Windows XP操作系統在數據保護方面提供了眾多增強特性--特別是Encrypting File System(加密文件系統,EFS)。本文詳細描述了針對脫機文件執行加密操作的具體方法,並力求幫助系統設計師和管理人員開發出借助Windows XP創制數據恢復與數據保護策略的最佳實現方式。
針對脫機文件執行加密操作 Windows 2000操作系統引入了針對脫機文件執行緩存處理的功能(也可被稱為客戶端緩存技術[CSC])。這種IntelliMirror管理技術將允許網絡用戶針對基於網絡共享的文件資源實施訪問調用,即使在客戶端計算機與網絡系統連接被斷開的情況下,也不會受到影響。
舉例來說,當某一移動用戶在脫機狀態下查看共享資源時,他(她)仍可針對目標文件執行浏覽、讀取和編輯操作,這主要是因為,相關文件已被讀入客戶端計算機的緩沖內存。而當該用戶稍後連接至服務器時,系統便會就相關修改與服務器協調一致。
Windows XP客戶端可借助加密文件系統將脫機文件及文件夾設置為可接受加密處理的狀態。某些專業人士經常外出旅行,並且需要在確保數據資料安全的前提下定期以脫機方式進行工作。該特性對於此類用戶尤其具有吸引力。
通用數據庫 基於本地計算機的通用數據庫可供用來針對全部用戶文件執行存儲操作,並通過精確的訪問控制列表(ACL)將訪問調用對象限定在上述文件范圍內。該數據庫能夠以一種特殊方式就相關文件加以顯示--將數據庫結構與格式隱藏起來,並以普通文件夾的面貌示人。而其它用戶文件及文件夾則既不會被顯示出來,也無法供其它用戶訪問調用。當脫機文件接受加密處理後,整個數據庫還將借助EFS計算機證書接受加密處理。單個文件及文件夾將無法被選取執行解密操作。這樣一來,整個脫機文件數據庫便會在缺省狀態下避免遭受利用已被激活的本地EFS特性所實施的惡意攻擊。
一個限定性因素 加密脫機文件數據庫所固有的限定性因素體現為,文件和文件夾將無法在脫機工作狀態下以其它替代顏色呈現給用戶。遠程服務器還可能在聯機狀態下有選擇地針對文件及文件夾加密特性加以應用,因此,當以聯機和脫機方式顯示加密文件時,用戶所看到的效果將不盡相同。
重要提示:
CSC通常作為一個SYSTEM(系統)進程運行,並因此可供任何用戶實施訪問調用。不僅如此,同樣以SYSTEM(系統)進程方式運行或暫時充當SYSTEM(系統)進程的其它進程也能夠對CSC實施訪問調用。而這其中便包括基於本地計算機的管理員。有鑒於此,每當敏感數據被存儲至脫機文件夾時,管理訪問權限均應被限制在特定用戶范圍內,而SYSKEY則應被用來針對脫機攻擊進行防范。
針對脫機文件執行加密操作 用戶可在Windows資源管理器中選擇 Tools(工具) 菜單上的 Folder Options(文件夾選項) 命令,並在隨後出現的對話框內針對文件夾選項進行相關設置,以便將加密脫機文件特性設定為激活狀態。
說明: 該選項僅供在Windows XP Professional中使用。
請按下圖所示選取 Offline Files(脫機文件) 選項卡。
選取 Offline Files(脫機文件) 選項卡 同時選中 Enable Offline Files(啟用脫機文件) 和 Encrypt offline files to secure data(為保護數據安全而對脫機文件進行加密) 復選框。
單擊 OK(確定) 。
脫機文件將在被讀入本地緩存的同時借助針對客戶端計算機用戶提供的專用密鑰和證書接受加密處理。
重要提示:切勿針對已被存儲在漫游用戶配置中的文件進行加密處理,這主要是因為,該文件一旦在登錄過程中被加載,系統便無法將配置中的文件打開。