大家看到上圖,是不是很眼熟,文件名是綠色的,這就是我們平時(shí)所說的EFS加密過的文件。當(dāng)我們重新安裝過系統(tǒng)之后,這些文件是無法正常打開的,需要我們通過EFS 數(shù)據(jù)恢復(fù),這些文件才能解密,打開才正常。本節(jié)描述了如何恢復(fù)加密的文件或文件夾。為此,需要使用備份工具,把用戶的加密文件或文件夾還原到計(jì)算機(jī)上,而文件恢復(fù)證書和數(shù)據(jù)恢復(fù)代理的恢復(fù)密鑰也存儲(chǔ)于該計(jì)算機(jī)中。
只有指定的恢復(fù)代理才能執(zhí)行該操作。也就是說,再待恢復(fù)的文件或文件夾中,您必須擁有有效的 DRA 私鑰和證書。
要求
憑據(jù):數(shù)據(jù)恢復(fù)代理。
工具:Windows 資源管理器。
還原加密的文件或文件夾
1. 打開 Windows 資源管理器。
2. 右鍵單擊要恢復(fù)的文件或文件夾,單擊“屬性”。
3. 在“常規(guī)”選項(xiàng)卡中,單擊“高級(jí)”。
4. 清除“加密內(nèi)容以保護(hù)數(shù)據(jù)”復(fù)選框。
5. 制作解密文件或文件夾的備份,并將其交給用戶。
注意: 您可以通過電子郵件附件、磁盤或網(wǎng)絡(luò)共享將備份版本返還給用戶。
恢復(fù)數(shù)據(jù)的另一種方法為,傳輸恢復(fù)代理的私鑰和證書到存有加密文件的計(jì)算機(jī)中,導(dǎo)入私鑰和證書,解密該文件或文件夾,然后刪除導(dǎo)入的私鑰和證書。與方法一相比,采用此方法,私鑰的安全性大大降低,但同時(shí)也免除了備份、恢復(fù)和文件傳輸操作。
最佳做法
以下最佳做法可以幫助公司有效地使用和管理加密的文件和文件夾。
1、恢復(fù)代理應(yīng)將其文件恢復(fù)證書備份到一個(gè)安全的地方。
在 Microsoft MMC 的證書管理單元中,使用“導(dǎo)出”命令,將文件恢復(fù)證書和私鑰導(dǎo)出到軟盤上。將軟盤保存到安全的地方。此后,如果計(jì)算機(jī)上的文件恢復(fù)證書或私鑰發(fā)生損壞或被刪除,可以在 MMC 的證書單元中,使用“導(dǎo)入”命令,用已備份到軟盤上的證書和私鑰代替已損壞或刪除的證書和私鑰。
2、使用默認(rèn)域配置。
在默認(rèn)情況下,域管理員是 Windows 2000 或 Windows Server 2003 域中的默認(rèn)數(shù)據(jù)恢復(fù)代理。域管理員首次用該帳戶登錄時(shí),會(huì)生成一份自簽名證書,私鑰將保存在計(jì)算機(jī)的用戶配置文件中,默認(rèn)的域“組策略”中則包含該證書的公鑰,作為域中默認(rèn)數(shù)據(jù)恢復(fù)代理。
3、請(qǐng)立即更新已丟或到期的 DRA 私鑰。
雖然 DRA 證書的到期只是一個(gè)小事件,但是 DRA 私鑰的丟失與損壞對(duì)可能造成企業(yè)的巨大損失。
4、到期的 DRA 證書(私鑰)仍然可以用于解密以前加密的文件,但不能用于新建或更新的加密文件。在 DRA 私鑰丟失或 DRA 證書到期的情況下,最佳做法是立即生成一個(gè)或多個(gè)新的 DRA 證書,并對(duì)“組策略”實(shí)施相應(yīng)的更新。用戶加密新文件或更新現(xiàn)有的加密文件時(shí),這些文件將使用新的 DRA 公鑰自動(dòng)進(jìn)行更新。提醒用戶采用新的 DRA,更新所有的現(xiàn)有文件。
5、在Windows XP中,執(zhí)行命令行工具 cipher.exe (使用 /U 參數(shù)),可以更新本地驅(qū)動(dòng)器中所有文件的加密密鑰或恢復(fù)代理密鑰。以下示例顯示了運(yùn)行 Cipher.exe 的本地驅(qū)動(dòng)器上兩個(gè)加密文件的更新:
Cipher.exe /U
C:\Temp\test.txt: Encryption updated.
C:\My Documents\wordpad.doc: Encryption updated.
注意:在無證書頒發(fā)機(jī)構(gòu)的域中使用默認(rèn)的自簽名證書時(shí),該證書的有效時(shí)間為 99 年。
下面的最佳做法可以幫助公司保護(hù)移動(dòng)用戶的數(shù)據(jù),以防失竊或丟失:
-計(jì)算機(jī)的物理保護(hù)至關(guān)重要。為保證計(jì)算機(jī)不失竊或不遭到物理損壞,應(yīng)采取一切必要的預(yù)防措施。這些預(yù)防措施是技術(shù)手段所無法替代的。
-使用移動(dòng)計(jì)算機(jī)時(shí),應(yīng)確保登錄到 Active Directory 域。
-存儲(chǔ)獨(dú)立于移動(dòng)計(jì)算機(jī)的用戶私鑰,并在必要時(shí)將其導(dǎo)入。
-加密公共文件夾,如“我的文檔”和臨時(shí)文件夾,以加密所有新文件和臨時(shí)文件。
-敏感數(shù)據(jù)文件應(yīng)建立在加密文件夾中,敏感數(shù)據(jù)明文文件應(yīng)拷貝到加密文件夾中。遵循該原則可以確保沒有明文文件存儲(chǔ)于計(jì)算機(jī)中,并且臨時(shí)文件無法被復(fù)雜的磁盤分析工具所恢復(fù)。
-結(jié)合使用組策略、登錄腳本和安全模板強(qiáng)制執(zhí)行文件夾加密操作,從而確保將標(biāo)準(zhǔn)文件夾(如“我的文檔”)設(shè)置為加密文件夾。
-Windows XP 操作系統(tǒng)支持脫機(jī)文件的數(shù)據(jù)加密。在應(yīng)用客戶端緩存策略時(shí),應(yīng)對(duì)存儲(chǔ)于本地緩存的脫機(jī)文件和文件夾進(jìn)行加密。
-在移動(dòng)計(jì)算機(jī)中,啟用系統(tǒng)工具 SYSKEY 的模式 2 或模式 3(軟盤啟動(dòng)或密碼啟動(dòng)),以防止惡意用戶啟動(dòng)系統(tǒng)。Windows 版本的聯(lián)機(jī)幫助中對(duì)該系統(tǒng)密鑰工具進(jìn)行了說明。
-為服務(wù)器啟用組策略中的 SMB 簽名,這些服務(wù)器是受信任的委派對(duì)象,并用來存儲(chǔ)加密文件。這個(gè)設(shè)置可以在“組策略”中找到,其路徑為:“組策略對(duì)象名稱”、“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“安全設(shè)置”、“本地策略”、“安全選項(xiàng)”、“Microsoft 網(wǎng)絡(luò)服務(wù)器: 完全數(shù)字簽名通信。
-文件加密后,確保從硬盤驅(qū)動(dòng)器中刪除未加密的數(shù)據(jù),該操作應(yīng)定期執(zhí)行。
沈陽數(shù)據(jù)恢復(fù) 
