Windows Server 2016數(shù)據(jù)加密

■ 河南 郭建偉

編者按：對于Windows Server 2016來說，如何保護(hù)數(shù)據(jù)的安全性，是管理員必須面對的問題。實際上，在Windows Server 2016中已經(jīng)內(nèi)置了完善的加密功能，包括EFS和BitLocker加密機(jī)制。要想靈活的使用這些加密功能，需要對其進(jìn)行深入的了解。這樣才可以在在實際使用過程中，有效的解決與之相關(guān)的各種問題。

EFS加密的運作機(jī)制

對于EFS加密來說，允許系統(tǒng)中的所有用戶加密自己的文件。和一般的加密軟件不同，EFS加密使用的是AES 256位加密算法，不需要用戶輸入密鑰，對于用戶來說，加密過程是完全透明的。

一旦加密完成，只有該用戶才可以打開加密文件，即使是管理員，也無權(quán)訪問這些文件。

實際上，EFS是使用證書中的私鑰對文件進(jìn)行加密的，在默認(rèn)情況下，其會生成或者申請用于加密的證書。如果沒有證書架構(gòu)體系的話，其會幫助用戶生成自簽名證書。

當(dāng)然，EFS加密必須依賴NTFS文件系統(tǒng)，當(dāng)用戶將加密文件移動到別的NTFS分區(qū)時，系統(tǒng)會自動對其解密，然后執(zhí)行移動和加密處理，該過程對于用戶是透明的，文件移動完成后依然處于加密狀態(tài)。在默認(rèn)情況下，只有該用戶或者恢復(fù)代理可以打開加密文件。

例如以域用戶身份登錄某臺主機(jī)，選擇目標(biāo)文件或文件夾，在其屬性窗口中的“常規(guī)”面板中點擊“高級”按鈕，選擇“加密內(nèi)容以便保護(hù)數(shù)據(jù)”項，點擊確定按鈕，完成加密操作。

運行“mmc”程序，在控制臺中點擊菜單“文件”→“添加/刪除管理單元”項，在左側(cè)選擇“證書”項，點擊添加按鈕，選擇“我的用戶賬戶”項，將其添加進(jìn)來。在左側(cè)選擇“證書”→“個人”→“證書”項，在右側(cè)顯示頒發(fā)給用戶的自簽名證書。

EFS就是使用該證書的私鑰對文件進(jìn)行加密的。對于EFSL來說，其實際上使用了FEK（即File Encryption Key），來對用戶的文件進(jìn)行直接加密。

而FEK自身也會被用戶證書中的公鑰進(jìn)行加密，用戶需要使用證書中的私鑰對FEK進(jìn)行解密，并通過FEK對文件進(jìn)行解密。

可以看出，真正加密和解密文件的是FEK。對于用戶的私鑰來說，是使用用戶密碼的哈希值對其進(jìn)行加密的。

對EFS加密進(jìn)行管控

在實際的網(wǎng)絡(luò)環(huán)境中，需要部署證書頒發(fā)機(jī)構(gòu)服務(wù)器，為用戶頒發(fā)證書，來更好的完成EFS加密操作。選擇上述自簽名證書，點擊工具欄上的刪除按鈕，將其刪除。

為了便于操作，可以登錄到Windows Server 2016域控服務(wù)器，在服務(wù)器管理器中點擊“添加角色和功能”項，在向?qū)Ы缑嬷羞x擇“Active Directory證書服務(wù)”項，完成該角色安裝。在配置界面中選擇“證書頒發(fā)機(jī)構(gòu)”項，其余選項保持默認(rèn)。這樣，當(dāng)在客戶機(jī)上選擇目標(biāo)文件夾，在去屬性窗口中選擇“加密內(nèi)容以便保護(hù)數(shù)據(jù)”項，點擊確定按鈕，可以發(fā)現(xiàn)其操作速度變得遲緩，其實在后臺系統(tǒng)會向證書頒發(fā)機(jī)構(gòu)服務(wù)器申請證書，

圖1 EFS加密屬性窗口

當(dāng)申請完成后，才會使用FEK完成加密操作，然后使用證書對FEK進(jìn)行加密。打開上述證書管理窗口，可以發(fā)現(xiàn)證書頒發(fā)機(jī)構(gòu)為其發(fā)布的證書。對于這種基于證書架構(gòu)體系的加密模式來說，域管理員可以需要來決定哪些用戶可以EFS加密，哪些用戶則不允許執(zhí)行加密操作。在域控上打開組策略編輯器，在左側(cè)選擇“林”→“域”→“域名”項，在其中選擇某個OU，在其右鍵菜單上點擊“在這個域中創(chuàng)建GPO并在此處鏈接”項，輸入GPO的名稱（例如“EFSgpo”）。

在該GPO的右鍵菜單上點擊“編輯”項，在編輯窗口左側(cè)選擇“計算機(jī)配置”→“Windos設(shè)置”→“安全設(shè)置”→“公鑰策略”→“加密文件系統(tǒng)”項，在其右鍵菜單上點擊“屬性”項，在打開窗口選擇“不允許”項，點擊應(yīng)用按鈕保存配置。當(dāng)以該OU中的域用戶身份登錄客戶機(jī)后，執(zhí)行“gpupdate /force”命令，來刷新組策略。這樣，其會無法使用EFS對文件進(jìn)行加密。對應(yīng)地，在上述組策略設(shè)置窗口中選擇“允許”項，允許執(zhí)行EFS加密，并可以選擇是否加密用戶的文檔文件夾內(nèi)容，創(chuàng)建或更改用戶密鑰時顯示密鑰備份通知等項目。在“證書”面板（如圖1）中的“自動證書申請的EFS模版”欄中顯示“基本 EFS”，說明其使用的是基本的EFS證書模版。

如果取消“允許EFS的證書頒發(fā)機(jī)構(gòu)不可用時生成自簽名證書”項，那么就會禁止客戶端使用自簽名證書。打開證書頒發(fā)機(jī)構(gòu)控制臺，在左側(cè)選擇“證書模版”項，在右側(cè)的右鍵菜單上點擊“管理”項，雙擊“基本EFS”項，在其屬性窗口中打開“安全”面板，可以看到只要是“Authenticated Users”（身份驗證的用戶）或者“Doamin Users”（域用戶）組的成員，都是可以注冊該證書的。利用這一特性，可以控制哪些用戶可以使用該證書模版。

例 如 選 擇“Domain Users”組，點擊刪除按鈕，將其從列表中清除。點擊“添加”按鈕，導(dǎo)入所需的組（例如“Domain Admins”等），之后選中這些組，在權(quán)限列表中的的“允許”列中選擇“注冊”項，這樣只有指定的組中的用戶才可以申請證書，來執(zhí)行EFS加密操作。對于其他的用戶來說，是無法進(jìn)行文件加密操作的。

使用EFS保護(hù)共享存儲

在一般情況下，EFS加密文件都是存儲在本地的。在網(wǎng)絡(luò)環(huán)境中，常常需要將加密文件存儲到共享文件夾或者文件服務(wù)器中，作為備份之用。為此管理員需要對文件服務(wù)器啟用委派功能，并為用戶創(chuàng)建對應(yīng)的配置文件，在文件服務(wù)器中來生成所需的證書。當(dāng)然，無論加密文件，創(chuàng)建配置文件的證書，對于用戶來說完全是透明的。

例如，當(dāng)用戶在本地復(fù)制了加密文件夾后，在地址欄中的訪問“\filesrv.xxx.com”地址，來訪問目標(biāo)文件服務(wù)器。當(dāng)在其中粘貼時，系統(tǒng)會出現(xiàn)“確實要在不加密的情況下復(fù)制此文件夾？”的提示，點擊“是”按鈕，執(zhí)行粘貼操作，系統(tǒng)先在本地對加密文件進(jìn)行解密，之后將其上傳到文件服務(wù)器中。

圖2 啟用委派功能

在共享路徑中選擇該文件夾，在其屬性窗口中的“常規(guī)”面板中點擊“高級”按鈕，選擇“加密內(nèi)容以便保護(hù)數(shù)據(jù)”項，試圖對其進(jìn)行加密時，系統(tǒng)會出現(xiàn)“文件應(yīng)用屬性時出錯”的提示，導(dǎo)致加密失敗。

為了解決該問題，需要在域控上打開Active Directory用戶和計算機(jī)窗口，在左側(cè)選擇“Computers”容器，在右側(cè)選擇目標(biāo)文件服務(wù)器，在其屬性窗口中的“委派”面板（如圖2）中選擇“信任此計算機(jī)來委派任何服務(wù)( 僅限Kerberos)”項，點擊應(yīng)用按鈕保存配置。

使用域管理員登錄文件服務(wù)器，在CMD窗口中執(zhí)行“sysdm.cpl”命令，在系統(tǒng)屬性窗口中的“高級”面板中的“用戶配置文件”欄中點擊“設(shè)置”按鈕，在打開窗口中可以看到客戶端用戶的配置文件。雖然該客戶端用戶沒有登錄過本服務(wù)器，但是當(dāng)其將文件上傳之后試圖執(zhí)行加密操作時，系統(tǒng)就會自動創(chuàng)建該配置文件。

選擇該配置文件項目，點擊刪除按鈕將其清除。之后在客戶端上重新登錄，再次訪問共享文件夾。對上傳的文件進(jìn)行加密，可以看到加密成功了。

當(dāng)客戶端復(fù)制了個加密文件，將其轉(zhuǎn)帖到共享文件夾后，系統(tǒng)會先對其進(jìn)行解密，之后將其上傳到共享路徑，然后對其進(jìn)行加密。注意，在解密和加密的過程中，使用的是不同的證書。

使用恢復(fù)代理，找回加密數(shù)據(jù)

如果用戶誤操作（例如格式化C盤等），就會導(dǎo)致無法訪問其他磁盤上的加密文件。因為這會造成用戶證書異常的問題，沒有辦法使用證書來解開FEK密鑰，自然無法解密EFS加密文件。使用數(shù)據(jù)恢復(fù)代理功能，可以應(yīng)對這一情況。

對于數(shù)據(jù)恢復(fù)代理來說，存在兩種不同的選項，其一是與EFS相關(guān)的，即允許設(shè)置另外一個用戶（一般為管理員），可以作為數(shù)據(jù)恢復(fù)代理的用戶，對于用戶加密的文件來說，數(shù)據(jù)恢復(fù)代理的用戶也是可以訪問的。

另外一種是和證書相關(guān)的，當(dāng)用戶丟失了證書的私鑰，自然無法訪問加密文件。因為證書是由證書頒發(fā)機(jī)構(gòu)頒發(fā)的，如果在證書頒發(fā)機(jī)構(gòu)服務(wù)器存儲了用戶的私鑰，就可以很輕松的幫助用戶回復(fù)私鑰。用戶得到私鑰后，將其導(dǎo)入當(dāng)前的系統(tǒng)中，就可以順利訪問EFS加密文件了。

這里以前者為例進(jìn)行說明，當(dāng)證書信息丟失后，在域控上打開組策略管理器，在左側(cè)選擇“l(fā)”→“域”→“域名” →“Default Doamin Policy”項，在 其 編 輯窗口中左側(cè)選擇“計算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“公鑰策略”→“加密文件系統(tǒng)”項，在右側(cè)可以看到其已經(jīng)配置好了文件恢復(fù)的代理項目。

默認(rèn)是管理員頒發(fā)給自己的自簽名證書，這不適用于實際的生產(chǎn)環(huán)境，所以將其刪除掉。

在左側(cè)的“加密文件系統(tǒng)”項的右鍵菜單上點擊“創(chuàng)建數(shù)據(jù)恢復(fù)代理程序”項，其就會自動尋找證書頒發(fā)機(jī)構(gòu)服務(wù)器，來申請新的證書，作為文件恢復(fù)代理之用。

之后選擇該證書，在其右鍵菜單上點擊“所有任務(wù)”→“導(dǎo)出”項，在向?qū)Ы缑嬷羞x擇“是，導(dǎo)出私鑰”項，輸入管理員密碼，將其導(dǎo)出為獨立的文件，例如“gly.pfx”。在客戶端上執(zhí)行“gpedit /force”命令。來刷新組策略。

注意，這必須在系統(tǒng)處于正常狀態(tài)，即用戶沒有加密文件之前進(jìn)行。

當(dāng)用戶選擇目標(biāo)文件或文件夾，在其屬性窗口中的“常規(guī)”面板中點擊“高級”按鈕，選擇“加密內(nèi)容以便保護(hù)數(shù)據(jù)”項，點擊“詳細(xì)信息”按鈕，在“此文件由恢復(fù)策略定義的恢復(fù)證書”欄中可以看到恢復(fù)證書信息。

當(dāng)用戶證書丟失后，可以將上述“gly.pfx”文件復(fù)制過來，雙擊該文件，輸入密碼后將其導(dǎo)入進(jìn)來。這樣，就可以訪問加密文件了。

BitLocker加密的特點

EFS加密技術(shù)雖然簡單易用，但是卻存在一些不足，例如其無法對整個驅(qū)動器進(jìn)行加密等。相比之下。BitLocker可以實現(xiàn)更加高級的加密操作。使用BitLocker不僅可以加密普通的磁盤，對于諸如Azure等云平臺中的虛擬機(jī)來說，同樣可以對VHD/VHDX等虛擬磁盤進(jìn)行加密，從而有效保護(hù)其安全。

對于Windows 10等客戶機(jī)來說，可以打開控制面板，在系統(tǒng)和安全窗口中點擊“BitLocker驅(qū)動器加密”項，在對應(yīng)的磁盤右側(cè)點擊“啟動BitLocker”項，來激活BitLocker加密功能。

圖3 使用BitLocker加密磁盤

對 于Windows Server 2016服務(wù)器來說，需要在服務(wù)器管理器中點擊“添加角色和功能”項，在向?qū)Ы缑嬷羞x擇“BitLocker驅(qū)動器加密”項，來安裝該角色。在目標(biāo)驅(qū)動器的右鍵菜單上點擊“啟用BitLocker”項，在打開窗口（如圖3）中可以使用密碼的方式，對其進(jìn)行加密操作。根據(jù)需要，可以將恢復(fù)密鑰備份到優(yōu)盤，文件或者將其打印出來。例如將其備份到指定的文件，之后選擇新加密模式或者兼容模式（適用于加密移動存儲），執(zhí)行加密的過程。

和EFS加 密 不 同，BitLocker僅僅是針對磁盤進(jìn)行的，對于用戶則沒有限制。

BitLocker加密機(jī)制部署方式

在實際的生產(chǎn)環(huán)境中，如果每次訪問BitLocker加密盤，都需要輸入密碼的話，操作起來是比較繁瑣的。

其 實，BitLocker支 持多種解密方法，例如可以將Startup Key（可以理解為密鑰）保存到優(yōu)盤中，利用該優(yōu)盤直接解密。

對于公有云中的虛擬機(jī)來說，可以啟用虛擬TPM功能，來執(zhí)行解密操作。

如果主機(jī)配置了TPM芯片，可以采用TPM+ Startup Key的方式，進(jìn)行解密操作。

如果主機(jī)配置了TPM芯片和Smart Card設(shè)備，可以采用PM+PIN的方式，來實現(xiàn)解密操作。

當(dāng) 然，如 果 采 用TPM+PIN+Startup Key的方式進(jìn)行解密，無疑是安全性的。可以看出，Bitlocker提供了多種靈活的部署方式。

使用BitLocker保護(hù)虛擬機(jī)安全

例如對于Windows Server 2016的Hyper-V虛擬機(jī)中，增加了虛擬的TPM芯片的功能，可以有效保護(hù)虛擬機(jī)的安全。如果沒有啟用該功能，在默認(rèn)情況下，雖然可以對虛擬機(jī)中的數(shù)據(jù)盤進(jìn)行BitLocker加密，但是對系統(tǒng)盤進(jìn)行加密時，系統(tǒng)會提示出錯信息。

運 行“gpedit.msc”程序，在組策略窗口左側(cè)選擇“計 算 機(jī) 配 置”→“管理 模 版”→“Windows組件”→“Bitlocker”→“操作系統(tǒng)驅(qū)動器”項，在右側(cè)雙擊“啟動時需要附加身份驗證”項，在打開窗口（如圖4）中選擇“已啟用”項，那么允許在沒有兼容的TPM時允許BitLocker加密系統(tǒng)盤。之后才可以對系統(tǒng)盤進(jìn)行加密處理，可以使用密碼或者包含Startup Key的優(yōu)盤進(jìn)行解密。

圖4 啟用附加身份驗證功能

但是，對于公有云中的虛擬機(jī)來說，這樣的解密操作是難以實施的。在Hyper-V管理器中選擇目標(biāo)虛擬機(jī)，在右側(cè)點擊“設(shè)置”按鈕，在打開窗口左側(cè)選擇“硬件”→“安全”項，在右側(cè)選擇“啟用受信任的平臺模塊”項，可以啟用虛擬的TPM芯片功能。進(jìn)入虛擬機(jī)環(huán)境，打開組策略窗口，在上述配置窗口中選擇“未配置”項。默認(rèn)情況下，Bitlocker就會識別到本機(jī)已經(jīng)配置好了TPM芯片，之后就可以對系統(tǒng)盤進(jìn)行加密處理，并將解密密鑰保存在TPM芯片中。當(dāng)然，恢復(fù)密鑰是可以保存在指定的文件中，或者可以將其打印出來。這樣，當(dāng)啟動該虛擬機(jī)時，系統(tǒng)就會自動從虛擬的TPM芯片中讀取密鑰，對系統(tǒng)盤進(jìn)行解密操作。

利用活動目錄管理恢復(fù)密鑰

當(dāng)用戶不慎將密鑰丟失后，可以使用恢復(fù)密鑰進(jìn)行解密，可以將恢復(fù)密鑰保存優(yōu)盤。文件中或者打印出來，但是如果用戶將恢復(fù)密鑰也丟失的話，是無法進(jìn)行恢復(fù)的。為了解決這一問題，可以將恢復(fù)信息保存在活動目錄中，這樣就會使其變得更可靠更穩(wěn)定，管理員可以據(jù)此來恢復(fù)用戶的加密數(shù)據(jù)。

圖5 使用BitLocker加密磁盤

以域管理員身份登錄啟用了Bitlocker加密功能的服務(wù)器，打開Active Directory用戶和計算機(jī)窗口，在左側(cè)選擇域名，在其右鍵菜單上點擊“委派控制”項，在向?qū)Ы缑嬷悬c擊下一步按鈕，在用戶或組窗口中點擊“添加”按鈕，在打開窗口中的額“輸入對象名稱來選擇”欄中輸入“self”，將其導(dǎo)入進(jìn)來，即允許每臺主機(jī)在啟用BitLocker供后，可以向活動目錄寫入恢復(fù)密鑰信息。點擊下一步按鈕，選擇“創(chuàng)建自定義任務(wù)去委派”項，在下一步窗口中選擇“只是在這個文件夾中的下列對象”項，在列表中選擇“計算機(jī) 對象”項.

點擊下一步按鈕，在權(quán)限窗口（如圖5）中選擇“特定屬性”和“特定子對象的創(chuàng)建/刪除”項，在“權(quán)限”列表中選擇“寫入 msTPMTpminfomationForComputer”項，可以如果用戶擁有向活動目錄寫入恢復(fù)密鑰的權(quán)限。點擊完成按鈕，完成配置操作。

打開組策略編輯器，在左側(cè)選擇“計算機(jī)配置”→“管理 模 版”→“Windows組件”→“Bitl ocker驅(qū)動器加密”項，可以選擇不同類別的驅(qū)動器（包括操作系統(tǒng)驅(qū)動器，固定數(shù)據(jù)驅(qū)動器，可移動數(shù)據(jù)驅(qū)動器等），例如選擇操作系統(tǒng)驅(qū)動器，在右側(cè)雙擊“選擇如何才能恢復(fù)受BitLocker保護(hù)的操作系統(tǒng)驅(qū)動器”項，在其屬性窗口中選擇“已啟用”項，確保選擇“為操作系統(tǒng)驅(qū)動器將BitLocker恢復(fù)信息保存在AD DS中”項。

完成了以上配置后，當(dāng)在指定的Windows Server 2016服務(wù)器執(zhí)行了BitLocker加密操作后，恢復(fù)密鑰就會寫入到活動目錄中。以域管理員身份登錄服務(wù)器，打開Active Directory用戶和計算機(jī)窗口，在左側(cè)選擇“Computers”容器，在右側(cè)選擇目標(biāo)主機(jī)，在其屬性窗口中打開“BitLocker恢復(fù)”面板，可看到寫入到活動目錄中的恢復(fù)密鑰項目。在“詳細(xì)信息”欄中顯詳細(xì)的密鑰信息。當(dāng)用戶丟失了密鑰后，就可以利用這里提供的密鑰，來恢復(fù)加密磁盤。但是，對于Windows 10等客戶端主機(jī)來說，雖然之前啟用了BitLocker加密功能，但是在Active Directory用戶和計算機(jī)窗口打開這些主機(jī)時，卻沒發(fā)現(xiàn)恢復(fù)密鑰的信息。

為此可以使用Managebde工具，來允許其將恢復(fù)密鑰寫入到活動目錄中。在這些客戶機(jī)上中打開CMD窗口，執(zhí) 行“manage-bd e-protectors -get d:”命令，來獲取指定驅(qū)動器（這里為D盤）的恢復(fù)密鑰信息，復(fù)制其中的數(shù)字密碼。執(zhí)行“manage-bde -protectors-adbackup d: -id {xxx} ”命令，即可將指定磁盤的恢復(fù)密鑰寫入到活動目錄中。其中的“xxx”表示數(shù)字密碼。當(dāng)然，在客戶機(jī)上也需要在組策略窗口中針對特定的驅(qū)動器，來允許其將恢復(fù)密鑰寫入到AD DS中。實際上，這里僅僅在本機(jī)上進(jìn)行了配置，在實際的網(wǎng)絡(luò)環(huán)境中，需要在活動目錄的組策略中進(jìn)行統(tǒng)一的配置，這樣操作起來就更加快捷。