实训二 windows NT的加密机制new

1、实训二 windows NT的加密机制实训目的：（1） 了解Windows NT的加密机制（EFS）原理；掌握用户文件加密的方法；（2） 掌握不同用户之间公钥私钥的交换方法；（3） 了解Windows XP下恢复代理的设置；实训工具软件：小组中有一台计算机登陆到Windows XP操作系统下，作为完成实验的主要计算机，其余计算机登陆到Windows 2000操作系统下，以方便文件共享、网络资料查询等。实训后请解释如下名词：公钥私钥Windows NT的加密机制（EFS）实训内容：一、实验准备：以管理员身份登陆：1. 命令方式创建两个普通帐户aa和bb，密码自定；2. 确认硬盘中某盘为NTFS格

2、式。3. 在D盘建立一个名为EFS的文件夹，设置其属性，使其对于USER用户组用户有完全控制的权限，如图1所示。图1 文件夹访问属性设置二、用户文件的加密1. 以aa用户登陆，在D盘EFS文件夹下创建文件aa.txt，输入任意内容，右键选择属性，打开图2所示对话框，点击“高级”按钮，打开“高级属性”对话框，在其中的“加密内容以便保护数据”前的复选框中打钩，选定该项，之后逐级“确定”设置。图2 文件属性图3 文件高级属性2. 以bb身份登陆，访问aa.txt，提示“拒绝访问”；三、用户证书和公钥私钥导出1. 以aa用户登陆，从“开始”“运行”中输入mmc，打开“控制台”，从“文件”“添加/删除管

3、理单元”打开如图4所示对话框，点击其中“添加”按钮，选定“证书项，单击”添加，如图5所示。图4 添加/删除管理单元对话框图5 添加证书单元对话框添加后控制台当前窗口中显示“控制台根节点”，如图6展开后可看到颁发给当前用户的证书（如果当前用户状态下没有加密的文件，则没有证书显示）图6 添加“证书”后的控制台2. 公钥私钥的导出：如图7所示，对当前密钥进行导出，打开“证书导出向导”，在其中选择“是，导出私钥”，并在后续过程中输入保护私钥的密码，给定私钥的文件名（如aa），指定私钥保存的路径（如C盘根目录下），完成导出，在指定路径下生成，该图标表示其是一个私钥（公钥图标为）。图7 导出密钥3. 私钥

4、的导入：以bb身份登陆，直接运行aa.pfx，按照默认的选项进行导入，并输入aa告知给bb的保护私钥的密码，则bb拥有了aa的私钥，可以访问aa的加密文件。四、恢复代理的设置（选做）win 2K：缺省情况下administrator帐号是所有用户的EFS加密恢复代理。管理员不需要用户私钥就可以打开任意用户的文件。因为操作系统会给管理员一个万能钥匙。可以将管理员的万能钥匙导出，其他用户导入，则其他用户也可以任意。如果重装系统，则新管理员不能打开老系统的加密文件，所以在重装系统之前要么把加密用户的私钥导出，要么把管理员的万能钥匙导出，否则文件再也不能使用。Win XP：缺省情况下没有EFS缺省恢复

5、代理（没有万能钥匙）。需要手工添加恢复代理：例如，新建用户abc，希望abc成为恢复代理1. 创建恢复代理：先以abc登陆，打开命令行窗口，运行cipher命令：注意其中的“/r”参数，通过该参数设置恢复代理。路径没有空格cipher /r:d:efsabc命令确定后要求输入保护私钥的密码，密码不回显。命令成功执行后，则在路径中出现两个文件，对有钥匙标识的文件（私钥文件）选择右键安装，按照向导完成，则abc有了能力，但目前没有权利，所以需要管理员对abc进行授权；2. 对abc用户进行授权：以管理员登陆，用组策略对其进行授权：在“开始”“运行”中输入gpedit.msc，打开“组策略”窗口。在右侧的“状态”窗口中单击右键，选择“添加数据恢复代理”，将刚才的abc的证书abc.cer加入。重启后会生效（在实验室中不要重启）。如果要不重启就生效，用命令g