① cisco交换机安全配置设定命令
cisco交换机安全配置设定命令大全
思科交换机的安全怎么设置,下面为大家分交换机安全设置的配置命令,希望对同学们学习思科交换机有所帮助!
一、交换机访问控制安全配置
1、对交换机特权模式设置密码尽量采用加密和md5 hash方式
switch(config)#enable secret 5 pass_string
其中 0 Specifies an UNENCRYPTED password will follow
5 Specifies an ENCRYPTED secret will follow
建议不要采用enable password pass_sting密码,破解及其容易!
2、设置对交换机明文密码自动进行加密隐藏
switch(config)#service password-encryption
3、为提高交换机管理的灵活性,建议权限分级管理并建立多用户
switch(config)#enable secret level 7 5 pass_string7 /7级用户进入特权模式的密码
switch(config)#enable secret 5 pass_string15 /15级用户进入特权模式的密码
switch(config)#username userA privilege 7 secret 5 pass_userA
switch(config)#username userB privilege 15 secret 5 pass_userB
/为7级,15级用户设置用户名和密码,Cisco privilege level分为0-15级,级别越高权限越大
switch(config)#privilege exec level 7 commands
/为7级用户设置可执行的命令,其中commands可以根据分配给用户的权限自行定义
4、本地console口访问安全配置
switch(config)#line console 0
switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间,单位为分钟和秒
switch(config-line)#logging synchronous
/强制对弹出的干扰日志信息进行回车换行,使用户输入的命令连续可见
设置登录console口进行密码验证
方式(1):本地认证
switch(config-line)#password 7 pass_sting /设置加密密码
switch(config-line)#login /启用登录验证
方式(2):本地AAA认证
switch(config)#aaa new-model /启用AAA认证
switch(config)#aaa authentication login console-in group acsserver local
enable
/设置认证列表console-in优先依次为ACS Server,local用户名和密码,enable特权密码
switch(config)#line console 0
switch(config-line)# login authentication console-in
/调用authentication设置的console-in列表
5、远程vty访问控制安全配置
switch(config)#access-list 18 permit host x.x.x.x
/设置标准访问控制列表定义可远程访问的PC主机
switch(config)#aaa authentication login vty-in group acsserver local
enable
/设置认证列表vty-in, 优先依次为ACS Server,local用户名和密码,enable特权密码
switch(config)#aaa authorization commands 7 vty-in group acsserver local
if-authenticated
/为7级用户定义vty-in授权列表,优先依次为ACS Server,local授权
switch(config)#aaa authorization commands 15 vty-in group acsserver local
if-authenticated
/为15级用户定义vty-in授权列表,优先依次为ACS Server,local授权
switch(config)#line vty 0 15
switch(config-line)#access-class 18 in /在线路模式下调用前面定义的标准ACL 18
switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间,单位为分钟和秒
switch(config-line)#authorization commands 7 vty-in /调用设置的授权列表vty-in
switch(config-line)#authorization commands 15 vty-in
switch(config-line)#logging synchronous
/强制对弹出的干扰日志信息进行回车换行,使用户输入的命令连续可见
switch(config-line)#login authentication vty-in
/调用authentication设置的vty-in列表
switch(config-line)#transport input ssh
/有Telnet协议不安全,仅允许通过ssh协议进行远程登录管理
6、AAA安全配置
switch(config)#aaa group server tacacs+ acsserver /设置AAA服务器组名
switch(config-sg-tacacs+)#server x.x.x.x /设置AAA服务器组成员服务器ip
switch(config-sg-tacacs+)#server x.x.x.x
switch(config-sg-tacacs+)#exit
switch(config)# tacacs-server key paa_string /设置同tacacs-server服务器通信的密钥
二、交换机网络服务安全配置
禁用不需要的各种服务协议
switch(config)#no service pad
switch(config)#no service finger
switch(config)#no service tcp-small-servers
switch(config)#no service udp-small-servers
switch(config)#no service config
switch(config)#no service ftp
switch(config)#no ip http server
switch(config)#no ip http secure-server
/关闭http,https远程web管理服务,默认cisco交换机是启用的
三、交换机防攻击安全加固配置
MAC Flooding(泛洪)和Spoofing(欺骗)攻击
预防方法:有效配置交换机port-security
STP攻击
预防方法:有效配置root guard,bpguard,bpfilter
VLAN,DTP攻击
预防方法:设置专用的native vlan;不要的接口shut或将端口模式改为access
DHCP攻击
预防方法:设置dhcp snooping
ARP攻击
预防方法:在启用dhcp snooping功能下配置DAI和port-security在级联上层交换机的trunk下
switch(config)#int gi x/x/x
switch(config-if)#sw mode trunk
switch(config-if)#sw trunk encaps dot1q
switch(config-if)#sw trunk allowed vlan x-x
switch(config-if)#spanning-tree guard loop
/启用环路保护功能,启用loop guard时自动关闭root guard
接终端用户的端口上设定
switch(config)#int gi x/x/x
switch(config-if)#spanning-tree portfast
/在STP中交换机端口有5个状态:disable、blocking、listening、learning、forwarding,只有处于forwarding状态的端口才可以发送数据。但需经过从blocking-->listening
15s,listening-->learning 15s,learning-->forwarding 20s
共计50s的时间,启用portfast后将直接从blocking-->forwarding状态,这样大大缩短了等待的时间。
说明:portfast仅适用于连接终端或服务器的交换机端口,不能在连接交换机的端口上使用!
switch(config-if)#spanning-tree guard root
/当一端口启用了root
guard功能后,当它收到了一个比根网桥优先值更优的.BPDU包,则它会立即阻塞该端口,使之不能形成环路等情况。这个端口特性是动态的,当没有收到更优的包时,则此端口又会自己变成转发状态了。
switch(config-if)#spanning-tree bpfilter enable
/当启用bpfilter功能时,该端口将丢弃所有的bp包,可能影响网络拓扑的稳定性并造成网络环路
switch(config-if)#spanning-tree bpguard enable
/当启用bpguard功能的交换机端口接收到bp时,会立即将该端口置为error-disabled状态而无法转发数据,进而避免了网络环路!
注意:同时启用bpguard与bpfilter时,bpfilter优先级较高,bpguard将失效!
广播、组播风暴控制设定
switch(config-if)#storm-control broadcast level 10 /设定广播的阀值为10%
switch(config-if)#storm-control multicast level 10 /设定组播的阀值为10%
switch(config-if)#storm-control action shutdown / Shutdown this interface
if a storm occurs
or switch(config-if)#storm-control action trap / Send SNMP trap if a storm
② 要使cisco运行的配置显示密码进行加密,需要运行什么命令
在config模式下使用service password-encryption 命令可以将你在路由器里设置的所以密码都加密
而进特权模式时 使用enable secret 代替enable password 可以将enable密码加密
③ 思科IPSec基本命令
思科IPSec基本命令汇总
“Internet 协议安全性 (IPSec)”是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。那么思科怎么配置IPSec呢?配置命令如何?下面跟我一起来看看吧!
一、IPSec一些基本命令。
R1(config)#crypto ?
dynamic-map Specify a dynamic crypto map template
//创建或修改一个动态加密映射表
ipsec Configure IPSEC policy
//创建IPSec安全策略
isakmp Configure ISAKMP policy
//创建IKE策略
key Long term key operations
//为路由器的SSH加密会话产生加密密钥。后面接数值,是key molus size,单位为bit
map Enter a crypto map
//创建或修改一个普通加密映射表
Router(config)#crypto dynamic-map ?
WORD Dynamic crypto map template tag
//WORD为动态加密映射表名
Router(config)#crypto ipsec ?
security-association Security association parameters
// ipsec安全关联存活期,也可不配置,在map里指定即可
transform-set Define transform and settings
//定义一个ipsec变换集合(安全协议和算法的一个可行组合)
Router(config)#crypto isakmp ?
client Set client configuration policy
//建立地址池
enable Enable ISAKMP
//启动IKE策略,默认是启动的
key Set pre-shared key for remote peer
//设置密钥
policy Set policy for an ISAKMP protection suite
//设置IKE策略的优先级
Router(config)#crypto key ?
generate Generate new keys
//生成新的密钥
zeroize Remove keys
//移除密钥
Router(config)#crypto map ?
WORD Crypto map tag
//WORD为map表名
二、一些重要命令。
Router(config)#crypto isakmp policy ?
<1-10000> Priority of protection suite
//设置IKE策略,policy后面跟1-10000的数字,这些数字代表策略的优先级。
Router(config)#crypto isakmp policy 100//进入IKE策略配置模式,以便做下面的配置
Router(config-isakmp)#encryption ?//设置采用的加密方式,有以下三种
3des Three key triple DES
aes AES - Advanced Encryption Standard
des DES - Data Encryption Standard (56 bit keys).
Router(config-isakmp)#hash ? //采用的散列算法,MD5为160位,sha为128位。
md5 Message Digest 5
sha Secure Hash Standard
Router(config-isakmp)#authentication pre-share//采用预共享密钥的认证方式
Router(config-isakmp)#group ?//指定密钥的位数,越往下安全性越高,但加密速度越慢
1 Diffie-Hellman group 1
2 Diffie-Hellman group 2
5 Diffie-Hellman group 5
Router(config-isakmp)#lifetime ? //指定安全关联生存期,为60-86400秒
<60-86400> lifetime in seconds
Router(config)#crypto isakmp key *** address XXX.XXX.XXX.XXX
//设置IKE交换的密钥,***表示密钥组成,XXX.XXX.XXX.XXX表示对方的IP地址
Router(config)#crypto ipsec transform-set zx ?
//设置IPsec交换集,设置加密方式和认证方式,zx是交换集名称,可以自己设置,两端的名字也可不一样,但其他参数要一致。
ah-md5-hmac AH-HMAC-MD5 transform
ah-sha-hmac AH-HMAC-SHA transform
esp-3des ESP transform using 3DES(EDE) cipher (168 bits)
esp-aes ESP transform using AES cipher
esp-des ESP transform using DES cipher (56 bits)
esp-md5-hmac ESP transform using HMAC-MD5 auth
esp-sha-hmac ESP transform using HMAC-SHA auth
例:Router(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac
Router(config)#crypto map map_zx 100 ipsec-isakmp
//建立加密映射表,zx为表名,可以自己定义,100为优先级(可选范围1-65535),如果有多个表,数字越小的越优先工作。
Router(config-crypto-map)#match address ?//用ACL来定义加密的通信
<100-199> IP access-list number
WORD Access-list name
Router(config-crypto-map)#set ?
peer Allowed Encryption/Decryption peer.//标识对方路由器IP地址
pfs Specify pfs settings//指定上面定义的密钥长度,即group
security-association Security association parameters//指定安全关联的生存期
transform-set Specify list of transform sets in priority order
//指定加密图使用的IPSEC交换集
router(config-if)# crypto map zx
//进入路由器的指定接口,应用加密图到接口,zx为加密图名。
三、一个配置实验。
实验拓扑图:
1.R1上的配置。
Router>enable
Router#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R1
//配置IKE策略
R1(config)#crypto isakmp enable
R1(config)#crypto isakmp policy 100
R1(config-isakmp)#encryption des
R1(config-isakmp)#hash md5
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 1
R1(config-isakmp)#lifetime 86400
R1(config-isakmp)#exit
//配置IKE密钥
R1(config)#crypto isakmp key 123456 address 10.1.1.2
//创建IPSec交换集
R1(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac
//创建映射加密图
R1(config)#crypto map zx_map 100 ipsec-isakmp
R1(config-crypto-map)#match address 111
R1(config-crypto-map)#set peer 10.1.1.2
R1(config-crypto-map)#set transform-set zx
R1(config-crypto-map)#set security-association lifetime seconds 86400
R1(config-crypto-map)#set pfs group1
R1(config-crypto-map)#exit
//配置ACL
R1(config)#access-list 111 permit ip 192.168.1.10 0.0.0.255 192.168.2.10 0.0.0.255
//应用加密图到接口
R1(config)#interface s1/0
R1(config-if)#crypto map zx_map
2.R2上的`配置。
与R1的配置基本相同,只需要更改下面几条命令:
R1(config)#crypto isakmp key 123456 address 10.1.1.1
R1(config-crypto-map)#set peer 10.1.1.1
R1(config)#access-list 111 permit ip 192.168.2.10 0.0.0.255 192.168.1.10 0.0.0.255
3.实验调试。
在R1和R2上分别使用下面的命令,查看配置信息。
R1#show crypto ipsec ?
sa IPSEC SA table
transform-set Crypto transform sets
R1#show crypto isakmp ?
policy Show ISAKMP protection suite policy
sa Show ISAKMP Security Associations
四、相关知识点。
对称加密或私有密钥加密:加密解密使用相同的私钥
DES--数据加密标准 data encryption standard
3DES--3倍数据加密标准 triple data encryption standard
AES--高级加密标准 advanced encryption standard
一些技术提供验证:
MAC--消息验证码 message authentication code
HMAC--散列消息验证码 hash-based message authentication code
MD5和SHA是提供验证的散列函数
对称加密被用于大容量数据,因为非对称加密站用大量cpu资源
非对称或公共密钥加密:
RSA rivest-shamir-adelman
用公钥加密,私钥解密。公钥是公开的,但只有私钥的拥有者才能解密
两个散列常用算法:
HMAC-MD5 使用128位的共享私有密钥
HMAC-SHA-I 使用160位的私有密钥
ESP协议:用来提供机密性,数据源验证,无连接完整性和反重放服务,并且通过防止流量分析来限制流量的机密性,这些服务以来于SA建立和实现时的选择。
加密是有DES或3DES算法完成。可选的验证和数据完整性由HMAC,keyed SHA-I或MD5提供
IKE--internet密钥交换:他提供IPSEC对等体验证,协商IPSEC密钥和协商IPSEC安全关联
实现IKE的组件
1:des,3des 用来加密的方式
2:Diffie-Hellman 基于公共密钥的加密协议允许对方在不安全的信道上建立公共密钥,在IKE中被用来建立会话密钥。group 1表示768位,group 2表示1024位
3:MD5,SHA--验证数据包的散列算法。RAS签名--基于公钥加密系统
;④ cisco常用命令
cisco常用命令大全
为帮助大家更好通过思科认证。我为大家分想的是思科认证基本命令,欢迎参考阅读!
路由器的几个基本命令:
Router>enable 进入特权模式
Router#disable 从特权模式返回到用户模式
Router#configure terminal 进入到全局配置模式
Router(config)#interface ethernet 1 进入到路由器编号为1的以太网口
exit 返回上层模式
end 直接返回到特权模式
========================================================
注意:
1、CISCO CATALYST(交换机),如果在初始化时没有发现“用户配置”文件,就会自动载入Default Settings(默认配置)文件,进行交换机初始化,以确保交换机正常工作。
2、CISCO Router(路由器)在初始化时,如果没有发现“用户配置”文件,系统会自动进入到“初始化配置模式”(系统配置对话模式,SETUP模式, STEP BY STEP CONFIG模式),不能正常工作!
========================================================
1、CONSOLE PORT(管理控制台接口):距离上限制,独占的方式。刚开始配置的时候一般使用这个。
2、AUX port(辅助管理接口):可以挂接MODEM实现远程管理,独占的方式。
3、Telnet:多人远程管理(决定于性能,VTY线路数量)不安全。后期维护,远程管理登陆。
========================================================
注意:
交换机、路由器配置命令都是回车后立即执行,立即生效的。在运行中的机器上修改命令的时候要特别注意。
========================================================
Router(config)#hostname ?
WORD This system's network name
在配置模式下修改当前主机的本地标识,例:
------------------
Router(config)#hostname r11
r11(config)#
------------------
r11(config-if)#ip address ?
A.B.C.D IP address
为当前端口设置IP地址,使用前先进入需要配置的端口,例:
------------------
r11(config)#interface ethernet 1
r11(config-if)#ip address 172.16.1.1 255.255.255.0
------------------
r11>show version
r11#show version 观察IOS版本,设备工作时间,相关接口列表
r11#show running-config 查看当前生效的配置,此配置文件存储在RAM
r11#show interfaces ethernet 1 查看以太网接口的状态,工作状态等等等...
========================================================
r11#reload 重新加载Router(重启)
r11#setup 手工进入setup配置模式
r11#show history 查看历史命令(最近刚用过的命令)
r11#terminal history size <0-256> 设置命令缓冲区大小,0 : 代表不缓存
r11# running-config startup-config 保存当前配置
注意概念:
nvram:非易失性内存,断电信息不会丢失 <-- 用户配置 <-- 保存着startup-config
ram:随机存储器,断电信息全部丢失 <-- 当前生效配置 <-- 保存着running-config
startup-config:在每次路由器或是交换机启动时候,会主动加载(默认情况)
========================================================
设置说明和密码的几个命令:
r11(config)#banner motd [char c] 同时要以[char c]另起一行结束,描述机器登陆时的说明
r11(config-if)#description 描述接口注释,需要在端口配置模式下
配置console口密码:
------------------
r11(config)#line console 0 进入到consolo 0
r11(config-line)#password eliuzd 设置一个密码为“eliuzd”
r11(config-line)#login 设置login(登陆)时使用密码
------------------
配置enable密码:
------------------
r11(config)#enable password cisco 设置明文的enable密码
r11(config)#enable secret eliuzd 设置暗文的enable密码(优先于明文被使用)
r11(config)#service password-encryption 加密系统所有明文密码(功能较弱)
------------------
配置Telnet密码:
------------------
r11(config)#line vty 0
r11(config-line)#password cisco
r11(config-line)#login
------------------
========================================================
配置虚拟回环接口:(回环接口默认为UP状态)
(config)# 下,虚拟一个端口
------------------
r11(config)#interface loopback 0 创建一个回环接口loopback 0
r11(config-if)#ip address 192.168.1.1 255.255.255.0 配置它的IP地址
no * 做配置的反向操作(删除配置)
------------------
=========================================================
路由器 DCE/DTE 仅存在广域网中r11#show controllers serial 0 用于查看DCE与DTE的属性,serial 0路由器广域网端口
DCE的Router需要配置时钟频率
r11(config-if)#clock rate ? 配置DCE接口的时钟频率(系统指定频率)
一般实际情况下,这个不需要自己配置,因为DCE设备都在运营商那。
=========================================================
r11#show interfaces serial 1
查看端口状态,第一行提示说明
Serial1 is administratively down, Line protocol is down
没有使用no shutdown命令激活端口
Serial1 is down, Line protocol is down
1、对方没有no shutdown激活端口
2、线路损坏,接口没有任何连接线缆
Serial1 is up, line protocol is down
1、对方没有配置相同的二层协议,Serial接口default encapsulation: HDLC
2、可能没有配置时钟频率
3、可能没有正确的配置三层地址(可能)
Serial1 is up,line protocol is up
接口工作正常
========================================================
查看CDP信息的几个命令:
r11#show cdp neighbors 查看CDP的邻居(不含IP)
r11#show cdp neighbors detail 查看CDP的邻居(包含三层的IP地址)
r11#show cdp entry * 查看CDP的邻居(包含三层的IP地址)老命令
r1(config)#no cdp run 在全局配置模式关闭CDP协议(影响所有的接口)
r1(config-if)#no cdp enable 在接口下关闭CDP协议(仅仅影响指定的接口)
r11#clear cdp table 清除CDP邻居表
r11#show cdp interface serial 1 查看接口的CDP信息
注意两个提示:
Sending CDP packets every 60 seconds(每60秒发送cdp数据包)
HoldTime 180 seconds(每个cdp数据包保持180秒)
========================================================
r11(config)#ip host 设置静态的主机名映射
r11#show sessions 查看设置过的映射主机名
========================================================
Telnet *.*.*.* 被telnet的设备,需要设置line vty的密码,如果需要进入特权模式需要配置enable密码
例:
------------------
Router#telnet 192.168.1.1
------------------
Router#show users 查看登录到本地的用户
Router#show sessions 查看从本地telnet外出的会话
Router#clear line * 强制中断“telnet到本地”的会话
Router#disconnect * 强制中断“telnet外出”的会话
========================================================
以下只是在实验时连接交换机上切换登陆路由器的命令,可以跳过。
>show hosts 显示当前的主机名配置
>show sessions 显示当前的外出TELNET会话
>clear line XXX 清除线路
+ 直接返回到特权模式
++<6> + x
========================================================
Access-enable允许路由器在动态访问列表中创建临时访问列表入口
Access-group把访问控制列表(ACL)应用到接口上
Access-list定义一个标准的IP ACL
Access-template在连接的路由器上手动替换临时访问列表入口
Appn向APPN子系统发送命令
Atmsig 执行ATM信令命令
B 手动引导操作系统
Bandwidth 设置接口的带宽
Banner motd 指定日期信息标语
Bfe 设置突发事件手册模式
Boot system 指定路由器启动时加载的系统映像
Calendar 设置硬件日历
Cd 更改路径
Cdp enable 允许接口运行CDP协议
Clear 复位功能
Clear counters 清除接口计数器
Clear interface 重新启动接口上的件逻辑
Clockrate 设置串口硬件连接的时钟速率,如网络接口模块和接口处理器能接受的速率
Cmt 开启/关闭FDDI连接管理功能
Config-register 修改配置寄存器设置
Configure 允许进入存在的配置模式,在中心站点上维护并保存配置信息
Configure memory 从NVRAM加载配置信息
Configure terminal 从终端进行手动配置
Connect 打开一个终端连接
Copy 复制配置或映像数据
Copy flash tftp 备份系统映像文件到TFTP服务器
Copy running-config startup-config 将RAM中的当前配置存储到NVRAM
Copy running-config tftp 将RAM中的当前配置存储到网络TFTP服务器上
Copy tftp flash 从TFTP服务器上下载新映像到Flash
Copy tftp running-config 从TFTP服务器上下载配置文件
Debug 使用调试功能
Debug dialer 显示接口在拨什么号及诸如此类的信息
Debug ip rip 显示RIP路由选择更新数据
Debug ipx routing activity 显示关于路由选择协议(RIP)更新数据包的信息
Debug ipx sap 显示关于SAP(业务通告协议)更新数据包信息
Debug isdn q921 显示在路由器D通道ISDN接口上发生的数据链路层(第2层)的访问过程
Debug ppp 显示在实施PPP中发生的业务和交换信息
Delete 删除文件
Deny 为一个已命名的IP ACL设置条件
Dialer idle-timeout 规定线路断开前的空闲时间的长度
⑤ 思科认证:讲解EFS的加密技巧
思科认证:讲解EFS的加密技巧
NTFS:Windows 2000/XP/2003支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。思科培训NTFS支持文件加密管理功能,可为用户提供更高层次的安全保证。
MMC:Microsoft Management Console的简称,是一个集成了用来管理网络、计算机、服务及其他系统组件的管理工具。MMC不执行管理功能,但集成管理工具。可以添加到控制面板的主要工具类型称为管理单元,其他可添加的项目包括 ActiveX 控件、指向 Web 页的链接、文件夹、任务板视图和任务。
由于EFS的用户验证过程是在你登录Windows时进行的,所以只要授权用户登录到Windows,就可以打开任何一个被授权的加密文件。因此,实际上EFS对用户来说是透明的。也就是说如果你加密了某些数据后,你对这些数据的访问将不会有任何限制,而且不会有任何提示,你根本感觉不到它的存在。但是当其他非授权用户试图访问加密过的数据时,就会收到“访问拒绝”的错误提示,从而保护我们的加密文件。
小提示:
如果你要使用EFS加密文件系统,必须将Windows 2000/XP/Server 2003的加密文件所在分区格式化为NTFS格式。
实战一:实战EFS文件夹加密
第一步:右击选择要加密的文件夹,选择“属性”,然后单击弹出窗口中的“常规”标签,再单击最下方的“属性→高级”,在“压缩或加密属性”一栏中,把“加密内容以便保护数据”勾选上。
第二步:单击“确定”按钮,回到文件属性再单击“应用”按钮,会弹出“确认属性更改”窗口,在“将该应用用于该文件夹、子文件夹和文件”打上“√”,最后单击“确定”按钮即开始加密文件。思科培训这样这个文件夹里的原来有的以及新建的所有文件和子文件夹都被自动加密了。
第三步:如果想取消加密,只需要右击文件夹,取消“加密内容以便保护数据”的勾选,确定即可。
小提示
在命令行模式下也可用“cipher”命令完成对数据的加密和解密操作,在命令符后输入“cipher/?”并回车可以得到具体的命令参数使用方法。
实战二:右键轻松加密解密
用上述方法加密文件须确认多次,非常麻烦,其实只要修改一下注册表,就可以给鼠标的右键菜单中增添“加密”和“解密”选项,以后在需要时用右击即可完成相关操作。单击“开始→运行”,输入regedit后回车,打开注册表编辑器,定位到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Exporer/Advanced],在“编辑”菜单上单击“新建→DWORD值”,然后输入EncryptionContextMenu作为键名,并设置键值为“1”。退出注册表编辑器,打开资源管理器,任意选中一个NTFS分区上的文件或者文件夹,右击就可以在右键菜单中找到相应的“加密”和“解密”选项,直接单击就可以完成加密/解密的操作。
实战三:多用户禁止特殊文件夹加密
在多用户共用电脑的时候,我们通常将用户指定为普通用户权限,但是普通用户账户在默认的情况下是允许使用加密功能,因此如果在一些多用户共用的电脑上有人利用EFS加密文件,势必会给其他用户带来许多麻烦。所以需要设置某些特定的文件夹禁止被加密,或者禁止文件加密功能。
先来说说如何只想禁止加密某个文件夹,方法是只要在该文件夹中用记事本创建一个名为Desktop.ini的文件,然后添加如下内容:
最后保存这个文件即可。这样如果以后其他用户试图加密该文件夹时就会出现错误信息,无法进行下去。思科培训龙旭讲师提醒你要注意,你只能使用这种方法禁止其他用户加密该文件夹,文件夹中的子文件夹将不受保护。
实战四:禁用EFS加密功能
如果要彻底禁用EFS加密,可以打开“注册表编辑器”,定位到[HKEY_LOCAL_ NTCurrentVersionEFS],在“编辑”菜单上单击“新建→Dword值”,然后输入EfsConfiguration作为键名,并设置键值为“1”,这样本机的EFS加密就被禁用了。
实战五:导出EFS密钥
使用Windows 2000/XP的EFS加密后,如果重装系统,那么原来被加密的`文件就无法打开了!如果你没有事先做好密钥的备份,那么数据是永远打不开的。由此可见,做好密钥的被备份就很重要。
第一步:首先以本地帐号登录,最好是具有管理员权限的用户。然后单击“开始→运行”,输入“MMC”后回车,打开控制面板界面。
第二步:单击控制面板的“控制面板→添加删除管理单元”,在弹出的“添加/删除管理单元”对话框中单击“添加”按钮,在“添加独立管理单元”对话框中选择“证书”后,单击“添加”按钮添加该单元。如果是管理员,会要求选择证书方式,选择“我的用户证书”,然后单击“关闭”按钮,单击“确定”按钮返回控制面板。
第三步:依次展开左边的“控制面板根节点→证书→个人→证书→选择右边窗口中的账户”,右击选择“所有任务→导出”,弹出“证书导出向导”。
第四步:单击“下一步”按钮,选择“是,导出私钥”,单击“下一步”按钮,勾选“私人信息交换”下面的“如果可能,将所有证书包括到证书路径中”和“启用加强保护”项,单击“下一步”按钮,进入设置密码界面。
第五步:输入设置密码,这个密码非常重要,一旦遗忘,将永远无法获得,以后也就无法导入证书。输入完成以后单击“下一步”按钮,选择保存私钥的位置和文件名。
第六步:单击“完成”按钮,弹出“导出成功”对话框,表示你的证书和密钥已经导出成功了,打开保存密钥的路径,会看到一个“信封+钥匙”的图标,这就是你宝贵的密钥!丢失了它,不仅仅意味着你再也打不开你的数据,也意味着别人可以轻易打开你的数据。
实战六:导入EFS密钥
由于重装系统后,对于被EFS加密的文件我们是不能够打开的,所以重装系统以前,一定记住导出密钥,然后在新系统中将备份的密钥导入,从而获得权限。
小提示
确保你导入的密钥有查看的权利,否则就是导入了也没有用的。这一点要求在导出时就要做到。
记住导出时设置的密码,最好使用和导出是相同的用户名。
第一步:双击导出的密钥(就是那个“信封+钥匙”图标的文件),会看到“证书导入向导”欢迎界面,单击“下一步”按钮,确认路径和密钥证书,然后单击“下一步”继续。
第二步:在“密码”后面输入导出时设置的密码,把密码输入后勾选“启用强密钥保护”和“标志此密钥可导出”(以确保下次能够导出),然后单击“下一步”继续。
第三步:根据提示,依次单击“下一步”按钮,OK了,单击完成按钮,看到“导入成功”就表示你已经成功导入密钥了。
试试看,原来打不开的文件,现在是不是全部都能打开了呢?
小提示
EFS加密的文件打不开了,把NTFS分区转换成FAT32分区或者使用相同的用户名和密码登录甚至重新Ghost回原系统都不能解决问题,因此备份和导入EFS密钥就显得非常重要。
Windows XP家用版并不支持EFS功能。
;⑥ cisco设置enable密码
cisco设置enable密码?怎么设置?最近有网友这样问我。我去网上搜索了相关资料,给大家奉上,希望大家喜欢。
思科路由器配置enable password
A:enable password 没加密
B:service password-encryption 对明文密码进行加密
C:enable secret 用MD5算法对特权模式进行加密
D:enable password 7 后面要加密文
1.使用A的话,在show run的时候password会以明文的方式显示。例如enable password tangxuquan
Router#show run
Building configuration...
Current configuration : 354 bytes
!
version 12.2
no service password-encryption 没有过加密的
!
hostname Router
!
!
enable password tangxuquan 密码以明文显示,你设置的是什么这里就显示什么
2.再输入B命令后 service password-encryption
Router#show run
Building configuration...
Current configuration : 354 bytes
!
version 12.2
service password-encryption
!
hostname Router
!
!
enable password 7 08354D400E011006070A02 对明文密码进行了加密,显示的是经过思科算法加密后的密文
3.输入c命令 enable password cicso
在B命令的基础上运行 enable secret cisco
Router#show run
Building configuration...
Current configuration : 401 bytes
!
version 12.2
service password-encryption
!
hostname Router
!
!
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0 MD5算法的密码显示
enable password 7 08354D400E011006070A02 用service password-encryption的加密显示。
即使secret后面的数字是0,show run的时候,也不会以明文显示,而是MD5加密算法后的值。
使用命令enable secret cisco 后特权模式的登录密码将改为“cisco”
4.enable password常见的一个误解enable password 7后面应该加入加密后的密码,而不应该输入“bdcom”之类的明码。
3660_config#ena pass 7 bdcom //后面加入明码,则显示错误
Invalid encrypted password
以上内容来源互联网,希望对大家有所帮助。
⑦ 思科路由器特权密码加密方式
在路由器的特权模式下使用命令conf t就可以进入全局配置模式:Router(config)#
在全局配置模式下设置明文特权模式密码abcdef:
Router(config)#enable password abcdef
在全局配置模式下设置密文特权模式密码abcdef:
Router(config)#enable secretabcdef
退出到特权模式:R2632(config)# exit
保存配置信息:R2632# wr
⑧ 修改思科路由器密码的命令是什么enable密码 和用户密码
Router(config)#line console 0 //配置控制口
Router(config-line)#password 456 //配置密码
Router(config-line)#login //开启密码生效
Router(config-line)#exit
Router(config)#enable password 123 //配置特权模式密码
Router(config)#username benet password cisco //创建本地用户benet和密码cisco
Router(config)#line vty 0 4 //配置VTY 端口 0-4
Router(config-line)#login local //设置远程登录使用本地用户名和密码
Router(config-line)#exit
Router(config)#service password-encryption //加密所有密码
Router(config)#int f0/0
Router(config-if)#ip add 192.168.1.100 255.255.255.0 //设定一个接口当管理IP
远程登录必须要满足三个条件:
特权密码,VTY密码还有管理IP地址