在许多企业中,都存在着多个用户共用一台计算机的情况。有些用户旅行时携带便携式计算机,并在没有企业物理保护的地方使用,如客户设施、机场、饭店和家中。这意味着重要的数据常常被置于企业控制之外。未经授权的用户可能希望读取存储在台式计算机中的数据。手提电脑可能会失窃。在所有这些情况下,公司的敏感数据都可能被窃取。 采用加密文件系统 (EFS) 对敏感数据文件进行加密,可以加强数据的安生性。该解决方案可以有效的减小数据失窃的隐患。加密是一种采用数学算法的应用程序。文件经过加密处理后,只有拥有正确密钥的用户方可读取其内容。Microsoft 的 EFS 技术可以对计算机上的数据进行加密,并控制哪些人有权解密或恢复数据。文件被加密后,即使攻击者能够物理访问计算机的数据存储器,也无法读取用户数据。所有用户都必须拥有 EFS 证书,方可运用 EFS 对数据进行加密和解密。此外,EFS 用户必须拥有在 NTFS 卷中修改文件的权限。 EFS 包括两种类型的证书: 加密文件系统证书。此类证书允许其持有者使用 EFS 加密和解密数据,它通常也被直接称为 EFS 证书。普通的 EFS 用户使用此类证书。这类证书的"增强型密钥用法"字段(在 Microsoft 管理控制台管理单元中可以看到)的值为"EFS (1.3.6.1.4.1.311.10.3.4)"。 文件恢复证书。此类证书的持有者可以在整个域或其他范围内对任何人加密的文件和文件夹进行恢复。只有域管理员或极受信任的委托人(即数据恢复代理)可以持有此类证书。这类证书的"增强型密钥用法"字段(在 Microsoft 管理控制台管理单元中可以看到)的值为"文件恢复 (1.3.6.1.4.1.311.10.3.4.1)"。此类证书通常被称为 EFS DRA 证书。 要允许其他授权用户读取加密的数据,需要给他们私钥,或使其成为数据恢复代理。数据恢复代理可以在其范围内的域或组织单位中,解密所有的 EFS 加密文件。本文档为中小企业中主要的 EFS 相关任务提供了具体步骤指导,同时还列举了在 EFS 实施过程中几项重要的最佳做法。 本文档中的步骤说明将指导您完成以下任务:? 创建与保护恢复密钥,以确保在原始加密者无法恢复加密数据时能够对其进行安全的恢复。 指定恢复代理,当原始用户无法恢复加密文件时,由其实施恢复操作。 在企业中安装 EFS。 配置 Windows 资源管理器,以方便 EFS 的使用。 设置文件共享,以配合 EFS 的使用。 导入和导出数据恢复密钥,以确保安全的恢复加密文件和文件夹。 当原始用户无法恢复数据时,对其进行恢复。 按照本文档中的步骤,您需要在系统范围内执行以下操作: 创建备份数据恢复密钥。 指定恢复代理。 启用 EFS,对计算机硬盘中的数据进行加密。 配置 Windows 资源管理器,以包含 EFS 选项。 完成上述步骤后,您可以: 为所选的加密数据提供共享访问。 管理数据恢复密钥,以恢复加密数据。 必要时恢复加密的数据。 准备工作 本文档中的步骤帮助您配置计算机以使用 EFS,并说明如何在企业中使用 EFS 以保护计算机硬盘中的数据。开始执行上述步骤之前,应当向法律顾问咨询,从而确保计划中的加密策略与程序符合相关的法律法规。特别是当公司在美国本土外设有办事处,那么您一定要熟悉与加密软件有关的出口控制法。同时,还要了解使用 EFS 的一些基本要求和条件: 可以只在 NTFS 卷中才能使用 EFS 加密文件和文件夹。因此,EFS 无法保护 FAT 或 FAT32 文件系统中的数据。除非因特殊原因需要继续使用 FAT 文件系统,否则建议将其转换为 NTFS 格式。Windows 95、Windows 98 和 Windows Me 操作系统不支持 NTFS 或 EFS。Windows XP Home Edition 支持 NTFS,但不支持 EFS。 对压缩过的文件或文件夹也无法进行 EFS 加密。对压缩文件或文件夹实施加密操作,该文件或文件夹将被解压缩。 具有"系统"属性的文件无法进行加密,systemroot 文件夹中的文件也不能被加密。 在首次加密文件或文件夹时,将弹出一个对话框。该对话框中的选项设置将影响到今后的加密操作: 加密单个文件时,如果选择加密其父文件夹,则今后添加到该文件夹中的文件和子文件夹在添加时都将被自动加密。 在对文件夹进行加密时,如果选择了加密所有文件和子文件夹,那么该文件夹中现有的所有文件和子文件夹以及今后添加到该文件夹中的文件和子文件夹都将被加密。 在对文件夹进行加密时,如果选择只对该文件夹进行加密,那么该文件夹中现有的所有文件和子文件夹都不会被加密。但是,今后添加到该文件夹中的所有文件和子文件夹在添加时将被自动加密。 除非另有说明,在本文档所描述的步骤中,服务器采用 Windows Server 2003 操作系统,而客户机使用 Windows XP Professional。 在 Active Directory 环境中,假定用户具有移动配置文件。请注意,本文档中的截屏图像反映的是一个测试环境,其中信息或许与您计算机上显示的信息略有出入。 安装操作系统时,使用默认出现的"开始"菜单,便可获得本文档中的所有步骤说明。如果您修改过"开始"菜单,则上述步骤可能稍有不同。 生成与备份恢复密钥 未备份恢复密钥可能会导致无法挽回的加密数据损失。当持有 EFS 加密证书的用户无法解密数据时,备份的恢复密钥能够确保加密数据的恢复。 要求 凭据:要执行此操作,必须使用恢复代理帐户,该帐户中存储有文件恢复证书和私钥。域管理员是默认的恢复代理;在家庭或非域环境中,没有默认的恢复代理,但是可以为计算机上的所有帐户创建一个本地恢复代理。在家庭设置中,更为普遍的做法是备份每个 EFS 证书持有人的私钥。 工具:Microsoft 管理控制台 (MMC) 的证书管理单元。 警告:在更改默认恢复策略之前,应确保已备份默认的恢复密钥。域中默认的恢复密钥存储在该域的第一个域控制器中。 把默认的恢复密钥备份到软盘中,需要执行以下操作 1. 单击"开始"、"运行",键入 mmc ,然后单击"确定"按钮。打开"Microsoft 管理控制台"。
2. 在"文件"菜单中,选择"添加/删除管理单元",然后单击"添加"按钮。 3. 在"添加独立管理单元"中,单击"证书,然后单击"添加"按钮。 4. 选择"我的用户帐户"单选项,再单击"确定"按钮。 5. 单击"关闭"按钮,再单击"确定"按钮。 6. 双击"证书-当前用户"、"个人",然后双击"证书"。 7. 在"这个证书的目的是"一栏中单击显示字样为"文件恢复"的证书。 8. 右键单击该证书,选择"所有任务",单击"导出"按钮。 9. 按照"证书导出向导"中的说明,导出该证书和相关的私钥,并以 .pfx 文件格式保存。 创建基于域的恢复代理 要允许某一帐户读取或恢复 EFS 加密的数据,必须将其指定为恢复代理。在域环境中,建议使用域帐户达到这个目的。为在 Active Directory 目录林中的所有站点、域或组织单位创建恢复代理。在默认情况下,内置的管理员帐户是域的恢复代理;这种情况就无需再创建恢复代理了。 要求 凭据:域管理员。 工具:MMC 的 Active Directory 用户与计算机管理单元。 创建基于域的恢复代理,需要执行以下操作1. 单击"开始"、"控制面板",在"控制面板"窗口中,双击"管理工具",然后双击"Active Directory 用户与计算机"。
2. 右键单击需要更改恢复策略的域,然后单击"属性"。3. 选择"组策略"选项卡。4. 右键单击要更改的恢复策略,然后单击"编辑"。5. 在控制台树(左栏)中,单击"加密文件系统"。该选项位于以下导航路径中:"计算机配置"、"Windows 设置"、"安全设置"、"公钥策略"、"加密文件系统"。
6. 在详细信息栏(右栏)中,单击右键,选择"创建数据恢复代理"。 注意:按照"创建恢复代理向导"的提示,从文件或 Active Directory 中添加用户作为恢复代理。从文件添加恢复代理时,用户被标识为"未知用户"。这是因为该用户名没有存储在这个文件中。 要从 Active Directory 添加恢复代理,EFS 恢复代理证书(文件恢复证书)必须在 Active Directory 中发布。 但是,由于默认的 EFS 文件恢复证书模板没有发布这些证书,所以需要创建一个这样的模板。要达到这个目的,请在"证书模板"管理单元,复制默认的 EFS 文件恢复证书模板,以创建一个新模板,右
分享到:
相关推荐
Win8禁用EFS加密方法教程.docx
EFS(Encrypting File System,加密文件系统)是从Windows 2000开始就提出的一种基于NTFS文件系统的核心文件加密技术,主要是用于保护本地数据。...本文将为大家介绍EFS加密文件夹无法打开的解决方法。
### EFS加密文件无效恢复证书问题解决方法 随着信息技术的发展,个人及企业的信息安全越来越受到重视。Windows操作系统内置的EFS(Encrypting File System,加密文件系统)为用户提供了一种便捷的方式来保护敏感...
efs加密原理讲解 有助于理解其加密过程
6种EFS加密技巧让数据更安全
### 搜索EFS加密文件——全面解析与应用 #### 一、EFS加密文件系统概述 **EFS(Encrypting File System)**,即加密文件系统,是微软自Windows 2000以来推出的用于增强NTFS文件系统安全性的一项重要功能。它能够直接...
通常,这种情况下的EFS加密文件被认为已经无法恢复,但在某些特殊条件下,我们依然有可能解密这些文件。 要恢复被删除账户的EFS加密文件,必须满足两个关键条件: 1. 知道被删除账户的密码:这是至关重要的,因为...
EFS 加密文件恢复指南 EFS(Encrypting File System,加密...了解 EFS 的用法和恢复方法非常重要,以便在需要时恢复加密的文件。同时,备份私钥和证书也非常重要,以便在重装系统或格式化重装系统之后恢复加密的文件。
**Advanced EFS Data Recovery** 是一款专门针对EFS加密文件恢复的工具,它能够帮助用户在丢失或忘记EFS加密密钥的情况下,恢复对加密文件的访问。这款软件采用了先进的算法和技术,旨在从NTFS分区中提取并解密EFS...
- **企业内部文件保护**:通过EFS加密重要文档,确保只有授权用户能够访问。 - **远程办公安全保障**:当员工在家工作时,EFS可以防止数据泄露,即便设备丢失也不必担心敏感信息外泄。 - **数据恢复机制**:通过在AD...
### 导出EFS加密密钥备份:详细解析与实践指南 #### 一、EFS加密技术概述 EFS(Encrypting File System)是Windows操作系统中一项强大的数据保护功能,主要用于对存储在本地磁盘上的文件和文件夹进行加密,确保...
cipher批处理查找EFS加密文件并一键解密命令,比通过属性解密要快,要方便很多。
### WinXP的加密方法 ...通过本文介绍的EFS加密方法,用户可以有效地保护敏感信息,防止未经授权的访问。同时,对于需要更高安全级别的场景,考虑使用第三方加密工具或升级到更现代的操作系统也是一个不错的选择。
### Windows XP系统中找回经EFS加密文件方法 #### 一、引言 在Windows XP系统中,EFS(Encrypting File System)是一种用于保护存储在NTFS卷上的文件和文件夹的安全特性。通过EFS加密,用户可以确保只有授权用户...
恢复对 EFS 加密文件的访问 EFS(Encrypting File System)是一种基于文件系统的加密技术,由微软公司开发,用于保护文件和文件夹的安全。EFS 使用公钥加密和私钥解密,确保文件和文件夹的机密性和完整性。但是,...
然而,在某些情况下,例如管理服务器或优化系统性能,你可能需要禁用EFS加密。本文将详细讲解在Windows 8中禁用EFS加密的步骤,并讨论其潜在风险和注意事项。 **步骤1:打开“运行”对话框** 有两种方法可以打开...
其次,EFS加密操作简便,用户只需通过几个简单的步骤即可完成加密设置,而无需进行繁琐的操作。此外,EFS提供了灵活的加密方式,用户可以根据需要对单独的文件或整个文件夹进行加密,满足不同层次的安全需求。最重要...
为了允许他人共享或在重装系统后仍能访问EFS加密文件,需要备份证书。这可以通过打开“证书管理器”(certmgr.msc),找到“个人”文件夹下的证书,导出包含私钥的证书,并设置安全密码。之后,其他用户或重装系统后...