允许用户加密或解密文件
1.打开 Windows 资源管理器。
2.右键单击要改变的加密文件,在弹出的快捷菜单中选择"属性"。
3.在"常规"选项卡中,单击"高级"。
4.在"高级属性"中,单击"详细信息"。
5.要添加用户到这个文件中,请单击"添加",然后执行以下步骤中的一种:
要添加用户,而该用户的 EFS 加密证书在这台计算机上,请单击证书,再单击"确定"按钮。
在将证书添加到文件之前,要查看该证书,请单击证书,然后单击"查看证书"。
要从 Active Directory 添加用户,请单击"查找用户",然后在列表中选择用户,并单击"确定"。
要从文件删除用户,请单击用户名,再单击"删除"。
注意: 当用户被添加到文件中并导入该用户的 EFS 加密证书时,该证书对于受信任的证书颁发机构 (CA) 来说是有效的。然后,该证书将保存到"其他人"证书存储区中。
导入与导出数据恢复密钥
数据恢复代理必须拥有数据恢复密钥(DRA 密钥),以确保在正常恢复无法实现的情况下进行加密数据的恢复。由此可见,保护恢复密钥很重要。预防恢复密钥丢失的一个好方法是,导出数据恢复证书和数据恢复代理的私钥,并以 .pfx 格式文件保存到安全的可移动的媒体中。在恢复丢失数据时,可以将其导入。
以下步骤概述了导出与导入 DRA 密钥的过程。
要求
凭据:您必须用域的第一个域控制器的管理员帐户登录。
工具:MMC 证书管理单元。
导出数据恢复密钥
导出默认域数据恢复代理的证书和私钥需要执行以下操作
1.以域的第一个域控制器的管理员帐户登录。
2.单击"开始",然后单击"运行"。
3.键入 mmc.exe ,并按"回车"键。
4.单击"文件"、"添加/删除管理单元"。
5.单击"添加"。将弹出当前计算机上注册的所有管理单元列表。
6.双击"证书"管理单元,单击"我的用户帐户",然后单击"完成"。
7.在"添加独立管理单元"对话框中,单击"关闭"按钮,然后在"添加/删除管理单元"对话框中,单击"确定"按钮。MMC 当前显示适合管理员帐户的个人证书。
8.导航到"证书"、"当前用户"、"个人"、"证书"。
详细信息栏(右栏)中将显示管理员帐户所有证书列表。默认情况下,通常显示两个证书。选择默认域的 DRA 证书。
9.双击默认域的 DRA 证书,选择"所有任务",然后单击"导出" 按钮,启动"证书导出向导"。
要点: 在导出过程中,选择正确的密钥至关重要,因为一旦导出过程结束,原始私钥和相应的证书将从计算机上被删除。如果密钥没有还原到计算机上,那么使用 DRA 证书将无法进行文件恢复。
10.单击"是,导出私钥",然后单击"下一步"。导出过程的结束时,私钥将被删除。
11.在"导出文件格式"页中,单击"个人信息交换 PKCS #12 (.PFX)",选中"启用增强型保护"和"如果导出成功,删除私钥"这两个复选框,单击"下一步"。
最佳做法是,导出成功结束后,从系统中删除私钥,增强型私钥保护应当作为私钥安全的特殊级别使用。
导出私钥时,请使用 .pfx 文件格式。.pfx 文件格式是基于 PKCS #12 标准的,该标准是一种可移植格式,用于存储或传输包括私钥、证书和各种机密信息在内的用户信息。此外,.pfx 文件格式 (PKCS #12) 还允许使用密码,来保护存储在文件中的私钥。
12.在"密码"页中的"密码""密码确认"编辑框中,输入一个强密码,然后单击"下一步"?
最后一步是保存真正的 .pfx 文件。证书与私钥可以导出到任何可写入设备中,包括网络驱动器或软盘。
13.在"导出文件"页中,键入或浏览路径并指定文件名,然后单击"下一步"。
通知将报告导出操作是否成功。
如果文件和相关私钥丢失,将无法解密任何使用该 DRA 证书作为数据恢复代理的加密文件。.pfx 文件和私钥一旦被导出,就要按照企业的安全规则与做法,在稳定的可移动媒体的安全位置存储该文件。例如,企业可以把 .pfx 文件保存在一各或多个 CD-ROM 光盘中,将这些光盘存放于一个安全的存放盒或隔间内,并在这些地点实施严格的物理访问控制。
导入数据恢复密钥
如果要使用导出的数据恢复密钥来恢复加密的数据,首先必须导入该密钥。导入密钥要比导出密钥简单得多。要导入以 PKCS #12 格式文件(.pfx文件)存储的密钥,双击该文件,打开"证书导入向导",或者直接运行"证书导入向导",按照以下步骤导入密钥:
要求
凭据:计算机的 Domain Admin 帐户。
工具:MMC 证书管理单元。
导入数据恢复密钥
1.使用有效帐户登录计算机。
2.单击"开始"、"运行"。
3.键入 mmc.exe ,并按"回车"键。
4.在 MMC 中,在"文件"菜单中,选择"添加/删除管理单元"。
5.单击"添加"。弹出当前计算机上注册的所有管理单元列表。
6.双击"证书" 管理单元,单击"我的用户帐户",然后单击"完成"。
7.在"添加独立管理单元"对话框中,单击"关闭"按钮,然后在"添加/删除管理单元"对话框中,单击"确定"按钮。MMC 当前显示适合管理员帐户的个人证书。
8.导航到"证书"、"当前用户"、"个人"、"证书",右键单击该文件夹,选择"所有任务",然后单击"导入",启动"证书导入向导"。
9.单击"下一步",输入要导入的文件和及其路径,再单击"下一步"。