在网络上经常看到有朋友说Windows的操作系统的漏洞很多,安全性不高,服务器经常被黑客入侵,其实不然。一个安全的服务器的定义不仅仅是指硬件上的安全,更重要的是指操作系统方面的安全,设置一个安全的操作系统需要我们从细节一点点加固系统,通过综合设置再加上管理人员的正常维护,才能打造真正意义上安全的服务器。
在windows操作系统下,一些主要的分区格式有:FAT、FAT32以及NTFS格式,目前主流的磁盘格式均为NTFS格式,因为NTFS不但降低了磁盘空间的浪费,减少了产生磁盘碎片的可能,而且具有文件加密和文件压缩的功能,最主要是NTFS格式最大限度地提升了安全性能,能够更好的分配用户权限,所以在安装服务器操作系统时,必须选择NTFS格式的文件系统来提高系统安全。
在安装操作系统时就需要选择使用NTFS文件格式
1)在NTFS格式的磁盘中,我们可以通过在目录或文件属性面板的“安全”选项卡轻松设置用户对此文件或目录各种权限
2)利用NTFS格式磁盘上卷影副本功能为服务器磁盘自动创建副本,以便于以后数据还原
3)利用NTFS格式磁盘的磁盘配额能有效的限制用户对磁盘使用容量
NTFS文件系统与FAT/FAT32文件系统相比最大的特点是安全性,NTFS提供了服务器或工作站所需的安全保障。
NTFS分区中,每一个文件以及文件夹NTFS都存储一个访问控制列表(AccessControlList,ACL),访问控制列表包含所有被许可的用户账户、组和计算机。ACL一定包含一个叫做"访问控制项"的项(AccessControlEntry,ACE)。如果在文件或文件夹的访问控制列表中经过验证没有相应的访问控制项,则对文件的访问会被拒绝。
NTFS使用事务日志自动记录所有文件夹和文件更新,当出现系统损坏和电源故障等问题而引起操作失败后,系统能利用日志文件重做或恢复未成功的操作。
(4)利用NTFS磁盘格式加密功能对目录进行加密处理。
右键单击要加密的文件或文件夹,然后单击【属性】,在【属性】面板选择【常规】选项卡,然后单击【高级】。选中【加密内容以便保护数据】复选框
NTFS磁盘格式下的加密使用的是EFS加密,加密后,此目录将只允许当前登录用户访问,即使用其他管理员登录也无法查看此目录,除非用户解除加密。而对于本用户的访问却是透明的,也就是说,如果你加密了一些数据,那么你对这些数据的访问将是完全允许的,并不会受到任何限制。而其他非授权用户试图访问加密过的数据时,就会收到“访问拒绝”的错误提示。
EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。而对于本用户的访问却是透明的,这样就保证了各用户的隐私与文件安全也兼顾了操作的方便。
EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK(FileEncryptionKey,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。
如果其他人想共享经过EFS加密的文件或文件夹,又该怎么办呢?由于重装系统后,SID(安全标示符)的改变会使原来由EFS加密的文件无法打开,所以为了保证别人能共享EFS加密文件或者重装系统后可以打开EFS加密文件,必须要进行备份证书。
备份证书的操作方法如下:
①点击【开始】à【运行】菜单项,在出现的对话框中输入“certmgr.msc”,回车后,在出现的“证书”对话框中依次双击展开【证书】à【当前用户】à【个人】à【证书】选项,在右侧栏目里会出现以你的用户名为名称的证书
②选中该证书,点击鼠标右键,选择【所有任务】à【导出】命令,打开“证书导出向导”对话框
③在向导进行过程中,当出现“是否要将私钥跟证书一起导出”提示时,要选择【是,导出私钥】选项,接着会出现向导提示要求密码的对话框。为了安全起见,可以设置证书的安全密码。当选择好保存的文件名及文件路径后,点击“完成”按钮即可顺利将证书导出,此时会发现在保存路径上出现一个以PFX为扩展名的文件,这就是所导出的证书
当其他用户或重装系统后欲使用该加密文件时,只需记住证书及密码,然后在该证书上点击右键,选择【安装证书】命令,即可进入“证书导入向导”对话框。按默认状态点击【下一步】按钮,输入正确的密码后,即可完成证书的导入,这样就可顺利打开所加密的文件。
本文转自Tar0 51CTO博客,原文链接:http://blog.51cto.com/tar0cissp/1308384,如需转载请自行联系原作者
