·XP對硬盤進行高效靈活的分區操作·圖解:用DE修復0磁道損壞硬盤·找回硬盤丟失數據全攻略·讓硬盤永遠工作在最佳狀態的小技巧·跳線玄機:IDE硬盤各種奇異故障解決·軟件拯救丟失的硬盤數據·還原精靈 分區魔術師=硬盤炸彈·[圖解]效率源硬盤壞磁道修復軟件綜合教·收藏:DOS下精典硬盤實用工具·硬盤的損傷與工作原理
10. 如果導入的文件為 PKCS #12 文件,在"密碼"頁中的"密碼"框中,輸入該文件的密碼。 最佳的做法為采用強密碼保護私鑰。 11. 如果稍後需要從該計算機中再次導出此密鑰,請選中"標明該密鑰為可導出"復選框。單擊"下一步" 12. 向導可能會提示您指定證書與私鑰應該導入的存儲器。要確保私鑰被導入到個人存儲器中,請不要選擇"基於證書類型自動選擇證書存儲器",而應選擇"把所有證書保存到以下存儲器中",然後單擊"下一步"。 13. 高亮度選擇"個人"存儲器,單擊"確定"按鈕。 14. 單擊"下一步",再單擊"完成",結束導入過程。通知將報告導入操作是否成功。 要點:數據恢復代理應始終使用基於域的帳戶,這是因為本地帳戶易於受到離線物理攻擊。 恢復數據 如果原始用戶無法恢復加密的數據(例如,該用戶已離開公司),您需要一種數據恢復方法,以便公司能夠繼續使用這些數據。本節描述了如何恢復加密的文件或文件夾。為此,需要使用備份工具,把用戶的加密文件或文件夾還原到計算機上,而文件恢復證書和數據恢復代理的恢復密鑰也存儲於該計算機中。 只有指定的恢復代理才能執行該操作。也就是說,在待恢復的文件或文件夾中,您必須擁有有效的 DRA 私鑰和證書。 要求 憑據:數據恢復代理。 工具:Windows 資源管理器。 還原加密的文件或文件夾 1. 打開 Windows 資源管理器。 2. 右鍵單擊要恢復的文件或文件夾,單擊"屬性"。 3. 在"常規"選項卡中,單擊"高級"。 4. 清除"加密內容以保護數據"復選框。 5. 制作解密文件或文件夾的備份,並將其交給用戶。 注意: 您可以通過電子郵件附件、磁盤或網絡共享將備份版本返還給用戶。 恢復數據的另一種方法為,傳輸恢復代理的私鑰和證書到存有加密文件的計算機中,導入私鑰和證書,解密該文件或文件夾,然後刪除導入的私鑰和證書。與方法一相比,采用此方法,私鑰的安全性大大降低,但同時也免除了備份、恢復和文件傳輸操作。 最佳做法 以下最佳做法可以幫助公司有效地使用和管理加密的文件和文件夾。 恢復代理應將其文件恢復證書備份到一個安全的地方。 在 Microsoft MMC 的證書管理單元中,5自學網,使用"導出"命令,將文件恢復證書和私鑰導出到軟盤上。將軟盤保存到安全的地方。此後,如果計算機上的文件恢復證書或私鑰發生損壞或被刪除,可以在 MMC 的證書單元中,使用"導入"命令,用已備份到軟盤上的證書和私鑰代替已損壞或刪除的證書和私鑰。 使用默認域配置。 在默認情況下,域管理員是 Windows 2000 或 Windows Server 2003 域中的默認數據恢復代理。域管理員首次用該帳戶登錄時,會生成一份自簽名證書,私鑰將保存在計算機的用戶配置文件中,默認的域"組策略"中則包含該證書的公鑰,作為域中默認數據恢復代理。 請立即更新已丟或到期的 DRA 私鑰。 雖然 DRA 證書的到期只是一個小事件,但是 DRA 私鑰的丟失與損壞對可能造成企業的巨大損失。 到期的 DRA 證書(私鑰)仍然可以用於解密以前加密的文件,但不能用於新建或更新的加密文件。在 DRA 私鑰丟失或 DRA 證書到期的情況下,最佳做法是立即生成一個或多個新的 DRA 證書,並對"組策略"實施相應的更新。用戶加密新文件或更新現有的加密文件時,這些文件將使用新的 DRA 公鑰自動進行更新。提醒用戶采用新的 DRA,更新所有的現有文件。 在Windows XP中,執行命令行工具 cipher.exe (使用 /U 參數),可以更新本地驅動器中所有文件的加密密鑰或恢復代理密鑰。以下示例顯示了運行 Cipher.exe 的本地驅動器上兩個加密文件的更新: Cipher.exe /U C:\Temp\test.txt: Encryption updated. C:\My Documents\wordpad.doc: Encryption updated.
注意:在無證書頒發機構的域中使用默認的自簽名證書時,該證書的有效時間為 99 年。 下面的最佳做法可以幫助公司保護移動用戶的數據,以防失竊或丟失: 計算機的物理保護至關重要。為保證計算機不失竊或不遭到物理損壞,應采取一切必要的預防措施。這些預防措施是技術手段所無法替代的。 使用移動計算機時,應確保登錄到 Active Directory 域。 存儲獨立於移動計算機的用戶私鑰,並在必要時將其導入。 加密公共文件夾,如"我的文檔"和臨時文件夾,以加密所有新文件和臨時文件。 敏感數據文件應建立在加密文件夾中,敏感數據明文文件應拷貝到加密文件夾中。遵循該原則可以確保沒有明文文件存儲於計算機中,並且臨時文件無法被復雜的磁盤分析工具所恢復。 結合使用組策略、登錄腳本和安全模板強制執行文件夾加密操作,從而確保將標准文件夾(如"我的文檔")設置為加密文件夾。 Windows XP 操作系統支持脫機文件的數據加密。在應用客戶端緩存策略時,應對存儲於本地緩存的脫機文件和文件夾進行加密。 在移動計算機中,啟用系統工具 SYSKEY 的模式 2 或模式 3(軟盤啟動或密碼啟動),以防止惡意用戶啟動系統。Windows 版本的聯機幫助中對該系統密鑰工具進行了說明。 為服務器啟用組策略中的 SMB 簽名,這些服務器是受信任的委派對象,5自學網,並用來存儲加密文件。這個設置可以在"組策略"中找到,其路徑為:"組策略對象名稱"、"計算機配置"、"Windows 設置"、"安全設置"、"本地策略"、"安全選項"、"Microsoft 網絡服務器: 完全數字簽名通信。 文件加密後,確保從硬盤驅動器中刪除未加密的數據,該操作應定期執行。 相關信息 有關 EFS 的詳細信息,請訪問 Microsoft TechNet 網站,參閱以下資料: Encrypting File System(英文),其網址為: ?LinkID=22412 Encrypting File System in Windows XP and Windows Server 2003(英文),其網址為:?LinkID=22413
