采用 EFS 加密硬盘以保护数据

•

导入数据恢复密钥 1. 使用有效帐户登录计算机。 2. 单击“开始”、“运行”。 3. 键入 mmc.exe ，并按“回车”键。 4. 在 MMC 中，在“文件”菜单中，选择“添加/删除管理单元”。 5. 单击“添加”。弹出当前计算机上注册的所有管理单元列表。 6. 双击“证书” 管理单元，单击“我的用户帐户”，然后单击“完成”。 7. 在“添加独立管理单元”对话框中，单击“关闭”按钮，然后在“添加/删除管理单元”对话框中，单击“确定”按钮。MMC 当前显示适合管理员帐户的个人证书。 8. 导航到“证书”、“当前用户”、“个人”、“证书”，右键单击该文件夹，选择“所有任务”，然后单击“导入”，启动“证书导入向导”。 9. 单击“下一步”，输入要导入的文件和及其路径，再单击“下一步”。 10. 如果导入的文件为 PKCS #12 文件，在“密码”页中的“密码”框中，输入该文件的密码。 最佳的做法为采用强密码保护私钥。 11. 如果稍后需要从该计算机中再次导出此密钥，请选中“标明该密钥为可导出”复选框。单击“下一步” 12. 向导可能会提示您指定证书与私钥应该导入的存储器。要确保私钥被导入到个人存储器中，请不要选择“基于证书类型自动选择证书存储器”，而应选择“把所有证书保存到以下存储器中”，然后单击“下一步”。 13. 高亮度选择“个人”存储器，单击“确定”按钮。 14. 单击“下一步”，再单击“完成”，结束导入过程。通知将报告导入操作是否成功。

要点：数据恢复代理应始终使用基于域的帐户，这是因为本地帐户易于受到离线物理攻击。

恢复数据

如果原始用户无法恢复加密的数据（例如，该用户已离开公司），您需要一种数据恢复方法，以便公司能够继续使用这些数据。本节描述了如何恢复加密的文件或文件夹。为此，需要使用备份工具，把用户的加密文件或文件夹还原到计算机上，而文件恢复证书和数据恢复代理的恢复密钥也存储于该计算机中。

只有指定的恢复代理才能执行该操作。也就是说，再待恢复的文件或文件夹中，您必须拥有有效的 DRA 私钥和证书。

要求

•	凭据：数据恢复代理。
•	工具：Windows 资源管理器。

•	还原加密的文件或文件夹 1. 打开 Windows 资源管理器。 2. 右键单击要恢复的文件或文件夹，单击“属性”。 3. 在“常规”选项卡中，单击“高级”。 4. 清除“加密内容以保护数据”复选框。 5. 制作解密文件或文件夹的备份，并将其交给用户。 注意： 您可以通过电子邮件附件、磁盘或网络共享将备份版本返还给用户。 恢复数据的另一种方法为，传输恢复代理的私钥和证书到存有加密文件的计算机中，导入私钥和证书，解密该文件或文件夹，然后删除导入的私钥和证书。与方法一相比，采用此方法，私钥的安全性大大降低，但同时也免除了备份、恢复和文件传输操作。

最佳做法

以下最佳做法可以帮助公司有效地使用和管理加密的文件和文件夹。

•	恢复代理应将其文件恢复证书备份到一个安全的地方。 在 Microsoft MMC 的证书管理单元中，使用“导出”命令，将文件恢复证书和私钥导出到软盘上。将软盘保存到安全的地方。此后，如果计算机上的文件恢复证书或私钥发生损坏或被删除，可以在 MMC 的证书单元中，使用“导入”命令，用已备份到软盘上的证书和私钥代替已损坏或删除的证书和私钥。
•	使用默认域配置。 在默认情况下，域管理员是 Windows 2000 或 Windows Server 2003 域中的默认数据恢复代理。域管理员首次用该帐户登录时，会生成一份自签名证书，私钥将保存在计算机的用户配置文件中，默认的域“组策略”中则包含该证书的公钥，作为域中默认数据恢复代理。
•	请立即更新已丢或到期的 DRA 私钥。 虽然 DRA 证书的到期只是一个小事件，但是 DRA 私钥的丢失与损坏对可能造成企业的巨大损失。 到期的 DRA 证书（私钥）仍然可以用于解密以前加密的文件，但不能用于新建或更新的加密文件。在 DRA 私钥丢失或 DRA 证书到期的情况下，最佳做法是立即生成一个或多个新的 DRA 证书，并对“组策略”实施相应的更新。用户加密新文件或更新现有的加密文件时，这些文件将使用新的 DRA 公钥自动进行更新。提醒用户采用新的 DRA，更新所有的现有文件。 在Windows XP中，执行命令行工具 cipher.exe （使用 /U 参数），可以更新本地驱动器中所有文件的加密密钥或恢复代理密钥。以下示例显示了运行 Cipher.exe 的本地驱动器上两个加密文件的更新： Cipher.exe /U C:\Temp\test.txt: Encryption updated. C:\My Documents\wordpad.doc: Encryption updated. 注意：在无证书颁发机构的域中使用默认的自签名证书时，该证书的有效时间为 99 年。