分享
 
 
 

采用EFS加密硬盘以保护数据(四)

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

10.如果导入的文件为 PKCS #12 文件,在"密码"页中的"密码"框中,输入该文件的密码。

最佳的做法为采用强密码保护私钥。

11.如果稍后需要从该计算机中再次导出此密钥,请选中"标明该密钥为可导出"复选框。单击"下一步"

12.向导可能会提示您指定证书与私钥应该导入的存储器。要确保私钥被导入到个人存储器中,请不要选择"基于证书类型自动选择证书存储器",而应选择"把所有证书保存到以下存储器中",然后单击"下一步"。

13.高亮度选择"个人"存储器,单击"确定"按钮。

14.单击"下一步",再单击"完成",结束导入过程。通知将报告导入操作是否成功。

要点:数据恢复代理应始终使用基于域的帐户,这是因为本地帐户易于受到离线物理攻击。

恢复数据

如果原始用户无法恢复加密的数据(例如,该用户已离开公司),您需要一种数据恢复方法,以便公司能够继续使用这些数据。本节描述了如何恢复加密的文件或文件夹。为此,需要使用备份工具,把用户的加密文件或文件夹还原到计算机上,而文件恢复证书和数据恢复代理的恢复密钥也存储于该计算机中。

只有指定的恢复代理才能执行该操作。也就是说,在待恢复的文件或文件夹中,您必须拥有有效的 DRA 私钥和证书。

要求

凭据:数据恢复代理。

工具:Windows 资源管理器。

还原加密的文件或文件夹

1.打开 Windows 资源管理器。

2.右键单击要恢复的文件或文件夹,单击"属性"。

3.在"常规"选项卡中,单击"高级"。

4.清除"加密内容以保护数据"复选框。

5.制作解密文件或文件夹的备份,并将其交给用户。

注意: 您可以通过电子邮件附件、磁盘或网络共享将备份版本返还给用户。

恢复数据的另一种方法为,传输恢复代理的私钥和证书到存有加密文件的计算机中,导入私钥和证书,解密该文件或文件夹,然后删除导入的私钥和证书。与方法一相比,采用此方法,私钥的安全性大大降低,但同时也免除了备份、恢复和文件传输操作。

最佳做法

以下最佳做法可以帮助公司有效地使用和管理加密的文件和文件夹。

恢复代理应将其文件恢复证书备份到一个安全的地方。

在 Microsoft MMC 的证书管理单元中,使用"导出"命令,将文件恢复证书和私钥导出到软盘上。将软盘保存到安全的地方。此后,如果计算机上的文件恢复证书或私钥发生损坏或被删除,可以在 MMC 的证书单元中,使用"导入"命令,用已备份到软盘上的证书和私钥代替已损坏或删除的证书和私钥。

使用默认域配置。

在默认情况下,域管理员是 Windows 2000 或 Windows Server 2003 域中的默认数据恢复代理。域管理员首次用该帐户登录时,会生成一份自签名证书,私钥将保存在计算机的用户配置文件中,默认的域"组策略"中则包含该证书的公钥,作为域中默认数据恢复代理。

请立即更新已丢或到期的 DRA 私钥。

虽然 DRA 证书的到期只是一个小事件,但是 DRA 私钥的丢失与损坏对可能造成企业的巨大损失。

到期的 DRA 证书(私钥)仍然可以用于解密以前加密的文件,但不能用于新建或更新的加密文件。在 DRA 私钥丢失或 DRA 证书到期的情况下,最佳做法是立即生成一个或多个新的 DRA 证书,并对"组策略"实施相应的更新。用户加密新文件或更新现有的加密文件时,这些文件将使用新的 DRA 公钥自动进行更新。提醒用户采用新的 DRA,更新所有的现有文件。

在Windows XP中,执行命令行工具 cipher.exe (使用 /U 参数),可以更新本地驱动器中所有文件的加密密钥或恢复代理密钥。以下示例显示了运行 Cipher.exe 的本地驱动器上两个加密文件的更新:

Cipher.exe /U

C:Tempest.txt: Encryption updated.

C:My Documentswordpad.doc: Encryption updated.

注意:在无证书颁发机构的域中使用默认的自签名证书时,该证书的有效时间为 99 年。

下面的最佳做法可以帮助公司保护移动用户的数据,以防失窃或丢失:

计算机的物理保护至关重要。为保证计算机不失窃或不遭到物理损坏,应采取一切必要的预防措施。这些预防措施是技术手段所无法替代的。

使用移动计算机时,应确保登录到 Active Directory 域。

存储独立于移动计算机的用户私钥,并在必要时将其导入。

加密公共文件夹,如"我的文档"和临时文件夹,以加密所有新文件和临时文件。

敏感数据文件应建立在加密文件夹中,敏感数据明文文件应拷贝到加密文件夹中。遵循该原则可以确保没有明文文件存储于计算机中,并且临时文件无法被复杂的磁盘分析工具所恢复。

结合使用组策略、登录脚本和安全模板强制执行文件夹加密操作,从而确保将标准文件夹(如"我的文档")设置为加密文件夹。

Windows XP 操作系统支持脱机文件的数据加密。在应用客户端缓存策略时,应对存储于本地缓存的脱机文件和文件夹进行加密。

在移动计算机中,启用系统工具 SYSKEY 的模式 2 或模式 3(软盘启动或密码启动),以防止恶意用户启动系统。Windows 版本的联机帮助中对该系统密钥工具进行了说明。

为服务器启用组策略中的 SMB 签名,这些服务器是受信任的委派对象,并用来存储加密文件。这个设置可以在"组策略"中找到,其路径为:"组策略对象名称"、"计算机配置"、"Windows 设置"、"安全设置"、"本地策略"、"安全选项"、"Microsoft 网络服务器: 完全数字签名通信。

文件加密后,确保从硬盘驱动器中删除未加密的数据,该操作应定期执行。

相关信息

有关 EFS 的详细信息,请访问 Microsoft TechNet 网站,参阅以下资料:

Encrypting File System(英文),其网址为:

http://go.microsoft.com/fwlink/?LinkID=22412

Encrypting File System in Windows XP and Windows Server 2003(英文),其网址为:http://go.microsoft.com/fwlink/?LinkID=22413

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有