采用 EFS 加密硬盤以保護數據(三)

　　允許用戶加密或解密文件　　　　1. 打開 Windows 資源管理器。　　　　2. 右鍵單擊要改變的加密文件，在彈出的快捷菜單中選擇"屬性"。　　　　3. 在"常規"選項卡中，單擊"高級"。　　　　4. 在"高級屬性"中，單擊"詳細信息"。　　　　5. 要添加用戶到這個文件中，請單擊"添加"，然後執行以下步驟中的一種：　　　　要添加用戶，而該用戶的 EFS 加密證書在這台計算機上，請單擊證書，再單擊"確定"按鈕。　　　　在將證書添加到文件之前，要查看該證書，請單擊證書，然後單擊"查看證書"。　　　　要從 Active Directory 添加用戶，請單擊"查找用戶"，然後在列表中選擇用戶，並單擊"確定"。　　　　要從文件刪除用戶，請單擊用戶名，再單擊"刪除"。　　　　注意： 當用戶被添加到文件中並導入該用戶的 EFS 加密證書時，該證書對於受信任的證書頒發機構 (CA) 來說是有效的。然後，該證書將保存到"其他人"證書存儲區中。　　　　導入與導出數據恢復密鑰　　　　數據恢復代理必須擁有數據恢復密鑰（DRA 密鑰），以確保在正常恢復無法實現的情況下進行加密數據的恢復。由此可見，保護恢復密鑰很重要。預防恢復密鑰丟失的一個好方法是，導出數據恢復證書和數據恢復代理的私鑰，，並以 .pfx 格式文件保存到安全的可移動的媒體中。在恢復丟失數據時，可以將其導入。　　　　以下步驟概述了導出與導入 DRA 密鑰的過程。　　　　要求　　　　憑據：您必須用域的第一個域控制器的管理員帳戶登錄。　　　　工具：MMC 證書管理單元。　　　　導出數據恢復密鑰　　　　導出默認域數據恢復代理的證書和私鑰需要執行以下操作　　　　1. 以域的第一個域控制器的管理員帳戶登錄。　　　　2. 單擊"開始"，然後單擊"運行"。　　　　3. 鍵入 mmc.exe ，並按"回車"鍵。　　　　　4. 單擊"文件"、"添加/刪除管理單元"。　　　　5. 單擊"添加"。將彈出當前計算機上注冊的所有管理單元列表。　　　　6. 雙擊"證書"管理單元，單擊"我的用戶帳戶"，然後單擊"完成"。　　　　　7. 在"添加獨立管理單元"對話框中，單擊"關閉"按鈕，然後在"添加/刪除管理單元"對話框中，單擊"確定"按鈕。MMC 當前顯示適合管理員帳戶的個人證書。　　　　8. 導航到"證書"、"當前用戶"、"個人"、"證書"。　　　　詳細信息欄（右欄）中將顯示管理員帳戶所有證書列表。默認情況下，通常顯示兩個證書。選擇默認域的 DRA 證書。　　　　　9. 雙擊默認域的 DRA 證書，選擇"所有任務"，然後單擊"導出" 按鈕，啟動"證書導出向導"。　　　　要點： 在導出過程中，選擇正確的密鑰至關重要，因為一旦導出過程結束，原始私鑰和相應的證書將從計算機上被刪除。如果密鑰沒有還原到計算機上，那麼使用 DRA 證書將無法進行文件恢復。　　　　10. 單擊"是，導出私鑰"，然後單擊"下一步"。導出過程的結束時，私鑰將被刪除。　　　　　11. 在"導出文件格式"頁中，單擊"個人信息交換 PKCS #12 (.PFX)"，選中"啟用增強型保護"和"如果導出成功，刪除私鑰"這兩個復選框，單擊"下一步"。　　　　最佳做法是，導出成功結束後，從系統中刪除私鑰，增強型私鑰保護應當作為私鑰安全的特殊級別使用。　　　　導出私鑰時，請使用 .pfx 文件格式。.pfx 文件格式是基於 PKCS #12 標准的，該標准是一種可移植格式，用於存儲或傳輸包括私鑰、證書和各種機密信息在內的用戶信息。此外，.pfx 文件格式 (PKCS #12) 還允許使用密碼，來保護存儲在文件中的私鑰。　　　　　12. 在"密碼"頁中的"密碼""密碼確認"編輯框中，輸入一個強密碼，然後單擊"下一步"?　　　　　最後一步是保存真正的 .pfx 文件。證書與私鑰可以導出到任何可寫入設備中，包括網絡驅動器或軟盤。　　　　13. 在"導出文件"頁中，鍵入或浏覽路徑並指定文件名，然後單擊"下一步"。　　　　　通知將報告導出操作是否成功。　　　　　如果文件和相關私鑰丟失，將無法解密任何使用該 DRA 證書作為數據恢復代理的加密文件。.pfx 文件和私鑰一旦被導出，就要按照企業的安全規則與做法，在穩定的可移動媒體的安全位置存儲該文件。例如，企業可以把 .pfx 文件保存在一各或多個 CD-ROM 光盤中，將這些光盤存放於一個安全的存放盒或隔間內，並在這些地點實施嚴格的物理訪問控制。　　　　導入數據恢復密鑰　　　　如果要使用導出的數據恢復密鑰來恢復加密的數據，首先必須導入該密鑰。導入密鑰要比導出密鑰簡單得多。要導入以 PKCS #12 格式文件（.pfx文件）存儲的密鑰，雙擊該文件，打開"證書導入向導"，或者直接運行"證書導入向導"，按照以下步驟導入密鑰： 　　　　要求　　　　憑據：計算機的 Domain Admin 帳戶。　　　　工具：MMC 證書管理單元。　　　　導入數據恢復密鑰　　　　1. 使用有效帳戶登錄計算機。　　　　2. 單擊"開始"、"運行"。　　　　3. 鍵入 mmc.exe ，並按"回車"鍵。　　　　　4. 在 MMC 中，在"文件"菜單中，選擇"添加/刪除管理單元"。　　　　5. 單擊"添加"。彈出當前計算機上注冊的所有管理單元列表。　　　　6. 雙擊"證書" 管理單元，單擊"我的用戶帳戶"，然後單擊"完成"。　　　　7. 在"添加獨立管理單元"對話框中，單擊"關閉"按鈕，然後在"添加/刪除管理單元"對話框中，單擊"確定"按鈕。MMC 當前顯示適合管理員帳戶的個人證書。　　　　　8. 導航到"證書"、"當前用戶"、"個人"、"證書"，右鍵單擊該文件夾，選擇"所有任務"，然後單擊"導入"，啟動"證書導入向導"。　　 　　9. 單擊"下一步"，輸入要導入的文件和及其路徑，再單擊"下一步"。