? 通过复制进行备份。正如前一节“复制加密的文件夹或文件”中所述,使用“复制”命令或菜单选项创建的备份
可产生明文副本。
? 使用 Window Server 2003 中的“备份”工具或支持 Windows Server 2003 功能的任何备份工具
进行备份。这是推荐的加密文件备份方法。备份保持文件的加密状态,备份操作员在备份时不需要访问私钥;只需要访问完成任务所需的文件或文件夹。
还原加密的文件或文件夹
还原操作与备份加密文件时所采用的操作相似。本节讲述将备份的加密文件还原到进行备份或未进行备份的计算机上的步骤和限制。
? 通过复制进行还原。正如前一节“复制加密的文件夹或文件”中所述,使用“复制”命令或菜单选项创建的还原
文件可产生明文副本。
? 使用 Window Server 2003 中的“备份”工具或支持 Windows Server 2003 功能的任何备份工具
进行还原。这是推荐的加密文件还原方法。还原操作保持文件的加密状态,并且还原代理不需要访问私钥即可还原文件。在还原操作完成后,拥有私钥的用户可以正常使用该文件。
将文件还原到另一台计算机上
如果希望在加密文件所用的计算机以外的任何其他计算机上使用该加密文件,您需要确保在该系统中可以使用加密证书和关联的私钥。您可以使用漫游配置文件或手动移动密钥来实现此目的。
? 使用漫游配置文件。如果您还没有漫游配置文件,请向管理员申请建立一个漫游配置文件。在建立了漫游配
置文件后,您使用的加密密钥在以该用户帐户登录的所有计算机上都是相同的。注意,即使使用了漫游配置文件,您可能仍需要对加密证书和私钥进行备份。但是,如果您丢失了解密文件时所需的密钥,您可以向指定恢复代理(默认是本地或域管理员)申请恢复加密的文件。
? 手动移动密钥。在试图手动移动密钥之前,应备份您的加密证书和私钥。这样,您就可以在另一个系统中还
原证书和密钥了。
要备份加密证书和私钥,请按照以下步骤操作:
1. 要启动“Microsoft 管理控制台”(MMC),请单击“开始”按钮,单击“运行”,在“打开”框中键入“mmc”,然
后单击“确定”。
2. 在“控制台”菜单上,单击“文件”,单击“添加/删除管理单元”,然后单击“添加”。 3. 找到并单击“证书”管理单元,然后单击“添加”。单击“关闭”,然后单击“确定”。
4. 在“个人”证书存储中找到 EFS 证书。单击“证书 - 当前用户”旁边的加号 (+)。展开“个人”文件夹,然后
单击“证书”。
注意:相应证书的“预期目的”栏将显示“加密文件系统”,如图 3 所示。
图 3. 查找 EFS 证书 查看大图
5. 右键单击您的证书,单击“所有任务”,然后单击“导出”。这将启动“证书导出向导”。单击“下一步”。 6. 选择“是,导出私钥”复选框,然后单击“下一步”。
确保选择了“启用加强保护”复选框,然后单击“下7. 可用的导出格式是“个人信息交换 - PKCS#12 (.PFX)”。
一步”。
8. 提供一个“密码”并进行确认以保护导出的证书,然后单击“下一步”。
9. 提供导出证书的存储路径和文件名。单击“下一步”,然后单击“完成”以完成证书导出过程。单击“确定”确
认导出成功。 10. 关闭“MMC”控制台。
要在不同系统中还原加密证书和私钥,请按照以下步骤操作: 1. 将先前创建的“.pfx”文件复制到软盘或网络共享中。
2. 在另一个系统中,单击“开始”按钮启动“证书”管理单元,单击“运行”,键入“mmc”,然后单击“确定”。 3. 在“控制台”菜单上,单击“文件”,单击“添加/删除管理单元”,然后单击“添加”。
然后单击“添加”。如果出现提示,请选中“我的用户帐户”复选框,然后单击“完4. 找到并单击“证书”管理单元,
成”。
5. 单击“关闭”,然后单击“确定”。
6. 单击加号 (+) 以展开“证书 - 当前用户”。
7. 右键单击“个人”文件夹,单击“所有任务”,然后单击“导入”。 8. 单击“下一步”。这将启动“证书导入向导”。
然后单击“下一步”。提供访问证书数据所需的密码,然后单击“下一步”。 9. 提供先前创建的“.pfx”文件的路径,
10. 单击“将所有的证书放入下列存储区”(默认)复选框,然后单击“下一步”。 11. 单击“完成”。在导入完成后,单击“确定”关闭向导。
在获得了相同的密钥后,即可透明地使用可能已备份到其他计算机上的加密文件。
远程服务器上的文件夹和文件
您可以透明地加密和解密文件,并使用远程服务器中存储的加密文件。无论是远程访问这些文件,还是本地登录到另一台计算机上,您都可以执行这些操作。但是,您必须牢记,在使用备份和还原机制移动加密文件时,必须确保同时移动相应的加密证书和私钥,以便在新的目标位置中使用这些加密文件。如果没有正确的私钥,则无法打开或解密文件。
注意:如果您通过网络打开加密文件,在此过程中通过网络传输的数据是未加密的。您必须使用其他协议加密通过网络传输的数据,如安全套接字层/个人通讯技术 (SSL/PCT) 或 Internet 协议安全 (IPSec)。 返回页首
管理方案
确保独立计算机上的数据恢复
在下列示例中,将以“Administrator”身份登录到本地计算机上(在本例中,计算机名为 HQ-CON-WRK-01)。确保本地登录到计算机上(与登录到域上相对)。
要创建默认的恢复证书(在证书颁发机构不存在的情况下),请按照以下步骤操作:
1. 在“HQ-CON-WRK-01”上,单击“开始”按钮,单击“运行”,在“打开”框中键入“cmd”,然后单击“确定”。 2. 在命令提示符窗口中,键入“cipher.exe /r:dra”,然后按“Enter”键。 3. 在出现提示时,键入“密码”来保护“.PFX”文件,然后再次键入“密码”确认设置。 4. 关闭“命令提示符”窗口。
要定义数据恢复策略,请按照以下步骤操作:
1. 单击“开始”按钮,单击“运行”,在“打开”框中键入“MMC”,然后单击“确定”。 2. 在“文件”菜单上,单击“添加/删除管理单元”。 3. 单击“添加”,向下滚动,然后双击“组策略”。
4. 接受默认选项“本地计算机”,单击“完成”,单击“关闭”,然后单击“确定”。
5. 单击“?本地计算机?策略”旁边的加号 (+) 将树展开。依次展开“计算机配置”、“Windows 设置”、“安全设
置”以及“公钥策略”。单击“加密文件系统”。
6. 右键单击“加密文件系统”,然后单击“添加数据恢复代理程序”。
7. 在“添加故障恢复代理向导”屏幕上,单击“下一步”,单击“浏览文件夹”,然后浏览到 Administrator 的
“Documents and Settings”文件夹。双击“DRA.CER”文件,单击“下一步”,然后单击“完成”。完成后,屏幕应该如图 4 所示。
图 4. 默认恢复代理
8. 关闭“MMC”控制台。
注意:您应该按照“备份加密证书和私钥”中详细说明的过程,创建一个受保护的恢复证书备份 (.PFX)。
保护域的默认恢复密钥
在建立第一个域控制器时,即会为该域配置一个默认恢复策略。默认恢复策略使用自签名证书,以将域管理员帐户指定为恢复代理。
注意:您应该按照“备份加密证书和私钥”中详细说明的过程,创建一个受保护的恢复证书备份 (.PFX)。
申请文件恢复证书
如果决定使用默认恢复策略,则您不再需要申请文件恢复证书。在域需要多个恢复代理的情况下,或者由于法律或公司政策等原因需要由域管理员以外的人员担任恢复代理,这时您可能需要将特定用户指定为恢复代理。必须向这些用户颁发文件恢复证书。 要实现此目的,您必须完成下列过程。
? 必须有企业证书颁发机构 (CA)。
? 企业 CA 中的策略必须允许指定用户/代理申请并获得文件恢复证书。 ? 每个用户都必须申请一个文件恢复证书。
要设置企业 CA,请按照以下步骤操作:
1. 以域管理员的身份登录到“HQ-CON-DC-01”。
2. 单击“开始”按钮,指向“控制面板”,然后单击“添加或删除程序”。 3. 单击“添加/删除 Windows 组件”。
4. 单击“证书服务”。此时将出现一条警告信息,提示您在安装了证书服务后,将无法再重命名计算机,并且
计算机无法加入域或从中删除。单击“是”继续,然后单击“下一步”。
5. 确保选中了“企业根 CA”单选按钮,然后单击“下一步”。
6. 在“CA 识别信息”屏幕上,键入“ContosoCA”作为“公用名称”,然后单击“下一步”。 7. 单击“下一步”,接受默认数据存储位置。
8. 如果尚未安装 Internet 信息服务器 (IIS),系统会警告您无法使用基于 Web 的证书注册。单击“确定”
确认此警告。
9. 如果 IIS 正在运行,系统会提示您暂时关闭该服务。单击“确定”。 10. 在“Windows 组件向导”完成后,单击“完成”。关闭“添加/删除程序”。 要为指定为恢复代理的用户创建安全组,请按照以下步骤操作:
1. 单击“开始”按钮,指向“所有程序”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。 2. 右键单击“Groups”,单击“新建”,单击“组”,键入“Domain Recovery Agents”,然后单击“确定”。 3. 要为该组添加用户,请右键单击“Groups”OU 下面的“Domain Recovery Agents”,单击“属性”,然后单
击“成员”选项卡。
4. 单击“添加”,键入“Administrator”,然后单击“确定”两次。关闭“Active Directory 用户和计算机”管理单
元。
要将“Domain Recovery Agents”组添加到 EFS 恢复模板中,请按照以下步骤操作: “Domain Recovery Agents”组中的用户可通过此过程来申请恢复证书。
1. 单击“开始”按钮,指向“所有程序”,指向“管理工具”,然后单击“Active Directory 站点和服务”。 2. 单击“Active Directory 站点和服务”,然后在“查看”菜单中单击“显示服务节点”。
3. 在左窗格中,单击“Services”旁边的加号 (+)。重复此过程以展开“Public Key Services”文件夹。 4. 在左窗格中单击“Certificate Templates”,然后在右窗格中双击“EFSRecovery”。 5. 单击“安全”选项卡,然后单击“添加”。
6. 在“输入对象名称来选择”对话框中,键入“Domain Recovery Agents”,然后单击“确定”。
7. 在“组或用户名称”结果窗格中,单击“Domain Recovery Agents”。在“Domain Recovery Agents 权限”
窗格中,为“读取”和“注册”选中“允许”复选框,如图 5 所示。