企业文档加密与安全管理解决方案企业文档加密与安全管理解决方案讲师信息讲师信息今日议程今日议程uu企业文档共享和安全的管理原则企业文档共享和安全的管理原则企业文档共享和安全的管理原则企业文档共享和安全的管理原则uu普通的共享权限与普通的共享权限与普通的共享权限与普通的共享权限与NTFSNTFS权限的结合权限的结合权限的结合权限的结合 uu存储安全：存储安全：存储安全：存储安全：EFSEFS最佳实践最佳实践最佳实践最佳实践uu传输安全：使用传输安全：使用传输安全：使用传输安全：使用IPSecIPSec保护网络链路中的数据保护网络链路中的数据保护网络链路中的数据保护网络链路中的数据uu共享安全：共享安全：共享安全：共享安全：RMSRMS提供的全方位保护提供的全方位保护提供的全方位保护提供的全方位保护uu文档权限迁移工具介绍文档权限迁移工具介绍文档权限迁移工具介绍文档权限迁移工具介绍企业文档共享和安全的管理原则企业文档共享和安全的管理原则uuConfidential保密性保密性uuIntegrity一致性一致性uuAvailability可用性可用性企业网络和数据安全的大局观企业网络和数据安全的大局观普通的共享权限与普通的共享权限与NTFS权限的结合权限的结合uu共享权限和共享权限和NTFS权限权限对于共享文件夹的最终访问权限是考虑共享权限和对于共享文件夹的最终访问权限是考虑共享权限和对于共享文件夹的最终访问权限是考虑共享权限和对于共享文件夹的最终访问权限是考虑共享权限和 NTFS NTFS 权限项后确权限项后确权限项后确权限项后确定的。然后，才应用更为严格的权限定的。然后，才应用更为严格的权限定的。然后，才应用更为严格的权限定的。然后，才应用更为严格的权限 uu文件服务器权限的详细讨论文件服务器权限的详细讨论 uu工具工具的使用的使用的使用的使用存储安全：存储安全：EFS最佳实践最佳实践uu概述概述uu数据恢复代理数据恢复代理uu微软的建议和最佳实践微软的建议和最佳实践uuEFS的薄弱环节的薄弱环节uu演示演示EFS概述概述uu文件加密密钥，文件加密密钥，文件加密密钥，文件加密密钥， Key (FEK) Key (FEK)uu通过通过通过通过FEKFEK对文件对象进行加密对文件对象进行加密对文件对象进行加密对文件对象进行加密uuFEKFEK再被用户的公钥进行加密再被用户的公钥进行加密再被用户的公钥进行加密再被用户的公钥进行加密uuFEKFEK只能够被用户的私钥解密只能够被用户的私钥解密只能够被用户的私钥解密只能够被用户的私钥解密uu每个文件都有与它关联的唯一的每个文件都有与它关联的唯一的每个文件都有与它关联的唯一的每个文件都有与它关联的唯一的FEKFEKuu加密过的加密过的加密过的加密过的FEKFEK被保存在被保存在被保存在被保存在Data Decryption Field (DDF)Data Decryption Field (DDF)uu文件使用之前不需要解密，对进程和用户透明文件使用之前不需要解密，对进程和用户透明文件使用之前不需要解密，对进程和用户透明文件使用之前不需要解密，对进程和用户透明uuEFSEFS引擎驻留在操作系统内核模式引擎驻留在操作系统内核模式引擎驻留在操作系统内核模式引擎驻留在操作系统内核模式uu内存中正在使用的内存中正在使用的内存中正在使用的内存中正在使用的FEKFEK不可以被置换到硬盘的页面文件上不可以被置换到硬盘的页面文件上不可以被置换到硬盘的页面文件上不可以被置换到硬盘的页面文件上uu支持远程文件服务器上的文件加密支持远程文件服务器上的文件加密支持远程文件服务器上的文件加密支持远程文件服务器上的文件加密uu传输中的数据是不被加密的传输中的数据是不被加密的传输中的数据是不被加密的传输中的数据是不被加密的uu加密可以通过浏览器或者加密可以通过浏览器或者加密可以通过浏览器或者加密可以通过浏览器或者CipherCipher命令行工具完成命令行工具完成命令行工具完成命令行工具完成uu加密目录不会同时加密其中的文件加密目录不会同时加密其中的文件加密目录不会同时加密其中的文件加密目录不会同时加密其中的文件uu把把把把EFSEFS文件复制到非文件复制到非文件复制到非文件复制到非NTFSNTFS分区将使文件被解密分区将使文件被解密分区将使文件被解密分区将使文件被解密EFS数据恢复代理数据恢复代理uu可以通过恢复代理来解密可以通过恢复代理来解密可以通过恢复代理来解密可以通过恢复代理来解密EFSEFS加密的文件加密的文件加密的文件加密的文件uu恢复代理只有恢复代理只有恢复代理只有恢复代理只有FEKFEK，而没有用户的私钥，而没有用户的私钥，而没有用户的私钥，而没有用户的私钥uu没有加入域的机器，本地管理员是默认的恢复代理没有加入域的机器，本地管理员是默认的恢复代理没有加入域的机器，本地管理员是默认的恢复代理没有加入域的机器，本地管理员是默认的恢复代理uu域中的机器，域管理员是默认的恢复代理域中的机器，域管理员是默认的恢复代理域中的机器，域管理员是默认的恢复代理域中的机器，域管理员是默认的恢复代理uu可以在域控制器上指定恢复代理可以在域控制器上指定恢复代理可以在域控制器上指定恢复代理可以在域控制器上指定恢复代理uu策略应用在计算机上，而不是用户策略应用在计算机上，而不是用户策略应用在计算机上，而不是用户策略应用在计算机上，而不是用户uuData Recovery Field (DRF) Data Recovery Field (DRF) 中保存的中保存的中保存的中保存的FEKFEK被恢复代理的公钥被恢复代理的公钥被恢复代理的公钥被恢复代理的公钥所加密所加密所加密所加密EFS微软的建议和最佳实践微软的建议和最佳实践uu针对文件夹执行针对文件夹执行针对文件夹执行针对文件夹执行EFSEFS加密，而不是加密单个的文件加密，而不是加密单个的文件加密，而不是加密单个的文件加密，而不是加密单个的文件uu加密加密加密加密“ “我的文档我的文档我的文档我的文档” ”文件夹文件夹文件夹文件夹uu加密临时文件夹加密临时文件夹加密临时文件夹加密临时文件夹uu备份恢复代理证书和私钥，并从证书保存区域中把它备份恢复代理证书和私钥，并从证书保存区域中把它备份恢复代理证书和私钥，并从证书保存区域中把它备份恢复代理证书和私钥，并从证书保存区域中把它们删掉们删掉们删掉们删掉EFS的薄弱环节的薄弱环节uu关联帐户遗失时，必须有恢复代理才能做数据关联帐户遗失时，必须有恢复代理才能做数据的恢复的恢复uuEFS加密的恢复加密帐户被删的补救方法加密的恢复加密帐户被删的补救方法 ( (中文中文中文中文) )EFS演示演示IPSec 提供了如下的便利提供了如下的便利:对用户和应用程序透明对用户和应用程序透明 对服务器提供了受限制的访问对服务器提供了受限制的访问 可以自定义的安全配置可以自定义的安全配置基于活动目录的集中化基于活动目录的集中化IPSec安全策略安全策略IPSec是一套基于开放标准的安全框架，采用加密是一套基于开放标准的安全框架，采用加密的方式保护的方式保护IP网络中的通信内容安全网络中的通信内容安全传输安全：使用传输安全：使用IPSec保护传送中数据保护传送中数据IPSec的应用情景的应用情景IPSec 可以应用在如下的情景：可以应用在如下的情景：用户保护主机到主机之间的通讯用户保护主机到主机之间的通讯 传输模式传输模式用于保护主机到特定网段或者两个网段用于保护主机到特定网段或者两个网段之间的通信之间的通信隧道模式隧道模式IPSec的传输模式的传输模式端对端的主机安全端对端的主机安全服务器隔离服务器隔离IPSec如何保护传输中的数据？如何保护传输中的数据？TCP层层IPSec 驱驱动动TCP 层层IPSec 驱驱动动加密的加密的IP数据包数据包3秘钥协商秘钥协商 (IKE)2IPSec 策策略略IPSec 策策略略1活动目录活动目录共享安全：共享安全：RMS提供的全方位保护提供的全方位保护Microsoft Rights Managementuu微软在文档安全和权限管理领域一直努力不断微软在文档安全和权限管理领域一直努力不断数字音乐、电子书籍、视频数字音乐、电子书籍、视频数字音乐、电子书籍、视频数字音乐、电子书籍、视频uu微软的两套数字版权保护方案：微软的两套数字版权保护方案：WindowsWindows版权管理服务版权管理服务版权管理服务版权管理服务Windows Rights Management Services (RMS)Windows Rights Management Services (RMS)WindowsWindows媒体版权管理媒体版权管理媒体版权管理媒体版权管理Windows Media Rights Manager (WM RM)Windows Media Rights Manager (WM RM)访问控制列表授权非授权安全边界安全边界安全边界安全边界文档版权的问题文档版权的问题解决方案的定义解决方案的定义uu版权管理系统应该满足：版权管理系统应该满足：版权管理系统应该满足：版权管理系统应该满足：允许个人和组织保护他们所持用的数据允许个人和组织保护他们所持用的数据允许个人和组织保护他们所持用的数据允许个人和组织保护他们所持用的数据可以细致的控制和配置权限可以细致的控制和配置权限可以细致的控制和配置权限可以细致的控制和配置权限禁止信息的复制、转发和修改禁止信息的复制、转发和修改禁止信息的复制、转发和修改禁止信息的复制、转发和修改针对组织数据的持久性保护针对组织数据的持久性保护针对组织数据的持久性保护针对组织数据的持久性保护uu版权管理系统无法做到：版权管理系统无法做到：版权管理系统无法做到：版权管理系统无法做到：万无一失的保护万无一失的保护万无一失的保护万无一失的保护在安全领域没有一劳永逸的办法在安全领域没有一劳永逸的办法在安全领域没有一劳永逸的办法在安全领域没有一劳永逸的办法无法针对模拟和手工复制进行保护无法针对模拟和手工复制进行保护无法针对模拟和手工复制进行保护无法针对模拟和手工复制进行保护Windows RMS的工作流程的工作流程信息作者信息作者接受方接受方RMS RMS 服务器服务器SQL数据库活动目录23452.作者对内容定义一系列的使用权限，兼通的应用程序在文档中实现设定，并嵌入加密部分。3.作者分发文件。4.接受方收到文件后，应用程序在打开时连接RMS服务器，并验证所有的设置。5.应用程序现实文档内容并实现所有的限制。1.原作者在第一次配制内容权限保护时收到一个识别身份证书。1受保护的文档格式受保护的文档格式a版权信息 w/ email addresses内容秘钥使用服务器的公钥进行加密发布者License文件的内容(Text, Pictures, metadata, etc)最终用户 Licenses内容秘钥(big random number)特定用户的权限使用用户的公钥进行加密在设置文件保护时创建在服务器允许特定用户访问后被加入使用内容秘钥进行加密。使用服务器的公钥进行加密使用用户的公钥进行加密RMS的演示的演示文档权限迁移工具介绍文档权限迁移工具介绍uuXcopy 如何将一个文件夹复制到另一个文件如何将一个文件夹复制到另一个文件夹中并保留其权限夹中并保留其权限xcopy xcopy sourcedestinationsourcedestination /O /X /E /H /K /O /X /E /H /K uu其他工具其他工具TechNet是什么是什么?uu只需轻轻点击，答案就在您的指尖只需轻轻点击，答案就在您的指尖只需轻轻点击，答案就在您的指尖只需轻轻点击，答案就在您的指尖对于对于对于对于IT IT 专业人员来说，专业人员来说，专业人员来说，专业人员来说，TechNet TechNet 是一个知识的宝库，你可是一个知识的宝库，你可是一个知识的宝库，你可是一个知识的宝库，你可以找到关于如何规划，部署和管理微软产品的的技术资源以找到关于如何规划，部署和管理微软产品的的技术资源以找到关于如何规划，部署和管理微软产品的的技术资源以找到关于如何规划，部署和管理微软产品的的技术资源uu每月发放包含最新信息的每月发放包含最新信息的每月发放包含最新信息的每月发放包含最新信息的 DVD DVD或者或者或者或者CDCD这是最权威的资源，可以帮助你评估、配置和维护微软产品。这是最权威的资源，可以帮助你评估、配置和维护微软产品。这是最权威的资源，可以帮助你评估、配置和维护微软产品。这是最权威的资源，可以帮助你评估、配置和维护微软产品。订阅订阅TechNetuu可以访问该站点可以访问该站点可以访问该站点可以访问该站点 在线资源和社区在线资源和社区在线资源和社区在线资源和社区订户订户订户订户- -仅仅提供在线服务仅仅提供在线服务仅仅提供在线服务仅仅提供在线服务TechNet 网站网站uu两周发放一次的中文电子快报两周发放一次的中文电子快报两周发放一次的中文电子快报两周发放一次的中文电子快报安全更新安全更新安全更新安全更新, , 新的资源等等新的资源等等新的资源等等新的资源等等TechNet 中文电子快报中文电子快报uu有关最新微软产品介绍和技术的简报有关最新微软产品介绍和技术的简报有关最新微软产品介绍和技术的简报有关最新微软产品介绍和技术的简报uu上机试验上机试验上机试验上机试验, “, “如何操作如何操作如何操作如何操作” ”等信息等信息等信息等信息TechNet 活动活动和网站消息和网站消息uu用户群用户群用户群用户群uu可管理的新闻组可管理的新闻组可管理的新闻组可管理的新闻组中文社区中文社区我们从哪里可以了解到我们从哪里可以了解到 TechNet?uu访问访问访问访问TechNetTechNet的官方网站的官方网站的官方网站的官方网站uu注册注册注册注册TechNetTechNet快报快报快报快报 uu加入到中文在线论坛加入到中文在线论坛加入到中文在线论坛加入到中文在线论坛 uu成为成为成为成为 TechNetTechNet的订户的订户的订户的订户 uu参与到更多的参与到更多的参与到更多的参与到更多的TechNetTechNet活动中或者在线了解活动中或者在线了解活动中或者在线了解活动中或者在线了解