admin 身份验证协议
那怎么看到客户端上登录的账号是采用了什么身份验证协议访问的网络共享呢?
这个在事件查看器上也是有记录的:
.jpg "远程文件服务器文件加密攻略")
图4
日志记录
同样,在转为使用Kerberos协议进行身份验证后,事件日志中也会有相应的记录:
.jpg "clip_image010")
图5
可以看到cfo是使用的NTLM协议来进行身份验证的.
为了让他转为使用Kerberos协议,我们需要重新以\\FQDN方式来定位到共享文件夹再进行磁盘映射.请记住: 为了Kerberos的正常工作,所有通信都必须都使用完全限定的域名 (FQDN)。
所以请保证你域内的DNS服务器运行正常.
文件加密
我们再来试试对远程服务器上的文件加密:
.jpg "clip_image012")
图6
可以看到,终于能够在远程 服务器上使用EFS方式对文件加密了.
总结一下使用EFS的委派模式对远程服务器上文件加密的大体步骤:
1.在域控上对远程服务器进行信任委派并重启(安全起见只委派两个服务即可,不再复述,详见正文内容)
2.在远程服务器上生成用户的profile及private key(两种方法,不再复述, 详见正文内容)
3.使用\\FQDN名称访问到共享文件夹并做磁盘映射到本地(必须)
最后仍有几点需要说明:
1. 对于将要使用远程服务器的EFS加密的域用户,务必在其账号属性中清除"敏感帐户,不能被委派"复选框.
2.远程加密不支持跨林的委派服务器模式,要使用此方案,被委派的服务器须和用户帐号在同一个域内.
3. EFS只能加密存储在磁碟上的数据.在网络中传输数据时数据仍是没有被加密的.所以为了保证在网络传输时的数据安全,你可能需要使用IPsec或者EFS over WebDAV模式.
4. 在有多名用户对某个文件夹都拥有足够权限的时候,其中一个用户使用EFS来加密了某些个文件都会导致别的用户都无法再访问这些文件.鉴于此, 请规划好远程EFS加密的使用并且对用户说明正确的使用场景.为了以防万一,也请将EFS域恢复代理提早设置妥当.
5.虽然域内可以使用自签名( self-signed)的用户证书,但对于涉及到证书的最佳实践还是建立CA服务器以获得和活动目录结合的PKI环境.
小知识之IPSec介绍:“Internet 协议安全性 (IPSec)”是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。Microsoft® Windows® 2000、Windows XP 和 Windows Server 2003 家族实施 IPSec 是基于“Internet 工程任务组 (IETF)”IPSec 工作组开发的标准。
