目录
简介
准备工作
生成与备份恢复密钥
创建基于域的恢复代理
创建本地恢复代理
使用 EFS
启用 Windows 资源管理器菜单中的加密/解密选项
启用 EFS 文件共享
导入与导出数据恢复密钥
恢复数据
最佳做法
相关信息
简介
在许多企业中,都存在着多个用户共用一台计算机的情况。有些用户旅行时携带便携式计算机,并在没有企业物理保护的地方使用,如客户设施、机场、饭店和家中。这意味着重要的数据常常被置于企业控制之外。未经授权的用户可能希望读取存储在台式计算机中的数据。手提电脑可能会失窃。在所有这些情况下,公司的敏感数据都可能被窃取。
采用加密文件系统 (EFS) 对敏感数据文件进行加密,可以加强数据的安生性。该解决方案可以有效的减小数据失窃的隐患。加密是一种采用数学算法的应用程序。文件经过加密处理后,只有拥有正确密钥的用户方可读取其内容。Microsoft 的 EFS 技术可以对计算机上的数据进行加密,并控制哪些人有权解密或恢复数据。文件被加密后,即使攻击者能够物理访问计算机的数据存储器,也无法读取用户数据。所有用户都必须拥有 EFS 证书,方可运用 EFS 对数据进行加密和解密。此外,EFS 用户必须拥有在 NTFS 卷中修改文件的权限。
EFS 包括两种类型的证书:
加密文件系统证书。此类证书允许其持有者使用 EFS 加密和解密数据,它通常也被直接称为 EFS 证书。普通的 EFS 用户使用此类证书。这类证书的"增强型密钥用法"字段(在 Microsoft 管理控制台管理单元中可以看到)的值为"EFS (1.3.6.1.4.1.311.10.3.4)"。
文件恢复证书。此类证书的持有者可以在整个域或其他范围内对任何人加密的文件和文件夹进行恢复。只有域管理员或极受信任的委托人(即数据恢复代理)可以持有此类证书。这类证书的"增强型密钥用法"字段(在 Microsoft 管理控制台管理单元中可以看到)的值为"文件恢复 (1.3.6.1.4.1.311.10.3.4.1)"。此类证书通常被称为 EFS DRA 证书。
要允许其他授权用户读取加密的数据,需要给他们私钥,或使其成为数据恢复代理。数据恢复代理可以在其范围内的域或组织单位中,解密所有的 EFS 加密文件。本文档为中小企业中主要的 EFS 相关任务提供了具体步骤指导,同时还列举了在 EFS 实施过程中几项重要的最佳做法。
本文档中的步骤说明将指导您完成以下任务:?
创建与保护恢复密钥,以确保在原始加密者无法恢复加密数据时能够对其进行安全的恢复。
指定恢复代理,当原始用户无法恢复加密文件时,由其实施恢复操作。
在企业中安装 EFS。
配置 Windows 资源管理器,以方便 EFS 的使用。
设置文件共享,以配合 EFS 的使用。
导入和导出数据恢复密钥,以确保安全的恢复加密文件和文件夹。
当原始用户无法恢复数据时,对其进行恢复。
按照本文档中的步骤,您需要在系统范围内执行以下操作:
创建备份数据恢复密钥。
指定恢复代理。
启用 EFS,对计算机硬盘中的数据进行加密。
配置 Windows 资源管理器,以包含 EFS 选项。
完成上述步骤后,您可以:
为所选的加密数据提供共享访问。
管理数据恢复密钥,以恢复加密数据。
必要时恢复加密的数据。
准备工作
本文档中的步骤帮助您配置计算机以使用 EFS,并说明如何在企业中使用 EFS 以保护计算机硬盘中的数据。开始执行上述步骤之前,应当向法律顾问咨询,从而确保计划中的加密策略与程序符合相关的法律法规。特别是当公司在美国本土外设有办事处,那么您一定要熟悉与加密软件有关的出口控制法。同时,还要了解使用 EFS 的一些基本要求和条件:
可以只在 NTFS 卷中才能使用 EFS 加密文件和文件夹。因此,EFS 无法保护 FAT 或 FAT32 文件系统中的数据。除非因特殊原因需要继续使用 FAT 文件系统,否则建议将其转换为 NTFS 格式。Windows 95、Windows 98 和 Windows Me 操作系统不支持 NTFS 或 EFS。Windows XP Home Edition 支持 NTFS,但不支持 EFS。
对压缩过的文件或文件夹也无法进行 EFS 加密。对压缩文件或文件夹实施加密操作,该文件或文件夹将被解压缩。
具有"系统"属性的文件无法进行加密,systemroot 文件夹中的文件也不能被加密。
在首次加密文件或文件夹时,将弹出一个对话框。该对话框中的选项设置将影响到今后的加密操作:
o 加密单个文件时,如果选择加密其父文件夹,则今后添加到该文件夹中的文件和子文件夹在添加时都将被自动加密。
o 在对文件夹进行加密时,如果选择了加密所有文件和子文件夹,那么该文件夹中现有的所有文件和子文件夹以及今后添加到该文件夹中的文件和子文件夹都将被加密。
o 在对文件夹进行加密时,如果选择只对该文件夹进行加密,那么该文件夹中现有的所有文件和子文件夹都不会被加密。但是,今后添加到该文件夹中的所有文件和子文件夹在添加时将被自动加密。
除非另有说明,在本文档所描述的步骤中,服务器采用 Windows Server 2003 操作系统,而客户机使用 Windows XP Professional。
在 Active Directory 环境中,假定用户具有移动配置文件。请注意,本文档中的截屏图像反映的是一个测试环境,其中信息或许与您计算机上显示的信息略有出入。
安装操作系统时,使用默认出现的"开始"菜单,便可获得本文档中的所有步骤说明。如果您修改过"开始"菜单,则上述步骤可能稍有不同。
生成与备份恢复密钥
未备份恢复密钥可能会导致无法挽回的加密数据损失。当持有 EFS 加密证书的用户无法解密数据时,备份的恢复密钥能够确保加密数据的恢复。
要求
凭据:要执行此操作,必须使用恢复代理帐户,该帐户中存储有文件恢复证书和私钥。域管理员是默认的恢复代理;在家庭或非域环境中,没有默认的恢复代理,但是可以为计算机上的所有帐户创建一个本地恢复代理。在家庭设置中,更为普遍的做法是备份每个 EFS 证书持有人的私钥。
工具:Microsoft 管理控制台 (MMC) 的证书管理单元。
警告:在更改默认恢复策略之前,应确保已备份默认的恢复密钥。域中默认的恢复密钥存储在该域的第一个域控制器中。
把默认的恢复密钥备份到软盘中,需要执行以下操作
1.单击"开始"、"运行",键入 mmc ,然后单击"确定"按钮。打开"Microsoft 管理控制台"。
2.在"文件"菜单中,选择"添加/删除管理单元",然后单击"添加"按钮。
3.在"添加独立管理单元"中,单击"证书,然后单击"添加"按钮。
4.选择"我的用户帐户"单选项,再单击"确定"按钮。
5.单击"关闭"按钮,再单击"确定"按钮。
6.双击"证书-当前用户"、"个人",然后双击"证书"。
7.在"这个证书的目的是"一栏中单击显示字样为"文件恢复"的证书。
8.右键单击该证书,选择"所有任务",单击"导出"按钮。
9.按照"证书导出向导"中的说明,导出该证书和相关的私钥,并以 .pfx 文件格式保存。
创建基于域的恢复代理
要允许某一帐户读取或恢复 EFS 加密的数据,必须将其指定为恢复代理。在域环境中,建议使用域帐户达到这个目的。为在 Active Directory 目录林中的所有站点、域或组织单位创建恢复代理。在默认情况下,内置的管理员帐户是域的恢复代理;这种情况就无需再创建恢复代理了。
要求
凭据:域管理员。
工具:MMC 的 Active Directory 用户与计算机管理单元。
创建基于域的恢复代理,需要执行以下操作
1.单击"开始"、"控制面板",在"控制面板"窗口中,双击"管理工具",然后双击"Active Directory 用户与计算机"。
2.右键单击需要更改恢复策略的域,然后单击"属性"。
3.选择"组策略"选项卡。
4.右键单击要更改的恢复策略,然后单击"编辑"。
5.在控制台树(左栏)中,单击"加密文件系统"。该选项位于以下导航路径中:"计算机配置"、"Windows 设置"、"安全设置"、"公钥策略"、"加密文件系统"。
6.在详细信息栏(右栏)中,单击右键,选择"创建数据恢复代理"。
注意:按照"创建恢复代理向导"的提示,从文件或 Active Directory 中添加用户作为恢复代理。从文件添加恢复代理时,用户被标识为"未知用户"。这是因为该用户名没有存储在这个文件中。
要从 Active Directory 添加恢复代理,EFS 恢复代理证书(文件恢复证书)必须在 Active Directory 中发布。 但是,由于默认的 EFS 文件恢复证书模板没有发布这些证书,所以需要创建一个这样的模板。要达到这个目的,请在"证书模板"管理单元,复制默认的 EFS 文件恢复证书模板,以创建一个新模板,右