在網絡上經常看到有朋友說Windows的作業系統的漏洞很多,安全性不高,伺服器經常被黑客入侵,其實不然。一個安全的伺服器的定義不僅僅是指硬體上的安全,更重要的是指作業系統方面的安全,設定一個安全的作業系統需要我們從細節一點點加強系統,通過綜合設定再加上管理人員的正常維護,才能打造真正意義上安全的伺服器。
在windows作業系統下,一些主要的分區格式有:FAT、FAT32以及NTFS格式,目前主流的磁盤格式均為NTFS格式,因為NTFS不但降低了磁盤空間的浪費,減少了産生磁盤碎片的可能,而且具有檔案加密和檔案壓縮的功能,最主要是NTFS格式最大限度地提升了安全性能,能夠更好的配置設定使用者權限,是以在安裝伺服器作業系統時,必須選擇NTFS格式的檔案系統來提高系統安全。
在安裝作業系統時就需要選擇使用NTFS檔案格式
<a href="http://blog.51cto.com/attachment/201310/143803631.png" target="_blank"></a>
1)在NTFS格式的磁盤中,我們可以通過在目錄或檔案屬性面闆的“安全”頁籤輕松設定使用者對此檔案或目錄各種權限
<a href="http://blog.51cto.com/attachment/201310/143806991.png" target="_blank"></a>
2)利用NTFS格式磁盤上卷影副本功能為伺服器磁盤自動建立副本,以便于以後資料還原
<a href="http://blog.51cto.com/attachment/201310/143810623.png" target="_blank"></a>
3)利用NTFS格式磁盤的磁盤配額能有效的限制使用者對磁盤使用容量
<a href="http://blog.51cto.com/attachment/201310/143813770.png" target="_blank"></a>
NTFS檔案系統與FAT/FAT32檔案系統相比最大的特點是安全性,NTFS提供了伺服器或工作站所需的安全保障。
NTFS檔案系統中,每一個檔案以及檔案夾NTFS都存儲一個通路控制清單(AccessControlList,ACL),通路控制清單包含所有被許可的使用者賬戶、組和計算機。ACL一定包含一個叫做"通路控制項"的項(AccessControlEntry,ACE)。如果在檔案或檔案夾的通路控制清單中經過驗證沒有相應的通路控制項,則對檔案的通路會被拒絕。
NTFS使用事務日志自動記錄所有檔案夾和檔案更新,當出現系統損壞和電源故障等問題而引起操作失敗後,系統能利用日志檔案重做或恢複未成功的操作。
(4)利用NTFS磁盤格式加密功能對目錄進行加密處理。
右鍵單擊要加密的檔案或檔案夾,然後單擊【屬性】,在【屬性】面闆選擇【正常】頁籤,然後單擊【進階】。選中【加密内容以便保護資料】複選框
<a href="http://blog.51cto.com/attachment/201310/143816115.png" target="_blank"></a>
NTFS磁盤格式下的加密使用的是EFS加密,加密後,此目錄将隻允許目前登入使用者通路,即使用其他管理者登入也無法檢視此目錄,除非使用者解除加密。而對于本使用者的通路卻是透明的,也就是說,如果你加密了一些資料,那麼你對這些資料的通路将是完全允許的,并不會受到任何限制。而其他非授權使用者試圖通路加密過的資料時,就會收到“通路拒絕”的錯誤提示。
EFS加密的使用者驗證過程是在登入Windows時進行的,隻要登入到Windows,就可以打開任何一個被授權的加密檔案。而對于本使用者的通路卻是透明的,這樣就保證了各使用者的隐私與檔案安全也兼顧了操作的友善。
EFS加密是基于公鑰政策的。在使用EFS加密一個檔案或檔案夾時,系統首先會生成一個由僞随機數組成的FEK(FileEncryptionKey,檔案加密鑰匙),然後将利用FEK和資料擴充标準X算法建立加密後的檔案,并把它存儲到硬碟上,同時删除未加密的原始檔案。
如果其他人想共享經過EFS加密的檔案或檔案夾,又該怎麼辦呢?由于重裝系統後,SID(安全标示符)的改變會使原來由EFS加密的檔案無法打開,是以為了保證别人能共享EFS加密檔案或者重裝系統後可以打開EFS加密檔案,必須要進行備份證書。
備份證書的操作方法如下:
①點選【開始】à【運作】菜單項,在出現的對話框中輸入“certmgr.msc”,回車後,在出現的“證書”對話框中依次輕按兩下展開【證書】à【目前使用者】à【個人】à【證書】選項,在右側欄目裡會出現以你的使用者名為名稱的證書
<a href="http://blog.51cto.com/attachment/201310/143819650.png" target="_blank"></a>
②選中該證書,點選滑鼠右鍵,選擇【所有任務】à【導出】指令,打開“證書導出向導”對話框
<a href="http://blog.51cto.com/attachment/201310/143823346.png" target="_blank"></a>
③在向導進行過程中,當出現“是否要将私鑰跟證書一起導出”提示時,要選擇【是,導出私鑰】選項,接着會出現向導提示要求密碼的對話框。為了安全起見,可以設定證書的安全密碼。當選擇好儲存的檔案名及檔案路徑後,點選“完成”按鈕即可順利将證書導出,此時會發現在儲存路徑上出現一個以PFX為擴充名的檔案,這就是所導出的證書
當其他使用者或重裝系統後欲使用該加密檔案時,隻需記住證書及密碼,然後在該證書上點選右鍵,選擇【安裝證書】指令,即可進入“證書導入向導”對話框。按預設狀态點選【下一步】按鈕,輸入正确的密碼後,即可完成證書的導入,這樣就可順利打開所加密的檔案。
本文轉自Tar0 51CTO部落格,原文連結:http://blog.51cto.com/tar0cissp/1308384,如需轉載請自行聯系原作者
![241 Different Ways to Add Parentheses(C代碼版)[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)