史萊姆論壇 - 查看單個文章

psac · 2006-06-11, 11:09 PM

Windows 2000文件加密系統 (EFS)
加密文件系統」(EFS) 提供一種核心文件加密技術，該技術用於在 NTFS文件系統捲上存儲已加密文件。一旦加密了文件或資料夾，你就可以像使用其他文件和資料夾一樣使用它們。對加密該文件的用戶，加密是透明的。這表明不必在使用前解密已加密的文件。你可以像平時那樣打開和更改文件。但是，試圖訪問已加密文件或資料夾的入侵者將被禁止這些*作。如果入侵者試圖打開、複製、移動或重新命名已加密文件或資料夾，將收到拒絕訪問的消息。

　　正如設置其他任何內容（如只讀、壓縮或隱藏）一樣，通過為資料夾和文件設置加密內容，可以對資料夾或文件進行加密和解密。如果加密一個資料夾，則在加密資料夾中創建的所有文件和子資料夾都自動加密。推薦在資料夾級別上加密。

　　也可以用命令行功能 cipher 加密或解密文件或資料夾。有關 cipher 命令的詳細訊息，請參看本文附錄。

　　使用 EFS 可以防止在未經授權的情況下獲取對物理存儲的敏感資料（例如，竊取便攜式電腦或 Zip 磁碟）的訪問的入侵者，以確保文檔安全。

文件加密系統簡介

　　文件加密系統 (EFS) 可以使用戶對文件進行加密和解密。使用 EFS 可以保證文件的安全，以防那些未經許可的入侵者訪問存儲的敏感資料（例如，通過盜竊筆記本電腦或外掛式硬碟驅動器來偷取資料）。

　　用戶可以像使用普通文件和資料夾那樣使用已加密的文件和資料夾。加密過程是透明的。EFS 用戶如果是加密者本人，系統會在用戶訪問這些文件和資料夾時將其自動解密，但是不允許入侵者訪問任何已加密的文件或資料夾
使用加密文件

　　在使用加密文件和資料夾時，請記住下列訊息和建議。

　　重要的 EFS 訊息

只有 NTFS 捲上的文件和資料夾才能被加密。
不能加密壓縮文件或資料夾。首先必須對文件和資料夾解壓縮，然後才能加密。在已壓縮的捲上，解壓縮所要加密的資料夾。
只有對文件實施加密的用戶才能打開它。
不能共享加密文件。EFS 不能用於發佈私人資料。
如果將加密的文件複製或移動到非 NTFS 格式的捲上，該文件將會被解密。
使用剪下和貼上去將文件移動到已加密的資料夾。如果使用拖放式*作來移動文件，則不會將它們在新資料夾中自動加密。
無*加密系統文件。
加密的資料夾或文件不能防止被刪除。任何擁有刪除權限的人均可以刪除加密的資料夾或文件。
對於編輯文檔時某些程式創建的臨時文件，只要這些文件在 NTFS 捲上而且放在已加密資料夾中，則它們也會被加密。為此建議加密硬碟上的 Temp 資料夾。加密 Temp 資料夾可以確保在編輯過程中的文檔也處於保密狀態。如果在 Outlook 中創建一個新文檔或打開附件，該文件將在 Temp 資料夾中創建為加密文檔。如果選擇將加密的文檔儲存到 NTFS 卷的其他位置，則它在新位置仍被加密。
在允許進行遠端加密的遠端電腦上可以加密或解密文件及資料夾。詳細訊息，請與域管理員聯繫。然而，如果通過網路打開已加密文件，通過此過程在網路上傳輸的資料並未加密。其他協議，例如 SSL/PCT 或者 IPSEC 必須用於通過線路加密資料。
恢復策略是當你對第一個文件或資料夾進行加密時自動執行的，以便如果你丟失了文件加密證書和相關的私鑰，恢復代理可以給你解密文件。
　　EFS 推薦

如果你將大多數文檔儲存在「我的文檔」資料夾中，則將對該資料夾加密。這將確保在預定情況下加密個人文檔。
加密 Temp 資料夾，使程式創建的所有臨時文件自動加密。
加密資料夾而不是加密單獨的文件，以便如果程式在編輯期間創建了臨時文件，這些臨時文件也會加密。

從 Microsoft 管理控制台 (MMC) 的「證書」，使用「匯出」命令，可以在軟碟上製作文件加密證書和相關私鑰的備份副本。將軟碟保留在安全位置。那麼，如果你丟失了文件加密證書（由於磁碟故障或任何其他原因），則可以從 MMC 的證書中使用「匯入」命令從軟碟還原證書和相關的私鑰，並可以打開加密的文件。
資料加密和解密

　　文件加密系統 (EFS) 可以使用戶在本機電腦上安全地存儲資料。EFS 通過在選定的 NTFS 文件和資料夾中加密資料來達到這一目的。

　　由於 EFS 與文件系統整合在一起，所以它易於管理、難以被攻擊而且對用戶完全透明。這是一種保護易於盜竊的電腦（便攜機）上的資料的典型方*。

　　FAT 卷中的文件和資料夾不能被加密和解密。而且，EFS 一般用於在本機電腦上安全地存儲資料。例如，它不支持加密文件的共享。

　　EFS 加密密鑰

　　如果用戶對指定的文件進行加密，那麼對用戶來講實際的資料加密和解密過程是完全透明的。用戶不需要瞭解這個過程。但對管理員來說，以下關於資料如何被加密和解密的說明是十分有用的。

　　以下說明只適用於文件，而不適用於資料夾。資料夾本身不會被加密，而是資料夾中所包含文件的內容被加密。和資料夾一樣，子資料夾不能被加密，但是它們都帶有明顯標識指出其中包含加密的文件資料。

　　文件的加密過程如下：

　　每個文件都有一個唯一的文件加密密鑰，用於以後對文件資料進行解密。

　　文件的加密密鑰在文件之中加密的--通過與用戶的 EFS 證書對應的公鑰進行保護。

　　文件加密密鑰同時受到授權恢復代理的公鑰的保護。

　　文件的解密過程如下：

　　要解密一個文件，首先要對文件加密密鑰進行解密。當用戶的私鑰與這個公鑰匹配時，文件加密密鑰就被解密。

　　用戶並不是唯一能對文件加密密鑰進行解密的人。恢復代理的私鑰同樣可以對文件加密密鑰進行解密。

　　當文件加密密鑰被解密後，可以被用戶或恢復代理用於文件資料的解密。

　　私鑰儲存在受保護的密鑰存儲區，而不是在安全帳戶管理器 (SAM) 或單獨的目錄中。
　　在遠端服務器上存儲加密文件

　　如 Windows 2000 電腦環境中的用戶想在遠端服務器上存儲加密文件，請注意以下訊息：

　　Windows 2000 支持在遠端服務器上存儲加密文件。然而，這一功能並不支持多個用戶對加密文件的遠端共享。

　　用戶永遠不能在物理存放位置的安全性不好的服務器上存儲高敏感度的資料。

　　加密的資料在網路上傳輸時是不加密的，只有當它存儲在磁碟上時才是加密的。當系統包括網際協議的安全機制 (IPSec) 時例外。IPSec 對傳輸在 TCP/IP 網路上的資料進行加密。

　　加密的文件不能從 Macintosh 客戶端訪問。

　　用戶可以對遠端服務器上的文件加密之前，管理員必須指定遠端服務器為信任委派。允許在該服務器上擁有這些文件的所有用戶對文件進行加密。

加密文件系統和資料恢復

　　作為系統的整個安全策略的一部分，"加密文件系統"(EFS) 的資料故障恢復是可用的。例如，如果你丟失了文件加密證書和相關的私鑰（由於磁碟錯誤或是其他原因），還是可以通過指定的故障恢復代理來恢復資料。或者，在商業環境中，單位能夠在僱員離開後恢復僱員加密的資料。

　　恢復策略

　　EFS 通過實施故障恢復策略要求來提供內置資料的故障恢復。要求故障恢復策略必須在用戶可以加密文件之前就位。故障恢復策略提供人員，作為被指派的故障恢復代理。當管理員第一次登入到系統上時，預定的故障恢復策略將會自動地新增進去，以便為管理員提供故障恢復代理。

　　故障恢復代理擁有特殊證書和相關私鑰，該私鑰允許在故障恢復策略的影響範圍內恢復資料。如果是故障恢復代理，請務必在 Microsoft 管理控制台 (MMC) 的證書中使用「匯出」命令，將故障恢復證書和相關私鑰備份到安全位置。在備份之後，應使用 MMC 中的「證書」管理單元從恢復代理的個人存儲區（而不是從恢復策略）刪除恢復證書。然後，當需要為用戶執行故障恢復*作時，應該首先從 MMC 的「證書」管理單元中使用「匯入」命令將故障恢復證書和相關的私鑰還原到故障恢復代理的個人存儲區。在資料恢復之後，應從恢復代理的個人存儲區中再次刪除恢復證書。不必重複匯出過程。從電腦中刪除故障恢復證書並將其儲存在安全位置是用於保護敏感資料的附加安全措施。
預定故障恢復策略在本機配置為用於單機。對於網路中的電腦，可以在域、部門或單個電腦一級配置故障恢復策略，並在所定義的影響範圍內，將其應用於所有基於 Windows 2000 的電腦。恢復證書由證書頒發機構 (CA) 發佈，並使用 MMC 中的證書來管理。

　　在網路環境中，對於故障恢復策略影響範圍中的所有電腦用戶，域管理員控制如何執行 EFS。在預定的 Windows 2000 安裝中，當安裝第一個域控制器時，域管理員是指定的域故障恢復代理。域管理員配置故障恢復策略的方*將決定如何為本機機器上的用戶執行 EFS。域管理員登入到第一域控制器以更改域的故障恢復策略。下表解釋幾種故障恢復策略配置對用戶的影響。

空的故障恢復策略無*使用 EFS 沒有故障恢復代理刪除每個故障恢復代理
域等級中沒有故障恢復策略可以在本機使用 EFS 預定的故障恢復代理是本機電腦的管理員在第一個域控制器上刪除故障恢復策略
故障恢復策略以指定的故障恢復代理來配置。可以在本機使用 EFS 預定的故障恢復代理是域管理員網路環境的預定配置

　　因為 Windows 2000 安全子系統處理故障恢復策略的實施、複製和緩衝，用戶能夠在暫時脫機的系統上執行文件加密，如便攜式電腦（此過程類似於使用緩衝的憑據登入到域帳戶）。

　　故障恢復策略

　　「故障恢復策略」指電腦環境中的用戶在恢復加密的資料時所遵從的策略。故障恢復策略是一種公鑰策略類型。

　　安裝 Windows 2000 Server 時，如果已設置第一個域控制器時，將自動對域執行故障恢復策略。域管理員被頒發自簽名的證書，該證書將域管理員指派為故障恢復代理。

　　EFS 通過實施故障恢復策略要求來提供內置資料的故障恢復。要求故障恢復策略必須在用戶可以加密文件之前就位。故障恢復策略提供指派為故障恢復代理的人員。當管理員第一次登入到系統時，故障恢復策略將自動就位，讓管理員成為故障恢復代理。
配置恢復策略

　　預定故障恢復策略是為單獨的電腦在本機配置的。對於網路中的電腦，可以在域、組織單元或單獨電腦級別上配置故障恢復策略，並在所定義的影響範圍內將其應用到所有基於 Windows 2000 的電腦。故障恢復證書由證書頒發機構 (CA) 頒發，並用 Microsoft 管理控制台 (MMC) 中的證書來管理。

　　在網路上，故障恢復策略由域管理員或故障恢復代理設置，它控制策略影響範圍內所有電腦的控制恢復項。

　　由於安全子系統處理故障恢復策略的實施、複製和快取記憶體，因此用戶可以在暫時脫機的系統上（如便攜機）執行文件加密。（此工作行程類似於使用快取記憶體的憑據登入到域帳戶）。

　　故障恢復策略的類型

　　管理員可以定義三種策略中的一種：非故障恢復策略、空故障恢復策略，或者帶一個或多個故障恢復代理的故障恢復策略。

　　故障恢復代理策略。當管理員新增一個或多個故障恢復代理時，故障恢復代理策略生效。這些代理負責在其管理範圍內恢復任何加密的資料。這是最常用的故障恢復策略類型。

　　空故障恢復策略。當管理員刪除所有的故障恢復代理及其公鑰證書時，空故障恢復策略生效。空故障恢復策略意味著沒有故障恢復代理，而且用戶無*在故障恢復策略影響範圍內的電腦上加密資料。空故障恢復策略的結果是完全關閉 EFS。

　　非故障恢復策略。當管理員刪除組故障恢復策略時，非故障恢復策略生效。由於沒有組故障恢復策略，因此單個電腦上的預定本機策略被用於恢復資料。這意味著本機管理員控制其電腦上的資料恢復。

　　更改故障恢復策略

　　要更改域的預定故障恢復策略，請以管理員身份登入第一個域控制器。然後，必須通過"Active Directory 用戶和電腦"管理單元啟動"組策略"，並選擇"安全設置"、"公鑰策略"和"加密資料的故障恢復代理"。

　　故障恢復代理

　　故障恢復代理就是獲得授權解密由其他用戶加密的資料的管理員。例如，當僱員離開公司而其剩餘資料需要解密時故障恢復代理非常有用。在新增域的故障恢復代理之前，必須確保每個故障恢復代理都已經頒發 X509 第三版的證書。

　　故障恢復代理擁有特殊證書和相關私鑰，允許在故障恢復策略的影響範圍內恢復資料。如果你是故障恢復代理，請務必在 Microsoft 管理控制台 (MMC) 的證書中使用「匯出」命令，將故障恢復證書和相關私鑰備份到安全位置。備份完成後，應該使用 MMC 中的證書刪除故障恢復證書。然後，在需要為用戶執行故障恢復*作時，應該首先從 MMC 的證書中使用「匯入」命令還原故障恢復證書和相關私鑰。恢復資料之後，應該再次刪除故障恢復證書。不必重複匯出過程。
要對域新增故障恢復代理，請將它們的證書新增到現有的故障恢復策略中。可以通過「Active Directory 用戶和電腦」管理單元啟動「新增故障恢復代理」嚮導來完成。

　　使用證書

　　證書是一種幫你申請新的公鑰證書並管理現有證書的管理單元。證書由提供身份驗證、資料完整性以及在不安全的網路（如 Internet）間進行安全通訊的許多公鑰安全服務和應用程式所使用。管理員可以為自己或其他用戶、電腦或服務管理證書。用戶只管理自己的證書。有關打開管理單元或使用 Microsoft 管理控制台 (MMC) 的訊息，請參閱相關訊息。

附：Cipher 命令詳解

　　在 NTFS 捲上顯示或改變文件的加密。

cipher [/e| /d] [/s:dir] [/a][/i] [/f] [/q] [/h] [pathname [...]]

　　1．參數

　　無
　　不帶參數使用，將顯示當前資料夾和其包含文件的加密狀態。

　　/e
　　加密指定的資料夾。資料夾將被標記，以後新增到此資料夾中的文件將被加密。

　　/d
　　將指定的資料夾解密。資料夾將被標記，以後將會不加密新增到此資料夾的文件。

　　/s: dir
　　對在給定目錄及全部子目錄中的文件執行指定*作。

　　/a
　　對帶指定名稱的文件執行所選*作。如果沒有匹配的文件，該參數將被忽略。

　　/i
　　即使發生錯誤，系統仍然繼續執行指定的*作。預定情況下，遇到錯誤時 cipher 會停止。

　　/f
　　對所有指定的對象進行加密或解密。預定情況下，已加密或解密的文件被跳過。

　　/q
　　只報告最基本的訊息。

　　/h
　　顯示帶隱藏或系統內容的文件。預定情況下，這些文件是不加密或解密的。

　　pathname
　　指定樣式模板、文件或資料夾。

　　2．範例

　　要使用 cipher 命令加密資料夾 MonthlyReports 中的子資料夾 May，請鍵入下列命令：

cipher /e monthlyreports\may

　　要加密 MonthlyReports 資料夾中的 January 到 December 子資料夾以及 month 子資料夾中的 Manufacturing 子資料夾，請鍵入：

cipher /e /s:monthlyreports

　　如果只想加 May 子資料夾中的 Marketing.xls 文件，請鍵入：

cipher /e /a monthlyreports\may\marketing.xls

　　要加密 May 資料夾中的 Marketing.xls 文件、Maintenance.doc 文件以及 Manufacturing 子資料夾，請鍵入：

cipher /e /a monthlyreports\may\ma*

　　要確定 May 是否已加密，請鍵入：

cipher monthlyreports\may

　　要確定 May 資料夾中哪些文件已加密，請鍵入：

cipher monthlyreports\may\*

　　3．注意

　　加密或解密文件

　　要防止加密文件在修改時變為解密，建議你將文件和其存放的資料夾兩者一同加密。

　　多個資料夾名稱

　　可以使用多個資料夾名稱和通配符。

　　多個參數

　　每個參數之間至少有一個空格分隔。

2006-06-11, 11:09 PM	#4 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	Windows 2000文件加密系統 (EFS) 加密文件系統」(EFS) 提供一種核心文件加密技術，該技術用於在 NTFS文件系統捲上存儲已加密文件。一旦加密了文件或資料夾，你就可以像使用其他文件和資料夾一樣使用它們。對加密該文件的用戶，加密是透明的。這表明不必在使用前解密已加密的文件。你可以像平時那樣打開和更改文件。但是，試圖訪問已加密文件或資料夾的入侵者將被禁止這些作。如果入侵者試圖打開、複製、移動或重新命名已加密文件或資料夾，將收到拒絕訪問的消息。　　正如設置其他任何內容（如只讀、壓縮或隱藏）一樣，通過為資料夾和文件設置加密內容，可以對資料夾或文件進行加密和解密。如果加密一個資料夾，則在加密資料夾中創建的所有文件和子資料夾都自動加密。推薦在資料夾級別上加密。　　也可以用命令行功能 cipher 加密或解密文件或資料夾。有關 cipher 命令的詳細訊息，請參看本文附錄。　　使用 EFS 可以防止在未經授權的情況下獲取對物理存儲的敏感資料（例如，竊取便攜式電腦或 Zip 磁碟）的訪問的入侵者，以確保文檔安全。文件加密系統簡介　　文件加密系統 (EFS) 可以使用戶對文件進行加密和解密。使用 EFS 可以保證文件的安全，以防那些未經許可的入侵者訪問存儲的敏感資料（例如，通過盜竊筆記本電腦或外掛式硬碟驅動器來偷取資料）。　　用戶可以像使用普通文件和資料夾那樣使用已加密的文件和資料夾。加密過程是透明的。EFS 用戶如果是加密者本人，系統會在用戶訪問這些文件和資料夾時將其自動解密，但是不允許入侵者訪問任何已加密的文件或資料夾使用加密文件　　在使用加密文件和資料夾時，請記住下列訊息和建議。　　重要的 EFS 訊息只有 NTFS 捲上的文件和資料夾才能被加密。不能加密壓縮文件或資料夾。首先必須對文件和資料夾解壓縮，然後才能加密。在已壓縮的捲上，解壓縮所要加密的資料夾。只有對文件實施加密的用戶才能打開它。不能共享加密文件。EFS 不能用於發佈私人資料。如果將加密的文件複製或移動到非 NTFS 格式的捲上，該文件將會被解密。使用剪下和貼上去將文件移動到已加密的資料夾。如果使用拖放式作來移動文件，則不會將它們在新資料夾中自動加密。無加密系統文件。加密的資料夾或文件不能防止被刪除。任何擁有刪除權限的人均可以刪除加密的資料夾或文件。對於編輯文檔時某些程式創建的臨時文件，只要這些文件在 NTFS 捲上而且放在已加密資料夾中，則它們也會被加密。為此建議加密硬碟上的 Temp 資料夾。加密 Temp 資料夾可以確保在編輯過程中的文檔也處於保密狀態。如果在 Outlook 中創建一個新文檔或打開附件，該文件將在 Temp 資料夾中創建為加密文檔。如果選擇將加密的文檔儲存到 NTFS 卷的其他位置，則它在新位置仍被加密。在允許進行遠端加密的遠端電腦上可以加密或解密文件及資料夾。詳細訊息，請與域管理員聯繫。然而，如果通過網路打開已加密文件，通過此過程在網路上傳輸的資料並未加密。其他協議，例如 SSL/PCT 或者 IPSEC 必須用於通過線路加密資料。恢復策略是當你對第一個文件或資料夾進行加密時自動執行的，以便如果你丟失了文件加密證書和相關的私鑰，恢復代理可以給你解密文件。　　EFS 推薦如果你將大多數文檔儲存在「我的文檔」資料夾中，則將對該資料夾加密。這將確保在預定情況下加密個人文檔。加密 Temp 資料夾，使程式創建的所有臨時文件自動加密。加密資料夾而不是加密單獨的文件，以便如果程式在編輯期間創建了臨時文件，這些臨時文件也會加密。從 Microsoft 管理控制台 (MMC) 的「證書」，使用「匯出」命令，可以在軟碟上製作文件加密證書和相關私鑰的備份副本。將軟碟保留在安全位置。那麼，如果你丟失了文件加密證書（由於磁碟故障或任何其他原因），則可以從 MMC 的證書中使用「匯入」命令從軟碟還原證書和相關的私鑰，並可以打開加密的文件。資料加密和解密　　文件加密系統 (EFS) 可以使用戶在本機電腦上安全地存儲資料。EFS 通過在選定的 NTFS 文件和資料夾中加密資料來達到這一目的。　　由於 EFS 與文件系統整合在一起，所以它易於管理、難以被攻擊而且對用戶完全透明。這是一種保護易於盜竊的電腦（便攜機）上的資料的典型方。　　FAT 卷中的文件和資料夾不能被加密和解密。而且，EFS 一般用於在本機電腦上安全地存儲資料。例如，它不支持加密文件的共享。　　EFS 加密密鑰　　如果用戶對指定的文件進行加密，那麼對用戶來講實際的資料加密和解密過程是完全透明的。用戶不需要瞭解這個過程。但對管理員來說，以下關於資料如何被加密和解密的說明是十分有用的。　　以下說明只適用於文件，而不適用於資料夾。資料夾本身不會被加密，而是資料夾中所包含文件的內容被加密。和資料夾一樣，子資料夾不能被加密，但是它們都帶有明顯標識指出其中包含加密的文件資料。　　文件的加密過程如下：　　每個文件都有一個唯一的文件加密密鑰，用於以後對文件資料進行解密。　　文件的加密密鑰在文件之中加密的--通過與用戶的 EFS 證書對應的公鑰進行保護。　　文件加密密鑰同時受到授權恢復代理的公鑰的保護。　　文件的解密過程如下：　　要解密一個文件，首先要對文件加密密鑰進行解密。當用戶的私鑰與這個公鑰匹配時，文件加密密鑰就被解密。　　用戶並不是唯一能對文件加密密鑰進行解密的人。恢復代理的私鑰同樣可以對文件加密密鑰進行解密。　　當文件加密密鑰被解密後，可以被用戶或恢復代理用於文件資料的解密。　　私鑰儲存在受保護的密鑰存儲區，而不是在安全帳戶管理器 (SAM) 或單獨的目錄中。　　在遠端服務器上存儲加密文件　　如 Windows 2000 電腦環境中的用戶想在遠端服務器上存儲加密文件，請注意以下訊息：　　Windows 2000 支持在遠端服務器上存儲加密文件。然而，這一功能並不支持多個用戶對加密文件的遠端共享。　　用戶永遠不能在物理存放位置的安全性不好的服務器上存儲高敏感度的資料。　　加密的資料在網路上傳輸時是不加密的，只有當它存儲在磁碟上時才是加密的。當系統包括網際協議的安全機制 (IPSec) 時例外。IPSec 對傳輸在 TCP/IP 網路上的資料進行加密。　　加密的文件不能從 Macintosh 客戶端訪問。　　用戶可以對遠端服務器上的文件加密之前，管理員必須指定遠端服務器為信任委派。允許在該服務器上擁有這些文件的所有用戶對文件進行加密。加密文件系統和資料恢復　　作為系統的整個安全策略的一部分，"加密文件系統"(EFS) 的資料故障恢復是可用的。例如，如果你丟失了文件加密證書和相關的私鑰（由於磁碟錯誤或是其他原因），還是可以通過指定的故障恢復代理來恢復資料。或者，在商業環境中，單位能夠在僱員離開後恢復僱員加密的資料。　　恢復策略　　EFS 通過實施故障恢復策略要求來提供內置資料的故障恢復。要求故障恢復策略必須在用戶可以加密文件之前就位。故障恢復策略提供人員，作為被指派的故障恢復代理。當管理員第一次登入到系統上時，預定的故障恢復策略將會自動地新增進去，以便為管理員提供故障恢復代理。　　故障恢復代理擁有特殊證書和相關私鑰，該私鑰允許在故障恢復策略的影響範圍內恢復資料。如果是故障恢復代理，請務必在 Microsoft 管理控制台 (MMC) 的證書中使用「匯出」命令，將故障恢復證書和相關私鑰備份到安全位置。在備份之後，應使用 MMC 中的「證書」管理單元從恢復代理的個人存儲區（而不是從恢復策略）刪除恢復證書。然後，當需要為用戶執行故障恢復作時，應該首先從 MMC 的「證書」管理單元中使用「匯入」命令將故障恢復證書和相關的私鑰還原到故障恢復代理的個人存儲區。在資料恢復之後，應從恢復代理的個人存儲區中再次刪除恢復證書。不必重複匯出過程。從電腦中刪除故障恢復證書並將其儲存在安全位置是用於保護敏感資料的附加安全措施。預定故障恢復策略在本機配置為用於單機。對於網路中的電腦，可以在域、部門或單個電腦一級配置故障恢復策略，並在所定義的影響範圍內，將其應用於所有基於 Windows 2000 的電腦。恢復證書由證書頒發機構 (CA) 發佈，並使用 MMC 中的證書來管理。　　在網路環境中，對於故障恢復策略影響範圍中的所有電腦用戶，域管理員控制如何執行 EFS。在預定的 Windows 2000 安裝中，當安裝第一個域控制器時，域管理員是指定的域故障恢復代理。域管理員配置故障恢復策略的方將決定如何為本機機器上的用戶執行 EFS。域管理員登入到第一域控制器以更改域的故障恢復策略。下表解釋幾種故障恢復策略配置對用戶的影響。空的故障恢復策略無使用 EFS 沒有故障恢復代理刪除每個故障恢復代理域等級中沒有故障恢復策略可以在本機使用 EFS 預定的故障恢復代理是本機電腦的管理員在第一個域控制器上刪除故障恢復策略故障恢復策略以指定的故障恢復代理來配置。可以在本機使用 EFS 預定的故障恢復代理是域管理員網路環境的預定配置　　因為 Windows 2000 安全子系統處理故障恢復策略的實施、複製和緩衝，用戶能夠在暫時脫機的系統上執行文件加密，如便攜式電腦（此過程類似於使用緩衝的憑據登入到域帳戶）。　　故障恢復策略　　「故障恢復策略」指電腦環境中的用戶在恢復加密的資料時所遵從的策略。故障恢復策略是一種公鑰策略類型。　　安裝 Windows 2000 Server 時，如果已設置第一個域控制器時，將自動對域執行故障恢復策略。域管理員被頒發自簽名的證書，該證書將域管理員指派為故障恢復代理。　　EFS 通過實施故障恢復策略要求來提供內置資料的故障恢復。要求故障恢復策略必須在用戶可以加密文件之前就位。故障恢復策略提供指派為故障恢復代理的人員。當管理員第一次登入到系統時，故障恢復策略將自動就位，讓管理員成為故障恢復代理。配置恢復策略　　預定故障恢復策略是為單獨的電腦在本機配置的。對於網路中的電腦，可以在域、組織單元或單獨電腦級別上配置故障恢復策略，並在所定義的影響範圍內將其應用到所有基於 Windows 2000 的電腦。故障恢復證書由證書頒發機構 (CA) 頒發，並用 Microsoft 管理控制台 (MMC) 中的證書來管理。　　在網路上，故障恢復策略由域管理員或故障恢復代理設置，它控制策略影響範圍內所有電腦的控制恢復項。　　由於安全子系統處理故障恢復策略的實施、複製和快取記憶體，因此用戶可以在暫時脫機的系統上（如便攜機）執行文件加密。（此工作行程類似於使用快取記憶體的憑據登入到域帳戶）。　　故障恢復策略的類型　　管理員可以定義三種策略中的一種：非故障恢復策略、空故障恢復策略，或者帶一個或多個故障恢復代理的故障恢復策略。　　故障恢復代理策略。當管理員新增一個或多個故障恢復代理時，故障恢復代理策略生效。這些代理負責在其管理範圍內恢復任何加密的資料。這是最常用的故障恢復策略類型。　　空故障恢復策略。當管理員刪除所有的故障恢復代理及其公鑰證書時，空故障恢復策略生效。空故障恢復策略意味著沒有故障恢復代理，而且用戶無在故障恢復策略影響範圍內的電腦上加密資料。空故障恢復策略的結果是完全關閉 EFS。　　非故障恢復策略。當管理員刪除組故障恢復策略時，非故障恢復策略生效。由於沒有組故障恢復策略，因此單個電腦上的預定本機策略被用於恢復資料。這意味著本機管理員控制其電腦上的資料恢復。　　更改故障恢復策略　　要更改域的預定故障恢復策略，請以管理員身份登入第一個域控制器。然後，必須通過"Active Directory 用戶和電腦"管理單元啟動"組策略"，並選擇"安全設置"、"公鑰策略"和"加密資料的故障恢復代理"。　　故障恢復代理　　故障恢復代理就是獲得授權解密由其他用戶加密的資料的管理員。例如，當僱員離開公司而其剩餘資料需要解密時故障恢復代理非常有用。在新增域的故障恢復代理之前，必須確保每個故障恢復代理都已經頒發 X509 第三版的證書。　　故障恢復代理擁有特殊證書和相關私鑰，允許在故障恢復策略的影響範圍內恢復資料。如果你是故障恢復代理，請務必在 Microsoft 管理控制台 (MMC) 的證書中使用「匯出」命令，將故障恢復證書和相關私鑰備份到安全位置。備份完成後，應該使用 MMC 中的證書刪除故障恢復證書。然後，在需要為用戶執行故障恢復作時，應該首先從 MMC 的證書中使用「匯入」命令還原故障恢復證書和相關私鑰。恢復資料之後，應該再次刪除故障恢復證書。不必重複匯出過程。要對域新增故障恢復代理，請將它們的證書新增到現有的故障恢復策略中。可以通過「Active Directory 用戶和電腦」管理單元啟動「新增故障恢復代理」嚮導來完成。　　使用證書　　證書是一種幫你申請新的公鑰證書並管理現有證書的管理單元。證書由提供身份驗證、資料完整性以及在不安全的網路（如 Internet）間進行安全通訊的許多公鑰安全服務和應用程式所使用。管理員可以為自己或其他用戶、電腦或服務管理證書。用戶只管理自己的證書。有關打開管理單元或使用 Microsoft 管理控制台 (MMC) 的訊息，請參閱相關訊息。附：Cipher 命令詳解　　在 NTFS 捲上顯示或改變文件的加密。 cipher [/e\| /d] [/s:dir] [/a][/i] [/f] [/q] [/h] [pathname [...]] 　　1．參數　　無　　不帶參數使用，將顯示當前資料夾和其包含文件的加密狀態。　　/e 　　加密指定的資料夾。資料夾將被標記，以後新增到此資料夾中的文件將被加密。　　/d 　　將指定的資料夾解密。資料夾將被標記，以後將會不加密新增到此資料夾的文件。　　/s: dir 　　對在給定目錄及全部子目錄中的文件執行指定作。　　/a 　　對帶指定名稱的文件執行所選作。如果沒有匹配的文件，該參數將被忽略。　　/i 　　即使發生錯誤，系統仍然繼續執行指定的作。預定情況下，遇到錯誤時 cipher 會停止。　　/f 　　對所有指定的對象進行加密或解密。預定情況下，已加密或解密的文件被跳過。　　/q 　　只報告最基本的訊息。　　/h 　　顯示帶隱藏或系統內容的文件。預定情況下，這些文件是不加密或解密的。　　pathname 　　指定樣式模板、文件或資料夾。　　2．範例　　要使用 cipher 命令加密資料夾 MonthlyReports 中的子資料夾 May，請鍵入下列命令： cipher /e monthlyreports\may 　　要加密 MonthlyReports 資料夾中的 January 到 December 子資料夾以及 month 子資料夾中的 Manufacturing 子資料夾，請鍵入： cipher /e /s:monthlyreports 　　如果只想加 May 子資料夾中的 Marketing.xls 文件，請鍵入： cipher /e /a monthlyreports\may\marketing.xls 　　要加密 May 資料夾中的 Marketing.xls 文件、Maintenance.doc 文件以及 Manufacturing 子資料夾，請鍵入： cipher /e /a monthlyreports\may\ma* 　　要確定 May 是否已加密，請鍵入： cipher monthlyreports\may 　　要確定 May 資料夾中哪些文件已加密，請鍵入： cipher monthlyreports\may\* 　　3．注意　　加密或解密文件　　要防止加密文件在修改時變為解密，建議你將文件和其存放的資料夾兩者一同加密。　　多個資料夾名稱　　可以使用多個資料夾名稱和通配符。　　多個參數　　每個參數之間至少有一個空格分隔。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次