Windows Server 2016數據加密

■ 河南 郭建偉

編者按：對于Windows Server 2016來說，如何保護數據的安全性，是管理員必須面對的問題。實際上，在Windows Server 2016中已經內置了完善的加密功能，包括EFS和BitLocker加密機制。要想靈活的使用這些加密功能，需要對其進行深入的了解。這樣才可以在在實際使用過程中，有效的解決與之相關的各種問題。

EFS加密的運作機制

對于EFS加密來說，允許系統中的所有用戶加密自己的文件。和一般的加密軟件不同，EFS加密使用的是AES 256位加密算法，不需要用戶輸入密鑰，對于用戶來說，加密過程是完全透明的。

一旦加密完成，只有該用戶才可以打開加密文件，即使是管理員，也無權訪問這些文件。

實際上，EFS是使用證書中的私鑰對文件進行加密的，在默認情況下，其會生成或者申請用于加密的證書。如果沒有證書架構體系的話，其會幫助用戶生成自簽名證書。

當然，EFS加密必須依賴NTFS文件系統，當用戶將加密文件移動到別的NTFS分區時，系統會自動對其解密，然后執行移動和加密處理，該過程對于用戶是透明的，文件移動完成后依然處于加密狀態。在默認情況下，只有該用戶或者恢復代理可以打開加密文件。

例如以域用戶身份登錄某臺主機，選擇目標文件或文件夾，在其屬性窗口中的“常規”面板中點擊“高級”按鈕，選擇“加密內容以便保護數據”項，點擊確定按鈕，完成加密操作。

運行“mmc”程序，在控制臺中點擊菜單“文件”→“添加/刪除管理單元”項，在左側選擇“證書”項，點擊添加按鈕，選擇“我的用戶賬戶”項，將其添加進來。在左側選擇“證書”→“個人”→“證書”項，在右側顯示頒發給用戶的自簽名證書。

EFS就是使用該證書的私鑰對文件進行加密的。對于EFSL來說，其實際上使用了FEK（即File Encryption Key），來對用戶的文件進行直接加密。

而FEK自身也會被用戶證書中的公鑰進行加密，用戶需要使用證書中的私鑰對FEK進行解密，并通過FEK對文件進行解密。

可以看出，真正加密和解密文件的是FEK。對于用戶的私鑰來說，是使用用戶密碼的哈希值對其進行加密的。

對EFS加密進行管控

在實際的網絡環境中，需要部署證書頒發機構服務器，為用戶頒發證書，來更好的完成EFS加密操作。選擇上述自簽名證書，點擊工具欄上的刪除按鈕，將其刪除。

為了便于操作，可以登錄到Windows Server 2016域控服務器，在服務器管理器中點擊“添加角色和功能”項，在向導界面中選擇“Active Directory證書服務”項，完成該角色安裝。在配置界面中選擇“證書頒發機構”項，其余選項保持默認。這樣，當在客戶機上選擇目標文件夾，在去屬性窗口中選擇“加密內容以便保護數據”項，點擊確定按鈕，可以發現其操作速度變得遲緩，其實在后臺系統會向證書頒發機構服務器申請證書，

圖1 EFS加密屬性窗口

當申請完成后，才會使用FEK完成加密操作，然后使用證書對FEK進行加密。打開上述證書管理窗口，可以發現證書頒發機構為其發布的證書。對于這種基于證書架構體系的加密模式來說，域管理員可以需要來決定哪些用戶可以EFS加密，哪些用戶則不允許執行加密操作。在域控上打開組策略編輯器，在左側選擇“林”→“域”→“域名”項，在其中選擇某個OU，在其右鍵菜單上點擊“在這個域中創建GPO并在此處鏈接”項，輸入GPO的名稱（例如“EFSgpo”）。

在該GPO的右鍵菜單上點擊“編輯”項，在編輯窗口左側選擇“計算機配置”→“Windos設置”→“安全設置”→“公鑰策略”→“加密文件系統”項，在其右鍵菜單上點擊“屬性”項，在打開窗口選擇“不允許”項，點擊應用按鈕保存配置。當以該OU中的域用戶身份登錄客戶機后，執行“gpupdate /force”命令，來刷新組策略。這樣，其會無法使用EFS對文件進行加密。對應地，在上述組策略設置窗口中選擇“允許”項，允許執行EFS加密，并可以選擇是否加密用戶的文檔文件夾內容，創建或更改用戶密鑰時顯示密鑰備份通知等項目。在“證書”面板（如圖1）中的“自動證書申請的EFS模版”欄中顯示“基本 EFS”，說明其使用的是基本的EFS證書模版。

如果取消“允許EFS的證書頒發機構不可用時生成自簽名證書”項，那么就會禁止客戶端使用自簽名證書。打開證書頒發機構控制臺，在左側選擇“證書模版”項，在右側的右鍵菜單上點擊“管理”項，雙擊“基本EFS”項，在其屬性窗口中打開“安全”面板，可以看到只要是“Authenticated Users”（身份驗證的用戶）或者“Doamin Users”（域用戶）組的成員，都是可以注冊該證書的。利用這一特性，可以控制哪些用戶可以使用該證書模版。

例 如 選 擇“Domain Users”組，點擊刪除按鈕，將其從列表中清除。點擊“添加”按鈕，導入所需的組（例如“Domain Admins”等），之后選中這些組，在權限列表中的的“允許”列中選擇“注冊”項，這樣只有指定的組中的用戶才可以申請證書，來執行EFS加密操作。對于其他的用戶來說，是無法進行文件加密操作的。

使用EFS保護共享存儲

在一般情況下，EFS加密文件都是存儲在本地的。在網絡環境中，常常需要將加密文件存儲到共享文件夾或者文件服務器中，作為備份之用。為此管理員需要對文件服務器啟用委派功能，并為用戶創建對應的配置文件，在文件服務器中來生成所需的證書。當然，無論加密文件，創建配置文件的證書，對于用戶來說完全是透明的。

例如，當用戶在本地復制了加密文件夾后，在地址欄中的訪問“\filesrv.xxx.com”地址，來訪問目標文件服務器。當在其中粘貼時，系統會出現“確實要在不加密的情況下復制此文件夾？”的提示，點擊“是”按鈕，執行粘貼操作，系統先在本地對加密文件進行解密，之后將其上傳到文件服務器中。

圖2 啟用委派功能

在共享路徑中選擇該文件夾，在其屬性窗口中的“常規”面板中點擊“高級”按鈕，選擇“加密內容以便保護數據”項，試圖對其進行加密時，系統會出現“文件應用屬性時出錯”的提示，導致加密失敗。

為了解決該問題，需要在域控上打開Active Directory用戶和計算機窗口，在左側選擇“Computers”容器，在右側選擇目標文件服務器，在其屬性窗口中的“委派”面板（如圖2）中選擇“信任此計算機來委派任何服務( 僅限Kerberos)”項，點擊應用按鈕保存配置。

使用域管理員登錄文件服務器，在CMD窗口中執行“sysdm.cpl”命令，在系統屬性窗口中的“高級”面板中的“用戶配置文件”欄中點擊“設置”按鈕，在打開窗口中可以看到客戶端用戶的配置文件。雖然該客戶端用戶沒有登錄過本服務器，但是當其將文件上傳之后試圖執行加密操作時，系統就會自動創建該配置文件。

選擇該配置文件項目，點擊刪除按鈕將其清除。之后在客戶端上重新登錄，再次訪問共享文件夾。對上傳的文件進行加密，可以看到加密成功了。

當客戶端復制了個加密文件，將其轉帖到共享文件夾后，系統會先對其進行解密，之后將其上傳到共享路徑，然后對其進行加密。注意，在解密和加密的過程中，使用的是不同的證書。

使用恢復代理，找回加密數據

如果用戶誤操作（例如格式化C盤等），就會導致無法訪問其他磁盤上的加密文件。因為這會造成用戶證書異常的問題，沒有辦法使用證書來解開FEK密鑰，自然無法解密EFS加密文件。使用數據恢復代理功能，可以應對這一情況。

對于數據恢復代理來說，存在兩種不同的選項，其一是與EFS相關的，即允許設置另外一個用戶（一般為管理員），可以作為數據恢復代理的用戶，對于用戶加密的文件來說，數據恢復代理的用戶也是可以訪問的。

另外一種是和證書相關的，當用戶丟失了證書的私鑰，自然無法訪問加密文件。因為證書是由證書頒發機構頒發的，如果在證書頒發機構服務器存儲了用戶的私鑰，就可以很輕松的幫助用戶回復私鑰。用戶得到私鑰后，將其導入當前的系統中，就可以順利訪問EFS加密文件了。

這里以前者為例進行說明，當證書信息丟失后，在域控上打開組策略管理器，在左側選擇“l”→“域”→“域名” →“Default Doamin Policy”項，在 其 編 輯窗口中左側選擇“計算機配置”→“Windows設置”→“安全設置”→“公鑰策略”→“加密文件系統”項，在右側可以看到其已經配置好了文件恢復的代理項目。

默認是管理員頒發給自己的自簽名證書，這不適用于實際的生產環境，所以將其刪除掉。

在左側的“加密文件系統”項的右鍵菜單上點擊“創建數據恢復代理程序”項，其就會自動尋找證書頒發機構服務器，來申請新的證書，作為文件恢復代理之用。

之后選擇該證書，在其右鍵菜單上點擊“所有任務”→“導出”項，在向導界面中選擇“是，導出私鑰”項，輸入管理員密碼，將其導出為獨立的文件，例如“gly.pfx”。在客戶端上執行“gpedit /force”命令。來刷新組策略。

注意，這必須在系統處于正常狀態，即用戶沒有加密文件之前進行。

當用戶選擇目標文件或文件夾，在其屬性窗口中的“常規”面板中點擊“高級”按鈕，選擇“加密內容以便保護數據”項，點擊“詳細信息”按鈕，在“此文件由恢復策略定義的恢復證書”欄中可以看到恢復證書信息。

當用戶證書丟失后，可以將上述“gly.pfx”文件復制過來，雙擊該文件，輸入密碼后將其導入進來。這樣，就可以訪問加密文件了。

BitLocker加密的特點

EFS加密技術雖然簡單易用，但是卻存在一些不足，例如其無法對整個驅動器進行加密等。相比之下。BitLocker可以實現更加高級的加密操作。使用BitLocker不僅可以加密普通的磁盤，對于諸如Azure等云平臺中的虛擬機來說，同樣可以對VHD/VHDX等虛擬磁盤進行加密，從而有效保護其安全。

對于Windows 10等客戶機來說，可以打開控制面板，在系統和安全窗口中點擊“BitLocker驅動器加密”項，在對應的磁盤右側點擊“啟動BitLocker”項，來激活BitLocker加密功能。

圖3 使用BitLocker加密磁盤

對 于Windows Server 2016服務器來說，需要在服務器管理器中點擊“添加角色和功能”項，在向導界面中選擇“BitLocker驅動器加密”項，來安裝該角色。在目標驅動器的右鍵菜單上點擊“啟用BitLocker”項，在打開窗口（如圖3）中可以使用密碼的方式，對其進行加密操作。根據需要，可以將恢復密鑰備份到優盤，文件或者將其打印出來。例如將其備份到指定的文件，之后選擇新加密模式或者兼容模式（適用于加密移動存儲），執行加密的過程。

和EFS加 密 不 同，BitLocker僅僅是針對磁盤進行的，對于用戶則沒有限制。

BitLocker加密機制部署方式

在實際的生產環境中，如果每次訪問BitLocker加密盤，都需要輸入密碼的話，操作起來是比較繁瑣的。

其 實，BitLocker支 持多種解密方法，例如可以將Startup Key（可以理解為密鑰）保存到優盤中，利用該優盤直接解密。

對于公有云中的虛擬機來說，可以啟用虛擬TPM功能，來執行解密操作。

如果主機配置了TPM芯片，可以采用TPM+ Startup Key的方式，進行解密操作。

如果主機配置了TPM芯片和Smart Card設備，可以采用PM+PIN的方式，來實現解密操作。

當 然，如 果 采 用TPM+PIN+Startup Key的方式進行解密，無疑是安全性的。可以看出，Bitlocker提供了多種靈活的部署方式。

使用BitLocker保護虛擬機安全

例如對于Windows Server 2016的Hyper-V虛擬機中，增加了虛擬的TPM芯片的功能，可以有效保護虛擬機的安全。如果沒有啟用該功能，在默認情況下，雖然可以對虛擬機中的數據盤進行BitLocker加密，但是對系統盤進行加密時，系統會提示出錯信息。

運 行“gpedit.msc”程序，在組策略窗口左側選擇“計 算 機 配 置”→“管理 模 版”→“Windows組件”→“Bitlocker”→“操作系統驅動器”項，在右側雙擊“啟動時需要附加身份驗證”項，在打開窗口（如圖4）中選擇“已啟用”項，那么允許在沒有兼容的TPM時允許BitLocker加密系統盤。之后才可以對系統盤進行加密處理，可以使用密碼或者包含Startup Key的優盤進行解密。

圖4 啟用附加身份驗證功能

但是，對于公有云中的虛擬機來說，這樣的解密操作是難以實施的。在Hyper-V管理器中選擇目標虛擬機，在右側點擊“設置”按鈕，在打開窗口左側選擇“硬件”→“安全”項，在右側選擇“啟用受信任的平臺模塊”項，可以啟用虛擬的TPM芯片功能。進入虛擬機環境，打開組策略窗口，在上述配置窗口中選擇“未配置”項。默認情況下，Bitlocker就會識別到本機已經配置好了TPM芯片，之后就可以對系統盤進行加密處理，并將解密密鑰保存在TPM芯片中。當然，恢復密鑰是可以保存在指定的文件中，或者可以將其打印出來。這樣，當啟動該虛擬機時，系統就會自動從虛擬的TPM芯片中讀取密鑰，對系統盤進行解密操作。

利用活動目錄管理恢復密鑰

當用戶不慎將密鑰丟失后，可以使用恢復密鑰進行解密，可以將恢復密鑰保存優盤。文件中或者打印出來，但是如果用戶將恢復密鑰也丟失的話，是無法進行恢復的。為了解決這一問題，可以將恢復信息保存在活動目錄中，這樣就會使其變得更可靠更穩定，管理員可以據此來恢復用戶的加密數據。

圖5 使用BitLocker加密磁盤

以域管理員身份登錄啟用了Bitlocker加密功能的服務器，打開Active Directory用戶和計算機窗口，在左側選擇域名，在其右鍵菜單上點擊“委派控制”項，在向導界面中點擊下一步按鈕，在用戶或組窗口中點擊“添加”按鈕，在打開窗口中的額“輸入對象名稱來選擇”欄中輸入“self”，將其導入進來，即允許每臺主機在啟用BitLocker供后，可以向活動目錄寫入恢復密鑰信息。點擊下一步按鈕，選擇“創建自定義任務去委派”項，在下一步窗口中選擇“只是在這個文件夾中的下列對象”項，在列表中選擇“計算機 對象”項.

點擊下一步按鈕，在權限窗口（如圖5）中選擇“特定屬性”和“特定子對象的創建/刪除”項，在“權限”列表中選擇“寫入 msTPMTpminfomationForComputer”項，可以如果用戶擁有向活動目錄寫入恢復密鑰的權限。點擊完成按鈕，完成配置操作。

打開組策略編輯器，在左側選擇“計算機配置”→“管理 模 版”→“Windows組件”→“Bitl ocker驅動器加密”項，可以選擇不同類別的驅動器（包括操作系統驅動器，固定數據驅動器，可移動數據驅動器等），例如選擇操作系統驅動器，在右側雙擊“選擇如何才能恢復受BitLocker保護的操作系統驅動器”項，在其屬性窗口中選擇“已啟用”項，確保選擇“為操作系統驅動器將BitLocker恢復信息保存在AD DS中”項。

完成了以上配置后，當在指定的Windows Server 2016服務器執行了BitLocker加密操作后，恢復密鑰就會寫入到活動目錄中。以域管理員身份登錄服務器，打開Active Directory用戶和計算機窗口，在左側選擇“Computers”容器，在右側選擇目標主機，在其屬性窗口中打開“BitLocker恢復”面板，可看到寫入到活動目錄中的恢復密鑰項目。在“詳細信息”欄中顯詳細的密鑰信息。當用戶丟失了密鑰后，就可以利用這里提供的密鑰，來恢復加密磁盤。但是，對于Windows 10等客戶端主機來說，雖然之前啟用了BitLocker加密功能，但是在Active Directory用戶和計算機窗口打開這些主機時，卻沒發現恢復密鑰的信息。

為此可以使用Managebde工具，來允許其將恢復密鑰寫入到活動目錄中。在這些客戶機上中打開CMD窗口，執 行“manage-bd e-protectors -get d:”命令，來獲取指定驅動器（這里為D盤）的恢復密鑰信息，復制其中的數字密碼。執行“manage-bde -protectors-adbackup d: -id {xxx} ”命令，即可將指定磁盤的恢復密鑰寫入到活動目錄中。其中的“xxx”表示數字密碼。當然，在客戶機上也需要在組策略窗口中針對特定的驅動器，來允許其將恢復密鑰寫入到AD DS中。實際上，這里僅僅在本機上進行了配置，在實際的網絡環境中，需要在活動目錄的組策略中進行統一的配置，這樣操作起來就更加快捷。