在许多企业中,都存在着多个用户共用一台计算机的情况。有些用户旅行时携带便携式计算机,并在没有企业物理保护的地方使用,如客户设施、机场、饭店和家中。这意味着重要的数据常常被置于企业控制之外。未经授权的用户可能希望读取存储在台式计算机中的数据。手提电脑可能会失窃。在所有这些情况下,公司的敏感数据都可能被窃取。
采用加密文件系统 (EFS) 对敏感数据文件进行加密,可以加强数据的安生性。该解决方案可以有效的减小数据失窃的隐患。加密是一种采用数学算法的应用程序。文件经过加密处理后,只有拥有正确密钥的用户方可读取其内容。Microsoft 的 EFS 技术可以对计算机上的数据进行加密,并控制哪些人有权解密或恢复数据。文件被加密后,即使攻击者能够物理访问计算机的数据存储器,也无法读取用户数据。所有用户都必须拥有 EFS 证书,方可运用 EFS 对数据进行加密和解密。此外,EFS 用户必须拥有在 NTFS 卷中修改文件的权限。
目录
简介
准备工作
生成与备份恢复密钥
创建基于域的恢复代理
创建本地恢复代理
使用 EFS
启用 Windows 资源管理器菜单中的加密/解密选项
启用 EFS 文件共享
导入与导出数据恢复密钥
恢复数据
最佳做法
相关信息
简介
在许多企业中,都存在着多个用户共用一台计算机的情况。有些用户旅行时携带便携式计算机,并在没有企业物理保护的地方使用,如客户设施、机场、饭店和家中。这意味着重要的数据常常被置于企业控制之外。未经授权的用户可能希望读取存储在台式计算机中的数据。手提电脑可能会失窃。在所有这些情况下,公司的敏感数据都可能被窃取。
采用加密文件系统 (EFS) 对敏感数据文件进行加密,可以加强数据的安生性。该解决方案可以有效的减小数据失窃的隐患。加密是一种采用数学算法的应用程序。文件经过加密处理后,只有拥有正确密钥的用户方可读取其内容。Microsoft 的 EFS 技术可以对计算机上的数据进行加密,并控制哪些人有权解密或恢复数据。文件被加密后,即使攻击者能够物理访问计算机的数据存储器,也无法读取用户数据。所有用户都必须拥有 EFS 证书,方可运用 EFS 对数据进行加密和解密。此外,EFS 用户必须拥有在 NTFS 卷中修改文件的权限。
EFS 包括两种类型的证书:
加密文件系统证书。此类证书允许其持有者使用 EFS 加密和解密数据,它通常也被直接称为 EFS 证书。普通的 EFS 用户使用此类证书。这类证书的"增强型密钥用法"字段(在 Microsoft 管理控制台管理单元中可以看到)的值为"EFS (1.3.6.1.4.1.311.10.3.4)"。
文件恢复证书。此类证书的持有者可以在整个域或其他范围内对任何人加密的文件和文件夹进行恢复。只有域管理员或极受信任的委托人(即数据恢复代理)可以持有此类证书。这类证书的"增强型密钥用法"字段(在 Microsoft 管理控制台管理单元中可以看到)的值为"文件恢复 (1.3.6.1.4.1.311.10.3.4.1)"。此类证书通常被称为 EFS DRA 证书。
要允许其他授权用户读取加密的数据,需要给他们私钥,或使其成为数据恢复代理。数据恢复代理可以在其范围内的域或组织单位中,解密所有的 EFS 加密文件。本文档为中小企业中主要的 EFS 相关任务提供了具体步骤指导,同时还列举了在 EFS 实施过程中几项重要的最佳做法。
本文档中的步骤说明将指导您完成以下任务:
创建与保护恢复密钥,以确保在原始加密者无法恢复加密数据时能够对其进行安全的恢复。
指定恢复代理,当原始用户无法恢复加密文件时,由其实施恢复操作。
在企业中安装 EFS。
配置 Windows 资源管理器,以方便 EFS 的使用。
设置文件共享,以配合 EFS 的使用。
导入和导出数据恢复密钥,以确保安全的恢复加密文件和文件夹。
当原始用户无法恢复数据时,对其进行恢复。
按照本文档中的步骤,您需要在系统范围内执行以下操作:
创建备份数据恢复密钥。
指定恢复代理。
启用 EFS,对计算机硬盘中的数据进行加密。
配置 Windows 资源管理器,以包含 EFS 选项。
完成上述步骤后,您可以:
为所选的加密数据提供共享访问。
管理数据恢复密钥,以恢复加密数据。
必要时恢复加密的数据。
准备工作
本文档中的步骤帮助您配置计算机以使用 EFS,并说明如何在企业中使用 EFS 以保护计算机硬盘中的数据。开始执行上述步骤之前,应当向法律顾问咨询,从而确保计划中的加密策略与程序符合相关的法律法规。特别是当公司在美国本土外设有办事处,那么您一定要熟悉与加密软件有关的出口控制法。同时,还要了解使用 EFS 的一些基本要求和条件:
可以只在 NTFS 卷中才能使用 EFS 加密文件和文件夹。因此,EFS 无法保护 FAT 或 FAT32 文件系统中的数据。除非因特殊原因需要继续使用 FAT 文件系统,否则建议将其转换为 NTFS 格式。Windows 95、Windows 98 和 Windows Me 操作系统不支持 NTFS 或 EFS。Windows XP Home Edition 支持 NTFS,但不支持 EFS。
对压缩过的文件或文件夹也无法进行 EFS 加密。对压缩文件或文件夹实施加密操作,该文件或文件夹将被解压缩。
具有"系统"属性的文件无法进行加密,systemroot 文件夹中的文件也不能被加密。
在首次加密文件或文件夹时,将弹出一个对话框。该对话框中的选项设置将影响到今后的加密操作:
o 加密单个文件时,如果选择加密其父文件夹,则今后添加到该文件夹中的文件和子文件夹在添加时都将被自动加密。
o 在对文件夹进行加密时,如果选择了加密所有文件和子文件夹,那么该文件夹中现有的所有文件和子文件夹以及今后添加到该文件夹中的文件和子文件夹都将被加密。
o 在对文件夹进行加密时,如果选择只对该文件夹进行加密,那么该文件夹中现有的所有文件和子文件夹都不会被加密。但是,今后添加到该文件夹中的所有文件和子文件夹在添加时将被自动加密。
除非另有说明,在本文档所描述的步骤中,服务器采用 Windows Server 2003 操作系统,而客户机使用 Windows XP Professional。
在 Active Directory 环境中,假定用户具有移动配置文件。请注意,本文档中的截屏图像反映的是一个测试环境,其中信息或许与您计算机上显示的信息略有出入。
安装操作系统时,使用默认出现的"开始"菜单,便可获得本文档中的所有步骤说明。如果您修改过"开始"菜单,则上述步骤可能稍有不同。
生成与备份恢复密钥
未备份恢复密钥可能会导致无法挽回的加密数据损失。当持有 EFS 加密证书的用户无法解密数据时,备份的恢复密钥能够确保加密数据的恢复。
要求
凭据:要执行此操作,必须使用恢复代理帐户,该帐户中存储有文件恢复证书和私钥。域管理员是默认的恢复代理;在家庭或非域环境中,没有默认的恢复代理,但是可以为计算机上的所有帐户创建一个本地恢复代理。在家庭设置中,更为普遍的做法是备份每个 EFS 证书持有人的私钥。
工具:Microsoft 管理控制台 (MMC) 的证书管理单元。
警告:在更改默认恢复策略之前,应确保已备份默认的恢复密钥。域中默认的恢复密钥存储在该域的第一个域控制器中。
把默认的恢复密钥备份到软盘中,需要执行以下操作
1. 单击"开始"、"运行",键入 mmc ,然后单击"确定"按钮。打开"Microsoft 管理控制台"。
2. 在"文件"菜单中,选择"添加/删除管理单元",然后单击"添加"按钮。
3. 在"添加独立管理单元"中,单击"证书,然后单击"添加"按钮。
4. 选择"我的用户帐户"单选项,再单击"确定"按钮。
5. 单击"关闭"按钮,再单击"确定"按钮。
6. 双击"证书-当前用户"、"个人",然后双击"证书"。
7. 在"这个证书的目的是"一栏中单击显示字样为"文件恢复"的证书。
8. 右键单击该证书,选择"所有任务",单击"导出"按钮。
9. 按照"证书导出向导"中的说明,导出该证书和相关的私钥,并以 .pfx 文件格式保存。
创建基于域的恢复代理
要允许某一帐户读取或恢复 EFS 加密的数据,必须将其指定为恢复代理。在域环境中,建议使用域帐户达到这个目的。为在 Active Directory 目录林中的所有站点、域或组织单位创建恢复代理。在默认情况下,内置的管理员帐户是域的恢复代理;这种情况就无需再创建恢复代理了。
要求
凭据:域管理员。
工具:MMC 的 Active Directory 用户与计算机管理单元。
创建基于域的恢复代理,需要执行以下操作
1. 单击"开始"、"控制面板",在"控制面板"窗口中,双击"管理工具",然后双击"Active Directory 用户与计算机"。
2. 右键单击需要更改恢复策略的域,然后单击"属性"。
3. 选择"组策略"选项卡。
4. 右键单击要更改的恢复策略,然后单击"编辑"。
5. 在控制台树(左栏)中,单击"加密文件系统"。该选项位于以下导航路径中:"计算机配置"、"Windows 设置"、"安全设置"、"公钥策略"、"加密文件系统"。
6. 在详细信息栏(右栏)中,单击右键,选择"创建数据恢复代理"。
注意:按照"创建恢复代理向导"的提示,从文件或 Active Directory 中添加用户作为恢复代理。从文件添加恢复代理时,用户被标识为"未知用户"。这是因为该用户名没有存储在这个文件中。
要从 Active Directory 添加恢复代理,EFS 恢复代理证书(文件恢复证书)必须在 Active Directory 中发布。 但是,由于默认的 EFS 文件恢复证书模板没有发布这些证书,所以需要创建一个这样的模板。要达到这个目的,请在"证书模板"管理单元,复制默认的 EFS 文件恢复证书模板,以创建一个新模板。
允许用户加密或解密文件
1. 打开 Windows 资源管理器。
2. 右键单击要改变的加密文件,在弹出的快捷菜单中选择"属性"。
3. 在"常规"选项卡中,单击"高级"。
4. 在"高级属性"中,单击"详细信息"。
5. 要添加用户到这个文件中,请单击"添加",然后执行以下步骤中的一种:
要添加用户,而该用户的 EFS 加密证书在这台计算机上,请单击证书,再单击"确定"按钮。
在将证书添加到文件之前,要查看该证书,请单击证书,然后单击"查看证书"。
要从 Active Directory 添加用户,请单击"查找用户",然后在列表中选择用户,并单击"确定"。
要从文件删除用户,请单击用户名,再单击"删除"。
注意: 当用户被添加到文件中并导入该用户的 EFS 加密证书时,该证书对于受信任的证书颁发机构 (CA) 来说是有效的。然后,该证书将保存到"其他人"证书存储区中。
导入与导出数据恢复密钥
数据恢复代理必须拥有数据恢复密钥(DRA 密钥),以确保在正常恢复无法实现的情况下进行加密数据的恢复。由此可见,保护恢复密钥很重要。预防恢复密钥丢失的一个好方法是,导出数据恢复证书和数据恢复代理的私钥,并以 .pfx 格式文件保存到安全的可移动的媒体中。在恢复丢失数据时,可以将其导入。
以下步骤概述了导出与导入 DRA 密钥的过程。
要求
凭据:您必须用域的第一个域控制器的管理员帐户登录。
工具:MMC 证书管理单元。
导出数据恢复密钥
导出默认域数据恢复代理的证书和私钥需要执行以下操作
1. 以域的第一个域控制器的管理员帐户登录。
2. 单击"开始",然后单击"运行"。
3. 键入 mmc.exe ,并按"回车"键。
4. 单击"文件"、"添加/删除管理单元"。
5. 单击"添加"。将弹出当前计算机上注册的所有管理单元列表。
6. 双击"证书"管理单元,单击"我的用户帐户",然后单击"完成"。
7. 在"添加独立管理单元"对话框中,单击"关闭"按钮,然后在"添加/删除管理单元"对话框中,单击"确定"按钮。MMC 当前显示适合管理员帐户的个人证书。
8. 导航到"证书"、"当前用户"、"个人"、"证书"。
详细信息栏(右栏)中将显示管理员帐户所有证书列表。默认情况下,通常显示两个证书。选择默认域的 DRA 证书。
9. 双击默认域的 DRA 证书,选择"所有任务",然后单击"导出" 按钮,启动"证书导出向导"。
要点: 在导出过程中,选择正确的密钥至关重要,因为一旦导出过程结束,原始私钥和相应的证书将从计算机上被删除。如果密钥没有还原到计算机上,那么使用 DRA 证书将无法进行文件恢复。
10. 单击"是,导出私钥",然后单击"下一步"。导出过程的结束时,私钥将被删除。
11. 在"导出文件格式"页中,单击"个人信息交换 PKCS #12 (.PFX)",选中"启用增强型保护"和"如果导出成功,删除私钥"这两个复选框,单击"下一步"。
最佳做法是,导出成功结束后,从系统中删除私钥,增强型私钥保护应当作为私钥安全的特殊级别使用。
导出私钥时,请使用 .pfx 文件格式。.pfx 文件格式是基于 PKCS #12 标准的,该标准是一种可移植格式,用于存储或传输包括私钥、证书和各种机密信息在内的用户信息。此外,.pfx 文件格式 (PKCS #12) 还允许使用密码,来保护存储在文件中的私钥。
12. 在"密码"页中的"密码""密码确认"编辑框中,输入一个强密码,然后单击"下一步"?
最后一步是保存真正的 .pfx 文件。证书与私钥可以导出到任何可写入设备中,包括网络驱动器或软盘。
13. 在"导出文件"页中,键入或浏览路径并指定文件名,然后单击"下一步"。
通知将报告导出操作是否成功。
如果文件和相关私钥丢失,将无法解密任何使用该 DRA 证书作为数据恢复代理的加密文件。.pfx 文件和私钥一旦被导出,就要按照企业的安全规则与做法,在稳定的可移动媒体的安全位置存储该文件。例如,企业可以把 .pfx 文件保存在一各或多个 CD-ROM 光盘中,将这些光盘存放于一个安全的存放盒或隔间内,并在这些地点实施严格的物理访问控制。
导入数据恢复密钥
如果要使用导出的数据恢复密钥来恢复加密的数据,首先必须导入该密钥。导入密钥要比导出密钥简单得多。要导入以 PKCS #12 格式文件(.pfx文件)存储的密钥,双击该文件,打开"证书导入向导",或者直接运行"证书导入向导",按照以下步骤导入密钥:
要求
凭据:计算机的 Domain Admin 帐户。
工具:MMC 证书管理单元。
导入数据恢复密钥
1. 使用有效帐户登录计算机。
2. 单击"开始"、"运行"。
3. 键入 mmc.exe ,并按"回车"键。
4. 在 MMC 中,在"文件"菜单中,选择"添加/删除管理单元"。
5. 单击"添加"。弹出当前计算机上注册的所有管理单元列表。
6. 双击"证书" 管理单元,单击"我的用户帐户",然后单击"完成"。
7. 在"添加独立管理单元"对话框中,单击"关闭"按钮,然后在"添加/删除管理单元"对话框中,单击"确定"按钮。MMC 当前显示适合管理员帐户的个人证书。
8. 导航到"证书"、"当前用户"、"个人"、"证书",右键单击该文件夹,选择"所有任务",然后单击"导入",启动"证书导入向导"。
9. 单击"下一步",输入要导入的文件和及其路径,再单击"下一步"。
10. 如果导入的文件为 PKCS #12 文件,在"密码"页中的"密码"框中,输入该文件的密码。
最佳的做法为采用强密码保护私钥。
11. 如果稍后需要从该计算机中再次导出此密钥,请选中"标明该密钥为可导出"复选框。单击"下一步"
12. 向导可能会提示您指定证书与私钥应该导入的存储器。要确保私钥被导入到个人存储器中,请不要选择"基于证书类型自动选择证书存储器",而应选择"把所有证书保存到以下存储器中",然后单击"下一步"。
13. 高亮度选择"个人"存储器,单击"确定"按钮。
14. 单击"下一步",再单击"完成",结束导入过程。通知将报告导入操作是否成功。
要点:数据恢复代理应始终使用基于域的帐户,这是因为本地帐户易于受到离线物理攻击。
恢复数据
如果原始用户无法恢复加密的数据(例如,该用户已离开公司),您需要一种数据恢复方法,以便公司能够继续使用这些数据。本节描述了如何恢复加密的文件或文件夹。为此,需要使用备份工具,把用户的加密文件或文件夹还原到计算机上,而文件恢复证书和数据恢复代理的恢复密钥也存储于该计算机中。
只有指定的恢复代理才能执行该操作。也就是说,在待恢复的文件或文件夹中,您必须拥有有效的 DRA 私钥和证书。
要求
凭据:数据恢复代理。
工具:Windows 资源管理器。
还原加密的文件或文件夹
1. 打开 Windows 资源管理器。
2. 右键单击要恢复的文件或文件夹,单击"属性"。
3. 在"常规"选项卡中,单击"高级"。
4. 清除"加密内容以保护数据"复选框。
5. 制作解密文件或文件夹的备份,并将其交给用户。
注意: 您可以通过电子邮件附件、磁盘或网络共享将备份版本返还给用户。
恢复数据的另一种方法为,传输恢复代理的私钥和证书到存有加密文件的计算机中,导入私钥和证书,解密该文件或文件夹,然后删除导入的私钥和证书。与方法一相比,采用此方法,私钥的安全性大大降低,但同时也免除了备份、恢复和文件传输操作。
最佳做法
以下最佳做法可以帮助公司有效地使用和管理加密的文件和文件夹。
恢复代理应将其文件恢复证书备份到一个安全的地方。
在 Microsoft MMC 的证书管理单元中,使用"导出"命令,将文件恢复证书和私钥导出到软盘上。将软盘保存到安全的地方。此后,如果计算机上的文件恢复证书或私钥发生损坏或被删除,可以在 MMC 的证书单元中,使用"导入"命令,用已备份到软盘上的证书和私钥代替已损坏或删除的证书和私钥。
使用默认域配置。
在默认情况下,域管理员是 Windows 2000 或 Windows Server 2003 域中的默认数据恢复代理。域管理员首次用该帐户登录时,会生成一份自签名证书,私钥将保存在计算机的用户配置文件中,默认的域"组策略"中则包含该证书的公钥,作为域中默认数据恢复代理。
请立即更新已丢或到期的 DRA 私钥。
虽然 DRA 证书的到期只是一个小事件,但是 DRA 私钥的丢失与损坏对可能造成企业的巨大损失。
到期的 DRA 证书(私钥)仍然可以用于解密以前加密的文件,但不能用于新建或更新的加密文件。在 DRA 私钥丢失或 DRA 证书到期的情况下,最佳做法是立即生成一个或多个新的 DRA 证书,并对"组策略"实施相应的更新。用户加密新文件或更新现有的加密文件时,这些文件将使用新的 DRA 公钥自动进行更新。提醒用户采用新的 DRA,更新所有的现有文件。
在Windows XP中,执行命令行工具 cipher.exe (使用 /U 参数),可以更新本地驱动器中所有文件的加密密钥或恢复代理密钥。以下示例显示了运行 Cipher.exe 的本地驱动器上两个加密文件的更新:
Cipher.exe /U
C:\Temp\test.txt: Encryption updated.
C:\My Documents\wordpad.doc: Encryption updated.
注意:在无证书颁发机构的域中使用默认的自签名证书时,该证书的有效时间为 99 年。
下面的最佳做法可以帮助公司保护移动用户的数据,以防失窃或丢失:
计算机的物理保护至关重要。为保证计算机不失窃或不遭到物理损坏,应采取一切必要的预防措施。这些预防措施是技术手段所无法替代的。 网管联盟bitsCN_com
使用移动计算机时,应确保登录到 Active Directory 域。
存储独立于移动计算机的用户私钥,并在必要时将其导入。
加密公共文件夹,如"我的文档"和临时文件夹,以加密所有新文件和临时文件。
敏感数据文件应建立在加密文件夹中,敏感数据明文文件应拷贝到加密文件夹中。遵循该原则可以确保没有明文文件存储于计算机中,并且临时文件无法被复杂的磁盘分析工具所恢复。
结合使用组策略、登录脚本和安全模板强制执行文件夹加密操作,从而确保将标准文件夹(如"我的文档")设置为加密文件夹。
Windows XP 操作系统支持脱机文件的数据加密。在应用客户端缓存策略时,应对存储于本地缓存的脱机文件和文件夹进行加密。
在移动计算机中,启用系统工具 SYSKEY 的模式 2 或模式 3(软盘启动或密码启动),以防止恶意用户启动系统。Windows 版本的联机帮助中对该系统密钥工具进行了说明。
为服务器启用组策略中的 SMB 签名,这些服务器是受信任的委派对象,并用来存储加密文件。这个设置可以在"组策略"中找到,其路径为:"组策略对象名称"、"计算机配置"、"Windows 设置"、"安全设置"、"本地策略"、"安全选项"、"Microsoft 网络服务器: 完全数字签名通信。
文件加密后,确保从硬盘驱动器中删除未加密的数据,该操作应定期执行。
相关信息
有关 EFS 的详细信息,请访问 Microsoft TechNet 网站,参阅以下资料:
Encrypting File System(英文),其网址为:
http://go.microsoft.com/fwlink/?LinkID=22412
Encrypting File System in Windows XP and Windows Server 2003(英文),其网址为:http://go.microsoft.com/fwlink/?LinkID=22413