珞珈山水BBS -- 单文区文章阅读

搜索

单文区文章阅读 [返回]
发信人: worldlet (为你疯狂), 信区: OS 标题: Windows 2000文件加密系统 (EFS) 发信站: 珞珈山水 ( 2004年08月03日18:43:57 星期二), 站内信件 Windows 2000文件加密系统 (EFS) 加密文件系统”(EFS) 提供一种核心文件加密技术，该技术用于在 NTFS文件系统卷上存储已加密文件。一旦加密了文件或文件夹，你就可以象使用其他文件和文件夹一样使用它们。对加密该文件的用户，加密是透明的。这表明不必在使用前解密已加密的文件。你可以象平时那样打开和更改文件。但是，试图访问已加密文件或文件夹的入侵者将被禁止这些作。如果入侵者试图打开、复制、移动或重新命名已加密文件或文件夹，将收到拒绝访问的消息。　　正如设置其他任何属性（如只读、压缩或隐藏）一样，通过为文件夹和文件设置加密属性，可以对文件夹或文件进行加密和解密。如果加密一个文件夹，则在加密文件夹中创建的所有文件和子文件夹都自动加密。推荐在文件夹级别上加密。　　也可以用命令行功能 cipher 加密或解密文件或文件夹。有关 cipher 命令的详细信息，请参看本文附录。　　使用 EFS 可以防止在未经授权的情况下获取对物理存储的敏感数据（例如，窃取便携式计算机或 Zip 磁盘）的访问的入侵者，以确保文档安全。文件加密系统简介　　文件加密系统 (EFS) 可以使用户对文件进行加密和解密。使用 EFS 可以保证文件的安全，以防那些未经许可的入侵者访问存储的敏感数据（例如，通过盗窃笔记本电脑或外挂式硬盘驱动器来偷取数据）。　　用户可以象使用普通文件和文件夹那样使用已加密的文件和文件夹。加密过程是透明的。EFS 用户如果是加密者本人，系统会在用户访问这些文件和文件夹时将其自动解密，但是不允许入侵者访问任何已加密的文件或文件夹使用加密文件　　在使用加密文件和文件夹时，请记住下列信息和建议。　　重要的 EFS 信息只有 NTFS 卷上的文件和文件夹才能被加密。不能加密压缩文件或文件夹。首先必须对文件和文件夹解压缩，然后才能加密。在已压缩的卷上，解压缩所要加密的文件夹。只有对文件实施加密的用户才能打开它。不能共享加密文件。EFS 不能用于发布私人数据。如果将加密的文件复制或移动到非 NTFS 格式的卷上，该文件将会被解密。使用剪切和粘贴将文件移动到已加密的文件夹。如果使用拖放式作来移动文件，则不会将它们在新文件夹中自动加密。无加密系统文件。加密的文件夹或文件不能防止被删除。任何拥有删除权限的人均可以删除加密的文件夹或文件。对于编辑文档时某些程序创建的临时文件，只要这些文件在 NTFS 卷上而且放在已加密文件夹中，则它们也会被加密。为此建议加密硬盘上的 Temp 文件夹。加密 Temp 文件夹可以确保在编辑过程中的文档也处于保密状态。如果在 Outlook 中创建一个新文档或打开附件，该文件将在 Temp 文件夹中创建为加密文档。如果选择将加密的文档保存到 NTFS 卷的其他位置，则它在新位置仍被加密。在允许进行远程加密的远程计算机上可以加密或解密文件及文件夹。详细信息，请与域管理员联系。然而，如果通过网络打开已加密文件，通过此过程在网络上传输的数据并未加密。其他协议，例如 SSL/PCT 或者 IPSEC 必须用于通过线路加密数据。恢复策略是当你对第一个文件或文件夹进行加密时自动执行的，以便如果你丢失了文件加密证书和相关的私钥，恢复代理可以给你解密文件。　　EFS 推荐如果你将大多数文档保存在“我的文档”文件夹中，则将对该文件夹加密。这将确保在默认情况下加密个人文档。加密 Temp 文件夹，使程序创建的所有临时文件自动加密。加密文件夹而不是加密单独的文件，以便如果程序在编辑期间创建了临时文件，这些临时文件也会加密。从 Microsoft 管理控制台 (MMC) 的“证书”，使用“导出”命令，可以在软盘上制作文件加密证书和相关私钥的备份副本。将软盘保留在安全位置。那么，如果你丢失了文件加密证书（由于磁盘故障或任何其他原因），则可以从 MMC 的证书中使用“导入”命令从软盘还原证书和相关的私钥，并可以打开加密的文件。数据加密和解密　　文件加密系统 (EFS) 可以使用户在本地计算机上安全地存储数据。EFS 通过在选定的 NTFS 文件和文件夹中加密数据来达到这一目的。　　由于 EFS 与文件系统集成在一起，所以它易于管理、难以被攻击而且对用户完全透明。这是一种保护易于盗窃的计算机（便携机）上的数据的典型方。　　FAT 卷中的文件和文件夹不能被加密和解密。而且，EFS 一般用于在本地计算机上安全地存储数据。例如，它不支持加密文件的共享。　　EFS 加密密钥　　如果用户对指定的文件进行加密，那么对用户来讲实际的数据加密和解密过程是完全透明的。用户不需要了解这个过程。但对管理员来说，以下关于数据如何被加密和解密的说明是十分有用的。　　以下说明只适用于文件，而不适用于文件夹。文件夹本身不会被加密，而是文件夹中所包含文件的内容被加密。和文件夹一样，子文件夹不能被加密，但是它们都带有明显标识指出其中包含加密的文件数据。　　文件的加密过程如下：　　每个文件都有一个唯一的文件加密密钥，用于以后对文件数据进行解密。　　文件的加密密钥在文件之中加密的--通过与用户的 EFS 证书对应的公钥进行保护。　　文件加密密钥同时受到授权恢复代理的公钥的保护。　　文件的解密过程如下：　　要解密一个文件，首先要对文件加密密钥进行解密。当用户的私钥与这个公钥匹配时，文件加密密钥就被解密。　　用户并不是唯一能对文件加密密钥进行解密的人。恢复代理的私钥同样可以对文件加密密钥进行解密。　　当文件加密密钥被解密后，可以被用户或恢复代理用于文件数据的解密。　　私钥保存在受保护的密钥存储区，而不是在安全帐户管理器 (SAM) 或单独的目录中。　　在远程服务器上存储加密文件　　如 Windows 2000 计算机环境中的用户想在远程服务器上存储加密文件，请注意以下信息：　　Windows 2000 支持在远程服务器上存储加密文件。然而，这一功能并不支持多个用户对加密文件的远程共享。　　用户永远不能在物理存放位置的安全性不好的服务器上存储高敏感度的数据。　　加密的数据在网络上传输时是不加密的，只有当它存储在磁盘上时才是加密的。当系统包括网际协议的安全机制 (IPSec) 时例外。IPSec 对传输在 TCP/IP 网络上的数据进行加密。　　加密的文件不能从 Macintosh 客户端访问。　　用户可以对远程服务器上的文件加密之前，管理员必须指定远程服务器为信任委派。允许在该服务器上拥有这些文件的所有用户对文件进行加密。加密文件系统和数据恢复　　作为系统的整个安全策略的一部分，"加密文件系统"(EFS) 的数据故障恢复是可用的。例如，如果你丢失了文件加密证书和相关的私钥（由于磁盘错误或是其他原因），还是可以通过指定的故障恢复代理来恢复数据。或者，在商业环境中，单位能够在雇员离开后恢复雇员加密的数据。　　恢复策略　　EFS 通过实施故障恢复策略要求来提供内置数据的故障恢复。要求故障恢复策略必须在用户可以加密文件之前就位。故障恢复策略提供人员，作为被指派的故障恢复代理。当管理员第一次登录到系统上时，默认的故障恢复策略将会自动地添加进去，以便为管理员提供故障恢复代理。　　故障恢复代理拥有特殊证书和相关私钥，该私钥允许在故障恢复策略的影响范围内恢复数据。如果是故障恢复代理，请务必在 Microsoft 管理控制台 (MMC) 的证书中使用“ 导出”命令，将故障恢复证书和相关私钥备份到安全位置。在备份之后，应使用 MMC 中的 “证书”管理单元从恢复代理的个人存储区（而不是从恢复策略）删除恢复证书。然后，当需要为用户执行故障恢复作时，应该首先从 MMC 的“证书”管理单元中使用“导入” 命令将故障恢复证书和相关的私钥还原到故障恢复代理的个人存储区。在数据恢复之后，应从恢复代理的个人存储区中再次删除恢复证书。不必重复导出过程。从计算机中删除故障恢复证书并将其保存在安全位置是用于保护敏感数据的附加安全措施。默认故障恢复策略在本地配置为用于单机。对于网络中的计算机，可以在域、部门或单个计算机一级配置故障恢复策略，并在所定义的影响范围内，将其应用于所有基于 Windows 2000 的计算机。恢复证书由证书颁发机构 (CA) 发布，并使用 MMC 中的证书来管理。　　在网络环境中，对于故障恢复策略影响范围中的所有计算机用户，域管理员控制如何执行 EFS。在默认的 Windows 2000 安装中，当安装第一个域控制器时，域管理员是指定的域故障恢复代理。域管理员配置故障恢复策略的方将决定如何为本地机器上的用户执行 EFS。域管理员登录到第一域控制器以更改域的故障恢复策略。下表解释几种故障恢复策略配置对用户的影响。空的故障恢复策略无使用 EFS 没有故障恢复代理删除每个故障恢复代理域等级中没有故障恢复策略可以在本地使用 EFS 默认的故障恢复代理是本地计算机的管理员在第一个域控制器上删除故障恢复策略故障恢复策略以指定的故障恢复代理来配置。可以在本地使用 EFS 默认的故障恢复代理是域管理员网络环境的默认配置　　因为 Windows 2000 安全子系统处理故障恢复策略的实施、复制和缓冲，用户能够在暂时脱机的系统上执行文件加密，如便携式计算机（此过程类似于使用缓冲的凭据登录到域帐户）。　　故障恢复策略　　“故障恢复策略”指计算机环境中的用户在恢复加密的数据时所遵从的策略。故障恢复策略是一种公钥策略类型。　　安装 Windows 2000 Server 时，如果已设置第一个域控制器时，将自动对域执行故障恢复策略。域管理员被颁发自签名的证书，该证书将域管理员指派为故障恢复代理。　　EFS 通过实施故障恢复策略要求来提供内置数据的故障恢复。要求故障恢复策略必须在用户可以加密文件之前就位。故障恢复策略提供指派为故障恢复代理的人员。当管理员第一次登录到系统时，故障恢复策略将自动就位，让管理员成为故障恢复代理。配置恢复策略　　默认故障恢复策略是为单独的计算机在本地配置的。对于网络中的计算机，可以在域、组织单元或单独计算机级别上配置故障恢复策略，并在所定义的影响范围内将其应用到所有基于 Windows 2000 的计算机。故障恢复证书由证书颁发机构 (CA) 颁发，并用 Mic rosoft 管理控制台 (MMC) 中的证书来管理。　　在网络上，故障恢复策略由域管理员或故障恢复代理设置，它控制策略影响范围内所有计算机的控制恢复项。　　由于安全子系统处理故障恢复策略的实施、复制和缓存，因此用户可以在暂时脱机的系统上（如便携机）执行文件加密。（此进程类似于使用缓存的凭据登录到域帐户）。　　故障恢复策略的类型　　管理员可以定义三种策略中的一种：非故障恢复策略、空故障恢复策略，或者带一个或多个故障恢复代理的故障恢复策略。　　故障恢复代理策略。当管理员添加一个或多个故障恢复代理时，故障恢复代理策略生效。这些代理负责在其管理范围内恢复任何加密的数据。这是最常用的故障恢复策略类型。　　空故障恢复策略。当管理员删除所有的故障恢复代理及其公钥证书时，空故障恢复策略生效。空故障恢复策略意味着没有故障恢复代理，而且用户无在故障恢复策略影响范围内的计算机上加密数据。空故障恢复策略的结果是完全关闭 EFS。　　非故障恢复策略。当管理员删除组故障恢复策略时，非故障恢复策略生效。由于没有组故障恢复策略，因此单个计算机上的默认本地策略被用于恢复数据。这意味着本地管理员控制其计算机上的数据恢复。　　更改故障恢复策略　　要更改域的默认故障恢复策略，请以管理员身份登录第一个域控制器。然后，必须通过"Active Directory 用户和计算机"管理单元激活"组策略"，并选择"安全设置"、"公钥策略"和"加密数据的故障恢复代理"。　　故障恢复代理　　故障恢复代理就是获得授权解密由其他用户加密的数据的管理员。例如，当雇员离开公司而其剩余数据需要解密时故障恢复代理非常有用。在添加域的故障恢复代理之前，必须确保每个故障恢复代理都已经颁发 X509 第三版的证书。　　故障恢复代理拥有特殊证书和相关私钥，允许在故障恢复策略的影响范围内恢复数据。如果你是故障恢复代理，请务必在 Microsoft 管理控制台 (MMC) 的证书中使用“导出 ”命令，将故障恢复证书和相关私钥备份到安全位置。备份完成后，应该使用 MMC 中的证书删除故障恢复证书。然后，在需要为用户执行故障恢复作时，应该首先从 MMC 的证书中使用“导入”命令还原故障恢复证书和相关私钥。恢复数据之后，应该再次删除故障恢复证书。不必重复导出过程。要对域添加故障恢复代理，请将它们的证书添加到现有的故障恢复策略中。可以通过“Ac tive Directory 用户和计算机”管理单元激活“添加故障恢复代理”向导来完成。　　使用证书　　证书是一种帮你申请新的公钥证书并管理现有证书的管理单元。证书由提供身份验证、数据完整性以及在不安全的网络（如 Internet）间进行安全通讯的许多公钥安全服务和应用程序所使用。管理员可以为自己或其他用户、计算机或服务管理证书。用户只管理自己的证书。有关打开管理单元或使用 Microsoft 管理控制台 (MMC) 的信息，请参阅相关信息。附：Cipher 命令详解　　在 NTFS 卷上显示或改变文件的加密。 cipher [/e\| /d] [/s:dir] [/a][/i] [/f] [/q] [/h] [pathname [...]] 　　1．参数　　无　　不带参数使用，将显示当前文件夹和其包含文件的加密状态。　　/e 　　加密指定的文件夹。文件夹将被标记，以后添加到此文件夹中的文件将被加密。　　/d 　　将指定的文件夹解密。文件夹将被标记，以后将会不加密添加到此文件夹的文件。　　/s: dir 　　对在给定目录及全部子目录中的文件执行指定作。　　/a 　　对带指定名称的文件执行所选作。如果没有匹配的文件，该参数将被忽略。　　/i 　　即使发生错误，系统仍然继续执行指定的作。默认情况下，遇到错误时 cipher 会停止。　　/f 　　对所有指定的对象进行加密或解密。默认情况下，已加密或解密的文件被跳过。　　/q 　　只报告最基本的信息。　　/h 　　显示带隐藏或系统属性的文件。默认情况下，这些文件是不加密或解密的。　　pathname 　　指定样式、文件或文件夹。　　2．范例　　要使用 cipher 命令加密文件夹 MonthlyReports 中的子文件夹 May，请键入下列命令： cipher /e monthlyreports\may 　　要加密 MonthlyReports 文件夹中的 January 到 December 子文件夹以及 month 子文件夹中的 Manufacturing 子文件夹，请键入： cipher /e /s:monthlyreports 　　如果只想加 May 子文件夹中的 Marketing.xls 文件，请键入： cipher /e /a monthlyreports\may\marketing.xls 　　要加密 May 文件夹中的 Marketing.xls 文件、Maintenance.doc 文件以及 Manufac turing 子文件夹，请键入： cipher /e /a monthlyreports\may\ma* 　　要确定 May 是否已加密，请键入： cipher monthlyreports\may 　　要确定 May 文件夹中哪些文件已加密，请键入： cipher monthlyreports\may\* 　　3．注意　　加密或解密文件　　要防止加密文件在修改时变为解密，建议你将文件和其存放的文件夹两者一同加密。　　多个文件夹名称　　可以使用多个文件夹名称和通配符。　　多个参数　　每个参数之间至少有一个空格分隔。 -- http://card3.silversand.net/diy/image/012427.jpg ※ 来源:．珞珈山水 http://bbs.whu.edu.cn ◆ FROM: 61.184.32.165
[返回单文区目录]

单文区文章阅读 [返回]

发信人: worldlet (为你疯狂), 信区: OS
标题: Windows 2000文件加密系统 (EFS)
发信站: 珞珈山水 ( 2004年08月03日18:43:57 星期二), 站内信件

Windows 2000文件加密系统 (EFS)
加密文件系统”(EFS) 提供一种核心文件加密技术，该技术用于在 NTFS文件系统卷上存储
已加密文件。一旦加密了文件或文件夹，你就可以象使用其他文件和文件夹一样使用它们
。对加密该文件的用户，加密是透明的。这表明不必在使用前解密已加密的文件。你可以
象平时那样打开和更改文件。但是，试图访问已加密文件或文件夹的入侵者将被禁止这些
*作。如果入侵者试图打开、复制、移动或重新命名已加密文件或文件夹，将收到拒绝访问
的消息。

　　正如设置其他任何属性（如只读、压缩或隐藏）一样，通过为文件夹和文件设置加密
属性，可以对文件夹或文件进行加密和解密。如果加密一个文件夹，则在加密文件夹中创
建的所有文件和子文件夹都自动加密。推荐在文件夹级别上加密。

　　也可以用命令行功能 cipher 加密或解密文件或文件夹。有关 cipher 命令的详细信
息，请参看本文附录。

　　使用 EFS 可以防止在未经授权的情况下获取对物理存储的敏感数据（例如，窃取便携
式计算机或 Zip 磁盘）的访问的入侵者，以确保文档安全。

文件加密系统简介

　　文件加密系统 (EFS) 可以使用户对文件进行加密和解密。使用 EFS 可以保证文件的
安全，以防那些未经许可的入侵者访问存储的敏感数据（例如，通过盗窃笔记本电脑或外
挂式硬盘驱动器来偷取数据）。

　　用户可以象使用普通文件和文件夹那样使用已加密的文件和文件夹。加密过程是透明
的。EFS 用户如果是加密者本人，系统会在用户访问这些文件和文件夹时将其自动解密，
但是不允许入侵者访问任何已加密的文件或文件夹
使用加密文件

　　在使用加密文件和文件夹时，请记住下列信息和建议。

　　重要的 EFS 信息

只有 NTFS 卷上的文件和文件夹才能被加密。
不能加密压缩文件或文件夹。首先必须对文件和文件夹解压缩，然后才能加密。在已压缩
的卷上，解压缩所要加密的文件夹。
只有对文件实施加密的用户才能打开它。
不能共享加密文件。EFS 不能用于发布私人数据。
如果将加密的文件复制或移动到非 NTFS 格式的卷上，该文件将会被解密。
使用剪切和粘贴将文件移动到已加密的文件夹。如果使用拖放式*作来移动文件，则不会将
它们在新文件夹中自动加密。
无*加密系统文件。
加密的文件夹或文件不能防止被删除。任何拥有删除权限的人均可以删除加密的文件夹或
文件。
对于编辑文档时某些程序创建的临时文件，只要这些文件在 NTFS 卷上而且放在已加密文
件夹中，则它们也会被加密。为此建议加密硬盘上的 Temp 文件夹。加密 Temp 文件夹可
以确保在编辑过程中的文档也处于保密状态。如果在 Outlook 中创建一个新文档或打开附
件，该文件将在 Temp 文件夹中创建为加密文档。如果选择将加密的文档保存到 NTFS 卷
的其他位置，则它在新位置仍被加密。
在允许进行远程加密的远程计算机上可以加密或解密文件及文件夹。详细信息，请与域管
理员联系。然而，如果通过网络打开已加密文件，通过此过程在网络上传输的数据并未加
密。其他协议，例如 SSL/PCT 或者 IPSEC 必须用于通过线路加密数据。
恢复策略是当你对第一个文件或文件夹进行加密时自动执行的，以便如果你丢失了文件加
密证书和相关的私钥，恢复代理可以给你解密文件。
　　EFS 推荐

如果你将大多数文档保存在“我的文档”文件夹中，则将对该文件夹加密。这将确保在默
认情况下加密个人文档。
加密 Temp 文件夹，使程序创建的所有临时文件自动加密。
加密文件夹而不是加密单独的文件，以便如果程序在编辑期间创建了临时文件，这些临时
文件也会加密。

从 Microsoft 管理控制台 (MMC) 的“证书”，使用“导出”命令，可以在软盘上制作文
件加密证书和相关私钥的备份副本。将软盘保留在安全位置。那么，如果你丢失了文件加
密证书（由于磁盘故障或任何其他原因），则可以从 MMC 的证书中使用“导入”命令从软
盘还原证书和相关的私钥，并可以打开加密的文件。
数据加密和解密

　　文件加密系统 (EFS) 可以使用户在本地计算机上安全地存储数据。EFS 通过在选定的
NTFS 文件和文件夹中加密数据来达到这一目的。

　　由于 EFS 与文件系统集成在一起，所以它易于管理、难以被攻击而且对用户完全透明
。这是一种保护易于盗窃的计算机（便携机）上的数据的典型方*。

　　FAT 卷中的文件和文件夹不能被加密和解密。而且，EFS 一般用于在本地计算机上安
全地存储数据。例如，它不支持加密文件的共享。

　　EFS 加密密钥

　　如果用户对指定的文件进行加密，那么对用户来讲实际的数据加密和解密过程是完全
透明的。用户不需要了解这个过程。但对管理员来说，以下关于数据如何被加密和解密的
说明是十分有用的。

　　以下说明只适用于文件，而不适用于文件夹。文件夹本身不会被加密，而是文件夹中
所包含文件的内容被加密。和文件夹一样，子文件夹不能被加密，但是它们都带有明显标
识指出其中包含加密的文件数据。

　　文件的加密过程如下：

　　每个文件都有一个唯一的文件加密密钥，用于以后对文件数据进行解密。

　　文件的加密密钥在文件之中加密的--通过与用户的 EFS 证书对应的公钥进行保护。

　　文件加密密钥同时受到授权恢复代理的公钥的保护。

　　文件的解密过程如下：

　　要解密一个文件，首先要对文件加密密钥进行解密。当用户的私钥与这个公钥匹配时
，文件加密密钥就被解密。

　　用户并不是唯一能对文件加密密钥进行解密的人。恢复代理的私钥同样可以对文件加
密密钥进行解密。

　　当文件加密密钥被解密后，可以被用户或恢复代理用于文件数据的解密。

　　私钥保存在受保护的密钥存储区，而不是在安全帐户管理器 (SAM) 或单独的目录中。

　　在远程服务器上存储加密文件

　　如 Windows 2000 计算机环境中的用户想在远程服务器上存储加密文件，请注意以下
信息：

　　Windows 2000 支持在远程服务器上存储加密文件。然而，这一功能并不支持多个用户
对加密文件的远程共享。

　　用户永远不能在物理存放位置的安全性不好的服务器上存储高敏感度的数据。

　　加密的数据在网络上传输时是不加密的，只有当它存储在磁盘上时才是加密的。当系
统包括网际协议的安全机制 (IPSec) 时例外。IPSec 对传输在 TCP/IP 网络上的数据进行
加密。

　　加密的文件不能从 Macintosh 客户端访问。

　　用户可以对远程服务器上的文件加密之前，管理员必须指定远程服务器为信任委派。
允许在该服务器上拥有这些文件的所有用户对文件进行加密。

加密文件系统和数据恢复

　　作为系统的整个安全策略的一部分，"加密文件系统"(EFS) 的数据故障恢复是可用的
。例如，如果你丢失了文件加密证书和相关的私钥（由于磁盘错误或是其他原因），还是
可以通过指定的故障恢复代理来恢复数据。或者，在商业环境中，单位能够在雇员离开后
恢复雇员加密的数据。

　　恢复策略

　　EFS 通过实施故障恢复策略要求来提供内置数据的故障恢复。要求故障恢复策略必须
在用户可以加密文件之前就位。故障恢复策略提供人员，作为被指派的故障恢复代理。当
管理员第一次登录到系统上时，默认的故障恢复策略将会自动地添加进去，以便为管理员
提供故障恢复代理。

　　故障恢复代理拥有特殊证书和相关私钥，该私钥允许在故障恢复策略的影响范围内恢
复数据。如果是故障恢复代理，请务必在 Microsoft 管理控制台 (MMC) 的证书中使用“
导出”命令，将故障恢复证书和相关私钥备份到安全位置。在备份之后，应使用 MMC 中的
“证书”管理单元从恢复代理的个人存储区（而不是从恢复策略）删除恢复证书。然后，
当需要为用户执行故障恢复*作时，应该首先从 MMC 的“证书”管理单元中使用“导入”
命令将故障恢复证书和相关的私钥还原到故障恢复代理的个人存储区。在数据恢复之后，
应从恢复代理的个人存储区中再次删除恢复证书。不必重复导出过程。从计算机中删除故
障恢复证书并将其保存在安全位置是用于保护敏感数据的附加安全措施。
默认故障恢复策略在本地配置为用于单机。对于网络中的计算机，可以在域、部门或单个
计算机一级配置故障恢复策略，并在所定义的影响范围内，将其应用于所有基于 Windows
2000 的计算机。恢复证书由证书颁发机构 (CA) 发布，并使用 MMC 中的证书来管理。

　　在网络环境中，对于故障恢复策略影响范围中的所有计算机用户，域管理员控制如何
执行 EFS。在默认的 Windows 2000 安装中，当安装第一个域控制器时，域管理员是指定
的域故障恢复代理。域管理员配置故障恢复策略的方*将决定如何为本地机器上的用户执行
EFS。域管理员登录到第一域控制器以更改域的故障恢复策略。下表解释几种故障恢复策
略配置对用户的影响。

空的故障恢复策略无*使用 EFS 没有故障恢复代理删除每个故障恢复代理
域等级中没有故障恢复策略可以在本地使用 EFS 默认的故障恢复代理是本地计算机的管
理员在第一个域控制器上删除故障恢复策略
故障恢复策略以指定的故障恢复代理来配置。可以在本地使用 EFS 默认的故障恢复代理
是域管理员网络环境的默认配置

　　因为 Windows 2000 安全子系统处理故障恢复策略的实施、复制和缓冲，用户能够在
暂时脱机的系统上执行文件加密，如便携式计算机（此过程类似于使用缓冲的凭据登录到
域帐户）。

　　故障恢复策略

　　“故障恢复策略”指计算机环境中的用户在恢复加密的数据时所遵从的策略。故障恢
复策略是一种公钥策略类型。

　　安装 Windows 2000 Server 时，如果已设置第一个域控制器时，将自动对域执行故障
恢复策略。域管理员被颁发自签名的证书，该证书将域管理员指派为故障恢复代理。

　　EFS 通过实施故障恢复策略要求来提供内置数据的故障恢复。要求故障恢复策略必须
在用户可以加密文件之前就位。故障恢复策略提供指派为故障恢复代理的人员。当管理员
第一次登录到系统时，故障恢复策略将自动就位，让管理员成为故障恢复代理。
配置恢复策略

　　默认故障恢复策略是为单独的计算机在本地配置的。对于网络中的计算机，可以在域
、组织单元或单独计算机级别上配置故障恢复策略，并在所定义的影响范围内将其应用到
所有基于 Windows 2000 的计算机。故障恢复证书由证书颁发机构 (CA) 颁发，并用 Mic
rosoft 管理控制台 (MMC) 中的证书来管理。

　　在网络上，故障恢复策略由域管理员或故障恢复代理设置，它控制策略影响范围内所
有计算机的控制恢复项。

　　由于安全子系统处理故障恢复策略的实施、复制和缓存，因此用户可以在暂时脱机的
系统上（如便携机）执行文件加密。（此进程类似于使用缓存的凭据登录到域帐户）。

　　故障恢复策略的类型

　　管理员可以定义三种策略中的一种：非故障恢复策略、空故障恢复策略，或者带一个
或多个故障恢复代理的故障恢复策略。

　　故障恢复代理策略。当管理员添加一个或多个故障恢复代理时，故障恢复代理策略生
效。这些代理负责在其管理范围内恢复任何加密的数据。这是最常用的故障恢复策略类型
。

　　空故障恢复策略。当管理员删除所有的故障恢复代理及其公钥证书时，空故障恢复策
略生效。空故障恢复策略意味着没有故障恢复代理，而且用户无*在故障恢复策略影响范围
内的计算机上加密数据。空故障恢复策略的结果是完全关闭 EFS。

　　非故障恢复策略。当管理员删除组故障恢复策略时，非故障恢复策略生效。由于没有
组故障恢复策略，因此单个计算机上的默认本地策略被用于恢复数据。这意味着本地管理
员控制其计算机上的数据恢复。

　　更改故障恢复策略

　　要更改域的默认故障恢复策略，请以管理员身份登录第一个域控制器。然后，必须通
过"Active Directory 用户和计算机"管理单元激活"组策略"，并选择"安全设置"、"公钥
策略"和"加密数据的故障恢复代理"。

　　故障恢复代理

　　故障恢复代理就是获得授权解密由其他用户加密的数据的管理员。例如，当雇员离开
公司而其剩余数据需要解密时故障恢复代理非常有用。在添加域的故障恢复代理之前，必
须确保每个故障恢复代理都已经颁发 X509 第三版的证书。

　　故障恢复代理拥有特殊证书和相关私钥，允许在故障恢复策略的影响范围内恢复数据
。如果你是故障恢复代理，请务必在 Microsoft 管理控制台 (MMC) 的证书中使用“导出
”命令，将故障恢复证书和相关私钥备份到安全位置。备份完成后，应该使用 MMC 中的证
书删除故障恢复证书。然后，在需要为用户执行故障恢复*作时，应该首先从 MMC 的证书
中使用“导入”命令还原故障恢复证书和相关私钥。恢复数据之后，应该再次删除故障恢
复证书。不必重复导出过程。
要对域添加故障恢复代理，请将它们的证书添加到现有的故障恢复策略中。可以通过“Ac
tive Directory 用户和计算机”管理单元激活“添加故障恢复代理”向导来完成。

　　使用证书

　　证书是一种帮你申请新的公钥证书并管理现有证书的管理单元。证书由提供身份验证
、数据完整性以及在不安全的网络（如 Internet）间进行安全通讯的许多公钥安全服务和
应用程序所使用。管理员可以为自己或其他用户、计算机或服务管理证书。用户只管理自
己的证书。有关打开管理单元或使用 Microsoft 管理控制台 (MMC) 的信息，请参阅相关
信息。

附：Cipher 命令详解

　　在 NTFS 卷上显示或改变文件的加密。

cipher [/e| /d] [/s:dir] [/a][/i] [/f] [/q] [/h] [pathname [...]]

　　1．参数

　　无
　　不带参数使用，将显示当前文件夹和其包含文件的加密状态。

　　/e
　　加密指定的文件夹。文件夹将被标记，以后添加到此文件夹中的文件将被加密。

　　/d
　　将指定的文件夹解密。文件夹将被标记，以后将会不加密添加到此文件夹的文件。

　　/s: dir
　　对在给定目录及全部子目录中的文件执行指定*作。

　　/a
　　对带指定名称的文件执行所选*作。如果没有匹配的文件，该参数将被忽略。

　　/i
　　即使发生错误，系统仍然继续执行指定的*作。默认情况下，遇到错误时 cipher 会停
止。

　　/f
　　对所有指定的对象进行加密或解密。默认情况下，已加密或解密的文件被跳过。

　　/q
　　只报告最基本的信息。

　　/h
　　显示带隐藏或系统属性的文件。默认情况下，这些文件是不加密或解密的。

　　pathname
　　指定样式、文件或文件夹。

　　2．范例

　　要使用 cipher 命令加密文件夹 MonthlyReports 中的子文件夹 May，请键入下列命
令：

cipher /e monthlyreports\may

　　要加密 MonthlyReports 文件夹中的 January 到 December 子文件夹以及 month 子
文件夹中的 Manufacturing 子文件夹，请键入：

cipher /e /s:monthlyreports

　　如果只想加 May 子文件夹中的 Marketing.xls 文件，请键入：

cipher /e /a monthlyreports\may\marketing.xls

　　要加密 May 文件夹中的 Marketing.xls 文件、Maintenance.doc 文件以及 Manufac
turing 子文件夹，请键入：

cipher /e /a monthlyreports\may\ma*

　　要确定 May 是否已加密，请键入：

cipher monthlyreports\may

　　要确定 May 文件夹中哪些文件已加密，请键入：

cipher monthlyreports\may\*

　　3．注意

　　加密或解密文件

　　要防止加密文件在修改时变为解密，建议你将文件和其存放的文件夹两者一同加密。

　　多个文件夹名称

　　可以使用多个文件夹名称和通配符。

　　多个参数

　　每个参数之间至少有一个空格分隔。

--

http://card3.silversand.net/diy/image/012427.jpg

※ 来源:．珞珈山水 http://bbs.whu.edu.cn ◆ FROM: 61.184.32.165

[返回单文区目录]