使用 EFS 為硬碟加密保護資料
更新日期:
本頁內容
簡介
開始之前
產生和備份修復金鑰
建立以網域為主的修復代理
建立本機修復代理
使用 EFS
啟用 Windows 檔案總管功能表上的「加密/解密」選項
啟用 EFS 檔案共用權限設定
匯出和匯入資料修復金鑰
修復資料
最佳實務
相關主題
簡介
在許多企業中使用者會共用他們的桌上型電腦。有些使用者帶著筆記型電腦外出到用戶端、機場、旅館和家裡使用,此時就無法受到企業實體裝置的保護。這表示企業經常無法掌控有價值的資料。未經授權的使用者可能會企圖讀取桌上型電腦所儲存的資料。筆記型電腦有可能被偷。在上述情境中,惡意的一方都可以取得公司的機密性資料。
有一種解決方案有助於降低資料被竊的可能,那就是使用「加密檔案系統 (EFS)」為機密檔案加密增加您資料的安全性。加密就是應用數學演算法,讓資料在缺乏所需的金鑰時無法讀取。EFS 是 Microsoft 的技術,它讓您為電腦資料加密,並且控制誰可以加密或修復這些資料。檔案加密後即使攻擊者能存取電腦資料的儲存實體,也無法讀取使用者的資料。若要使用 EFS,全部的使用者必須擁有「加密檔案系統」憑證,允許擁有者使用 EFS 為資料加密和解密的數位文件。EFS 使用者也必須擁有 NTFS 權限,才可以修改檔案。
在 EFS 中有兩種憑證起作用:
• 加密檔案系統憑證。這種憑證允許使用者使用 EFS 為資料加密和解密,它經常被簡稱為 EFS 憑證。一般的 EFS 使用者取得這種憑證。這種憑證的 [增強式金鑰使用方法] 欄位 (可在 Microsoft 管理主控台的憑證嵌入式管理單元中見到) 內容是「加密檔案系統」(1.3.6.1.4.1.311.10.3.4)。
• 檔案修復憑證。這種憑證允許持證者在網域或其他範圍中修復任何人加密的檔案。只有被稱為資料修復代理的網域管理員或非常信任的指定人員,才會取得這種憑證。這種憑證的 [增強金鑰使用方法] 欄位 (可在 Microsoft管理主控台的憑證嵌入式管理單元中見到) 內容是「檔案修復」(1.3.6.1.4.1.311.10.3.4.1)。這種經常被稱為 EFS DRA 憑證。
為了要讓其他授權的人員讀取您的資料,可以將您的私密金鑰給他,或者讓他們成為資料修復代理。資料修復代理可以在他範圍內的網域或企業內,解開所有經 EFS 加密的檔案。本文件提供在中小型企業中主要 EFS 相關工作的逐步指示,同時列出幾項重要的 EFS 最佳用法。
本文件中的程序將引導您完成下列工作:
• 建立和保護修復金鑰,確保當原始使用者無法修復時加密資料可以被安全修復。
• 在原始使用者無法修復時,建立可修復加密檔案的修復代理。
• 在您企業內建立 EFS。
• 設定 Windows 檔案總管以便使用 EFS。
• 設定檔案共享來搭配 EFS 使用。
• 匯出和匯入資料修復金鑰,以便安全修復加密的檔案和資料夾。
• 在原始使用者無法修復資料時修復資料。
遵循本文件中的下列程序,您可以做下列有關系統方面的變更:
• 建立備份資料修復金鑰。
• 建立修復代理。
• 啟用 EFS 為電腦硬碟資料加密。
• 設定 Windows 檔案總管以便包含 EFS 選項。
這些程序也讓您可以執行下列變更或預防措施:
• 提供共用存取選取的機密資料。
• 管理用來修復加密資料的資料修復金鑰。
• 在必要時著手修復加密資料。
開始之前
本文件將協助您設定電腦使用 EFS,並且以圖例說明如何使用 EFS 保護您企業的電腦硬碟資料。開始進行這些步驟之前,您應該和法律顧問確定計劃的加密原則和程序,是否符合相關的法律和規章。特別是如果您企業有辦公室在美國境外,您應該要熟悉有關加密軟體的輸出管制法律。您也應該要熟悉有關使用 EFS 的基本需求和條件:
• 您只能為 NTFS 檔案系統磁碟區上的檔案和資料夾加密。所以您不能使用 EFS 來保護使用 FAT 或 FAT32 檔案系統的硬碟資料。除非有特定的理由繼續使用 FAT 檔案系統,否則建議您將這些磁碟區轉換成使用 NTFS。Windows 95、Windows 98 和 Windows Millennium Edition 等作業系統不支援 NTFS 或 EFS。Windows XP Home Edition 支援 NTFS,但是不支援 EFS。
• 經過壓縮的檔案或資料夾也無法加密。如果您為壓縮的檔案或資料夾加密,這些檔案或資料夾將被解壓縮。
• 標示系統屬性的檔案不得加密,您也不可以為放在 systemroot 資料夾的檔案加密。
• 在第一次為檔案或資料夾加密時,您在快顯對話方塊選取的選項將決定以後的加密方式:
• 當為單一檔案加密時如果您選擇為上層資料夾加密,將來新增到這個資料夾的檔案和子資料夾,也都會在加入時被加密。
• 在資料夾加密時,如果您選擇為全部的檔案和子資料夾加密,那麼當時在資料夾以及日後新增的檔案和子資料夾,都會被加密。
• 在資料夾加密時,如果您選擇只加密這個資料夾,當時在資料夾中的檔案和子資料夾將不會被加密。不過,日後新增到資料夾的檔案和子資料夾會在加入時被加密。
除非另有指定,否則在本文件所述的程序中,伺服器電腦都是執行 Windows Server 2003 作業系統,而用戶端電腦則執行 Windows XP PROFESSIONAL。
在 Active Directory 環境中,則假設使用者漫游使用者的設定檔。請注意本文件中螢幕擷取畫面所反映的測試環境和資訊,它可能和您電腦所顯示的資訊有差異。
本文件中全部的逐步指示,都是使用您在安裝作業系統時所預設的「開始」功能表來開發。如果您曾經修改過「開始」功能表,則實際步驟可能稍為不同。
產生和備份修復金鑰
沒有備份修復金鑰,可能會造成加密資料無法挽回的損失。備份修復金鑰有助於確保,在使用者所擁有的 EFS 加密憑證無法為資料解密時修復加密資料。
需求
• 認證:這項操作必須使用修復代理帳戶來進行,而此帳戶在它的私人存放區中,具有檔案修復憑證和私密金鑰。網域系統管理員是預設的修復代理;在家用或非網域環境中並沒有預設的修復代理,但是您可以建立一個本機修復代理供電腦上所有的帳戶使用。在家用環境設定中最常見的是,每一個 EFS 憑證擁有者各自備份他們的私密金鑰。
• 工具:Microsoft Management Console (MMC) 的憑證嵌入式管理單元。
警告:對預設的修復原則做任何變更之前,請確定先備份預設的修復金鑰。網域的預設修復金鑰,儲存在網域的第一個網域控制站上。
• 若要將預設的修復金鑰備份到磁片
1.
按一下 [開始],按一下 [執行],鍵入 mmc,然後按一下 [確定]。會開啟 Microsoft Management Console。
2.
在 [檔案] 功能表中,按一下 [新增/移除嵌入式管理單元],然後按一下 [新增]。
3.
在 [新增獨立嵌入式管理單元] 下,按一下 [憑證],然後按一下 [新增]。
4.
按一下 [我的使用者帳戶],然後按一下 [完成]。
5.
按一下 [關閉],然後按一下 [確定]。
6.
按兩下 [憑證 - 目前的使用者],按兩下 [個人],然後按兩下 [憑證]。
7.
按一下在 [預定目的] 欄位中,顯示 [檔案修復] 字句的憑證。
8.
在憑證上按一下滑鼠右鍵,指向 [所有工作],然後按一下 [匯出]。
9.
請遵循「憑證匯出精靈」中的指示,將憑證和相關的私密金鑰使用 .pfx 檔案格式匯出。
建立以網域為主的修復代理
若要允許帳戶使用 EFS 讀取或修復資料,您必須讓這個帳戶成為修復代理。因此網域環境中,建議使用網域帳戶。您可以為任何在 Active Directory® 目錄服務樹系中的網站、網域或組織單位建立修復代理。網域的內建 Administrator 帳戶是預設的修復代理,此時您無須另建修復代理。
需求
• 認證:網域的系統管理員。
• 工具:MMC 上的 [Active Directory 使用者及電腦] 嵌入式管理單元。
• 若要建立以網域為主的修復代理
1.
依序按一下 [開始]、[控制台],按兩下 [系統管理工具],然後按兩下 [Active Directory 使用者及電腦]。
2.
對您想要變更修復原則的網域按一下滑鼠右鍵,然後按一下 [內容]。
3.
按一下 [群組原則] 索引標籤。
4.
對您想要變更的修復原則按一下滑鼠右鍵,然後按一下 [編輯]。
5.
在主控台樹狀目錄中 (在左側),按一下 [加密檔案系統]。它位於電腦設定\Windows 設定\安全性設定\公開金鑰原則\加密檔案系統。
6.
在詳細資料窗格中 (在右側),按一下 [建立資料修復代理]。
注意:「建立資料修復代理精靈」會提示您,從檔案或 Active Directory 將使用者新增成為修復代理。當您從檔案新增修復代理,這個使用者會被識別為 USER_UNKNOWN。這是因為這個使用者名稱未儲存在檔案內。
為了從 Active Directory 新增修復代理,必須在 Active Directory 中公佈 EFS 修復代理憑證 (檔案修復憑證)。不過,因為預設的 EFS 檔案修復憑證範本不會發佈這些憑證,所以您需要建立範本來做這項事情。若要做這項事情,請在「憑證範本」嵌入式管理單元中,將預設的 EFS 檔案修復範本複製進來,產生新的範本然後對新範本按一下滑鼠右鍵,選擇 [內容],並且針對複製範本在 [內容] 對話方塊的 [一般] 索引標籤上,選取 [將憑證發佈到 Active Directory] 核取方塊。
7.
請遵循「建立修復代理精靈」 中的指示,完成建立以網域為主的修復代理。
建立本機修復代理
在非網域的環境中,像是獨立電腦上或工作群組中,您可以建立本機修復代理。如果電腦被多重使用者共用,建立本機修復代理可能會有所幫助。在單一使用者的電腦上,使用者很容易將修復金鑰備份到抽取式媒體上。
需求
• 認證:本機電腦的系統管理員。
• 工具:群組原則物件編輯器。
• 建立本機修復代理
1.
按一下 [開始],按一下 [執行],鍵入 mmc 然後按一下 [確定]。
2.
在 [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元],然後按一下 [新增]。
3.
在 [新增獨立嵌入式管理單元] 下,按一下 [群組原則物件編輯器],然後按一下 [新增]。
4.
在 [群組原則物件] 下,確定顯示出 [本機電腦],然後按一下 [完成]。
5.
按一下 [關閉],然後按一下 [確定]。
6.
在 [本機電腦原則] 中,瀏覽到本機\電腦原則\設定\Windows 設定\安全性設定\公開金鑰原則資料夾。
7.
在詳細資料窗格中,對 [加密檔案系統] 按一下滑鼠右鍵,然後按一下 [新增資料修復代理] 或者 [建立資料修復代理]。
注意:「精靈」將提示您鍵入修復代理的使用者名稱。您可以將具有已公佈檔案修復代理憑證的使用者名稱提供給精靈,或者瀏覽含有您想要新增的修復代理資訊的檔案修復憑證 (.cer 檔案)。檔案修復憑證可以取自 [憑證授權]。若要在「憑證」嵌入式管理單元、詳細資料窗格、[增強金鑰使用方法] 欄位中辨識出檔案修復憑證,請尋找值 [檔案修復 (1.3.6.1.4.1.311.10.3.4.1)]。檔案修復憑證使用 .cer 檔案格式,儲存在本機電腦系統或 Active Directory中。
當您從檔案新增修復代理時,使用者被識別為 USER_UNKNOWN,因為使用者名稱未儲存在檔案內。
8.
請遵循精靈中的指示完成程序。
使用 EFS
一旦完成建立修復代理,並且產生和備份了修復金鑰,您就可以開始使用 EFS 來協助保護檔案和資料夾,防止未經授權的存取。本章節提供有關啟用 EFS 的指示。
需求
• 認證:您必須是擁有 EFS 憑證和 NTFS 權限的使用者,才能修改檔案或資料夾。
• 工具:Windows 檔案總管。
• 若要使用 EFS 為檔案或資料加密
1.
開啟 Windows 檔案總管。
2.
對您要加密的檔案或資料夾按一下滑鼠右鍵,然後按一下 [內容]。
3.
在 [一般] 索引標籤上,按一下 [進階]。
4.
選取 [加密內容,保護資料] 核取方塊,然後按一下 [確定]。
5.
在 [內容] 對話方塊中,按一下 [確定],然後做下列中的一項:
• 若要加密檔案和它的上層資料夾,請在 [加密警告] 對話方塊中,按一下 [加密檔案和上層資料夾]。
• 若只要加密檔案,就在 [加密警告] 對話方塊中,按一下 [只加密檔案]。
• 若只要加密資料夾,就在 [確認變更屬性] 對話方塊中,按一下 [只將所做的變更套用到這個資料夾]。
• 若要加密資料夾和它的子資料夾與檔案,請在 [確認變更屬性] 對話方塊中,按一下 [套用變更到這個資料夾、子資料夾和檔案]。
6.
按一下 [確定],接受並套用您的加密選擇。
啟用 Windows 檔案總管功能表上的「加密/解密」選項
有些企業可能發現到要執行 EFS 很容易,只要在使用者對檔案按一下滑鼠右鍵時,將 Windows 檔案總管設定成在快顯功能表上顯示「加密」和「解密」。若要啟用這項功能,您需要編輯 Windows 登錄,來新建立一個在預設上不會結束的登錄值。
警告:編輯登錄若不正確,可能會嚴重損毀您的系統。變更登錄之前,您應該備份電腦上所有有價值的資料。
需求
• 認證:具有編輯登錄經驗的系統管理員,並且了解編輯登錄的危險性。
• 工具:登錄編輯程式。
• 若要啟用 Windows 檔案總管功能表上的加密/解密選項
1.
開啟「登錄編輯程式」並瀏覽到下列登錄路徑:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
2.
在詳細資料窗格中 (在右側) 按一下滑鼠右鍵,按一下 [新增],然後按一下 [DWORD 值]。
3.
鍵入 EncryptionContextMenu 作為 [DWORD 值] 的名稱,然後按下 Enter。
4.
對您剛建立的 [DWORD 值] 按一下滑鼠右鍵,再按一下 [修改]。
5.
在 [編輯 DWORD 值] 對話方塊的 [數值資料] 方塊中,鍵入值 ,然後按一下 [確定]。
6.
按一下 [檔案],然後按一下 [結束],關閉「登錄編輯程式」。
注意: 在 Windows Server 2003 中您也可以藉由建立具有下列資訊的登錄批次檔 (*.reg),並且針對每一個使用者執行登錄批次檔,將 [加密詳細資料] 按鈕新增到「檔案總管」功能表中:
[HKEY_CLASSES_ROOT\*\Shell\Encrypt To User...\Command]
@="rundll32 efsadu.dll,AddUserToObject %1"
啟用 EFS 檔案共用權限設定
企業常常想要利用加密來協助保護機密性資料,同時又要允許多重使用者存取這些資料。使用 EFS 時,可以讓一位使用者為檔案加密,然後賦予另一位使用者存取加密資料的能力。若要允許幾位使用者存取已加密的檔案,加密的使用者可以將檔案指定為共用,然後將其他使用者的 EFS 加密憑證加到加密檔案而啟用共用存取。企業依照這種方式做,既有助於改善安全性又不至於損及資料的可用性。
您應該注意到有關共用加密資料的某些需求和限制:
• 您不能將使用者群組新增到加密的檔案,也不能將使用者新增到加密的資料夾。
• 所有被新增到加密檔案的使用者,必須在檔案所在的電腦上擁有 EFS 加密憑證。典型的憑證授權,像是 Verisign 所發的憑證。同時,如果使用者已經登入到電腦並且為檔案加密,該名使用者就會擁有這個電腦的 EFS 加密憑證。若要匯入憑證,請參閱 Microsoft TechNet 網站的《To import a certificate (英文)>》,網址是 [img]http://go.microsoft.com/fwlink/?LinkId=22846。
• 所有可以為檔案加密的使用者,也必須有權去讀取檔案。必須正確設定 NTFS 權限才能允許這種存取。如果使用者因為 NTFS 權限不足而被拒絕存取時,使用者無法讀取加密檔案也無法為資料解密。若要設定檔案上的權限,請參閱 Microsoft TechNet 網站上的《To set, view, change, or remove permissions on files and folders (英文)》,網址是 [img]http://go.microsoft.com/fwlink/?LinkId=22847。
需求
• 認證:需要 EFS 認證和檔案的擁有權。
• 工具:Windows 檔案總管。
所有被新增到檔案的使用者必須在電腦上擁有憑證。
• 若要允許使用者加密或解密檔案
1.
開啟 Windows 檔案總管。
2.
對您想要變更的已加密檔案按一下滑鼠右鍵,然後按一下 [內容]。
3.
在 [一般] 索引標籤上,按一下 [進階]。
4.
在 [進階屬性] 中,按一下 [詳細資料]。
5.
若要將使用者新增到這個檔案,按一下 [新增],然後進行下列一項:
• 若要新增在這台電腦上擁有 EFS 加密憑證的使用者,請按一下 [憑證],然後再按一下 [確定]。
• 若要在將這台電腦上的憑證新增到檔案之前加以檢視,請按一下 [憑證],然後再按一下 [檢視憑證]。
• 若要從 Active Directory 新增使用者,請按一下 [尋找使用者],然後找出清單上的使用者,再按一下 [確定]。
• 若要從這個檔案移除使用者,請按一下使用者名稱,然後按一下 [移除]。
注意: 當使用者被新增到檔案而且匯入他的 EFS 加密憑證時,憑證會向信任的根憑證授權單位 (CA) 驗證。然後憑證會被儲存在該使用者的「其他人員」憑證存放區。
匯出和匯入資料修復金鑰
資料修復金鑰 (DRA 金鑰) 必須可供資料修復代理使用,以便在不可能正常修復時讓修復代理能夠修復加密的檔案。因此,重要的是保護修護金鑰。保護修復金鑰免於遺失的好辦法是,將資料修復憑證和資料修復代理的私密金鑰匯出到抽取式媒體上成為 .pfx 格式檔案。然後您可以藉由匯入它們來修復遺失的資料。
下列程序約略說明匯出和匯入 DRA 金鑰的程序。
需求
• 認證:您必須使用網域中第一個網域控制站上的系統管理員帳戶登入。
• 工具:MMC 的「憑證」嵌入式管理單元。
匯出資料修復金鑰
• 若要匯出憑證和預設網域資料修復代理的私密金鑰
1.
使用網域中第一個網域控制站上的系統管理員帳戶登入網域。
2.
按一下 [開始],再按一下 [執行]。
3.
鍵入 mmc.exe 然後按 Enter。
4.
按一下 [檔案],然後按一下 [新增/移除嵌入式管理單元]。
5.
按一下 [新增]。於是出現目前電腦上所有已註冊的嵌入式管理單元的清單。
6.
按兩下 [憑證嵌入式管理單元],按一下 [我的使用者帳戶],然後按一下 [完成]。
7.
在 [新增獨立嵌入式管理單元] 對話方塊中,按一下 [關閉],然後在 [新增/移除嵌入式管理單元] 對話方塊中,按一下 [確定]。現在 MMC 顯示 Administrator 帳戶的個人憑證。
8.
瀏覽到憑證\目前的使用者\個人\憑證資料夾。
詳細資料窗格中 (在右側) 顯示系統管理員所有憑證的清單。預設中,通常顯示兩個憑證。找出預設的網域 DRA 憑證。
9.
對預設的網域 DRA 憑證按一下滑鼠右鍵,按一下 [所有工作] 然後按一下 [匯出],啟動「憑證匯出精靈」
。
重要: 在匯出程序中最重要的是要選擇對的金鑰,因為一旦完成匯出程序,原始的私密金鑰和對應的憑證都會從電腦上刪除。如果無法將金鑰修復到電腦上,將不可能使用 DRA 憑證修復檔案。
10.
按一下 [是,匯出私密金鑰],然後按一下 [下一步]。這會讓私密金鑰在完成匯出時被刪除。
11.
在 [匯出檔案格式] 頁面中,按一下 [個人資訊交換 – PKCS #12 (.PFX)],選取 [啟用加強保護] 和 [如果匯出成功的話就刪除私密金鑰] 核取方塊,然後按一下 [下一步]。
最佳做法是,在成功匯出時自系統刪除私密金鑰,而加強私密金鑰保護則作為私密金鑰額外的安全性層級。
在匯出私密金鑰的時候,使用 .pfx 檔案格式。.pfx 檔案格式是根據 PKCS #12 標準,用來儲存或傳送使用者資訊的可攜式格式,包含私密金鑰、憑證和其他機密。.pfx 檔案格式 (PKCS #12) 也允許用密碼來保護儲存在檔案內的私密金鑰。
12.
在 [密碼] 頁面上的 [密碼] 和 [確認密碼] 文字方塊中,鍵入強性密碼,然後按一下 [下一步]。
最後步驟是儲存實際的 .pfx 檔案。憑證和私密金鑰可匯出到任何的可寫入裝置中,包括網路磁碟機或磁片。
13.
在 [要匯出的檔案] 頁面中,鍵入或瀏覽檔案名稱和路徑,然後按一下 [下一步]。
不論是否匯出成功都會產生通知。
如果遺失檔案和相關的私密金鑰,將不可能為曾經使用該特定 DRA 憑證作為資料修復代理的現有檔案解密。一旦匯出 .pfx 檔案和私密金鑰,請將可靠抽取式媒體上的檔案,根據貴企業的安全性準則和做法保存在安全地點。舉例來說,企業可能將 .pfx 檔案保存在一或多張光碟並存放具有嚴密實體存取掌控的保險箱庫內。
匯入資料修復金鑰
萬一您需要使用匯出的資料修復金鑰來修復加密資料,您首先要匯入金鑰。匯入金鑰比匯出更簡單。若要將儲存成 PKCS #12 格式檔案的金鑰 (.pfx 檔案) 匯入,只要按兩下檔案開啟「憑證匯入精靈」,或者啟動精靈再完成下列步驟匯入金鑰:
需求
• 認證:電腦上的 Doman Amin 帳戶。
• 工具:MMC 的「憑證」嵌入式管理單元。
• 若要匯入資料修復金鑰
1.
使用有效的帳戶登入電腦。
2.
按一下 [開始] 然後按一下 [執行]。
3.
鍵入 mmc.exe 然後按一下 Enter。
4.
在 MMC 的 [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元]。
5.
按一下 [新增]。於是出現目前電腦上所有已註冊的嵌入式管理單元的清單。
6.
按兩下 [憑證嵌入式管理單元],按一下 [我的使用者帳戶],然後按一下 [完成]。
7.
在 [新增獨立嵌入式管理單元] 對話方塊中,按一下 [關閉],然後在 [新增/移除嵌入式管理單元] 對話方塊中按一下 [確定]。現在 MMC 含有 Administrator 帳戶的個人憑證存放區。
8.
瀏覽到憑證\目前的使用者\個人\憑證資料夾,對資料夾按一下滑鼠右鍵,按一下 [所有工作],然後按一下 [匯入] 以啟動「憑證匯入精靈」。
9.
按一下 [下一步],鍵入要匯入的檔案的名稱和路徑,然後按一下 [下一步]。
10.
在 [密碼] 頁面上,於 [密碼] 方塊中,如果 PKCS #12 檔案則鍵入匯入檔案的密碼。
儲存私密金鑰時最好使用強性密碼保護。
11.
稍後如果您想要再從目前的電腦上匯出金鑰,最好選取 [將這個金鑰設成可匯出] 核取方塊。按一下 [下一步]。
12.
精靈可能會提示要求,提供要匯入憑證和私密金鑰的存放區名稱。若要確保私密金鑰匯入到個人的存放區,請勿按一下 [自動根據憑證類型來選取憑證存放區],而是按一下 [將所有憑證放入下列的存放區],然後按一下 [下一步]。
13.
反白 [個人] 存放區,然後按一下 [確定]。
14.
按一下 [下一步],再按一下 [完成],完成匯入程序。不論是否匯出成功都會產生通知。
重要:以網域為主的帳戶應該都要有關聯的資料修復代理可使用,因為本機帳戶可能易遭受實體的離線攻擊。
修復資料
萬一加密資料無法被原來的使用者修復,比如說因為使用者離開公司,此時您需要用一種方式來修復資料並讓它可被全企業存取。本節在告訴您如何修復已加密的檔案或資料夾。若要如此做,您先要使用「備份」或其他備份工具,將使用者已加密的檔案或資料夾,修復到檔案修復憑證和資料修復代理的修復金鑰所存放的電腦上。
您必須是經指定的修復代理,才可以執行這項程序。換句話說,您必須在待修復的檔案或資料夾上,擁有識別為 DRA 的私密金鑰和憑證。
需求
• 認證:資料修復代理。
• 工具:Windows 檔案總管。
• 若要修復已加密的檔案或資料夾
1.
開啟 Windows 檔案總管。
2.
對您想要修復的已加密檔案或資料夾按一下滑鼠右鍵,然後按一下 [內容]。
3.
在 [一般] 索引標籤上,按一下 [進階]。
4.
清除 [加密內容,保護資料] 核取方塊。
5.
製作加密檔案或資料夾的備份,然後將備份版本傳回給使用者。
注意: 您可以將加密檔案或資料夾的備份,作為電子郵件附件,或者放在磁片或網路檔案共用上。
另一種修復資料的方式是,在實體上將修復代理的私密金鑰和憑證實體傳送到擁有加密檔案的電腦、匯入私密金鑰和憑證、為檔案和資料夾解密,然後刪除匯入的私密金鑰和憑證。本程序將比上述程序增加將公開私密金鑰公開的可能性,但是不需要對檔案進行任何備份、還原作業或傳送。
最佳實務
下列的最佳實務有助於公司有效使用和管理加密的檔案和資料夾。
• 修復代理需要將它們的修復憑證,備份到安全地點。
如果您是修復代理,請使用 Microsoft Management Console (MMC) [憑證] 的 [匯出] 命令,將檔案修復憑證和私密金鑰匯出到磁片。將磁片保存在安全位置。然後,如果電腦上的檔案修復憑證或私密金鑰被毀損或刪除,您可以從 MMC 的 [憑證] 使用 [匯入] 命令,利用磁片上的備份取代受損或被刪除的憑證和私密金鑰。
• 使用預設的網域設定。
預設上,網域的系統管理員是 Windows 2000 或 Windows Server 2003 網域上預設的 DRA。當網域的系統管理員第一次使用該帳戶登入時,會產生自我簽章的憑證,私密金鑰會被儲存在該電腦的設定檔,而預設的網域「群組原則」內則以憑證的公開金鑰作為網域的預設 DRA。
• 請立即更新遺失或過期的 DRA 私密金鑰。
雖然 DRA 憑證過期是件小事,但是 DRA 的私密金鑰的遺失或損毀則有可能是企業的大災難。
過期的 DRA 憑證 (私密金鑰) 仍然可被用來為之前加密的檔案解密,不過,新的或更新過的加密檔案就無法使用過期的憑證 (公開金鑰)。當企業遺失 DRA 的私密金鑰或者 DRA 的憑證已經過期時,最佳實務是立即產生一或多個新的 DRA 憑證並且更新「群組原則」來反映新的 DRA。當使用者加密新的檔案或者更新現有的加密檔案時,這些檔案會使用新的 DRA 公開金鑰做自動更新。也許有必要鼓勵使用者更新現有的全部檔案,來反映新的 DRA。
在 Windows XP 中,命令列公用程式 cipher.exe 已經使用 /U 參數更新過,它被用來更新本機磁碟機上全部檔案的加密金鑰或修復代理金鑰。下列的範例更新執行 Cipher.exe 的本機磁碟機上的兩個加密檔案:
Cipher.exe /U
C:\Temp\test.txt: Encryption updated.
C:\My Documents\wordpad.doc: Encryption updated.
注意:當網域中沒有憑證授權而使用預設的自我簽章憑證時,憑證的使用時間是 99 年。
下列的最佳實務可以協助企業保護資料免遭偷竊或遺失:
• 電腦的實體保護最重要。技術上無法取代採行每項預防措施確保電腦被偷或者實際遭到入侵。
• 永遠使用行動電腦作為 Active Directory 網域的一部份。
• 在行動電腦以外的位置儲存使用者的私密金鑰,在需要時才匯入使用。
• 對於常用的儲存資料夾,像是「我的文件」和暫存資料夾,則將資料夾加密,讓所有新增和暫存檔案在建立時都會被加密。
• 當資料極為機密時,永遠將新檔案建立在加密資料夾,或者將純文字檔案複製進去。這樣可以確保全部的檔案在電腦上都不會以純文字形式存在,而且暫存資料檔案無法使用精密的磁碟分析攻擊來修復。
• 已加密的資料夾可以藉由使用「群組原則」、登入指令碼和安全性範本的組合,確保類似「我的文件」這種標準資料夾會被設定成為加密資料夾。
• Windows XP 作業系統支援離線檔案的加密。在本機快取的離線檔案和資料夾,在使用用戶端的快取原則時應該被加密。
• 在行動電腦上利用模式 2 或模式 3 (開機磁片或開機密碼) 使用系統機碼公用程式 SYSKEY,防止系統被惡意使用者開機。系統機碼公用程式和它選項的說明文件,是放在您的 Windows 版本上當作線上說明使用。
• 針對被信任為委派並且用來儲存加密檔案的伺服器,啟用「群組原則」中簽章的「伺服器訊息區塊 (SMB)」。這項設定放在下列位置的「群組原則」內:GPO-名稱\電腦設定\Windows 設定\安全性設定\本機原則\安全性選項\Microsoft 網路伺服器:永遠在通訊上加上數位簽章。
• 請確保在檔案加密後,定期將未加密的資料從硬碟上移除。
http://go.microsoft.com/fwlink/?LinkID=22412
http://go.microsoft.com/fwlink/?LinkID=22413