4006-759388

恢复教程

EFS如何生成与备份恢复密钥

2014-02-20 23:35:08   来源:华军科技数据恢复

        未备份恢复密钥可能会导致无法挽回的加密数据损失。当持有 EFS 加密证书的用户无法解密数据时,备份的恢复密钥能够确保加密数据的恢复。

要求

凭据:要执行此操作,必须使用恢复代理帐户,该帐户中存储有文件恢复证书和私钥。域管理员是默认的恢复代理;在家庭或非域环境中,没有默认的恢复代理,但是可以为计算机上的所有帐户创建一个本地恢复代理。在家庭设置中,更为普遍的做法是备份每个 EFS 证书持有人的私钥。

工具:Microsoft 管理控制台 (MMC) 的证书管理单元。

警告:在更改默认恢复策略之前,应确保已备份默认的恢复密钥。域中默认的恢复密钥存储在该域的第一个域控制器中。

把默认的恢复密钥备份到软盘中,需要执行以下操作

1.

单击“开始”、“运行”,键入 mmc ,然后单击“确定”按钮。打开“Microsoft 管理控制台”。

控制台1-控制台根节点

2.

在“文件”菜单中,选择“添加/删除管理单元”,然后单击“添加”按钮。

3.

在“添加独立管理单元”中,单击“证书,然后单击“添加”按钮。

4.

选择“我的用户帐户”单选项,再单击“确定”按钮。

5.

单击“关闭”按钮,再单击“确定”按钮。

6.

双击“证书-当前用户”、“个人”,然后双击“证书”。

7.

在“这个证书的目的是”一栏中单击显示字样为“文件恢复”的证书。

8.

右键单击该证书,选择“所有任务”,单击“导出”按钮。

9.

按照“证书导出向导”中的说明,导出该证书和相关的私钥,并以 .pfx 文件格式保存。
 

创建基于域的恢复代理

要允许某一帐户读取或恢复 EFS 加密的数据,必须将其指定为恢复代理。在域环境中,建议使用域帐户达到这个目的。为在 Active Directory® 目录林中的所有站点、域或组织单位创建恢复代理。在默认情况下,内置的管理员帐户是域的恢复代理;这种情况就无需再创建恢复代理了。

要求

凭据:域管理员。

工具:MMC 的 Active Directory 用户与计算机管理单元。

创建基于域的恢复代理,需要执行以下操作

1.

单击“开始”、“控制面板”,在“控制面板”窗口中,双击“管理工具”,然后双击“Active Directory 用户与计算机”。

Active Directory 用户与计算机

2.

右键单击需要更改恢复策略的域,然后单击“属性”。

3.

选择“组策略”选项卡。

comp01.local 属性

4.

右键单击要更改的恢复策略,然后单击“编辑”。

5.

在控制台树(左栏)中,单击“加密文件系统”。该选项位于以下导航路径中:“计算机配置”、“Windows 设置”、“安全设置”、“公钥策略”、“加密文件系统”。

组策略对象编辑器

6.

在详细信息栏(右栏)中,单击右键,选择“创建数据恢复代理”。 
注意:按照“创建恢复代理向导”的提示,从文件或 Active Directory 中添加用户作为恢复代理。从文件添加恢复代理时,用户被标识为“未知用户”。这是因为该用户名没有存储在这个文件中。

要从 Active Directory 添加恢复代理,EFS 恢复代理证书(文件恢复证书)必须在 Active Directory 中发布。 但是,由于默认的 EFS 文件恢复证书模板没有发布这些证书,所以需要创建一个这样的模板。要达到这个目的,请在“证书模板”管理单元,复制默认的 EFS 文件恢复证书模板,以创建一个新模板,右键单击这个新模板,选择“属性”,并在“常规”选项卡的“属性” 对话框中找到复制的证书,然后选中“在 Active Directory 中发布证书”复选框。

7.

按照 “创建恢复代理向导”中的说明,完成创建基于域的恢复代理。
 

创建本地恢复代理

在非域环境中,如在独立计算机或在工作组中,可以创建本地恢复代理。在多个用户共享一台计算机的情况下,适合创建本地恢复代理。在单用户计算机上,用户很容易直接把恢复密钥备份到可移动媒体中。

要求

凭据:本地计算机管理员。

工具:组策略对象编辑器

创建本地恢复代理

1.

单击“开始”、“运行”,键入 mmc ,然后单击“确定”按钮。

2.

在“文件”菜单中,选择“添加/删除管理单元”,然后单击“添加”按钮。

3.

在“添加独立管理单元”中,单击“组策略对象编辑器”,然后单击“添加”按钮。

4.

在“组策略对象”中,确定已经显示了“本地计算机”,然后单击“完成”按钮。

5.

单击“关闭”按钮,再单击“确定”按钮。

6.

在“本地计算机策略”中,导航到“本地”、“计算机策略”、“计算机配置”、“Windows 设置”、“安全设置”、“公钥策略”。

“控制台1”-“控制台根节点”、“本地计算机策略”、计算机...

7.

在详细信息栏中,右键单击“加密文件系统”,再单击“添加数据恢复代理” 或“创建数据恢复代理”。

注意:向导会提示您输入恢复代理用户名。您可提供具有发布的文件恢复证书的用户名给向导,或浏览恢复证书文件(.cer文件),此类文件中包含有关恢复代理的信息。文件恢复证书可以从证书颁发机构 (CA) 获得。要标识文件恢复证书,请在“证书”管理单元和详细信息栏中的“增强型密钥用法”字段中,查找值“文件恢复 (1.3.6.1.4.1.311.10.3.4.1)”。在本地计算机文件系统或 Active Directory 中,以 .cer 文件存储文件恢复证书。

从文件中添加恢复代理时,用户被标识为“未知用户”,因为该文件中为存储此用户名。

8.

根据向导中的说明,结束该过程。
 

使用 EFS

完成恢复代理的创建和恢复密钥的生成及备份后,就可以开始使用 EFS,从而更有效的保护文件和文件夹免受未授权的访问。本节提供了有关启用 EFS 的说明。

要求

凭据:您必须是一个持有 EFS 证书的用户,并拥有在 NTFS 卷修改文件或文件夹的权限。

工具:Windows 资源管理器。

使用 EFS 加密文件或文件夹

1.

打开 Windows 资源管理器。

我的文档

2.

右键单击要加密的文件或文件夹,在弹出的菜单中,选择“属性”项。

3.

在“常规”选项卡中,单击“高级”。

新文本文件属性 .txt 属性

4.

选中“加密内容以保护数据”复选框,单击“确定”按钮。

高级属性

5.

在“属性” 对话框中,单击“确定”,然后执行下列步骤中之一:

要加密文件及其父文件夹时,请在“加密警告”对话框中,单击“加密文件与父文件夹”。

要想只加密文件,请在“加密警告”对话框中,单击“只加密文件”。

要想只加密文件夹,请在“确认属性更改”对话框中,单击“只将变化应用于此文件夹”。

要加密文件夹及其子文件夹与文件,在“确认属性更改”对话框中,单击 “将变化应用于该文件夹及其子文件夹与文件”。

6.

单击“确定”按钮,确认并应用加密选项。
 

启用 Windows 资源管理器菜单中的加密/解密选项

您还可以对 Windows 资源管理器进行配置,当用户右键单击文件时,在弹出的快捷菜单中,添加“加密”和“解密”选项,以执行 EFS。为此,需要编辑着Windows 注册表,添加一个的新注册项。在默认情况下,注册表中没有该注册项。

警告:注册表编辑错误可能会造成系统的严重破坏。因此,在修改注册表前,首先应备份该计算机上所有有价值的数据。formatting role="bold"/>

要求

凭据:由经验丰富的管理员来编辑注册表,并充分重视此操作的潜在风险。

工具:注册表编辑器。

启用 Windows 资源管理器菜单中的加密/解密选项

1.

运行“注册编辑器”,导航到以下注册表路径:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

注册表编辑器

2.

在详细信息栏(右栏)中,单击右键,在弹出的快捷菜单中,依次选择“新建”、“双字节值”。

3.

键入 EncryptionContextMenu 作为双字节值的名称,并按“回车”键确认。

4.

右键单击新建的双字节注册表项,单击“修改”。

5.

在“编辑双字节值”对话框中的“数值数据”栏中,输入一个值,然后单击“确定”按钮。

6.

单击“文件”菜单,选择“退出”,关闭“注册表编辑器”。

注意: 在 Windows Server 2003 中,也可以添加“加密详细信息”选项到资源管理器菜单中。为此,管理员需要创建一个包含以下信息的注册表批文件 (*.reg),并为每个用户运行此文件:

[HKEY_CLASSES_ROOT\*\Shell\Encrypt To User...\Command]

@="rundll32 efsadu.dll,AddUserToObject %1"

 

启用 EFS 文件共享

企业通常希望使用加密技术以帮助保护敏感数据,但同时也允许多个用户访问这些数据。借助 EFS,用户就可以对文件进行加密,然后再授予其他用户访问这个加密数据的权限。要允许几个用户访问加密的文件,这个文件的加密者就要把该文件设成共享状态,然后通过添加其他用户的 EFS 加密证书,允许他们共享访问这个加密的文件。这样,企业可以在提高安全性的同时,确保数据的可用性。

您需要了解有关共享加密数据的某些要求与限制:

不能将用户组添加到加密的文件中,也不能把用户添加到加密的文件夹中。

所有添加到加密文件中的用户,必须在加密文件所在的计算机上拥有 EFS 加密证书。通常由 Verisign 等证书颁发机构颁发证书。此外,如果用户已经登录到计算机上并对其中的加密文件实施了解密,该用户将在这台计算机上拥有一份 EFS 加密证书。要导入证书,请参阅 Microsoft TechNet 网站中的 (英文),其网址为 

此外,所有对该文件进行解密的用户,都必须拥有读取该文件的权限。必须正确设置 NTFS 权限,以允许用户访问。如果用户因受限于 NTFS 权限而被拒绝访问,则该用户将无法读取加密文件,也不能实施解密操作。要设置文件权限,请参阅 Microsoft TechNet 网站中的

要求

凭据:要求具备 EFS 证书和文件的所有权。

工具:Windows 资源管理器。

所有添加到文件中的用户,在加密文件所在的计算机中必须拥有加密证书。

允许用户加密或解密文件

1.

打开 Windows 资源管理器。

2.

右键单击要改变的加密文件,在弹出的快捷菜单中选择“属性”。

3.

在“常规”选项卡中,单击“高级”。

4.

在“高级属性”中,单击“详细信息”。

5.

要添加用户到这个文件中,请单击“添加”,然后执行以下步骤中的一种:

要添加用户,而该用户的 EFS 加密证书在这台计算机上,请单击证书,再单击“确定”按钮。

在将证书添加到文件之前,要查看该证书,请单击证书,然后单击“查看证书”。

要从 Active Directory 添加用户,请单击“查找用户”,然后在列表中选择用户,并单击“确定”。

Back To Top
Search