简介
在许多企业中,都存在着多个用户共用一台计算机的情况。有些用户旅行时携带便携式计算机,并在没有企业物理保护的地方使用,如客户设施、机场、饭店和家中。这意味着重要的数据常常被置于企业控制之外。未经授权的用户可能希望读取存储在台式计算机中的数据。手提电脑可能会失窃。在所有这些情况下,公司的敏感数据都可能被窃取。
采用加密文件系统 (EFS) 对敏感数据文件进行加密,可以加强数据的安生性。该解决方案可以有效的减小数据失窃的隐患。加密是一种采用数学算法的应用程序。文件经过加密处理后,只有拥有正确密钥的用户方可读取其内容。Microsoft 的 EFS 技术可以对计算机上的数据进行加密,并控制哪些人有权解密或恢复数据。文件被加密后,即使攻击者能够物理访问计算机的数据存储器,也无法读取用户数据。所有用户都必须拥有 EFS 证书,方可运用 EFS 对数据进行加密和解密。此外,EFS 用户必须拥有在 NTFS 卷中修改文件的权限。
EFS 包括两种类型的证书:
• |
加密文件系统证书。此类证书允许其持有者使用 EFS 加密和解密数据,它通常也被直接称为 EFS 证书。普通的 EFS 用户使用此类证书。这类证书的“增强型密钥用法”字段(在 Microsoft 管理控制台管理单元中可以看到)的值为“EFS (1.3.6.1.4.1.311.10.3.4)”。 |
• |
文件恢复证书。此类证书的持有者可以在整个域或其他范围内对任何人加密的文件和文件夹进行恢复。只有域管理员或极受信任的委托人(即数据恢复代理)可以持有此类证书。这类证书的“增强型密钥用法”字段(在 Microsoft 管理控制台管理单元中可以看到)的值为“文件恢复 (1.3.6.1.4.1.311.10.3.4.1)”。此类证书通常被称为 EFS DRA 证书。 |
要允许其他授权用户读取加密的数据,需要给他们私钥,或使其成为数据恢复代理。数据恢复代理可以在其范围内的域或组织单位中,解密所有的 EFS 加密文件。本文档为中小企业中主要的 EFS 相关任务提供了具体步骤指导,同时还列举了在 EFS 实施过程中几项重要的最佳做法。
本文档中的步骤说明将指导您完成以下任务:
• |
创建与保护恢复密钥,以确保在原始加密者无法恢复加密数据时能够对其进行安全的恢复。 |
• |
指定恢复代理,当原始用户无法恢复加密文件时,由其实施恢复操作。 |
• |
在企业中安装 EFS。 |
• |
配置 Windows 资源管理器,以方便 EFS 的使用。 |
• |
设置文件共享,以配合 EFS 的使用。 |
• |
导入和导出数据恢复密钥,以确保安全的恢复加密文件和文件夹。 |
• |
当原始用户无法恢复数据时,对其进行恢复。 |
按照本文档中的步骤,您需要在系统范围内执行以下操作:
• |
创建备份数据恢复密钥。 |
• |
指定恢复代理。 |
• |
启用 EFS,对计算机硬盘中的数据进行加密。 |
• |
配置 Windows 资源管理器,以包含 EFS 选项。 |
完成上述步骤后,您可以:
• |
为所选的加密数据提供共享访问。 |
• |
管理数据恢复密钥,以恢复加密数据。 |
• |
必要时恢复加密的数据。 | |