为EFS配置数据恢复代理.pdfVIP

ips T应用技巧 Operation System 为EFS配置数据恢复代理 文/尹燕 在基于Windows 2000/XP/2003的计 配置数据恢复代理为自己留一条后路。 户的身份登录系统，在“开始”菜单的 算机中，如果系统中磁盘分区的文件系统 数据恢复代理可以访问其他用户加密 “运行”处运行cmd命令，进入“命令提 格式采用了NTFS5.0，那么我们就可以利 的文件，并通过执行解密操作对文件进行 示符”窗口，执行如下格式的命令： 用文件加密系统（EFS）特性来保护用户 恢复，它是加密文件系统策略的一个重要 cipher /r:filename。其中cipher为命令行的 保存在计算机中的个人文件和敏感信息。 部分。数据恢复代理访问加密文件的过程 加密解密工具，参数r为生成包含数据恢 EFS采用了工业标准的数据加密算法和公 和加密用户的过程类似，也是通过公钥/ 复密钥和证书的文件，filename为不带扩 钥加密系统对文件的内容进行加密，加密 私钥对来实现的。由于受到系统加密策略 展名的文件名称。 过程十分复杂，加密强度很大，安全性极 的控制，配置了数据恢复代理后再对文件 执行了命令后，会提示用户输入用来 高。 进行加密，在文件中会自动产生一个与数 保护.pfx文件的密码。输入密码并确认 用户首次执行为文件设置加密属性的 据恢复代理用户相关联的数据恢复字段， 后，系统会创建两个文件，其中.cer文件 操作后，就会自动启用EFS，这时系统会 这个字段保存了由数据恢复代理的公钥进 只包含恢复证书，.pfx文件包含恢复证书 产生一个针对该用户的公钥/私钥对。其 行加密的文件加密密钥，当数据恢复代理 和私钥。 中公钥保存在该用户的加密文件系统证书 访问这些加密文件时，与数据恢复代理公 执行 命令，会 中，通过在系统控制台（MMC）中添加证 钥相匹配的私钥完成对保存在数据恢复字 得到如图1所示的执行结果。在“docume 书管理单元可以进行查看；私钥通过用户 段的文件加密密钥的解密，从而访问到文 nts and settings/恢复代理”目录下可以 的登录系统口令派生一个主密钥并保存在 件的内容。这样实施加密的用户和作为数 查看到两个生成的文件： 该用户的个人配置文件中。同时，EFS针 据恢复代理的用户都可以透明地访问到文 和data_recovery.pfx。 对每个要加密的文件会随机产生一个文件 件的内容。数据恢复代理访问加 加密密钥，对文件的内容进行加密，同时 密文件时，并不关心文件是由谁 在每个文件中自动生成一个数据加密字 来加密的，它只关心文件中与其 段，用来保存经过公钥加密的文件加密密 关联的数据恢复字段。当数据恢 钥。当用户访问加密文件时，首先会对保 复代理对加密文件进行恢复时 存在个人配置文件中的私钥进行解密，然 （取消文件的加密属性），会删 后使用私钥对保存在文件中数据加密字段 除文件中的数据加密字段和数据 1 的文件加密密钥进行解密，进而以明文的 恢复字段，从而将加密文件转换 形式对文件进行访问；访问结束关闭文件 为明文形式。 后，文件会自动恢复到密文状态。对于用 导入数据恢复证书 户来讲，上述的文件加密和解密过程都是 如何配置数据恢复代理 通过cipher命令生成的数据恢复证书 EFS自动完成的，只要用户能够以正确的 生成数据恢复代理的公钥/私钥对 和密钥不能自动添加到用户的证书存储 账户名称和密码登录到系统中，就可以完 启动EFS后，系统不会自动创建数据 中，这需要用户手工将数据恢复证书进 全透明的访问加密的文件。但是，对于其 恢复代理，必须由用户进行指派，也就是 行导入。在导入证书的过程中需要注意 他用户加密的文件，由于不能对其他用户 在系统中选取一个存在的用户或是创建一 的是,