设置Windows_2003中的EFS加密代理.ppt

设置Windows2003中的EFS加密代理,加密代理介绍,从Windows2000开始，微软为我们提供了一个叫做EFS的加密功能，通过该功能，我们可以将保存在NTFS分区上的文件加密，让别人无法打开。虽然该功能已经面世很长时间了，不过很多人因为对这个功能不了解，导致了很多数据丢失的情况发生。,完全支持EFS加密和解密的操作系统包括Windows2000的所有版本、WindowsXP专业版（Professional）WindowsVista商业版（Business）企业版（Enterprise）和旗舰版（Ultimate）WindowsVista家庭基础版（HomeBasic）和家庭高级版（HomePremium）只能在有密钥的情况下打开被EFS加密的文件，但无法加密新的文件。,加密代理介绍,文件加密操作,文件的加密和解密是很简单的，我们只需要在Windows资源管理器中用鼠标右键单击想要加密或解密的文件或文件夹，选择“属性”，打开“属性”对话框的“常规”选项卡，接着单击“高级”按钮，打开“高级属性”对话框。,在XP下备份证书,1.打开“开始”菜单，单击“运行”，打开“运行”对话框，输入“certmgr.msc”并回车，打开证书控制台。2.在“证书控制台”窗口左侧的树形图中依次展开到“证书当前用户”|“个人”|“证书”，随后在右侧窗格中会看到当前用户所有的个人证书。3.如果你还进行过其他需要证书的操作，这里可能会出现多个证书。我们需要的是“预期目的”被标记为“加密文件系统”的证书，在备份的时候记得不要选错了。4.找到要备份的证书后，在该证书上单击鼠标右键，指向“所有任务”，选择“导出”，这将打开“证书导出”向导。5.在向导的第一个界面上单击“下一步”，随后向导会询问是否导出私钥。因为我们需要备份该证书，方便日后恢复系统时解密文件，因此这里一定要选择“是，导出私钥”，然后单击“下一步”。6.随后可以看到“导出文件格式”对话框。,在XP下备份证书,有时候我们可能会希望实现这样的目的：同一个文件被加密后，可以被本机的两个用户使用，每个用户都可以查看和编辑文件的内容，但同时文件依然处于被加密的状态。这种情况下需要使用EFS的共享功能。该功能在WindowsXP和WindowsVista下都可以实现，而且方法几乎是一样的(该方法仅适用于单个文件，不适用于整个文件夹),EFS的共享功能,1.使用用户“User”登录，在User的桌面上创建一个临时文件，按照上文介绍的方法加密（这样做主要是为了生成用户User的EFS密钥，以便用户刘晖设置共享）。2.注销User，使用刘晖登录。打开Windows资源管理器，找到要被共享的EFS加密文件，用鼠标右键单击，选择“属性”，打开“属性”对话框。3.在“属性”对话框的“常规”选项卡上单击“高级”按钮，打开“高级属性”对话框，然后单击“详细信息”按钮，打开“用户访问”对话框。,EFS的共享功能,4.单击“添加”按钮，打开正在加密文件系统对话框，这里列出了本机上所有具有EFS密钥的用户，从中选择希望共享访问该EFS文件的用户，例如User，然后单击“确定”。5.随后在“用户访问”对话框中，可访问这个文件的用户列表中就会显示两个用户。6.日后如果希望停止与某个用户共享该EFS加密文件，只需要打开“用户访问”对话框，从列表中选中目标用户，然后单击“删除”按钮，该用户访问这个加密文件的特权就会被删除。7.单击“确定”关闭所有打开的对话框。经过上述操作，用户User重新登录后就获得了打开该加密文件的特权。在使用该方法的时候需要注意，用户User可获得对该加密文件几乎全部的控制权，例如可以把其他用户添加进来，允许其他用户打开该文件，同时User也可以禁止刘晖打开该文件。因此使用这个方法和别人共享EFS加密文件的时候一定要十分小心，以免给了别人访问的特权后，自己反而被排除在外。,EFS的共享功能,另外一种问题：在使用EFS加密时需要考虑的另外一个问题是加密所用的帐户被删除后的文档恢复工作。例如，公司的计算机上有一个叫做“User”的帐户，加密了一些机密信息。后来使用该帐户的员工辞职了，因此管理员直接删除了他的帐户。但不久后处理该帐户的遗留文件时发现，该帐户的一些文件还处于加密状态，而且这些文件全部无法打开。有人可能会尝试新建一个名为“User”的用户，并使用之前的User帐户一样的密码，但被EFS加密的文件还是打不开。,在解释这个问题之前首先要介绍一下什么是SID（安全标识符）。我们都知道，当我们将自己的Windows帐户名称改名后，依然可以使用之前具有的所有权限，似乎改名操作并不会影响用户的权限方面的设置，其实这就是SID的作用。SID和用户名的关系类似于我们每个人的名字（用户名）和指纹（SID）的关系，名字可以随便改，但每个人的指纹是不会随着名字的变化而变化的。正因为Windows是通过SID识别不同帐户的，因此在这种情况下重建相同用户名和密码的帐户并不能得到原帐户的EFS证书，进而被加密的文件将无法解密。为了预防这种问题，微软在设计EFS加密功能的时候引入了一种叫做恢复代理（RecoveryAgent）的机制。,什么是SID,恢复代理可以理解为默认被共享了本机所有EFS加密文件的用户（类似于EFS的共享，但不等同），在设置了恢复代理后，本机上所有文件在使用EFS加密的同时，恢复代理的相应信息也会被保存到文件中。这样日后就算加密该文件的帐户已经不存在，或者证书丢失了，我们依然可以使用恢复代理的帐户登录系统，解密文件。,什么是恢复代理,1.使用希望成为恢复代理的帐户（最好是管理员帐户）登录，然后在该帐户的桌面上创建一个临时文件，例如“1.txt”。2.运行“cmd”打开命令提示符窗口，然后使用“cddesktop”命令进入到该帐户的桌面文件夹下。3.运行这条命令：cipher/r:1.txt，随后输入用于加密证书的密码（注意，在输入的过程中光标并不会有变化，也不会用星号占据输入的密码位数）。随后在桌面上会看到一个名为“1.cer”和名为“1.pfx”的文件，我们需要使用这些文件将当前登录的用户指定为恢复代理。,建立恢复代理,4.运行“secpol.msc”，打开“本地安全策略控制台”。在控制台窗口左侧的树形图中依次进入到“安全设置”|“公钥策略”|“加密文件系统”。5.用鼠标右键单击“加密文件系统”节点，选择“添加数据恢复代理程序”命令，打开“添加故障恢复代理向导”。6.在向导的第一个界面上单击“下一步”，在随后出现的界面上单击“浏览文件夹”按钮，并找到在第一步备份出来的证书1.cer。7.在导入的过程中，Windows可能会提示你Windows无法判断此证书是否被吊销，询问是否继续。在单机或者工作组环境下这是正常的，可以不用理会，单击“是”。8.随后我们可以看到，添加故障恢复代理向导中已经列出了一个恢复向导，这表示我们的操作是正确的，单击“下一步”，然后单击“完成”。当然，如果需要，我们可以添加多个恢复代理。,建立恢复代理,9.经过上述设置，在本地安全策略控制台的“加密文件系统”节点下会显示本机指定的所有恢复代理，这表示当前本机已经具有了恢复代理，但操作还没有全部完成。10.为了让恢复代理能够打开每个用户的加密文件，或者将其解密，我们还需要导入恢复代理的证书。依然是使用恢复代理的帐户登录系统，然后双击上面第3步中生成的.pfx文件，然后按照上文介绍的方法将该证书导入。11.如果导入成功，那么运行certmgr.msc打开证书