加密文件系统.docVIP

为EFS（加密文件系统）配置数据恢复代理 在基于Windows 2000/XP/2003的计算机中，如果系统中磁盘分区的文件系统格式采用了NTFS5.0，那么我们就可以利用文件加密系统（EFS）特性来保护用户 保存在计算机中的个人文件和敏感信息。EFS采用了工业标准的数据加密算法和公钥加密系统对文件的内容进行加密，加密过程十分复杂，加密强度很大，安全性 极高。　　用户首次执行为文件设置加密属性的操作后，就会自动启用EFS，这时系统会产生一个针对该用户的公钥/私钥对。其中公钥保存在该用户的加密文件系统证 书中，通过在系统控制台（MMC）中添加证书管理单元可以进行查看；私钥通过用户的登录系统口令派生一个主密钥并保存在该用户的个人配置文件中。同时，EFS针对每个要加密的文件会随机产生一个文件加密密钥，对文件的内容进行加密，同时在每个文件中自动生成一个数据加密字段，用来保存经过公钥加密的文件加密密钥。当用户访问加密文件时，首先会对保存在个人配置文件中的私钥进行解密，然后使用私钥对保存在文件中数据加密字段的文件加密密钥进行解密，进 而以明文的形式对文件进行访问；访问结束关闭文件后，文件会自动恢复到密文状态。对于用户来讲，上述的文件加密和解密过程都是EFS自动完成的，只要用户 能够以正确的账户名称和密码登录到系统中，就可以完全透明的访问加密的文件。但是，对于其他用户加密的文件，由于不能对其他用户的私钥进行解密，因而也就不能访问这些文件。　　由于EFS的加密和解密与用户的账户信息和个人配置文件密切相连，如果用户忘记了自己的登录口令或是登录口令被系统管理员更改、个人配置文件损坏或丢失，都会造成文件永远处于加密状态不允许任何人进行访问，由于EFS的加密强度极高，因此恢复的可能性很小。为了预防这些情况的发生，用户在启用EFS 后，要配置数据恢复代理为自己留一条后路。 数据恢复代理可以访问其他用户加密的文件，并通过执行解密操作对文件进行恢复，它是加密文件系统策略的一个重要部分。数据恢复代理访问加密文件的过程和加密用户的过程类似，也是通过公钥/私钥对来实现的。由于受到系统加密策略的控制，配置了数据恢复代理后再对文件进行加密，在文件中会自动产生一个与数据恢复代理用户相关联的数据恢复字段，这个字段保存了由数据恢复代理的公钥进行加密的文件加密密钥，当数据恢复代理访问这些加密文件时，与数据恢复代理公钥相 匹配的私钥完成对保存在数据恢复字段的文件加密密钥的解密，得到加密密钥，通过对称加密算法，可逆推出文件的明文内容。这样实施加密的用户和作为数据恢复代理的用户都可以透明地访问到文件的内容。数据恢复代理访问加密文件时，并不关心文件是由谁来加密的，它只关心文件中与其关联的数据恢复字段。当数据恢复 代理对加密文件进行恢复时（取消文件的加密属性），会删除文件中的数据加密字段和数据恢复字段，从而将加密文件转换为明文形式。如何配置数据恢复代理 　　生成数据恢复代理的公钥/私钥对　　启动EFS后，系统不会自动创建数据恢复代理，必须由用户进行指派，也就是在系统中选取一个存在的用户或是创建一个新的用户专门作为数据恢复代理，为了具有比较大的访问权限，通常该用户隶属于管理员组。由于EFS不会为作为数据恢复代理的用户自动生成公钥/私钥对，因此，这个步骤需要由作为数据恢复代 理的用户通过cipher命令行工具自行完成。cipher命令的执行结果可以为数据恢复代理用户产生保存公钥的数据恢复证书和私钥。　　具体的操作如下：以数据恢复代理用户的身份登录系统，在“开始”菜单的“运行”处运行cmd命令，进入“命令提示符”窗口，执行如下格式的命 令：cipher /r:filename。其中cipher为命令行的加密解密工具，参数r为生成包含数据恢复密钥和证书的文件，filename为不带扩展名的文件名称。  执行了命令后，会提示用户输入用来保护.pfx文件的密码。输入密码并确认后，系统会创建两个文件，其中.cer文件只包含恢复证书，.pfx文件包含恢复证书和私钥。　　执行cipher r:/data_recovery命令，会得到如图1所示的执行结果。在“documents and settings\恢复代理”目录下可以查看到两个生成的文件：data_recovery.cer和data_recovery.pfx。 导入数据恢复证书  通过cipher命令生成的数据恢复证书和密钥不能自动添加到用户的证书存储中，这需要用户手工将数据恢复证书进行导入。在导入证书的过程中需要注意的是，如果只想在用户进行文件加密的时候增加数据恢复代理，在导入时选择扩展名为.cer的文件，如果希望在配置数据恢复代理后能访问用户加密的文件，那么就要导入包含数据恢复证书和私钥的.pfx