可以删除它。 帮助文件:在WindowsHelp下,约40MB,可删除之。 不用的输入法:到Windowsime 下直接删除一些不需要的输入法,比如:chtime、imjp8_1、imkr6_1 三个目录,分别是繁体中文、日文、韩文。 无用的DLL文件全清光
11、删除XP 备用的DLL 文件:在WindowsSystem32Dllcache 下,约200MB,如果有安装光盘或安装文件备份,则可以删除之。 禁止休眠 点击“我的电脑/电源管理/休眠”,将“启用休眠”前的勾去掉,这样可以节省约200MB 硬盘空间。 禁止系统还原 默认情况下,XP启用了系统还原功能。右击“我的电脑”中的“属性”,点击“系统属性/系统还原”,将“在所有驱动器上关闭系统还原”置为选中状态。也可关闭不重要分区的系统还原,如果考虑系统安全,则不要关闭还原功能。,文件共享的安全防范,禁止服务器的默认共享的方法: 功能配置法,运行msconfig,禁止server服务 “强行”停止法 ,
12、运行compmgmt.msc,展开“系统工具”、“共享文件夹”、“共享”,逐一禁止默认共享文件夹 逐一删除法,使用net share 命令,如net share c$ /del,系统重启后,默认共享仍然能恢复 自动删除,使用net share命令,编写批处理文件 禁止建立空连接,“HKEY_LOCAL_MACHINESystem CurrentControlSet ControlLSA”,将DWORD值“RestrictAnonymous”的键值改为“1”即可。 关闭“文件和打印共享”,选择“HKEY_CURRENT_USER Software MicrosoftWindowsCurrentVersionPoliciesNetWork”主键,在该主键下新建DWORD类型的键值,键值名为“NoFileSharingControl”,键值设为“1”表示禁止这项功能,