① cisco交換機安全配置設定命令
cisco交換機安全配置設定命令大全
思科交換機的安全怎麼設置,下面為大家分交換機安全設置的配置命令,希望對同學們學習思科交換機有所幫助!
一、交換機訪問控制安全配置
1、對交換機特權模式設置密碼盡量採用加密和md5 hash方式
switch(config)#enable secret 5 pass_string
其中 0 Specifies an UNENCRYPTED password will follow
5 Specifies an ENCRYPTED secret will follow
建議不要採用enable password pass_sting密碼,破解及其容易!
2、設置對交換機明文密碼自動進行加密隱藏
switch(config)#service password-encryption
3、為提高交換機管理的靈活性,建議許可權分級管理並建立多用戶
switch(config)#enable secret level 7 5 pass_string7 /7級用戶進入特權模式的密碼
switch(config)#enable secret 5 pass_string15 /15級用戶進入特權模式的密碼
switch(config)#username userA privilege 7 secret 5 pass_userA
switch(config)#username userB privilege 15 secret 5 pass_userB
/為7級,15級用戶設置用戶名和密碼,Cisco privilege level分為0-15級,級別越高許可權越大
switch(config)#privilege exec level 7 commands
/為7級用戶設置可執行的命令,其中commands可以根據分配給用戶的許可權自行定義
4、本地console口訪問安全配置
switch(config)#line console 0
switch(config-line)#exec-timeout 5 0 /設置不執行命令操作的超時時間,單位為分鍾和秒
switch(config-line)#logging synchronous
/強制對彈出的干擾日誌信息進行回車換行,使用戶輸入的命令連續可見
設置登錄console口進行密碼驗證
方式(1):本地認證
switch(config-line)#password 7 pass_sting /設置加密密碼
switch(config-line)#login /啟用登錄驗證
方式(2):本地AAA認證
switch(config)#aaa new-model /啟用AAA認證
switch(config)#aaa authentication login console-in group acsserver local
enable
/設置認證列表console-in優先依次為ACS Server,local用戶名和密碼,enable特權密碼
switch(config)#line console 0
switch(config-line)# login authentication console-in
/調用authentication設置的console-in列表
5、遠程vty訪問控制安全配置
switch(config)#access-list 18 permit host x.x.x.x
/設置標准訪問控制列表定義可遠程訪問的PC主機
switch(config)#aaa authentication login vty-in group acsserver local
enable
/設置認證列表vty-in, 優先依次為ACS Server,local用戶名和密碼,enable特權密碼
switch(config)#aaa authorization commands 7 vty-in group acsserver local
if-authenticated
/為7級用戶定義vty-in授權列表,優先依次為ACS Server,local授權
switch(config)#aaa authorization commands 15 vty-in group acsserver local
if-authenticated
/為15級用戶定義vty-in授權列表,優先依次為ACS Server,local授權
switch(config)#line vty 0 15
switch(config-line)#access-class 18 in /在線路模式下調用前面定義的標准ACL 18
switch(config-line)#exec-timeout 5 0 /設置不執行命令操作的超時時間,單位為分鍾和秒
switch(config-line)#authorization commands 7 vty-in /調用設置的授權列表vty-in
switch(config-line)#authorization commands 15 vty-in
switch(config-line)#logging synchronous
/強制對彈出的干擾日誌信息進行回車換行,使用戶輸入的命令連續可見
switch(config-line)#login authentication vty-in
/調用authentication設置的vty-in列表
switch(config-line)#transport input ssh
/有Telnet協議不安全,僅允許通過ssh協議進行遠程登錄管理
6、AAA安全配置
switch(config)#aaa group server tacacs+ acsserver /設置AAA伺服器組名
switch(config-sg-tacacs+)#server x.x.x.x /設置AAA伺服器組成員伺服器ip
switch(config-sg-tacacs+)#server x.x.x.x
switch(config-sg-tacacs+)#exit
switch(config)# tacacs-server key paa_string /設置同tacacs-server伺服器通信的密鑰
二、交換機網路服務安全配置
禁用不需要的各種服務協議
switch(config)#no service pad
switch(config)#no service finger
switch(config)#no service tcp-small-servers
switch(config)#no service udp-small-servers
switch(config)#no service config
switch(config)#no service ftp
switch(config)#no ip http server
switch(config)#no ip http secure-server
/關閉http,https遠程web管理服務,默認cisco交換機是啟用的
三、交換機防攻擊安全加固配置
MAC Flooding(泛洪)和Spoofing(欺騙)攻擊
預防方法:有效配置交換機port-security
STP攻擊
預防方法:有效配置root guard,bpguard,bpfilter
VLAN,DTP攻擊
預防方法:設置專用的native vlan;不要的介面shut或將埠模式改為access
DHCP攻擊
預防方法:設置dhcp snooping
ARP攻擊
預防方法:在啟用dhcp snooping功能下配置DAI和port-security在級聯上層交換機的trunk下
switch(config)#int gi x/x/x
switch(config-if)#sw mode trunk
switch(config-if)#sw trunk encaps dot1q
switch(config-if)#sw trunk allowed vlan x-x
switch(config-if)#spanning-tree guard loop
/啟用環路保護功能,啟用loop guard時自動關閉root guard
接終端用戶的埠上設定
switch(config)#int gi x/x/x
switch(config-if)#spanning-tree portfast
/在STP中交換機埠有5個狀態:disable、blocking、listening、learning、forwarding,只有處於forwarding狀態的埠才可以發送數據。但需經過從blocking-->listening
15s,listening-->learning 15s,learning-->forwarding 20s
共計50s的時間,啟用portfast後將直接從blocking-->forwarding狀態,這樣大大縮短了等待的時間。
說明:portfast僅適用於連接終端或伺服器的交換機埠,不能在連接交換機的埠上使用!
switch(config-if)#spanning-tree guard root
/當一埠啟用了root
guard功能後,當它收到了一個比根網橋優先值更優的.BPDU包,則它會立即阻塞該埠,使之不能形成環路等情況。這個埠特性是動態的,當沒有收到更優的包時,則此埠又會自己變成轉發狀態了。
switch(config-if)#spanning-tree bpfilter enable
/當啟用bpfilter功能時,該埠將丟棄所有的bp包,可能影響網路拓撲的穩定性並造成網路環路
switch(config-if)#spanning-tree bpguard enable
/當啟用bpguard功能的交換機埠接收到bp時,會立即將該埠置為error-disabled狀態而無法轉發數據,進而避免了網路環路!
注意:同時啟用bpguard與bpfilter時,bpfilter優先順序較高,bpguard將失效!
廣播、組播風暴控制設定
switch(config-if)#storm-control broadcast level 10 /設定廣播的閥值為10%
switch(config-if)#storm-control multicast level 10 /設定組播的閥值為10%
switch(config-if)#storm-control action shutdown / Shutdown this interface
if a storm occurs
or switch(config-if)#storm-control action trap / Send SNMP trap if a storm
② 要使cisco運行的配置顯示密碼進行加密,需要運行什麼命令
在config模式下使用service password-encryption 命令可以將你在路由器里設置的所以密碼都加密
而進特權模式時 使用enable secret 代替enable password 可以將enable密碼加密
③ 思科IPSec基本命令
思科IPSec基本命令匯總
“Internet 協議安全性 (IPSec)”是一種開放標準的框架結構,通過使用加密的安全服務以確保在 Internet 協議 (IP) 網路上進行保密而安全的通訊。那麼思科怎麼配置IPSec呢?配置命令如何?下面跟我一起來看看吧!
一、IPSec一些基本命令。
R1(config)#crypto ?
dynamic-map Specify a dynamic crypto map template
//創建或修改一個動態加密映射表
ipsec Configure IPSEC policy
//創建IPSec安全策略
isakmp Configure ISAKMP policy
//創建IKE策略
key Long term key operations
//為路由器的SSH加密會話產生加密密鑰。後面接數值,是key molus size,單位為bit
map Enter a crypto map
//創建或修改一個普通加密映射表
Router(config)#crypto dynamic-map ?
WORD Dynamic crypto map template tag
//WORD為動態加密映射表名
Router(config)#crypto ipsec ?
security-association Security association parameters
// ipsec安全關聯存活期,也可不配置,在map里指定即可
transform-set Define transform and settings
//定義一個ipsec變換集合(安全協議和演算法的一個可行組合)
Router(config)#crypto isakmp ?
client Set client configuration policy
//建立地址池
enable Enable ISAKMP
//啟動IKE策略,默認是啟動的
key Set pre-shared key for remote peer
//設置密鑰
policy Set policy for an ISAKMP protection suite
//設置IKE策略的優先順序
Router(config)#crypto key ?
generate Generate new keys
//生成新的密鑰
zeroize Remove keys
//移除密鑰
Router(config)#crypto map ?
WORD Crypto map tag
//WORD為map表名
二、一些重要命令。
Router(config)#crypto isakmp policy ?
<1-10000> Priority of protection suite
//設置IKE策略,policy後面跟1-10000的數字,這些數字代表策略的優先順序。
Router(config)#crypto isakmp policy 100//進入IKE策略配置模式,以便做下面的配置
Router(config-isakmp)#encryption ?//設置採用的加密方式,有以下三種
3des Three key triple DES
aes AES - Advanced Encryption Standard
des DES - Data Encryption Standard (56 bit keys).
Router(config-isakmp)#hash ? //採用的散列演算法,MD5為160位,sha為128位。
md5 Message Digest 5
sha Secure Hash Standard
Router(config-isakmp)#authentication pre-share//採用預共享密鑰的認證方式
Router(config-isakmp)#group ?//指定密鑰的位數,越往下安全性越高,但加密速度越慢
1 Diffie-Hellman group 1
2 Diffie-Hellman group 2
5 Diffie-Hellman group 5
Router(config-isakmp)#lifetime ? //指定安全關聯生存期,為60-86400秒
<60-86400> lifetime in seconds
Router(config)#crypto isakmp key *** address XXX.XXX.XXX.XXX
//設置IKE交換的密鑰,***表示密鑰組成,XXX.XXX.XXX.XXX表示對方的IP地址
Router(config)#crypto ipsec transform-set zx ?
//設置IPsec交換集,設置加密方式和認證方式,zx是交換集名稱,可以自己設置,兩端的名字也可不一樣,但其他參數要一致。
ah-md5-hmac AH-HMAC-MD5 transform
ah-sha-hmac AH-HMAC-SHA transform
esp-3des ESP transform using 3DES(EDE) cipher (168 bits)
esp-aes ESP transform using AES cipher
esp-des ESP transform using DES cipher (56 bits)
esp-md5-hmac ESP transform using HMAC-MD5 auth
esp-sha-hmac ESP transform using HMAC-SHA auth
例:Router(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac
Router(config)#crypto map map_zx 100 ipsec-isakmp
//建立加密映射表,zx為表名,可以自己定義,100為優先順序(可選范圍1-65535),如果有多個表,數字越小的越優先工作。
Router(config-crypto-map)#match address ?//用ACL來定義加密的通信
<100-199> IP access-list number
WORD Access-list name
Router(config-crypto-map)#set ?
peer Allowed Encryption/Decryption peer.//標識對方路由器IP地址
pfs Specify pfs settings//指定上面定義的密鑰長度,即group
security-association Security association parameters//指定安全關聯的生存期
transform-set Specify list of transform sets in priority order
//指定加密圖使用的IPSEC交換集
router(config-if)# crypto map zx
//進入路由器的指定介面,應用加密圖到介面,zx為加密圖名。
三、一個配置實驗。
實驗拓撲圖:
1.R1上的配置。
Router>enable
Router#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R1
//配置IKE策略
R1(config)#crypto isakmp enable
R1(config)#crypto isakmp policy 100
R1(config-isakmp)#encryption des
R1(config-isakmp)#hash md5
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 1
R1(config-isakmp)#lifetime 86400
R1(config-isakmp)#exit
//配置IKE密鑰
R1(config)#crypto isakmp key 123456 address 10.1.1.2
//創建IPSec交換集
R1(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac
//創建映射加密圖
R1(config)#crypto map zx_map 100 ipsec-isakmp
R1(config-crypto-map)#match address 111
R1(config-crypto-map)#set peer 10.1.1.2
R1(config-crypto-map)#set transform-set zx
R1(config-crypto-map)#set security-association lifetime seconds 86400
R1(config-crypto-map)#set pfs group1
R1(config-crypto-map)#exit
//配置ACL
R1(config)#access-list 111 permit ip 192.168.1.10 0.0.0.255 192.168.2.10 0.0.0.255
//應用加密圖到介面
R1(config)#interface s1/0
R1(config-if)#crypto map zx_map
2.R2上的`配置。
與R1的配置基本相同,只需要更改下面幾條命令:
R1(config)#crypto isakmp key 123456 address 10.1.1.1
R1(config-crypto-map)#set peer 10.1.1.1
R1(config)#access-list 111 permit ip 192.168.2.10 0.0.0.255 192.168.1.10 0.0.0.255
3.實驗調試。
在R1和R2上分別使用下面的命令,查看配置信息。
R1#show crypto ipsec ?
sa IPSEC SA table
transform-set Crypto transform sets
R1#show crypto isakmp ?
policy Show ISAKMP protection suite policy
sa Show ISAKMP Security Associations
四、相關知識點。
對稱加密或私有密鑰加密:加密解密使用相同的私鑰
DES--數據加密標准 data encryption standard
3DES--3倍數據加密標准 triple data encryption standard
AES--高級加密標准 advanced encryption standard
一些技術提供驗證:
MAC--消息驗證碼 message authentication code
HMAC--散列消息驗證碼 hash-based message authentication code
MD5和SHA是提供驗證的散列函數
對稱加密被用於大容量數據,因為非對稱加密站用大量cpu資源
非對稱或公共密鑰加密:
RSA rivest-shamir-adelman
用公鑰加密,私鑰解密。公鑰是公開的,但只有私鑰的擁有者才能解密
兩個散列常用演算法:
HMAC-MD5 使用128位的共享私有密鑰
HMAC-SHA-I 使用160位的私有密鑰
ESP協議:用來提供機密性,數據源驗證,無連接完整性和反重放服務,並且通過防止流量分析來限制流量的機密性,這些服務以來於SA建立和實現時的選擇。
加密是有DES或3DES演算法完成。可選的驗證和數據完整性由HMAC,keyed SHA-I或MD5提供
IKE--internet密鑰交換:他提供IPSEC對等體驗證,協商IPSEC密鑰和協商IPSEC安全關聯
實現IKE的組件
1:des,3des 用來加密的方式
2:Diffie-Hellman 基於公共密鑰的加密協議允許對方在不安全的信道上建立公共密鑰,在IKE中被用來建立會話密鑰。group 1表示768位,group 2表示1024位
3:MD5,SHA--驗證數據包的散列演算法。RAS簽名--基於公鑰加密系統
;④ cisco常用命令
cisco常用命令大全
為幫助大家更好通過思科認證。我為大家分想的是思科認證基本命令,歡迎參考閱讀!
路由器的幾個基本命令:
Router>enable 進入特權模式
Router#disable 從特權模式返回到用戶模式
Router#configure terminal 進入到全局配置模式
Router(config)#interface ethernet 1 進入到路由器編號為1的乙太網口
exit 返回上層模式
end 直接返回到特權模式
========================================================
注意:
1、CISCO CATALYST(交換機),如果在初始化時沒有發現“用戶配置”文件,就會自動載入Default Settings(默認配置)文件,進行交換機初始化,以確保交換機正常工作。
2、CISCO Router(路由器)在初始化時,如果沒有發現“用戶配置”文件,系統會自動進入到“初始化配置模式”(系統配置對話模式,SETUP模式, STEP BY STEP CONFIG模式),不能正常工作!
========================================================
1、CONSOLE PORT(管理控制台介面):距離上限制,獨占的方式。剛開始配置的時候一般使用這個。
2、AUX port(輔助管理介面):可以掛接MODEM實現遠程管理,獨占的方式。
3、Telnet:多人遠程管理(決定於性能,VTY線路數量)不安全。後期維護,遠程管理登陸。
========================================================
注意:
交換機、路由器配置命令都是回車後立即執行,立即生效的。在運行中的機器上修改命令的時候要特別注意。
========================================================
Router(config)#hostname ?
WORD This system's network name
在配置模式下修改當前主機的本地標識,例:
------------------
Router(config)#hostname r11
r11(config)#
------------------
r11(config-if)#ip address ?
A.B.C.D IP address
為當前埠設置IP地址,使用前先進入需要配置的埠,例:
------------------
r11(config)#interface ethernet 1
r11(config-if)#ip address 172.16.1.1 255.255.255.0
------------------
r11>show version
r11#show version 觀察IOS版本,設備工作時間,相關介面列表
r11#show running-config 查看當前生效的配置,此配置文件存儲在RAM
r11#show interfaces ethernet 1 查看乙太網介面的狀態,工作狀態等等等...
========================================================
r11#reload 重新載入Router(重啟)
r11#setup 手工進入setup配置模式
r11#show history 查看歷史命令(最近剛用過的命令)
r11#terminal history size <0-256> 設置命令緩沖區大小,0 : 代表不緩存
r11# running-config startup-config 保存當前配置
注意概念:
nvram:非易失性內存,斷電信息不會丟失 <-- 用戶配置 <-- 保存著startup-config
ram:隨機存儲器,斷電信息全部丟失 <-- 當前生效配置 <-- 保存著running-config
startup-config:在每次路由器或是交換機啟動時候,會主動載入(默認情況)
========================================================
設置說明和密碼的幾個命令:
r11(config)#banner motd [char c] 同時要以[char c]另起一行結束,描述機器登陸時的說明
r11(config-if)#description 描述介面注釋,需要在埠配置模式下
配置console口密碼:
------------------
r11(config)#line console 0 進入到consolo 0
r11(config-line)#password eliuzd 設置一個密碼為“eliuzd”
r11(config-line)#login 設置login(登陸)時使用密碼
------------------
配置enable密碼:
------------------
r11(config)#enable password cisco 設置明文的enable密碼
r11(config)#enable secret eliuzd 設置暗文的enable密碼(優先於明文被使用)
r11(config)#service password-encryption 加密系統所有明文密碼(功能較弱)
------------------
配置Telnet密碼:
------------------
r11(config)#line vty 0
r11(config-line)#password cisco
r11(config-line)#login
------------------
========================================================
配置虛擬回環介面:(回環介面默認為UP狀態)
(config)# 下,虛擬一個埠
------------------
r11(config)#interface loopback 0 創建一個回環介面loopback 0
r11(config-if)#ip address 192.168.1.1 255.255.255.0 配置它的IP地址
no * 做配置的反向操作(刪除配置)
------------------
=========================================================
路由器 DCE/DTE 僅存在廣域網中r11#show controllers serial 0 用於查看DCE與DTE的屬性,serial 0路由器廣域網埠
DCE的Router需要配置時鍾頻率
r11(config-if)#clock rate ? 配置DCE介面的時鍾頻率(系統指定頻率)
一般實際情況下,這個不需要自己配置,因為DCE設備都在運營商那。
=========================================================
r11#show interfaces serial 1
查看埠狀態,第一行提示說明
Serial1 is administratively down, Line protocol is down
沒有使用no shutdown命令激活埠
Serial1 is down, Line protocol is down
1、對方沒有no shutdown激活埠
2、線路損壞,介面沒有任何連接線纜
Serial1 is up, line protocol is down
1、對方沒有配置相同的二層協議,Serial介面default encapsulation: HDLC
2、可能沒有配置時鍾頻率
3、可能沒有正確的配置三層地址(可能)
Serial1 is up,line protocol is up
介面工作正常
========================================================
查看CDP信息的幾個命令:
r11#show cdp neighbors 查看CDP的鄰居(不含IP)
r11#show cdp neighbors detail 查看CDP的鄰居(包含三層的IP地址)
r11#show cdp entry * 查看CDP的鄰居(包含三層的IP地址)老命令
r1(config)#no cdp run 在全局配置模式關閉CDP協議(影響所有的介面)
r1(config-if)#no cdp enable 在介面下關閉CDP協議(僅僅影響指定的介面)
r11#clear cdp table 清除CDP鄰居表
r11#show cdp interface serial 1 查看介面的CDP信息
注意兩個提示:
Sending CDP packets every 60 seconds(每60秒發送cdp數據包)
HoldTime 180 seconds(每個cdp數據包保持180秒)
========================================================
r11(config)#ip host 設置靜態的主機名映射
r11#show sessions 查看設置過的映射主機名
========================================================
Telnet *.*.*.* 被telnet的設備,需要設置line vty的密碼,如果需要進入特權模式需要配置enable密碼
例:
------------------
Router#telnet 192.168.1.1
------------------
Router#show users 查看登錄到本地的用戶
Router#show sessions 查看從本地telnet外出的會話
Router#clear line * 強制中斷“telnet到本地”的會話
Router#disconnect * 強制中斷“telnet外出”的會話
========================================================
以下只是在實驗時連接交換機上切換登陸路由器的命令,可以跳過。
>show hosts 顯示當前的主機名配置
>show sessions 顯示當前的外出TELNET會話
>clear line XXX 清除線路
+ 直接返回到特權模式
++<6> + x
========================================================
Access-enable允許路由器在動態訪問列表中創建臨時訪問列表入口
Access-group把訪問控制列表(ACL)應用到介面上
Access-list定義一個標準的IP ACL
Access-template在連接的路由器上手動替換臨時訪問列表入口
Appn向APPN子系統發送命令
Atmsig 執行ATM信令命令
B 手動引導操作系統
Bandwidth 設置介面的帶寬
Banner motd 指定日期信息標語
Bfe 設置突發事件手冊模式
Boot system 指定路由器啟動時載入的系統映像
Calendar 設置硬體日歷
Cd 更改路徑
Cdp enable 允許介面運行CDP協議
Clear 復位功能
Clear counters 清除介面計數器
Clear interface 重新啟動介面上的件邏輯
Clockrate 設置串口硬體連接的時鍾速率,如網路介面模塊和介面處理器能接受的速率
Cmt 開啟/關閉FDDI連接管理功能
Config-register 修改配置寄存器設置
Configure 允許進入存在的配置模式,在中心站點上維護並保存配置信息
Configure memory 從NVRAM載入配置信息
Configure terminal 從終端進行手動配置
Connect 打開一個終端連接
Copy 復制配置或映像數據
Copy flash tftp 備份系統映像文件到TFTP伺服器
Copy running-config startup-config 將RAM中的當前配置存儲到NVRAM
Copy running-config tftp 將RAM中的當前配置存儲到網路TFTP伺服器上
Copy tftp flash 從TFTP伺服器上下載新映像到Flash
Copy tftp running-config 從TFTP伺服器上下載配置文件
Debug 使用調試功能
Debug dialer 顯示介面在撥什麼號及諸如此類的信息
Debug ip rip 顯示RIP路由選擇更新數據
Debug ipx routing activity 顯示關於路由選擇協議(RIP)更新數據包的信息
Debug ipx sap 顯示關於SAP(業務通告協議)更新數據包信息
Debug isdn q921 顯示在路由器D通道ISDN介面上發生的數據鏈路層(第2層)的訪問過程
Debug ppp 顯示在實施PPP中發生的業務和交換信息
Delete 刪除文件
Deny 為一個已命名的IP ACL設置條件
Dialer idle-timeout 規定線路斷開前的空閑時間的長度
⑤ 思科認證:講解EFS的加密技巧
思科認證:講解EFS的加密技巧
NTFS:Windows 2000/XP/2003支持的、一個特別為網路和磁碟配額、文件加密等管理安全特性設計的磁碟格式。思科培訓NTFS支持文件加密管理功能,可為用戶提供更高層次的安全保證。
MMC:Microsoft Management Console的簡稱,是一個集成了用來管理網路、計算機、服務及其他系統組件的管理工具。MMC不執行管理功能,但集成管理工具。可以添加到控制面板的主要工具類型稱為管理單元,其他可添加的項目包括 ActiveX 控制項、指向 Web 頁的鏈接、文件夾、任務板視圖和任務。
由於EFS的用戶驗證過程是在你登錄Windows時進行的,所以只要授權用戶登錄到Windows,就可以打開任何一個被授權的加密文件。因此,實際上EFS對用戶來說是透明的。也就是說如果你加密了某些數據後,你對這些數據的訪問將不會有任何限制,而且不會有任何提示,你根本感覺不到它的存在。但是當其他非授權用戶試圖訪問加密過的數據時,就會收到“訪問拒絕”的錯誤提示,從而保護我們的加密文件。
小提示:
如果你要使用EFS加密文件系統,必須將Windows 2000/XP/Server 2003的加密文件所在分區格式化為NTFS格式。
實戰一:實戰EFS文件夾加密
第一步:右擊選擇要加密的文件夾,選擇“屬性”,然後單擊彈出窗口中的“常規”標簽,再單擊最下方的“屬性→高級”,在“壓縮或加密屬性”一欄中,把“加密內容以便保護數據”勾選上。
第二步:單擊“確定”按鈕,回到文件屬性再單擊“應用”按鈕,會彈出“確認屬性更改”窗口,在“將該應用用於該文件夾、子文件夾和文件”打上“√”,最後單擊“確定”按鈕即開始加密文件。思科培訓這樣這個文件夾里的原來有的以及新建的所有文件和子文件夾都被自動加密了。
第三步:如果想取消加密,只需要右擊文件夾,取消“加密內容以便保護數據”的勾選,確定即可。
小提示
在命令行模式下也可用“cipher”命令完成對數據的加密和解密操作,在命令符後輸入“cipher/?”並回車可以得到具體的命令參數使用方法。
實戰二:右鍵輕松加密解密
用上述方法加密文件須確認多次,非常麻煩,其實只要修改一下注冊表,就可以給滑鼠的右鍵菜單中增添“加密”和“解密”選項,以後在需要時用右擊即可完成相關操作。單擊“開始→運行”,輸入regedit後回車,打開注冊表編輯器,定位到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Exporer/Advanced],在“編輯”菜單上單擊“新建→DWORD值”,然後輸入EncryptionContextMenu作為鍵名,並設置鍵值為“1”。退出注冊表編輯器,打開資源管理器,任意選中一個NTFS分區上的文件或者文件夾,右擊就可以在右鍵菜單中找到相應的“加密”和“解密”選項,直接單擊就可以完成加密/解密的操作。
實戰三:多用戶禁止特殊文件夾加密
在多用戶共用電腦的時候,我們通常將用戶指定為普通用戶許可權,但是普通用戶賬戶在默認的情況下是允許使用加密功能,因此如果在一些多用戶共用的電腦上有人利用EFS加密文件,勢必會給其他用戶帶來許多麻煩。所以需要設置某些特定的文件夾禁止被加密,或者禁止文件加密功能。
先來說說如何只想禁止加密某個文件夾,方法是只要在該文件夾中用記事本創建一個名為Desktop.ini的文件,然後添加如下內容:
最後保存這個文件即可。這樣如果以後其他用戶試圖加密該文件夾時就會出現錯誤信息,無法進行下去。思科培訓龍旭講師提醒你要注意,你只能使用這種方法禁止其他用戶加密該文件夾,文件夾中的子文件夾將不受保護。
實戰四:禁用EFS加密功能
如果要徹底禁用EFS加密,可以打開“注冊表編輯器”,定位到[HKEY_LOCAL_ NTCurrentVersionEFS],在“編輯”菜單上單擊“新建→Dword值”,然後輸入EfsConfiguration作為鍵名,並設置鍵值為“1”,這樣本機的EFS加密就被禁用了。
實戰五:導出EFS密鑰
使用Windows 2000/XP的EFS加密後,如果重裝系統,那麼原來被加密的`文件就無法打開了!如果你沒有事先做好密鑰的備份,那麼數據是永遠打不開的。由此可見,做好密鑰的被備份就很重要。
第一步:首先以本地帳號登錄,最好是具有管理員許可權的用戶。然後單擊“開始→運行”,輸入“MMC”後回車,打開控制面板界面。
第二步:單擊控制面板的“控制面板→添加刪除管理單元”,在彈出的“添加/刪除管理單元”對話框中單擊“添加”按鈕,在“添加獨立管理單元”對話框中選擇“證書”後,單擊“添加”按鈕添加該單元。如果是管理員,會要求選擇證書方式,選擇“我的用戶證書”,然後單擊“關閉”按鈕,單擊“確定”按鈕返回控制面板。
第三步:依次展開左邊的“控制面板根節點→證書→個人→證書→選擇右邊窗口中的賬戶”,右擊選擇“所有任務→導出”,彈出“證書導出向導”。
第四步:單擊“下一步”按鈕,選擇“是,導出私鑰”,單擊“下一步”按鈕,勾選“私人信息交換”下面的“如果可能,將所有證書包括到證書路徑中”和“啟用加強保護”項,單擊“下一步”按鈕,進入設置密碼界面。
第五步:輸入設置密碼,這個密碼非常重要,一旦遺忘,將永遠無法獲得,以後也就無法導入證書。輸入完成以後單擊“下一步”按鈕,選擇保存私鑰的位置和文件名。
第六步:單擊“完成”按鈕,彈出“導出成功”對話框,表示你的證書和密鑰已經導出成功了,打開保存密鑰的路徑,會看到一個“信封+鑰匙”的圖標,這就是你寶貴的密鑰!丟失了它,不僅僅意味著你再也打不開你的數據,也意味著別人可以輕易打開你的數據。
實戰六:導入EFS密鑰
由於重裝系統後,對於被EFS加密的文件我們是不能夠打開的,所以重裝系統以前,一定記住導出密鑰,然後在新系統中將備份的密鑰導入,從而獲得許可權。
小提示
確保你導入的密鑰有查看的權利,否則就是導入了也沒有用的。這一點要求在導出時就要做到。
記住導出時設置的密碼,最好使用和導出是相同的用戶名。
第一步:雙擊導出的密鑰(就是那個“信封+鑰匙”圖標的文件),會看到“證書導入向導”歡迎界面,單擊“下一步”按鈕,確認路徑和密鑰證書,然後單擊“下一步”繼續。
第二步:在“密碼”後面輸入導出時設置的密碼,把密碼輸入後勾選“啟用強密鑰保護”和“標志此密鑰可導出”(以確保下次能夠導出),然後單擊“下一步”繼續。
第三步:根據提示,依次單擊“下一步”按鈕,OK了,單擊完成按鈕,看到“導入成功”就表示你已經成功導入密鑰了。
試試看,原來打不開的文件,現在是不是全部都能打開了呢?
小提示
EFS加密的文件打不開了,把NTFS分區轉換成FAT32分區或者使用相同的用戶名和密碼登錄甚至重新Ghost回原系統都不能解決問題,因此備份和導入EFS密鑰就顯得非常重要。
Windows XP家用版並不支持EFS功能。
;⑥ cisco設置enable密碼
cisco設置enable密碼?怎麼設置?最近有網友這樣問我。我去網上搜索了相關資料,給大家奉上,希望大家喜歡。
思科路由器配置enable password
A:enable password 沒加密
B:service password-encryption 對明文密碼進行加密
C:enable secret 用MD5演算法對特權模式進行加密
D:enable password 7 後面要加密文
1.使用A的話,在show run的時候password會以明文的方式顯示。例如enable password tangxuquan
Router#show run
Building configuration...
Current configuration : 354 bytes
!
version 12.2
no service password-encryption 沒有過加密的
!
hostname Router
!
!
enable password tangxuquan 密碼以明文顯示,你設置的是什麼這里就顯示什麼
2.再輸入B命令後 service password-encryption
Router#show run
Building configuration...
Current configuration : 354 bytes
!
version 12.2
service password-encryption
!
hostname Router
!
!
enable password 7 08354D400E011006070A02 對明文密碼進行了加密,顯示的是經過思科演算法加密後的密文
3.輸入c命令 enable password cicso
在B命令的基礎上運行 enable secret cisco
Router#show run
Building configuration...
Current configuration : 401 bytes
!
version 12.2
service password-encryption
!
hostname Router
!
!
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0 MD5演算法的密碼顯示
enable password 7 08354D400E011006070A02 用service password-encryption的加密顯示。
即使secret後面的數字是0,show run的時候,也不會以明文顯示,而是MD5加密演算法後的值。
使用命令enable secret cisco 後特權模式的登錄密碼將改為“cisco”
4.enable password常見的一個誤解enable password 7後面應該加入加密後的密碼,而不應該輸入“bdcom”之類的明碼。
3660_config#ena pass 7 bdcom //後面加入明碼,則顯示錯誤
Invalid encrypted password
以上內容來源互聯網,希望對大家有所幫助。
⑦ 思科路由器特權密碼加密方式
在路由器的特權模式下使用命令conf t就可以進入全局配置模式:Router(config)#
在全局配置模式下設置明文特權模式密碼abcdef:
Router(config)#enable password abcdef
在全局配置模式下設置密文特權模式密碼abcdef:
Router(config)#enable secretabcdef
退出到特權模式:R2632(config)# exit
保存配置信息:R2632# wr
⑧ 修改思科路由器密碼的命令是什麼enable密碼 和用戶密碼
Router(config)#line console 0 //配置控制口
Router(config-line)#password 456 //配置密碼
Router(config-line)#login //開啟密碼生效
Router(config-line)#exit
Router(config)#enable password 123 //配置特權模式密碼
Router(config)#username benet password cisco //創建本地用戶benet和密碼cisco
Router(config)#line vty 0 4 //配置VTY 埠 0-4
Router(config-line)#login local //設置遠程登錄使用本地用戶名和密碼
Router(config-line)#exit
Router(config)#service password-encryption //加密所有密碼
Router(config)#int f0/0
Router(config-if)#ip add 192.168.1.100 255.255.255.0 //設定一個介面當管理IP
遠程登錄必須要滿足三個條件:
特權密碼,VTY密碼還有管理IP地址