史萊姆論壇 - 查看單個文章

psac · 2004-05-22, 03:23 PM

關於EFS加密

鑒於最近詢問有關EFS加密問題的朋友較多，所以我從微軟知識庫中選了幾篇資料以供大家參考。

Microsoft Knowledge Base Article - 230520
HOW TO：
在 Windows 2000 中使用 EFS 加密資料
這篇文章中的資訊適用於:

Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 專業版
Microsoft Windows 2000 Server

本文的發佈號曾為 CHS230520
本工作的內容
概要

加密資料
使用 Cipher.exe 工具
概要
本文介紹在 Windows 2000 中如何使用加密文件系統 (EFS) 加密資料。

加密文件系統 (EFS) 是 Microsoft 用來在使用 NTFS 文件系統的捲上直接加密資料的文件加密技術。您可以像使用非加密資料那樣使用加密的資料。另外，您可以為加密的資料配置權限，以防止未經授權的使用。沒有正確權限的人若試突開啟、複製、移動或重命名加密的文件或資料夾，就會收到一條「訪問遭拒」錯誤消息。

加密資料
右鍵按下開始按鈕，按下瀏覽，然後瀏覽到想要加密的文件或資料夾。
右鍵按下所需的文件或資料夾，然後按下內容。

按下進階，然後按下選加密內容以便保護資料複選框，然後按下確定。
對於要加密的每個文件或資料夾重複執行步驟 2-3。

備註：
如果您加密一個資料夾，則該檔案夾中包含的所有文件和資料夾都將得到加密。

使用 Cipher.exe 工具

您可以使用 Cipher.exe 工具在 MS-DOS 命令提示字元下顯示或加密資料。如想使用 Cipher.exe 工具加密一個文件，請在 MS-DOS 命令提示字元下鍵入類似於下行的指令：
cipher [/E | /D] [/S:dir] [/i] [/F] [/Q] [dirname [...]

下表中定義了每一個指令行參數開關。如想在 MS-DOS 命令提示字元下檢視此資訊，請在 MS-DOS 命令提示字元下鍵入 cipher /?。

參數開關說明

/E 加密指定的目錄。將標記這些目錄，這樣以後增加的文件將被加密。

/D 解密指定的目錄。將標記這些目錄，這樣以後增加的文件將不加密。
/S 對給定目錄中的目錄和所有子目錄執行指定的操作。

/I 即使在發生錯誤後也繼續執行指定的操作。預設情況下，CIPHER 在遇到錯誤時會停下。

/F 強制對所有指定的目錄執行加密操作，甚至包括那些已加密的目錄。已加密的目錄在預設情況下將被跳過。

/Q 只報告最重要的資訊。
dirname 指定一種模式，或指定目錄。

在不使用參數時，CIPHER 將顯示當前目錄及其包含的所有文件的加密狀態。您可以使用多個目錄名和萬用字元。多個參數之間必須留有空格。

備註：EFS 對於使用了 System 內容的文件不起作用。

如果您加密 Windows 系統檔案，則您的電腦可能會變得無法使用。

另外要注意，EFS 不能用於壓縮的文件或資料夾。

Cipher.exe 這一指令行實用工具還有其他一些參數開關可用，如想檢視它們，請使用 cipher /? 指令。

Microsoft Knowledge Base Article - 241201
HOW TO：制作備份加密文件系統私鑰

這篇文章中的資訊適用於:

Microsoft Windows XP Professional
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
本文的發佈號曾為 CHS241201
本工作的內容
概要

從故障恢復代理匯出私鑰
疑難排除
參考
概要
本文介紹如何制作備份加密文件系統 (EFS) 私鑰，以便可以在電腦上的資料副本丟失時恢復加密的資料。

在使用 EFS 加密電腦上的文件時，EFS 公鑰用來加密文件，而 EFS 私鑰用來解密這些文件。

如果在一個文件加密後您丟失了私鑰，則將無法恢復此文件。

警告：
在將私鑰匯出到磁牒後，須將該磁牒儲存在一個安全地方。如果有人能獲取您的 EFS 私鑰，則他或她就能夠訪問到您的加密資料。

從故障恢復代理匯出私鑰
使用本機管理員帳戶登入到電腦。

備註：必須使用內裝的管理員帳戶，而不只是使用一個普通的具有管理員權限的帳戶。

按下開始，按下執行，鍵入 secpol.msc，然後按下確定。
按下公鑰原則旁邊的加號 (+) 以展開此項。

按下經過加密的資料恢復代理類別。

在右邊的視窗中將顯示一個頒發給「管理員」的證書，並說明它是用來進行「文件恢復」的。

右鍵按下此項，然後按下「所有工作」>「匯出」。

按下下一步。
確保選項了「是，匯出私鑰」選項，然後按下下一步。

在匯出文件格式對話視窗中，如果想刪除與「管理員」帳戶關聯的私鑰，則請按下選「如果匯出成功，刪除密鑰」複選框。

按下下一步。

鍵入並驗證一個密碼以加強匯出密鑰的安全，然後按下下一步。

系統會提示您將證書和私鑰儲存到一個文件中。

應將此文件制作備份到一個磁牒或可移動媒體設備中，然後將此制作備份存放在一個可在物理上確保制作備份安全的地方。鍵入適當的檔案名，然後按下下一步。

當正在完成證書匯出嚮導對話視窗出現時，請驗證您選項的選項，然後按下完成。

當「匯出成功」對話視窗出現時，按下確定。

必須重新啟動電腦以完成私鑰的刪除程序。

疑難排除

如果您的電腦是 Windows 域的一個成員，則域管理員可能會將某些用戶指定為 EFS 恢復代理，他們即使在某一特定用戶的私鑰丟失時也可以恢複數據。

如果您的電腦未加入 Windows 域（例如，是一台獨立的電腦，或者是關於 Microsoft Windows NT 4.0 的域結構中的一台電腦），那麼本機管理員帳戶就是您的指定 EFS 恢復代理。

由於這一點，只有在您以前制作備份了本機管理員私鑰的情況下，才可以恢復經過加密的資料。

參考
有關其他資訊，請按下下列文章編號，檢視相應的 Microsoft 知識庫文章：
CHS223316 加密文件系統的最佳做法

230520 How to Encrypt Data Using EFS in Windows 2000（在 Windows 2000 中如何使用 EFS 加密資料）

242296 How to Restore an EFS Private Key for Encrypted Data Recovery（還原用於加密資料恢復的加密文件系統私鑰）

若要下載「Encrypting File System for Windows 2000」（在 Windows 2000 中加密文件系統）白皮書，請訪問下面的 Microsoft Web 站點：
http://www.microsoft.com/windows2000...ty/encrypt.asp

Microsoft Knowledge Base Article - 307877
HOW TO：在 Windows XP 中加密文件
這篇文章中的資訊適用於:
Microsoft Windows XP Professional
本文的發佈號曾為 CHS307877
本工作的內容
概要

如何加密文件
疑難排除
參考
概要
本文介紹了如何使用 Windows XP 的加密文件系統（EFS）功能將文件以加密格式存儲在硬碟上。

加密是將資料轉換為其他人無法讀取的格式的程序。如果資料存儲在硬碟上，您可以使用 EFS 自動加密資料。備註：管理員可以恢復由另一用戶加密的資料。

Microsoft Windows XP Home Edition 沒有 EFS 功能。

如何加密文件
您只能對格式化為 NTFS 文件系統的捲上的文件進行加密。要加密文件，請按照以下步驟操作：

按下開始，指向所有程式，指向附件，然後按下 Windows 檔案總管。
找到您希望加密的文件，右鍵按下該檔案，然後按下內容。

在一般選擇項上，按下進階。

在「壓縮或加密內容」下，選「加密內容以便保護資料」複選框，然後按下確定。
按下確定。如果需要加密的文件位於未加密的資料夾中，則會出現一個加密警告對話視窗。請使用以下步驟之一：
如果您只希望對文件加密，按下「只加密文件」，然後按下驗證。
如果您希望對文件和該檔案所在的資料夾加密，按下「加密文件及其父資料夾」，然後按下確定。
如果另一用戶試突開啟已加密的文件，此嘗試將失敗。例如，如果另一用戶試突開啟一個已加密的 Microsoft Word 我的文件，則會出現類似的下列消息：

Word 無法開啟此我的文件：用戶名無訪問權限
（驅動器:\檔案名.doc）
如果另一用戶試突將加密的文件複製或移動到硬碟上的另一位置，將出現下列消息：

複製文件或資料夾時出錯
無法複製檔案名：訪問被拒絕。

請確定磁牒未滿或未被寫保護而且文件未被使用。

疑難排除
您無法對使用 FAT 文件系統的捲上的文件或資料夾進行加密。

您必須將您要加密的文件或資料夾存儲在 NTFS 捲上。

您無法將已加密的文件或資料夾存儲在未受信委派的遠端伺服器上。

要解決此問題，請將遠端伺服器配置為受信委派。

為此：
以管理員權限帳戶登入到域控制器。
啟動 Active Directory 用戶和電腦管理單元。
在左視窗中，擴展域容器。找到您的目標伺服器，右鍵按下該伺服器，然後按下內容。

在一般選擇項上，選「信任此電腦作為委派」複選框（如果此複選框尚未被選）。出現的「Active Directory」消息時，按下確定。

按下確定，然後退出 Active Directory 用戶和電腦。

您無法從 Macintosh 客戶電腦訪問已加密的文件。

您無法在您所新增的加密資料夾中開啟其他用戶存儲的我的文件。

如果另一用戶在已加密的資料夾中新增我的文件，該我的文件（預設情況下）被加密為僅有此用戶有權訪問該我的文件。因此，您所加密的資料夾中可能包含您無法開啟的文件。

如果您需要訪問這些文件，請求將您的用戶帳戶增加到共享加密文件的用戶帳戶列表中。

參考
有關其他資訊，按下以下文章編號，檢視 Microsoft 知識庫中的相應文章：
CHS223316加密文件系統的最佳做法

Microsoft Knowledge Base Article - 223316
Best Practices for Encrypting File System（加密文件系統的最佳做法）
這篇文章中的資訊適用於:
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Datacenter Server
本文的發佈號曾為 CHS223316
概要
Windows 包括對使用 NTFS 文件系統的捲上的資料直接加密的功能，以便其他用戶無法使用該資料。

如果在對象的"內容"對話視窗中設定了內容，則可以對文件和資料夾進行加密。

由於加密/解密程序對用戶是透明的，因此，對於要充分利用文件加密的組織來說，嚴格遵循文件加密準則是非常重要的。

更多資訊

以下是標準做法的列表：

加密所有用戶的"My Documents"資料夾 (User_profile\My Documents)。這將確保預設情況下加密個人資料夾（其中存儲了大多數 Office 我的文件）。

告知用戶一定不要加密單個文件，而是只加密資料夾。程序以各種方式對文件進行處理。始終在資料夾級別上加密文件將確保文件不會被意外地解密。

與恢復證書關聯的私鑰是極其敏感的。它們應該在物理上安全的電腦上產生，或者應該將其證書完全匯出到受加強密碼保護的 PFX 文件中，並存儲在安全軟碟上。

應該將恢復代理證書分配給不用於任何其他用途的特殊恢復代理帳戶。

在更改恢復代理（應定期進行）時，不要破壞恢復證書或私鑰。

保留所有這些證書或私鑰，直到已經用它們加密的所有文件都得到更新為止。

根據組織單元的大小，為每個組織單元 (OU) 指定兩個或多個恢復代理帳戶。

指定兩台或多台用於恢復的電腦，為每個指定的恢復代理帳戶指定一台電腦，並賦予相應管理員使用恢復代理帳戶的權限。

提供兩個恢復代理帳戶是為了提供文件恢復冗余。

在兩台電腦上儲存這些密鑰可以提供進一步的冗余，以支持丟失資料的恢復。

執行恢復代理存檔程序，以確保可以使用過時的恢復密鑰恢復加密的文件。

必須匯出恢復證書和私鑰，並以安全的受控方式存儲它們。

理想情況下，就像所有安全的資料一樣，應該將檔案存儲在受控制的訪問電子倉庫中，而且應該具有以下兩個檔案：一個主檔案和一個制作備份檔案。

主檔案應儲存在現場，而制作備份檔案應位於現場之外的安全位置。

避免在您的列印伺服器結構中使用列印假離線檔案，或者確保在加密的資料夾中產生列印假離線檔案。

每次用戶加密和解密文件時，"加密文件系統"都會佔用一些 CPU 系統預先配置。在許多客戶端將使用 EFS 的伺服器上明智地計劃伺服器。

有關"加密文件系統"(EFS) 的其他資訊，請參閱以下 Microsoft Web 站點上的"Encrypting File System for Windows 2000"（Windows 2000 的加密文件系統）：

http://www.microsoft.com/windows ... ecurity/encrypt.asp

另請參閱"Data Protection and Recovery in Windows XP"（Windows XP 中的資料保護和恢復），它包括與 Windows 2000 有關的資訊：

http://www.microsoft.com/WINDOWSXP/p...ry/default.asp

我使用的不是XP系統，但是我用朋友的機器試驗了一下，不加入域是完全可行的。
現在我來介紹一下方法：

一開始他的電腦上也找不到那張證書，為何呢？
是因為Windows XP沒有預設的恢復代理，因此我們加密資料之前最好能先指定一個預設的恢復代理（建議設定Administrator為恢復代理），如果你想讓Administrator成為恢復代理，首先就要用Administrator帳戶登錄系統，在歡迎螢幕上連續按Ctrl＋Alt＋Del兩次，開啟登入對話視窗，在用戶名處輸入Administrator，密碼框中輸入你安裝系統時設定的Administrator密碼，然後登入。

首先在硬碟上一個方便的地方建立一個臨時的文件，檔案類型不限。

這裡我以C碟根目錄下的一個try.txt文本文件文件為例，建立好後在執行中輸入「CMD」然後Enter鍵，開啟指令提示行視窗，在命令提示字元後輸入「cipher /r:c:\try.txt」，Enter鍵後系統還會詢問你是否用密碼把證書保護起來，你可以按照你的情況來決定，如果不需要密碼保護就直接按Enter鍵。

完成後我們能在C碟的根目錄下找到try.txt.cer和try.txt.pfx兩個文件。

之後開始設定恢復代理：執行「secpol.msc」，「公鑰原則－正在加密文件系統」表單下，在右側視窗的空白處點擊滑鼠右鍵，並選項「增加資料恢復代理」，然後會出現「增加故障恢復代理嚮導」按照這個嚮導開啟try.txt.cer，於是我們已經把本機Administrator設定為故障恢復代理，於是我們得到了證書。

要注意的是以後匯出證書也輸入「secpol.msc」，在「公鑰原則－正在加密文件系統」選項右側視窗的那張證書匯出，而不要用「certmgr.msc」。
我朋友的電腦上沒有抓圖工具，那張圖我就不貼出來了。

你用我的方法試一定會成功的。

應該是這樣的，不過和根SID無多大關係，你可以參看我們早先討論過的那張貼子，那裡面我講EFS加密原理的時候講得很清楚（有關於兩份FEK拷貝）：
http://forums.zdnet.com.cn/cgi-bin/topic.cgi?

2004-05-22, 03:23 PM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	關於EFS加密關於EFS加密鑒於最近詢問有關EFS加密問題的朋友較多，所以我從微軟知識庫中選了幾篇資料以供大家參考。 Microsoft Knowledge Base Article - 230520 HOW TO：在 Windows 2000 中使用 EFS 加密資料這篇文章中的資訊適用於: Microsoft Windows 2000 Advanced Server Microsoft Windows 2000 專業版 Microsoft Windows 2000 Server 本文的發佈號曾為 CHS230520 本工作的內容概要加密資料使用 Cipher.exe 工具概要本文介紹在 Windows 2000 中如何使用加密文件系統 (EFS) 加密資料。加密文件系統 (EFS) 是 Microsoft 用來在使用 NTFS 文件系統的捲上直接加密資料的文件加密技術。您可以像使用非加密資料那樣使用加密的資料。另外，您可以為加密的資料配置權限，以防止未經授權的使用。沒有正確權限的人若試突開啟、複製、移動或重命名加密的文件或資料夾，就會收到一條「訪問遭拒」錯誤消息。加密資料右鍵按下開始按鈕，按下瀏覽，然後瀏覽到想要加密的文件或資料夾。右鍵按下所需的文件或資料夾，然後按下內容。按下進階，然後按下選加密內容以便保護資料複選框，然後按下確定。對於要加密的每個文件或資料夾重複執行步驟 2-3。備註：如果您加密一個資料夾，則該檔案夾中包含的所有文件和資料夾都將得到加密。使用 Cipher.exe 工具您可以使用 Cipher.exe 工具在 MS-DOS 命令提示字元下顯示或加密資料。如想使用 Cipher.exe 工具加密一個文件，請在 MS-DOS 命令提示字元下鍵入類似於下行的指令： cipher [/E \| /D] [/S:dir] [/i] [/F] [/Q] [dirname [...] 下表中定義了每一個指令行參數開關。如想在 MS-DOS 命令提示字元下檢視此資訊，請在 MS-DOS 命令提示字元下鍵入 cipher /?。參數開關說明 /E 加密指定的目錄。將標記這些目錄，這樣以後增加的文件將被加密。 /D 解密指定的目錄。將標記這些目錄，這樣以後增加的文件將不加密。 /S 對給定目錄中的目錄和所有子目錄執行指定的操作。 /I 即使在發生錯誤後也繼續執行指定的操作。預設情況下，CIPHER 在遇到錯誤時會停下。 /F 強制對所有指定的目錄執行加密操作，甚至包括那些已加密的目錄。已加密的目錄在預設情況下將被跳過。 /Q 只報告最重要的資訊。 dirname 指定一種模式，或指定目錄。在不使用參數時，CIPHER 將顯示當前目錄及其包含的所有文件的加密狀態。您可以使用多個目錄名和萬用字元。多個參數之間必須留有空格。備註：EFS 對於使用了 System 內容的文件不起作用。如果您加密 Windows 系統檔案，則您的電腦可能會變得無法使用。另外要注意，EFS 不能用於壓縮的文件或資料夾。 Cipher.exe 這一指令行實用工具還有其他一些參數開關可用，如想檢視它們，請使用 cipher /? 指令。 Microsoft Knowledge Base Article - 241201 HOW TO：制作備份加密文件系統私鑰這篇文章中的資訊適用於: Microsoft Windows XP Professional Microsoft Windows 2000 Advanced Server Microsoft Windows 2000 Professional Microsoft Windows 2000 Server 本文的發佈號曾為 CHS241201 本工作的內容概要從故障恢復代理匯出私鑰疑難排除參考概要本文介紹如何制作備份加密文件系統 (EFS) 私鑰，以便可以在電腦上的資料副本丟失時恢復加密的資料。在使用 EFS 加密電腦上的文件時，EFS 公鑰用來加密文件，而 EFS 私鑰用來解密這些文件。如果在一個文件加密後您丟失了私鑰，則將無法恢復此文件。警告：在將私鑰匯出到磁牒後，須將該磁牒儲存在一個安全地方。如果有人能獲取您的 EFS 私鑰，則他或她就能夠訪問到您的加密資料。從故障恢復代理匯出私鑰使用本機管理員帳戶登入到電腦。備註：必須使用內裝的管理員帳戶，而不只是使用一個普通的具有管理員權限的帳戶。按下開始，按下執行，鍵入 secpol.msc，然後按下確定。按下公鑰原則旁邊的加號 (+) 以展開此項。按下經過加密的資料恢復代理類別。在右邊的視窗中將顯示一個頒發給「管理員」的證書，並說明它是用來進行「文件恢復」的。右鍵按下此項，然後按下「所有工作」>「匯出」。按下下一步。確保選項了「是，匯出私鑰」選項，然後按下下一步。在匯出文件格式對話視窗中，如果想刪除與「管理員」帳戶關聯的私鑰，則請按下選「如果匯出成功，刪除密鑰」複選框。按下下一步。鍵入並驗證一個密碼以加強匯出密鑰的安全，然後按下下一步。系統會提示您將證書和私鑰儲存到一個文件中。應將此文件制作備份到一個磁牒或可移動媒體設備中，然後將此制作備份存放在一個可在物理上確保制作備份安全的地方。鍵入適當的檔案名，然後按下下一步。當正在完成證書匯出嚮導對話視窗出現時，請驗證您選項的選項，然後按下完成。當「匯出成功」對話視窗出現時，按下確定。必須重新啟動電腦以完成私鑰的刪除程序。疑難排除如果您的電腦是 Windows 域的一個成員，則域管理員可能會將某些用戶指定為 EFS 恢復代理，他們即使在某一特定用戶的私鑰丟失時也可以恢複數據。如果您的電腦未加入 Windows 域（例如，是一台獨立的電腦，或者是關於 Microsoft Windows NT 4.0 的域結構中的一台電腦），那麼本機管理員帳戶就是您的指定 EFS 恢復代理。由於這一點，只有在您以前制作備份了本機管理員私鑰的情況下，才可以恢復經過加密的資料。參考有關其他資訊，請按下下列文章編號，檢視相應的 Microsoft 知識庫文章： CHS223316 加密文件系統的最佳做法 230520 How to Encrypt Data Using EFS in Windows 2000（在 Windows 2000 中如何使用 EFS 加密資料） 242296 How to Restore an EFS Private Key for Encrypted Data Recovery（還原用於加密資料恢復的加密文件系統私鑰）若要下載「Encrypting File System for Windows 2000」（在 Windows 2000 中加密文件系統）白皮書，請訪問下面的 Microsoft Web 站點： http://www.microsoft.com/windows2000...ty/encrypt.asp Microsoft Knowledge Base Article - 307877 HOW TO：在 Windows XP 中加密文件這篇文章中的資訊適用於: Microsoft Windows XP Professional 本文的發佈號曾為 CHS307877 本工作的內容概要如何加密文件疑難排除參考概要本文介紹了如何使用 Windows XP 的加密文件系統（EFS）功能將文件以加密格式存儲在硬碟上。加密是將資料轉換為其他人無法讀取的格式的程序。如果資料存儲在硬碟上，您可以使用 EFS 自動加密資料。備註：管理員可以恢復由另一用戶加密的資料。 Microsoft Windows XP Home Edition 沒有 EFS 功能。如何加密文件您只能對格式化為 NTFS 文件系統的捲上的文件進行加密。要加密文件，請按照以下步驟操作：按下開始，指向所有程式，指向附件，然後按下 Windows 檔案總管。找到您希望加密的文件，右鍵按下該檔案，然後按下內容。在一般選擇項上，按下進階。在「壓縮或加密內容」下，選「加密內容以便保護資料」複選框，然後按下確定。按下確定。如果需要加密的文件位於未加密的資料夾中，則會出現一個加密警告對話視窗。請使用以下步驟之一：如果您只希望對文件加密，按下「只加密文件」，然後按下驗證。如果您希望對文件和該檔案所在的資料夾加密，按下「加密文件及其父資料夾」，然後按下確定。如果另一用戶試突開啟已加密的文件，此嘗試將失敗。例如，如果另一用戶試突開啟一個已加密的 Microsoft Word 我的文件，則會出現類似的下列消息： Word 無法開啟此我的文件：用戶名無訪問權限（驅動器:\檔案名.doc）如果另一用戶試突將加密的文件複製或移動到硬碟上的另一位置，將出現下列消息：複製文件或資料夾時出錯無法複製檔案名：訪問被拒絕。請確定磁牒未滿或未被寫保護而且文件未被使用。疑難排除您無法對使用 FAT 文件系統的捲上的文件或資料夾進行加密。您必須將您要加密的文件或資料夾存儲在 NTFS 捲上。您無法將已加密的文件或資料夾存儲在未受信委派的遠端伺服器上。要解決此問題，請將遠端伺服器配置為受信委派。為此：以管理員權限帳戶登入到域控制器。啟動 Active Directory 用戶和電腦管理單元。在左視窗中，擴展域容器。找到您的目標伺服器，右鍵按下該伺服器，然後按下內容。在一般選擇項上，選「信任此電腦作為委派」複選框（如果此複選框尚未被選）。出現的「Active Directory」消息時，按下確定。按下確定，然後退出 Active Directory 用戶和電腦。您無法從 Macintosh 客戶電腦訪問已加密的文件。您無法在您所新增的加密資料夾中開啟其他用戶存儲的我的文件。如果另一用戶在已加密的資料夾中新增我的文件，該我的文件（預設情況下）被加密為僅有此用戶有權訪問該我的文件。因此，您所加密的資料夾中可能包含您無法開啟的文件。如果您需要訪問這些文件，請求將您的用戶帳戶增加到共享加密文件的用戶帳戶列表中。參考有關其他資訊，按下以下文章編號，檢視 Microsoft 知識庫中的相應文章： CHS223316加密文件系統的最佳做法 Microsoft Knowledge Base Article - 223316 Best Practices for Encrypting File System（加密文件系統的最佳做法）這篇文章中的資訊適用於: Microsoft Windows 2000 Server Microsoft Windows 2000 Advanced Server Microsoft Windows 2000 Professional Microsoft Windows 2000 Datacenter Server 本文的發佈號曾為 CHS223316 概要 Windows 包括對使用 NTFS 文件系統的捲上的資料直接加密的功能，以便其他用戶無法使用該資料。如果在對象的"內容"對話視窗中設定了內容，則可以對文件和資料夾進行加密。由於加密/解密程序對用戶是透明的，因此，對於要充分利用文件加密的組織來說，嚴格遵循文件加密準則是非常重要的。更多資訊以下是標準做法的列表：加密所有用戶的"My Documents"資料夾 (User_profile\My Documents)。這將確保預設情況下加密個人資料夾（其中存儲了大多數 Office 我的文件）。告知用戶一定不要加密單個文件，而是只加密資料夾。程序以各種方式對文件進行處理。始終在資料夾級別上加密文件將確保文件不會被意外地解密。與恢復證書關聯的私鑰是極其敏感的。它們應該在物理上安全的電腦上產生，或者應該將其證書完全匯出到受加強密碼保護的 PFX 文件中，並存儲在安全軟碟上。應該將恢復代理證書分配給不用於任何其他用途的特殊恢復代理帳戶。在更改恢復代理（應定期進行）時，不要破壞恢復證書或私鑰。保留所有這些證書或私鑰，直到已經用它們加密的所有文件都得到更新為止。根據組織單元的大小，為每個組織單元 (OU) 指定兩個或多個恢復代理帳戶。指定兩台或多台用於恢復的電腦，為每個指定的恢復代理帳戶指定一台電腦，並賦予相應管理員使用恢復代理帳戶的權限。提供兩個恢復代理帳戶是為了提供文件恢復冗余。在兩台電腦上儲存這些密鑰可以提供進一步的冗余，以支持丟失資料的恢復。執行恢復代理存檔程序，以確保可以使用過時的恢復密鑰恢復加密的文件。必須匯出恢復證書和私鑰，並以安全的受控方式存儲它們。理想情況下，就像所有安全的資料一樣，應該將檔案存儲在受控制的訪問電子倉庫中，而且應該具有以下兩個檔案：一個主檔案和一個制作備份檔案。主檔案應儲存在現場，而制作備份檔案應位於現場之外的安全位置。避免在您的列印伺服器結構中使用列印假離線檔案，或者確保在加密的資料夾中產生列印假離線檔案。每次用戶加密和解密文件時，"加密文件系統"都會佔用一些 CPU 系統預先配置。在許多客戶端將使用 EFS 的伺服器上明智地計劃伺服器。有關"加密文件系統"(EFS) 的其他資訊，請參閱以下 Microsoft Web 站點上的"Encrypting File System for Windows 2000"（Windows 2000 的加密文件系統）： http://www.microsoft.com/windows ... ecurity/encrypt.asp 另請參閱"Data Protection and Recovery in Windows XP"（Windows XP 中的資料保護和恢復），它包括與 Windows 2000 有關的資訊： http://www.microsoft.com/WINDOWSXP/p...ry/default.asp 我使用的不是XP系統，但是我用朋友的機器試驗了一下，不加入域是完全可行的。現在我來介紹一下方法：一開始他的電腦上也找不到那張證書，為何呢？是因為Windows XP沒有預設的恢復代理，因此我們加密資料之前最好能先指定一個預設的恢復代理（建議設定Administrator為恢復代理），如果你想讓Administrator成為恢復代理，首先就要用Administrator帳戶登錄系統，在歡迎螢幕上連續按Ctrl＋Alt＋Del兩次，開啟登入對話視窗，在用戶名處輸入Administrator，密碼框中輸入你安裝系統時設定的Administrator密碼，然後登入。首先在硬碟上一個方便的地方建立一個臨時的文件，檔案類型不限。這裡我以C碟根目錄下的一個try.txt文本文件文件為例，建立好後在執行中輸入「CMD」然後Enter鍵，開啟指令提示行視窗，在命令提示字元後輸入「cipher /r:c:\try.txt」，Enter鍵後系統還會詢問你是否用密碼把證書保護起來，你可以按照你的情況來決定，如果不需要密碼保護就直接按Enter鍵。完成後我們能在C碟的根目錄下找到try.txt.cer和try.txt.pfx兩個文件。之後開始設定恢復代理：執行「secpol.msc」，「公鑰原則－正在加密文件系統」表單下，在右側視窗的空白處點擊滑鼠右鍵，並選項「增加資料恢復代理」，然後會出現「增加故障恢復代理嚮導」按照這個嚮導開啟try.txt.cer，於是我們已經把本機Administrator設定為故障恢復代理，於是我們得到了證書。要注意的是以後匯出證書也輸入「secpol.msc」，在「公鑰原則－正在加密文件系統」選項右側視窗的那張證書匯出，而不要用「certmgr.msc」。我朋友的電腦上沒有抓圖工具，那張圖我就不貼出來了。你用我的方法試一定會成功的。應該是這樣的，不過和根SID無多大關係，你可以參看我們早先討論過的那張貼子，那裡面我講EFS加密原理的時候講得很清楚（有關於兩份FEK拷貝）： http://forums.zdnet.com.cn/cgi-bin/topic.cgi?

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次