采用 EFS 加密硬盘以保护数据
创建本地恢复代理
在非域环境中,如在独立计算机或在工作组中,可以创建本地恢复代理。在多个用户共享一台计算机的情况下,适合创建本地恢复代理。在单用户计算机上,用户很容易直接把恢复密钥备份到可移动媒体中。
要求
| • |
凭据:本地计算机管理员。 |
| • |
工具:组策略对象编辑器 |
| • |
创建本地恢复代理
|
1. |
单击“开始”、“运行”,键入 mmc ,然后单击“确定”按钮。 |
|
2. |
在“文件”菜单中,选择“添加/删除管理单元”,然后单击“添加”按钮。 |
|
3. |
在“添加独立管理单元”中,单击“组策略对象编辑器”,然后单击“添加”按钮。 |
|
4. |
在“组策略对象”中,确定已经显示了“本地计算机”,然后单击“完成”按钮。 |
|
5. |
单击“关闭”按钮,再单击“确定”按钮。 |
|
6. |
在“本地计算机策略”中,导航到“本地”、“计算机策略”、“计算机配置”、“Windows 设置”、“安全设置”、“公钥策略”。
|
|
7. |
在详细信息栏中,右键单击“加密文件系统”,再单击“添加数据恢复代理” 或“创建数据恢复代理”。
注意:向导会提示您输入恢复代理用户名。您可提供具有发布的文件恢复证书的用户名给向导,或浏览恢复证书文件(.cer文件),此类文件中包含有关恢复代理的信息。文件恢复证书可以从证书颁发机构 (CA) 获得。要标识文件恢复证书,请在“证书”管理单元和详细信息栏中的“增强型密钥用法”字段中,查找值“文件恢复 (1.3.6.1.4.1.311.10.3.4.1)”。在本地计算机文件系统或 Active Directory 中,以 .cer 文件存储文件恢复证书。
从文件中添加恢复代理时,用户被标识为“未知用户”,因为该文件中为存储此用户名。 |
|
8. |
根据向导中的说明,结束该过程。 | |
使用 EFS
完成恢复代理的创建和恢复密钥的生成及备份后,就可以开始使用 EFS,从而更有效的保护文件和文件夹免受未授权的访问。本节提供了有关启用 EFS 的说明。
要求
| • |
凭据:您必须是一个持有 EFS 证书的用户,并拥有在 NTFS 卷修改文件或文件夹的权限。 |
| • |
工具:Windows 资源管理器。 |
| • |
使用 EFS 加密文件或文件夹
|
1. |
打开 Windows 资源管理器。
|
|
2. |
右键单击要加密的文件或文件夹,在弹出的菜单中,选择“属性”项。 |
|
3. |
在“常规”选项卡中,单击“高级”。
|
|
4. |
选中“加密内容以保护数据”复选框,单击“确定”按钮。
|
|
5. |
在“属性” 对话框中,单击“确定”,然后执行下列步骤中之一:
| • |
要加密文件及其父文件夹时,请在“加密警告”对话框中,单击“加密文件与父文件夹”。 |
| • |
要想只加密文件,请在“加密警告”对话框中,单击“只加密文件”。 |
| • |
要想只加密文件夹,请在“确认属性更改”对话框中,单击“只将变化应用于此文件夹”。 |
| • |
要加密文件夹及其子文件夹与文件,在“确认属性更改”对话框中,单击 “将变化应用于该文件夹及其子文件夹与文件”。 | |
|
6. |
单击“确定”按钮,确认并应用加密选项。 | |
启用 Windows 资源管理器菜单中的加密/解密选项
您还可以对 Windows 资源管理器进行配置,当用户右键单击文件时,在弹出的快捷菜单中,添加“加密”和“解密”选项,以执行 EFS。为此,需要编辑着Windows 注册表,添加一个的新注册项。在默认情况下,注册表中没有该注册项。
警告:注册表编辑错误可能会造成系统的严重破坏。因此,在修改注册表前,首先应备份该计算机上所有有价值的数据。formatting role="bold"/>
要求
| • |
凭据:由经验丰富的管理员来编辑注册表,并充分重视此操作的潜在风险。 |
| • |
工具:注册表编辑器。 |
| 
