目錄 簡介 准備工作 生成與備份恢復密鑰 創建基於域的恢復代理 創建本地恢復代理 使用 EFS 啟用 Windows 資源管理器菜單中的加密/解密選項 啟用 EFS 文件共享 導入與導出數據恢復密鑰 恢復數據 最佳做法 相關信息 簡介 在許多企業中,都存在著多個用戶共用一台計算機的情況。有些用戶旅行時攜帶便攜式計算機,並在沒有企業物理保護的地方使用,如客戶設施、機場、飯店和家中。這意味著重要的數據常常被置於企業控制之外。未經授權的用戶可能希望讀取存儲在台式計算機中的數據。手提電腦可能會失竊。在所有這些情況下,公司的敏感數據都可能被竊取。 采用加密文件系統 (EFS) 對敏感數據文件進行加密,可以加強數據的安生性。該解決方案可以有效的減小數據失竊的隱患。加密是一種采用數學算法的應用程序。文件經過加密處理後,只有擁有正確密鑰的用戶方可讀取其內容。Microsoft 的 EFS 技術可以對計算機上的數據進行加密,並控制哪些人有權解密或恢復數據。文件被加密後,即使攻擊者能夠物理訪問計算機的數據存儲器,也無法讀取用戶數據。所有用戶都必須擁有 EFS 證書,方可運用 EFS 對數據進行加密和解密。此外,EFS 用戶必須擁有在 NTFS 卷中修改文件的權限。 EFS 包括兩種類型的證書: 加密文件系統證書。此類證書允許其持有者使用 EFS 加密和解密數據,它通常也被直接稱為 EFS 證書。普通的 EFS 用戶使用此類證書。這類證書的"增強型密鑰用法"字段(在 Microsoft 管理控制台管理單元中可以看到)的值為"EFS (1.3.6.1.4.1.311.10.3.4)"。 文件恢復證書。此類證書的持有者可以在整個域或其他范圍內對任何人加密的文件和文件夾進行恢復。只有域管理員或極受信任的委托人(即數據恢復代理)可以持有此類證書。這類證書的"增強型密鑰用法"字段(在 Microsoft 管理控制台管理單元中可以看到)的值為"文件恢復 (1.3.6.1.4.1.311.10.3.4.1)"。此類證書通常被稱為 EFS DRA 證書。 要允許其他授權用戶讀取加密的數據,需要給他們私鑰,或使其成為數據恢復代理。數據恢復代理可以在其范圍內的域或組織單位中,解密所有的 EFS 加密文件。本文檔為中小企業中主要的 EFS 相關任務提供了具體步驟指導,,同時還列舉了在 EFS 實施過程中幾項重要的最佳做法。 本文檔中的步驟說明將指導您完成以下任務: