准备工作
本文档中的步骤帮助您配置计算机以使用 EFS,并说明如何在企业中使用 EFS 以保护计算机硬盘中的数据。开始执行上述步骤之前,应当向法律顾问咨询,从而确保计划中的加密策略与程序符合相关的法律法规。特别是当公司在美国本土外设有办事处,那么您一定要熟悉与加密软件有关的出口控制法。同时,还要了解使用 EFS 的一些基本要求和条件:
• |
可以只在 NTFS 卷中才能使用 EFS 加密文件和文件夹。因此,EFS 无法保护 FAT 或 FAT32 文件系统中的数据。除非因特殊原因需要继续使用 FAT 文件系统,否则建议将其转换为 NTFS 格式。Windows 95、Windows 98 和 Windows Me 操作系统不支持 NTFS 或 EFS。Windows XP Home Edition 支持 NTFS,但不支持 EFS。 |
• |
对压缩过的文件或文件夹也无法进行 EFS 加密。对压缩文件或文件夹实施加密操作,该文件或文件夹将被解压缩。 |
• |
具有“系统”属性的文件无法进行加密,systemroot 文件夹中的文件也不能被加密。 |
• |
在首次加密文件或文件夹时,将弹出一个对话框。该对话框中的选项设置将影响到今后的加密操作:
• |
加密单个文件时,如果选择加密其父文件夹,则今后添加到该文件夹中的文件和子文件夹在添加时都将被自动加密。 |
• |
在对文件夹进行加密时,如果选择了加密所有文件和子文件夹,那么该文件夹中现有的所有文件和子文件夹以及今后添加到该文件夹中的文件和子文件夹都将被加密。 |
• |
在对文件夹进行加密时,如果选择只对该文件夹进行加密,那么该文件夹中现有的所有文件和子文件夹都不会被加密。但是,今后添加到该文件夹中的所有文件和子文件夹在添加时将被自动加密。 | |
除非另有说明,在本文档所描述的步骤中,服务器采用 Windows Server 2003 操作系统,而客户机使用 Windows XP Professional。
在 Active Directory 环境中,假定用户具有移动配置文件。请注意,本文档中的截屏图像反映的是一个测试环境,其中信息或许与您计算机上显示的信息略有出入。
安装操作系统时,使用默认出现的“开始”菜单,便可获得本文档中的所有步骤说明。如果您修改过“开始”菜单,则上述步骤可能稍有不同。
生成与备份恢复密钥
未备份恢复密钥可能会导致无法挽回的加密数据损失。当持有 EFS 加密证书的用户无法解密数据时,备份的恢复密钥能够确保加密数据的恢复。
要求
• |
凭据:要执行此操作,必须使用恢复代理帐户,该帐户中存储有文件恢复证书和私钥。域管理员是默认的恢复代理;在家庭或非域环境中,没有默认的恢复代理,但是可以为计算机上的所有帐户创建一个本地恢复代理。在家庭设置中,更为普遍的做法是备份每个 EFS 证书持有人的私钥。 |
• |
工具:Microsoft 管理控制台 (MMC) 的证书管理单元。 |
警告:在更改默认恢复策略之前,应确保已备份默认的恢复密钥。域中默认的恢复密钥存储在该域的第一个域控制器中。
• |
把默认的恢复密钥备份到软盘中,需要执行以下操作
1. |
单击“开始”、“运行”,键入 mmc ,然后单击“确定”按钮。打开“Microsoft 管理控制台”。
|
2. |
在“文件”菜单中,选择“添加/删除管理单元”,然后单击“添加”按钮。 |
3. |
在“添加独立管理单元”中,单击“证书,然后单击“添加”按钮。 |
4. |
选择“我的用户帐户”单选项,再单击“确定”按钮。 |
5. |
单击“关闭”按钮,再单击“确定”按钮。 |
6. |
双击“证书-当前用户”、“个人”,然后双击“证书”。 |
7. |
在“这个证书的目的是”一栏中单击显示字样为“文件恢复”的证书。 |
8. |
右键单击该证书,选择“所有任务”,单击“导出”按钮。 |
9. |
按照“证书导出向导”中的说明,导出该证书和相关的私钥,并以 .pfx 文件格式保存。 | | |