采用 EFS 加密硬盘以保护数据.docx
- 文档编号:23987752
- 上传时间:2023-05-23
- 格式:DOCX
- 页数:45
- 大小:749.85KB
采用 EFS 加密硬盘以保护数据.docx
《采用 EFS 加密硬盘以保护数据.docx》由会员分享,可在线阅读,更多相关《采用 EFS 加密硬盘以保护数据.docx(45页珍藏版)》请在冰豆网上搜索。
采用EFS加密硬盘以保护数据
采用EFS加密硬盘以保护数据
更新日期:
2004年03月24日
本页内容
简介
准备工作
生成与备份恢复密钥
创建基于域的恢复代理
创建本地恢复代理
使用EFS
启用Windows资源管理器菜单中的加密/解密选项
启用EFS文件共享
导入与导出数据恢复密钥
恢复数据
最佳做法
相关信息
简介
在许多企业中,都存在着多个用户共用一台计算机的情况。
有些用户旅行时携带便携式计算机,并在没有企业物理保护的地方使用,如客户设施、机场、饭店和家中。
这意味着重要的数据常常被置于企业控制之外。
XX的用户可能希望读取存储在台式计算机中的数据。
手提电脑可能会失窃。
在所有这些情况下,公司的敏感数据都可能被窃取。
采用加密文件系统(EFS)对敏感数据文件进行加密,可以加强数据的安生性。
该解决方案可以有效的减小数据失窃的隐患。
加密是一种采用数学算法的应用程序。
文件经过加密处理后,只有拥有正确密钥的用户方可读取其内容。
Microsoft的EFS技术可以对计算机上的数据进行加密,并控制哪些人有权解密或恢复数据。
文件被加密后,即使攻击者能够物理访问计算机的数据存储器,也无法读取用户数据。
所有用户都必须拥有EFS证书,方可运用EFS对数据进行加密和解密。
此外,EFS用户必须拥有在NTFS卷中修改文件的权限。
EFS包括两种类型的证书:
•
加密文件系统证书。
此类证书允许其持有者使用EFS加密和解密数据,它通常也被直接称为EFS证书。
普通的EFS用户使用此类证书。
这类证书的“增强型密钥用法”字段(在Microsoft管理控制台管理单元中可以看到)的值为“EFS(1.3.6.1.4.1.311.10.3.4)”。
•
文件恢复证书。
此类证书的持有者可以在整个域或其他范围内对任何人加密的文件和文件夹进行恢复。
只有域管理员或极受信任的委托人(即数据恢复代理)可以持有此类证书。
这类证书的“增强型密钥用法”字段(在Microsoft管理控制台管理单元中可以看到)的值为“文件恢复(1.3.6.1.4.1.311.10.3.4.1)”。
此类证书通常被称为EFSDRA证书。
要允许其他授权用户读取加密的数据,需要给他们私钥,或使其成为数据恢复代理。
数据恢复代理可以在其范围内的域或组织单位中,解密所有的EFS加密文件。
本文档为中小企业中主要的EFS相关任务提供了具体步骤指导,同时还列举了在EFS实施过程中几项重要的最佳做法。
本文档中的步骤说明将指导您完成以下任务:
•
创建与保护恢复密钥,以确保在原始加密者无法恢复加密数据时能够对其进行安全的恢复。
•
指定恢复代理,当原始用户无法恢复加密文件时,由其实施恢复操作。
•
在企业中安装EFS。
•
配置Windows资源管理器,以方便EFS的使用。
•
设置文件共享,以配合EFS的使用。
•
导入和导出数据恢复密钥,以确保安全的恢复加密文件和文件夹。
•
当原始用户无法恢复数据时,对其进行恢复。
按照本文档中的步骤,您需要在系统范围内执行以下操作:
•
创建备份数据恢复密钥。
•
指定恢复代理。
•
启用EFS,对计算机硬盘中的数据进行加密。
•
配置Windows资源管理器,以包含EFS选项。
完成上述步骤后,您可以:
•
为所选的加密数据提供共享访问。
•
管理数据恢复密钥,以恢复加密数据。
•
必要时恢复加密的数据。
返回页首
准备工作
本文档中的步骤帮助您配置计算机以使用EFS,并说明如何在企业中使用EFS以保护计算机硬盘中的数据。
开始执行上述步骤之前,应当向法律顾问咨询,从而确保计划中的加密策略与程序符合相关的法律法规。
特别是当公司在美国本土外设有办事处,那么您一定要熟悉与加密软件有关的出口控制法。
同时,还要了解使用EFS的一些基本要求和条件:
•
可以只在NTFS卷中才能使用EFS加密文件和文件夹。
因此,EFS无法保护FAT或FAT32文件系统中的数据。
除非因特殊原因需要继续使用FAT文件系统,否则建议将其转换为NTFS格式。
Windows95、Windows98和WindowsMe操作系统不支持NTFS或EFS。
WindowsXPHomeEdition支持NTFS,但不支持EFS。
•
对压缩过的文件或文件夹也无法进行EFS加密。
对压缩文件或文件夹实施加密操作,该文件或文件夹将被解压缩。
•
具有“系统”属性的文件无法进行加密,systemroot文件夹中的文件也不能被加密。
•
在首次加密文件或文件夹时,将弹出一个对话框。
该对话框中的选项设置将影响到今后的加密操作:
•
加密单个文件时,如果选择加密其父文件夹,则今后添加到该文件夹中的文件和子文件夹在添加时都将被自动加密。
•
在对文件夹进行加密时,如果选择了加密所有文件和子文件夹,那么该文件夹中现有的所有文件和子文件夹以及今后添加到该文件夹中的文件和子文件夹都将被加密。
•
在对文件夹进行加密时,如果选择只对该文件夹进行加密,那么该文件夹中现有的所有文件和子文件夹都不会被加密。
但是,今后添加到该文件夹中的所有文件和子文件夹在添加时将被自动加密。
除非另有说明,在本文档所描述的步骤中,服务器采用WindowsServer2003操作系统,而客户机使用WindowsXPProfessional。
在ActiveDirectory环境中,假定用户具有移动配置文件。
请注意,本文档中的截屏图像反映的是一个测试环境,其中信息或许与您计算机上显示的信息略有出入。
安装操作系统时,使用默认出现的“开始”菜单,便可获得本文档中的所有步骤说明。
如果您修改过“开始”菜单,则上述步骤可能稍有不同。
返回页首
生成与备份恢复密钥
未备份恢复密钥可能会导致无法挽回的加密数据损失。
当持有EFS加密证书的用户无法解密数据时,备份的恢复密钥能够确保加密数据的恢复。
要求
•
凭据:
要执行此操作,必须使用恢复代理帐户,该帐户中存储有文件恢复证书和私钥。
域管理员是默认的恢复代理;在家庭或非域环境中,没有默认的恢复代理,但是可以为计算机上的所有帐户创建一个本地恢复代理。
在家庭设置中,更为普遍的做法是备份每个EFS证书持有人的私钥。
•
工具:
Microsoft管理控制台(MMC)的证书管理单元。
警告:
在更改默认恢复策略之前,应确保已备份默认的恢复密钥。
域中默认的恢复密钥存储在该域的第一个域控制器中。
•
把默认的恢复密钥备份到软盘中,需要执行以下操作
1.
单击“开始”、“运行”,键入mmc,然后单击“确定”按钮。
打开“Microsoft管理控制台”。
2.
在“文件”菜单中,选择“添加/删除管理单元”,然后单击“添加”按钮。
3.
在“添加独立管理单元”中,单击“证书,然后单击“添加”按钮。
4.
选择“我的用户帐户”单选项,再单击“确定”按钮。
5.
单击“关闭”按钮,再单击“确定”按钮。
6.
双击“证书-当前用户”、“个人”,然后双击“证书”。
7.
在“这个证书的目的是”一栏中单击显示字样为“文件恢复”的证书。
8.
右键单击该证书,选择“所有任务”,单击“导出”按钮。
9.
按照“证书导出向导”中的说明,导出该证书和相关的私钥,并以.pfx文件格式保存。
返回页首
创建基于域的恢复代理
要允许某一帐户读取或恢复EFS加密的数据,必须将其指定为恢复代理。
在域环境中,建议使用域帐户达到这个目的。
为在ActiveDirectory®目录林中的所有站点、域或组织单位创建恢复代理。
在默认情况下,内置的管理员帐户是域的恢复代理;这种情况就无需再创建恢复代理了。
要求
•
凭据:
域管理员。
•
工具:
MMC的ActiveDirectory用户与计算机管理单元。
•
创建基于域的恢复代理,需要执行以下操作
1.
单击“开始”、“控制面板”,在“控制面板”窗口中,双击“管理工具”,然后双击“ActiveDirectory用户与计算机”。
2.
右键单击需要更改恢复策略的域,然后单击“属性”。
3.
选择“组策略”选项卡。
4.
右键单击要更改的恢复策略,然后单击“编辑”。
5.
在控制台树(左栏)中,单击“加密文件系统”。
该选项位于以下导航路径中:
“计算机配置”、“Windows设置”、“安全设置”、“公钥策略”、“加密文件系统”。
6.
在详细信息栏(右栏)中,单击右键,选择“创建数据恢复代理”。
注意:
按照“创建恢复代理向导”的提示,从文件或ActiveDirectory中添加用户作为恢复代理。
从文件添加恢复代理时,用户被标识为“未知用户”。
这是因为该用户名没有存储在这个文件中。
要从ActiveDirectory添加恢复代理,EFS恢复代理证书(文件恢复证书)必须在ActiveDirectory中发布。
但是,由于默认的EFS文件恢复证书模板没有发布这些证书,所以需要创建一个这样的模板。
要达到这个目的,请在“证书模板”管理单元,复制默认的EFS文件恢复证书模板,以创建一个新模板,右键单击这个新模板,选择“属性”,并在“常规”选项卡的“属性”对话框中找到复制的证书,然后选中“在ActiveDirectory中发布证书”复选框。
7.
按照“创建恢复代理向导”中的说明,完成创建基于域的恢复代理。
返回页首
创建本地恢复代理
在非域环境中,如在独立计算机或在工作组中,可以创建本地恢复代理。
在多个用户共享一台计算机的情况下,适合创建本地恢复代理。
在单用户计算机上,用户很容易直接把恢复密钥备份到可移动媒体中。
要求
•
凭据:
本地计算机管理员。
•
工具:
组策略对象编辑器
•
创建本地恢复代理
1.
单击“开始”、“运行”,键入mmc,然后单击“确定”按钮。
2.
在“文件”菜单中,选择“添加/删除管理单元”,然后单击“添加”按钮。
3.
在“添加独立管理单元”中,单击“组策略对象编辑器”,然后单击“添加”按钮。
4.
在“组策略对象”中,确定已经显示了“本地计算机”,然后单击“完成”按钮。
5.
单击“关闭”按钮,再单击“确定”按钮。
6.
在“本地计算机策略”中,导航到“本地”、“计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“公钥策略”。
7.
在详细信息栏中,右键单击“加密文件系统”,再单击“添加数据恢复代理”或“创建数据恢复代理”。
注意:
向导会提示您输入恢复代理用户名。
您可提供具有发布的文件恢复证书的用户名给向导,或浏览恢复证书文件(.cer文件),此类文件中包含有关恢复代理的信息。
文件恢复证书可以从证书颁发机构(CA)获得。
要标识文件恢复证书,请在“证书”管理单元和详细信息栏中的“增强型密钥用法”字段中,查找值“文件恢复(1.3.6.1.4.1.311.10.3.4.1)”。
在本地计算机文件系统或ActiveDirectory中,以.cer文件存储文件恢复证书。
从文件中添加恢复代理时,用户被标识为“未知用户”,因为该文件中未存储此用户名。
8.
根据向导中的说明,结束该过程。
返回页首
使用EFS
完成恢复代理的创建和恢复密钥的生成及备份后,就可以开始使用EFS,从而更有效的保护文件和文件夹免受未授权的访问。
本节提供了有关启用EFS的说明。
要求
•
凭据:
您必须是一个持有EFS证书的用户,并拥有在NTFS卷修改文件或文件夹的权限。
•
工具:
Windows资源管理器。
•
使用EFS加密文件或文件夹
1.
打开Windows资源管理器。
2.
右键单击要加密的文件或文件夹,在弹出的菜单中,选择“属性”项。
3.
在“常规”选项卡中,单击“高级”。
4.
选中“加密内容以保护数据”复选框,单击“确定”按钮。
5.
在“属性”对话框中,单击“确定”,然后执行下列步骤中之一:
•
要加密文件及其父文件夹时,请在“加密警告”对话框中,单击“加密文件与父文件夹”。
•
要想只加密文件,请在“加密警告”对话框中,单击“只加密文件”。
•
要想只加密文件夹,请在“确认属性更改”对话框中,单击“只将变化应用于此文件夹”。
•
要加密文件夹及其子文件夹与文件,在“确认属性更改”对话框中,单击“将变化应用于该文件夹及其子文件夹与文件”。
6.
单击“确定”按钮,确认并应用加密选项。
返回页首
启用Windows资源管理器菜单中的加密/解密选项
您还可以对Windows资源管理器进行配置,当用户右键单击文件时,在弹出的快捷菜单中,添加“加密”和“解密”选项,以执行EFS。
为此,需要编辑着Windows注册表,添加一个的新注册项。
在默认情况下,注册表中没有该注册项。
警告:
注册表编辑错误可能会造成系统的严重破坏。
因此,在修改注册表前,首先应备份该计算机上所有有价值的数据。
formattingrole="bold"/>
要求
•
凭据:
由经验丰富的管理员来编辑注册表,并充分重视此操作的潜在风险。
•
工具:
注册表编辑器。
•
启用Windows资源管理器菜单中的加密/解密选项
1.
运行“注册编辑器”,导航到以下注册表路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
2.
在详细信息栏(右栏)中,单击右键,在弹出的快捷菜单中,依次选择“新建”、“双字节值”。
3.
键入EncryptionContextMenu作为双字节值的名称,并按“回车”键确认。
4.
右键单击新建的双字节注册表项,单击“修改”。
5.
在“编辑双字节值”对话框中的“数值数据”栏中,输入一个值,然后单击“确定”按钮。
6.
单击“文件”菜单,选择“退出”,关闭“注册表编辑器”。
注意:
在WindowsServer2003中,也可以添加“加密详细信息”选项到资源管理器菜单中。
为此,管理员需要创建一个包含以下信息的注册表批文件(*.reg),并为每个用户运行此文件:
[HKEY_CLASSES_ROOT\*\Shell\EncryptToUser...\Command]
@="rundll32efsadu.dll,AddUserToObject%1"
返回页首
启用EFS文件共享
企业通常希望使用加密技术以帮助保护敏感数据,但同时也允许多个用户访问这些数据。
借助EFS,用户就可以对文件进行加密,然后再授予其他用户访问这个加密数据的权限。
要允许几个用户访问加密的文件,这个文件的加密者就要把该文件设成共享状态,然后通过添加其他用户的EFS加密证书,允许他们共享访问这个加密的文件。
这样,企业可以在提高安全性的同时,确保数据的可用性。
您需要了解有关共享加密数据的某些要求与限制:
•
不能将用户组添加到加密的文件中,也不能把用户添加到加密的文件夹中。
•
所有添加到加密文件中的用户,必须在加密文件所在的计算机上拥有EFS加密证书。
通常由Verisign等证书颁发机构颁发证书。
此外,如果用户已经登录到计算机上并对其中的加密文件实施了解密,该用户将在这台计算机上拥有一份EFS加密证书。
要导入证书,请参阅MicrosoftTechNet网站中的Toimportacertificate(英文),其网址为
•
此外,所有对该文件进行解密的用户,都必须拥有读取该文件的权限。
必须正确设置NTFS权限,以允许用户访问。
如果用户因受限于NTFS权限而被拒绝访问,则该用户将无法读取加密文件,也不能实施解密操作。
要设置文件权限,请参阅MicrosoftTechNet网站中的Toset,view,change,orremovepermissionsonfilesandfolders(英文),其网址为
要求
•
凭据:
要求具备EFS证书和文件的所有权。
•
工具:
Windows资源管理器。
所有添加到文件中的用户,在加密文件所在的计算机中必须拥有加密证书。
•
允许用户加密或解密文件
1.
打开Windows资源管理器。
2.
右键单击要改变的加密文件,在弹出的快捷菜单中选择“属性”。
3.
在“常规”选项卡中,单击“高级”。
4.
在“高级属性”中,单击“详细信息”。
5.
要添加用户到这个文件中,请单击“添加”,然后执行以下步骤中的一种:
•
要添加用户,而该用户的EFS加密证书在这台计算机上,请单击证书,再单击“确定”按钮。
•
在将证书添加到文件之前,要查看该证书,请单击证书,然后单击“查看证书”。
•
要从ActiveDirectory添加用户,请单击“查找用户”,然后在列表中选择用户,并单击“确定”。
•
要从文件删除用户,请单击用户名,再单击“删除”。
注意:
当用户被添加到文件中并导入该用户的EFS加密证书时,该证书对于受信任的证书颁发机构(CA)来说是有效的。
然后,该证书将保存到“其他人”证书存储区中。
返回页首
导入与导出数据恢复密钥
数据恢复代理必须拥有数据恢复密钥(DRA密钥),以确保在正常恢复无法实现的情况下进行加密数据的恢复。
由此可见,保护恢复密钥很重要。
预防恢复密钥丢失的一个好方法是,导出数据恢复证书和数据恢复代理的私钥,并以.pfx格式文件保存到安全的可移动的媒体中。
在恢复丢失数据时,可以将其导入。
以下步骤概述了导出与导入DRA密钥的过程。
要求
•
凭据:
您必须用域的第一个域控制器的管理员帐户登录。
•
工具:
MMC证书管理单元。
导出数据恢复密钥
•
导出默认域数据恢复代理的证书和私钥需要执行以下操作
1.
以域的第一个域控制器的管理员帐户登录。
2.
单击“开始”,然后单击“运行”。
3.
键入mmc.exe,并按“回车”键。
4.
单击“文件”、“添加/删除管理单元”。
5.
单击“添加”。
将弹出当前计算机上注册的所有管理单元列表。
6.
双击“证书”管理单元,单击“我的用户帐户”,然后单击“完成”。
7.
在“添加独立管理单元”对话框中,单击“关闭”按钮,然后在“添加/删除管理单元”对话框中,单击“确定”按钮。
MMC当前显示适合管理员帐户的个人证书。
8.
导航到“证书”、“当前用户”、“个人”、“证书”。
详细信息栏(右栏)中将显示管理员帐户所有证书列表。
默认情况下,通常显示两个证书。
选择默认域的DRA证书。
9.
双击默认域的DRA证书,选择“所有任务”,然后单击“导出”按钮,启动“证书导出向导”。
要点:
在导出过程中,选择正确的密钥至关重要,因为一旦导出过程结束,原始私钥和相应的证书将从计算机上被删除。
如果密钥没有还原到计算机上,那么使用DRA证书将无法进行文件恢复。
10.
单击“是,导出私钥”,然后单击“下一步”。
导出过程的结束时,私钥将被删除。
11.
在“导出文件格式”页中,单击“个人信息交换PKCS#12(.PFX)”,选中“启用增强型保护”和“如果导出成功,删除私钥”这两个复选框,单击“下一步”。
最佳做法是,导出成功结束后,从系统中删除私钥,增强型私钥保护应当作为私钥安全的特殊级别使用。
导出私钥时,请使用.pfx文件格式。
.pfx文件格式是基于PKCS#12标准的,该标准是一种可移植格式,用于存储或传输包括私钥、证书和各种机密信息在内的用户信息。
此外,.pfx文件格式(PKCS#12)还允许使用密码,来保护存储在文件中的私钥。
12.
在“密码”页中的“密码”“密码确认”编辑框中,输入一个强密码,然后单击“下一步”。
最后一步是保存真正的.pfx文件。
证书与私钥可以导出到任何可写入设备中,包括网络驱动器或软盘。
13.
在“导出文件”页中,键入或浏览路径并指定文件名,然后单击“下一步”。
通知将报告导出操作是否成功。
如果文件和相关私钥丢失,将无法解密任何使用该DRA证书作为数据恢复代理的加密文件。
.pfx文件和私钥一旦被导出,就要按照企业的安全规则与做法,在稳定的可移动媒体的安全位置存储该文件。
例如,企业可以把.pfx文件保存在一各或多个CD-ROM光盘中,将这些光盘存放于一个安全的存放盒或隔间内,并在这些地点实施严格的物理访问控制。
导入数据恢复密钥
如果要使用导出的数据恢复密钥来恢复加密的数据,首先必须导入该密钥。
导入密钥要比导出密钥简单得多。
要导入以PKCS#12格式文件(.pfx文件)存储的密钥,双击该文件,打开“证书导入向导”,或者直接运行“证书导入向导”,按照以下步骤导入密钥:
要求
•
凭据:
计算机的DomainAdmin帐户。
•
工具:
MMC证书管理单元。
•
导入数据恢复密钥
1.
使用有效帐户登录计算机。
2.
单击“开始”、“运行”。
3.
键入mmc.exe,并按“回车”键。
4.
在MMC中,在“文件”菜单中,选择“添加/删除管理单元”。
5.
单击“添加”。
弹出当前计算机上注册的所有管理单元列表。
6.
双击“证书”管理单元,单击“我的用户帐户”,然后单击“完成”。
7.
在“添加独立管理单元”对话框中,单击“关闭”按钮,然后在“添加/删除管理单元”对话框中,单击“确定”按钮。
MMC当前显示适合管理员帐户的个人证书。
8.
导航到“证书”、“当前用户”、“个人”、“证书”,右键单击该文件夹,选择“所有任务”,然后单击“导入”,启动“证书导入向导”。
9.
单击“下一步”,输入要导入的文件和及其路径,再单击“下一步”。
10.
如果导入的文件为PKCS#12文件,在“密码”页中的“密码”框中,输入该文件的密码。
最佳的做法为采用强密码保护私钥。
11.
如果稍后需要从该计算机中再次导出此密钥,请选中“标明该密钥为可导出”复选框。
单击“下一步”
12.
向导可能会提示您指定证书与私钥应该导入的存储器。
要确保私钥被导入到个人存储器中,请不要选择“基于证书类型自动选择证书存储器”,而应选择“把所有证书保存到以下存储器中”,然后单击“下一步”。
13.
高亮度选择“个人”存储器,单击“确定”按钮。
14.
单击“下一步”,再单击“完成”,结束导入过程。
通知将报告导入操作是否成功。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 采用 EFS 加密硬盘以保护数据 加密 硬盘 保护 数据