目前有家D公司,员工有30名,员工电脑(台式机)15台,公用电脑(连接打印机)1台,有部门4个,技术部,财务部,业务部,总经理室。要求通过现有的简单条件最大限度保证公司内部文件的安全。考虑到公司为简单的工作组环境,对每个员工电脑进行权限配置有点麻烦,因此文件安全主要在公用电脑上实现。每个部门的机密文件必须存放在公用电脑上,然后在公用电脑上通过NTFSEFS的组合实现其文件安全的要求。

主要实现过程如下:
A.     给公用电脑安装一个Windows Server 2003系统,方便服务的实现。但是我这里做实验的截图来自WIN7系统,界面可能有些许不同。
B.     文件权限设置
1)     在公用电脑上针对4个部门创建4个文件夹,同时创建1个公用文件夹.除原有的管理员用户外针对4个部门在用户管理项目中创建4个部门分组与4个用户,4个设置不同的密码。
 

EFS与NTFS联合应用解析_EFS加密 

 

EFS与NTFS联合应用解析_RAID_02

2)     公用电脑磁盘为NTFS格式,该文件格式有用户权限的设置。但是弄清楚各个权限的设置必须先弄明白权限继承规则。如下所述:
1       权限可以累加。
2       拒绝高于一切。
3       文件的权限高于文件夹。
4       新建的文件或文件夹会自动继承上组文件夹的NTFS权限。
5       继承的NTFS权限不能修改。
6       可以不继承上级的NTFS权限。
7       可以指定下级文件夹和文件强制继承来自上组的权限。
8       当使用禁止替代时无法覆盖无权限的下组文件或文件夹的权限。
9       当禁止替代与阻止继承发生冲突时,以最后一次操作为准。
10    具有读取权限的文件夹可以被复制到FAT32下。
3)现在以admin管理员账户为例,例如H盘对应所有的用户来说都是可以访问的,现在需要针对H盘里文件夹用户权限限制。以admin文件夹为例,现在要求除了admin这个用户,其他用户针对admin这个文件夹不具备访问权限。其设置如下:
 

EFS与NTFS联合应用解析_EFS加密_03

点击admin文件夹属性——安全——高级——更改权限——(点击取消包括可从该对象的父项继承的权限)——编辑——(选上仅将这些权限应用到此容器中的对象和/或容器)——依次确定。完成后即只有admin这个用户具备对admin文件的控制。依例,其他几个用户参照上述设置即可完成一一对应的权限限制。关于NTFS文件的安全选项还有审核和所有者的设置,这个需要大家自己多做一些实验,那样了解才能更深刻。
3)公用文件夹不做任何配置,直接继承H盘的权限,允许任何用户访问。
C.     文件夹EFS加密
4)针对4个文件夹用4个相对应的用户开启EFS保护功能,具体以技术部为例,过程如图所示:
 

EFS与NTFS联合应用解析_EFS加密_04

返回属性页面,单击确定按钮,弹出确认属性更改窗口,确保选择将更改应用于此文件夹、子文件夹和文件,单击确定。此时会弹出备份文件加密证书和密匙的窗口,单击现在备份
 

EFS与NTFS联合应用解析_磁盘配额_05

选择要使用的文件格式导出证书,我这里默认选择个人信息交换,其余的呈灰褐色,无法修改,将如果可能,则数据包括证书路径中的所有证书的复选框勾上,单击下一步继续.
 

EFS与NTFS联合应用解析_阵列_06

为了保证安全,请键入密码来保护私匙,单击下一步继续
 

EFS与NTFS联合应用解析_EFS加密_07

在文件名框中键入要导出的文件名称,单击下一步继续
 

EFS与NTFS联合应用解析_磁盘配额_08

最后单击完成按钮退出证书导出向导
 

EFS与NTFS联合应用解析_阵列_09

完成后可以看到文件夹变成绿色,用其他的用户名将无法访问。同时需对导出的密钥进行备份管理,最好存在随身的移动硬盘上,保证密钥安全。如果需要导入密钥

EFS与NTFS联合应用解析_磁盘配额_10,需输入之前设置的保护密码。

D.     用户磁盘配额设置
5)为了防止一些用户恶意的向部门文件夹上放置电影,电视剧等大文件,需对每个用户进行磁盘配额设置。具体如下:
点击H盘属性——配额(根据需求设置相应配额)——配额项——点击配额(新建配额项)——选择设置配额用户(JSB)——确定
 

EFS与NTFS联合应用解析_EFS加密_11

设置完成后测试,登录JSB用户,将一个大于512KB的文件复制到H盘。效果如下:
 

EFS与NTFS联合应用解析_RAID_12

测试成功,完成配置。
E.     文件共享:
6在工作组环境内实现员工电脑对公用电脑文件夹的局域网内访问。这里主要是文件夹共享权限的实现。共享权限有三种,为完全控制、更改、读取。但是,NTFS权限对从网络访问和本机登录的用户都起作用。
 

EFS与NTFS联合应用解析_EFS加密_13

共享权限和NTFS权限的联系和区别
1)共享权限是基于文件夹的,也就是说你只能够在文件夹上设置共享权限,不可能在文件上设置共享权限;NTFS权限是基于文件的,你既可以在文件夹上设置也可以在文件上设置.
2)共享权限只有当用户通过网络访问共享文件夹时才起作用,如果用户是本地登录计算机则共享权限不起作用;NTFS权限无论用户是通过网络还是本地登录使用文件都会起作用,只不过当用户通过网络访问文件时它会与共享权限联合起作用,规则是取最严格的权限设置.
3)共享权限与文件操作系统无关,只要设置共享就能够应用共享权限;NTFS权限必须是NTFS文件系统,否则不起作用.
7)共享权限和NTFS权限的特点:
1不管是共享的权限还是NTFS权限都有累加性。
2不管是共享权限还是NTFS权限都遵循拒绝权限超越其他权限。
3当一个账户通过网络访问一个共享文件夹,而这个文件夹又在一个NTFS分区上,那么用户最终的权限是它对该文件夹的共享权限与NTFS权限中最为严格的权限。如:一个人要进一个院子,两道门都开才能进去。门就好像是权限。
 
F.     磁盘备份设置:
8)这里磁盘备份我选择RAID 1阵列,主要是为了设置方便简单,同时保证数据的安全性。在公用电脑上使用两个独立动态磁盘中的两个未指派空间新建RAID-1镜像卷。实现过程如下:
(1) 在“计算机管理”窗口中的“磁盘管理”节点下,用鼠标右键单击准备新建镜像的动态磁盘之一,在弹出的快捷菜单中选择“新建卷”命令。打开“新建卷向导”对话框,并单击“下一步”按钮。
(2)  打开“选择卷类型”对话框,选中“镜像”单选框,并单击“下一步”按钮。
(3) 在打开的“选择磁盘”对话框中,单击“可用”列表框中的第二个动态磁盘并单击“添加”按钮,该动态磁盘将被添加到“已选的”列表框中。磁盘管理工具将自动调整用于这个镜像卷的空间大小,以便匹配两个磁盘中较小的未指派空间区域。当然也可以手动调整,使加入镜像的空间更小。单击“下一步”按钮。
(4) 打开“指派驱动器号和路径”对话框,保持“指派以下驱动器号”单选框的选中状态。选用默认的驱动器号,并单击“下一步”按钮。
(5) 在打开的“卷区格式化”对话框中,选中“快速格式化”复选框,并依次单击“下一步”→“完成”按钮。
(6)系统开始格式化该镜像卷并进行数据同步,同步过程需要花费一段时间。同步完成后镜像卷将显示为“状态良好”的状态信息。
至此,所有的操作基本完成,因为不是域环境,很多功能不能得以拓展,不过经过上述设置,文件的安全是可以得到保证的。