添加NTFS的密恢复代理.docVIP

添加NTFS的加密恢复代理 添加加密NTFS的加密恢复代理（尚没有贴图） 1．NTFS加密 ???????? 在windows 2000开始，微软开始采用NTFS 5.0的新文件系统，该文件系统和NT4时代的NTFS相比，主要增加了磁盘限额及NTFS加密功能。其中，NTFS的加密功能最成为人们批评的焦点：太敏感了！ 稍有不慎，就会导致数据丢失的情况发生。 ???????? 在深入之前，我们首先来回顾一下，NTFS的加密原理： ???????? NTFS的加密采用了非对称和对称加密两项技术，在要加密的文档上，当我们选择加密后，发生了如下的事情： 1．?? 文档采用随机生成的对称密钥加密 2．?? 然后这把对称秘钥又被加密人的公钥进行加密 3．?? 为防止加密人丢失公钥或其他情况的发生，同时亦用administrator的公钥进行加密。 ? ???? 解密的过程正相反： 1．?? 首先用户用自己的私钥解自己公钥加密的对称秘钥。 2．?? 拿到对称秘钥后，解开用对称秘钥加密的文档内容。 整个过程我总是喜欢用这样的一个比喻： 将文档卷轴放在一个大樟木箱子里面，然后用一把锁锁起来（对称秘钥），然后将这把锁的钥匙放在一个小盒子里，用用户的公钥锁锁起来（公钥加密），解密的时候，反过来，用用户的私钥解开小盒子，拿出里面的对称秘钥，用这把钥匙打开大樟木箱子，取出文档。 在这里，可能有人会觉得奇怪，为什么不直接采用用户的公钥加密文档呢，还要通过加密对称秘钥来实现这一步呢？这是因为公钥加密的算法难度要远远大于对称加密，本身不适合加密大量数据，而适合加密加密秘钥。 ? 2．NTFS加密的注意点： ?? （1）NTFS的加密是在磁盘上的，一旦文件离开磁盘，则加密效果就消失了。所以，不要希望通过NTFS加密来增强网络通讯的安全性 ?? （2）NTFS加密的用户必须在有NTFS加密文件的计算机上修改密码，如果他在另一台域内的计算机上修改密码，然后回过头来要打开这台计算机上的加密文件，则将不能打开 ?? （3）NTFS加密用户的密码必须由用户自己修改，方可继续打开加密文件，如果由administrator修改了用户密码，则用户不能打开加密文件。 ?? （4）管理员是默认的加密恢复代理，可以打开任何加密的文档。默认如果没有加密代理，则不允许进行加密操作。 ? 3．?? 添加加密恢复代理 有时候，企业需要添加额外的加密代理恢复员的角色，那么，就需要在administrator之外，添加专门的加密恢复员。 以下步骤，是添加加密恢复代理的操作： ? （一），安装企业级证书认证机构（CA） 要添加企业加密恢复代理，需要从CA申请EFS recovery Agent证书，所以，必须在企业内安装AD和基于AD的证书机构。安装AD不是我们讨论的内容，我们来看一下证书机构的安装吧。 首先，选择安装证书服务 然后，在证书服务类型中选择企业级根CA 在安装过程中填写一些必要的信息 然后，在安装的过程中，会问是否暂时停止IIS服务等信息，在此不一一罗列了 （二），修改证书模版权限，允许加密恢复员有对EFS Recovery Agent证书有申请的权利 要申请加密恢复代理证书，普通用户是没有权利的，默认只有domain admins组的成员才有权利申请，接下来，我们要修改证书模版，使得普通用户能够申请该证书 （1）首先，打开active directory site and service,默认情况下，service节点是不显示出来的，需要选择show service node，才能将其显示出来。 （2）在service节点中，选择public key policy，在其中选择certificate template中EFS Recovery模版 （3）打开该模版，可以发现该证书默认有权利申请者，在这里我们添加uer2用户，赋予其full control的权限。以允许其申请和修改证书。 ? （三），以user2身份登录，申请加密恢复代理证书 ?????????????????? 首先请注意，user2作为一个普通用户，默认是没有权利在DC上登录的，如何修改组策略，使得普通用户也能在DC上登录不在本文的讨论范围。(简单讲就是修改domain controller security policy的user right assignment .使其具有logon on locally的权利)。 （1）??????????????????????????? 在user2身份登录后，打开MMC，选择证书控件 ? （2）在控件的personal 下，选择申请新的证书（这一点，也是企业级CA和独立CA的重大差别，可以通过证书申请向导申请证书，而独立CA只能通过证书