采用 EFS 加密硬盘以保护数据(二)

　　目录　　简介　　准备工作　　生成与备份恢复密钥　　创建基于域的恢复代理　　创建本地恢复代理　　使用 EFS　　启用 Windows 资源管理器菜单中的加密/解密选项　　启用 EFS 文件共享　　导入与导出数据恢复密钥　　恢复数据　　最佳做法　　相关信息　　　　简介　　　　在许多企业中，都存在着多个用户共用一台计算机的情况。有些用户旅行时携带便携式计算机，并在没有企业物理保护的地方使用，如客户设施、机场、饭店和家中。这意味着重要的数据常常被置于企业控制之外。未经授权的用户可能希望读取存储在台式计算机中的数据。手提电脑可能会失窃。在所有这些情况下，公司的敏感数据都可能被窃取。　　　　采用加密文件系统 (EFS) 对敏感数据文件进行加密，可以加强数据的安生性。该解决方案可以有效的减小数据失窃的隐患。加密是一种采用数学算法的应用程序。文件经过加密处理后，只有拥有正确密钥的用户方可读取其内容。Microsoft 的 EFS 技术可以对计算机上的数据进行加密，并控制哪些人有权解密或恢复数据。文件被加密后，即使攻击者能够物理访问计算机的数据存储器，也无法读取用户数据。所有用户都必须拥有 EFS 证书，方可运用 EFS 对数据进行加密和解密。此外，EFS 用户必须拥有在 NTFS 卷中修改文件的权限。　　　　EFS 包括两种类型的证书：　　　　加密文件系统证书。此类证书允许其持有者使用 EFS 加密和解密数据，它通常也被直接称为 EFS 证书。普通的 EFS 用户使用此类证书。这类证书的"增强型密钥用法"字段（在 Microsoft 管理控制台管理单元中可以看到）的值为"EFS (1.3.6.1.4.1.311.10.3.4)"。　　　　文件恢复证书。此类证书的持有者可以在整个域或其他范围内对任何人加密的文件和文件夹进行恢复。只有域管理员或极受信任的委托人（即数据恢复代理）可以持有此类证书。这类证书的"增强型密钥用法"字段（在 Microsoft 管理控制台管理单元中可以看到）的值为"文件恢复 (1.3.6.1.4.1.311.10.3.4.1)"。此类证书通常被称为 EFS DRA 证书。　　　　要允许其他授权用户读取加密的数据，需要给他们私钥，或使其成为数据恢复代理。数据恢复代理可以在其范围内的域或组织单位中，解密所有的 EFS 加密文件。本文档为中小企业中主要的 EFS 相关任务提供了具体步骤指导，同时还列举了在 EFS 实施过程中几项重要的最佳做法。　　　　本文档中的步骤说明将指导您完成以下任务：