使用 FSRM、EFS 和 BitLocker 实现文件服务器安全

如今，组织将数据存储在许多地方，包括公司文件服务器和用户的个人设备。为了确保安全性和法规遵从性，IT 管理员需要严格控制对文件服务器上存储的数据的访问，并保护便携式设备上的数据，以最大限度地降低设备丢失或被盗时数据丢失或泄露的风险。

Windows Server 2022 提供了多种可帮助您保护数据的功能：

• 文件服务器资源管理器 (FSRM)
• 加密文件系统 (EFS)
• 比特锁

文件服务器资源管理器 (FSRM)

文件服务器保存用户和应用程序使用的大部分数据。 FSRM 是一组工具，可帮助您了解、控制和管理服务器上存储的数据的数量和类型。 FSRM 提供：

• 配额管理。您可以创建、获取和管理有关配额的信息，以设置卷或文件夹的存储限制。
• 文件筛选管理。您可以阻止特定文件类型存储在卷或文件夹上，或者在用户存储这些类型的文件时收到通知。

• 存储报告管理。您可以计划和配置有关 FSRM 组件和方面的报告，包括：

  • 配额使用情况
• 文件筛选活动
• 可能对容量管理产生负面影响的文件，例如大文件、重复文件或未使用的文件
• 根据所有者、文件组或特定文件属性列出和过滤的文件

加密文件系统 (EFS)

如果未经授权的用户可以物理访问设备（例如，如果他们窃取了用户的笔记本电脑或智能手机），他们就可以绕过文件安全性来访问数据。如果您使用 EFS 来保护数据，则未经授权的用户即使拥有设备的完全访问权限，也无法查看文件的内容。

具体来说，当授权用户打开加密文件时，EFS 在后台解密该文件并向应用程序提供未加密的副本。授权用户可以查看或修改文件，EFS 会将更改透明地保存为加密数据。如果未经授权的用户尝试执行相同的操作，他们会收到“访问被拒绝”错误。

EFS 提供以下重要功能：

• EFS 在文件级别工作，您可以在同一卷上拥有加密和未加密的文件。
• EFS 在后台运行，对用户和应用程序是透明的。
• 只有授权用户才能访问加密文件。
• 您可以使用数据恢复代理来恢复任何用户加密的数据。
• 您可以使用 EFS 在本地或通过网络加密文件。
• 在文件资源管理器中，默认情况下，EFS 以与未加密文件不同的颜色显示加密文件和文件夹。
• EFS 只能加密静态数据；当数据通过网络传输时，它不会加密数据。

比特锁

BitLocker 通过为 Windows 设备上存储的数据提供额外的保护层来补充 EFS。 BitLocker 可保护丢失或被盗的设备免遭数据被盗或泄露，并在您停用设备时提供安全的数据处理。

BitLocker 具有以下功能：

• BitLocker 可以加密整个卷（无论它包含 Windows 操作系统还是数据卷）或仅加密卷的已使用部分。
• BitLocker 可以使用可信平台模块 (TPM) 来保护 Windows 启动过程的完整性。 BitLocker 验证所需的启动文件未被篡改或修改。
• BitLocker 可能需要额外的身份验证，例如 PIN 或 USB 启动密钥。
• 您可以在启动时为 BitLocker 配置网络解锁。通过网络解锁，受 BitLocker 保护的设备在连接到受信任的公司网络时会自动启动；否则，您需要提供启动 PIN。
• 如果 TPM 发生故障或密码丢失，BitLocker 会提供恢复机制、48 位恢复密钥或恢复代理来访问卷数据。
• BitLocker 保护整个卷免受脱机攻击。
• 您可以将 BitLocker 与 EFS 结合使用。 BitLocker 在卷级别加密，而 EFS 在文件级别加密数据。
• BitLocker 开销极小；对于大多数安装，性能影响并不明显。