采用 EFS 加密硬盘以保护数据
除非另有说明,在本文档所描述的步骤中,服务器采用 Windows Server 2003 操作系统,而客户机使用 Windows XP Professional。
在 Active Directory 环境中,假定用户具有移动配置文件。请注意,本文档中的截屏图像反映的是一个测试环境,其中信息或许与您计算机上显示的信息略有出入。
安装操作系统时,使用默认出现的“开始”菜单,便可获得本文档中的所有步骤说明。如果您修改过“开始”菜单,则上述步骤可能稍有不同。
生成与备份恢复密钥
未备份恢复密钥可能会导致无法挽回的加密数据损失。当持有 EFS 加密证书的用户无法解密数据时,备份的恢复密钥能够确保加密数据的恢复。
要求
| • |
凭据:要执行此操作,必须使用恢复代理帐户,该帐户中存储有文件恢复证书和私钥。域管理员是默认的恢复代理;在家庭或非域环境中,没有默认的恢复代理,但是可以为计算机上的所有帐户创建一个本地恢复代理。在家庭设置中,更为普遍的做法是备份每个 EFS 证书持有人的私钥。 |
| • |
工具:Microsoft 管理控制台 (MMC) 的证书管理单元。 |
警告:在更改默认恢复策略之前,应确保已备份默认的恢复密钥。域中默认的恢复密钥存储在该域的第一个域控制器中。
| • |
把默认的恢复密钥备份到软盘中,需要执行以下操作
|
1. |
单击“开始”、“运行”,键入 mmc ,然后单击“确定”按钮。打开“Microsoft 管理控制台”。
|
|
2. |
在“文件”菜单中,选择“添加/删除管理单元”,然后单击“添加”按钮。 |
|
3. |
在“添加独立管理单元”中,单击“证书,然后单击“添加”按钮。 |
|
4. |
选择“我的用户帐户”单选项,再单击“确定”按钮。 |
|
5. |
单击“关闭”按钮,再单击“确定”按钮。 |
|
6. |
双击“证书-当前用户”、“个人”,然后双击“证书”。 |
|
7. |
在“这个证书的目的是”一栏中单击显示字样为“文件恢复”的证书。 |
|
8. |
右键单击该证书,选择“所有任务”,单击“导出”按钮。 |
|
9. |
按照“证书导出向导”中的说明,导出该证书和相关的私钥,并以 .pfx 文件格式保存。 | |
创建基于域的恢复代理
要允许某一帐户读取或恢复 EFS 加密的数据,必须将其指定为恢复代理。在域环境中,建议使用域帐户达到这个目的。为在 Active Directory® 目录林中的所有站点、域或组织单位创建恢复代理。在默认情况下,内置的管理员帐户是域的恢复代理;这种情况就无需再创建恢复代理了。
要求
| • |
凭据:域管理员。 |
| • |
工具:MMC 的 Active Directory 用户与计算机管理单元。 |
| • |
创建基于域的恢复代理,需要执行以下操作
|
1. |
单击“开始”、“控制面板”,在“控制面板”窗口中,双击“管理工具”,然后双击“Active Directory 用户与计算机”。
|
|
2. |
右键单击需要更改恢复策略的域,然后单击“属性”。 |
|
3. |
选择“组策略”选项卡。
|
|
4. |
右键单击要更改的恢复策略,然后单击“编辑”。 |
|
5. |
在控制台树(左栏)中,单击“加密文件系统”。该选项位于以下导航路径中:“计算机配置”、“Windows 设置”、“安全设置”、“公钥策略”、“加密文件系统”。
|
|
6. |
在详细信息栏(右栏)中,单击右键,选择“创建数据恢复代理”。
注意:按照“创建恢复代理向导”的提示,从文件或 Active Directory 中添加用户作为恢复代理。从文件添加恢复代理时,用户被标识为“未知用户”。这是因为该用户名没有存储在这个文件中。
要从 Active Directory 添加恢复代理,EFS 恢复代理证书(文件恢复证书)必须在 Active Directory 中发布。 但是,由于默认的 EFS 文件恢复证书模板没有发布这些证书,所以需要创建一个这样的模板。要达到这个目的,请在“证书模板”管理单元,复制默认的 EFS 文件恢复证书模板,以创建一个新模板,右键单击这个新模板,选择“属性”,并在“常规”选项卡的“属性” 对话框中找到复制的证书,然后选中“在 Active Directory 中发布证书”复选框。 |
|
7. |
按照 “创建恢复代理向导”中的说明,完成创建基于域的恢复代理。 | |
| 
