Windows Server 2016提供的功能很多,但實際上許多進階且強大的安全性功能只會應用在某些特殊的需求,因此防守好資訊安全的基本面,才是保護IT運作環境的上上策。以下就一同來探討學習Windows網路架構中除了防火牆、防毒以及更新管理外的另一項基礎安全管理:密碼與加密管理。
只要以管理員的帳戶登入系統,然後在「開始」→「執行」視窗中輸入「gpupdate.msc」並執行。接著在「本機群組原則編輯器」視窗內,展開至「電腦設定」→「Windows設定」→「安全性設定」→「帳戶員則」→「密碼原則」節點下,最後開啟「密碼必須符合複雜度性要求」屬性頁面,將它修改成「已停用」即可。完成設定修改後立即生效,無須重新開機。
上述透過本機群組原則編輯器的解決方案,雖然很有用但卻不太適合運用在多部獨立Windows Server的管理,因為操作起來實在太沒有效率了。為此建議改用命令設定方法來完成。如圖10所示,依序完成以下命令的執行即可:
 |
| ▲圖10 以命令關閉本機密碼複雜度要求。 |
若要在多部Windows Server主機中執行,只要將這些命令全部輸入在一個自訂的.ps1腳本程式即可。至於整個腳本程式的撰寫,主要是將密碼複雜度功能設定關閉(PasswordComplexity = 0),然後讓本機的系統安全性設定,參考所建立的secpol.cfg設定值。最後,移除暫時所建立的secpol.cfg檔案。
如何提供用戶需要的EFS加密憑證
想要在Active Directory架構中藉由EFS功能來加解密重要的檔案,基本上準備「基本EFS」與「EFS修復代理」兩種憑證是必須的,前者為提供所有於網域中需要使用EFS加解密的使用者所必備,讓這些使用者對於所加密的檔案能夠加入其他同樣擁有EFS憑證的使用者來共用存取,而非只是在本機加密使用。
至於後者則是屬於檔案修復憑證(也稱EFS DRA憑證),主要用途就是能夠將任何已被使用者以基本EFS憑證加密的檔案解除加密設定,常見的情境就是原加密者已經離職,這時候便得仰賴網域管理員或是已被授權取得該憑證的人員,將這些檔案資料解鎖。
 |
| ▲圖11 進入憑證範本主控台。 |
無論是哪一種憑證,都會有相對應的憑證範本,而這些憑證範本便決定了哪一些人員可以進行註冊。從「系統管理工具」中開啟「憑證授權單位」介面,然後在「憑證範本」節點上按一下滑鼠右鍵,待開啟快速選單後點選【管理】,即可開啟「憑證範本主控台」介面,如圖11所示。
接下來,建議開啟「基本EFS」屬性。如圖12所示,在〔安全性〕頁籤內便可以決定哪一些使用者或群組能夠讀取以及註冊此範本,在系統預設的狀態下,只要是Domino Users的成員皆可以註冊此憑證,若只想讓特定的人員可以註冊,在此完成修改即可。此外,也建議一併完成檔案修復憑證範本的安全性設定,以便讓相關的管理人員能夠擁有此憑證的註冊權限。
 |
| ▲圖12 指定基本EFS憑證範本內容。 |
用戶端如何申請基本EFS憑證
針對使用Windows企業版或專業版的用戶,即使沒有組織的EFS憑證,一樣可以針對資料夾或檔案進行加密保護,可是卻無法對於個別重要且敏感的檔案完成加密式的多人共用存取,如此在企業內部人員協同合作的環境內便較不適用。為此,就必須要讓所有需要使用到EFS加密保護的人員,都必須預先在他們的電腦內安裝好EFS憑證。
關於用戶端使用者的EFS憑證安裝,首先必須注意的是所登入的網域帳戶,得至少擁有本機管理員的權限,也就是說,該人員的網域帳戶必須先由網域管理人員幫他加入至本機的Administrators群組內。接著就可以執行MMC命令來開啟管理主控台介面,並且新增以目前使用者為基礎的「憑證」嵌入式管理單元。
成功新增後,在「個人」節點內按一下滑鼠右鍵,開啟快速選單,然後依序點選【所有工作】→【要求新憑證】。
在「要求憑證」頁面中,系統預設狀態下,一般網域使用者群組的成員,只會看到「使用者」和「基本EFS」兩種可以註冊的憑證類型,不過若有自行調整過前面所介紹的憑證註冊權限設定,那就另當別論。
在勾選「基本EFS」選項後,按下〔註冊〕即可。圖13所示便是成功註冊「基本EFS」憑證的結果頁面,從中可以發現此憑證的有效期間為365天,這表示一旦超過了這個期限,該憑證就必須更新或重新註冊後才能繼續使用。完成憑證註冊後,將可以在「個人」→「憑證」節點中查看到。
 |
| ▲圖13 完成憑證註冊。 |