EFS 相关概念和操作.pptVIP

EFS 相关概念和操作? 福州大学 吴海东 MCSE/MCDBA, CIWSA, MOE讲师 whd1972@ 课程知识点 授权和身份验证（第 1 章） 证书服务器的相关管理和部署（第2、3 章） 智能卡相关概念和配置（第 4 章） EFS 相关概念和操作（第5 章） 客户端和服务器端安全部署（第 6、7章） 安全更新服务器的管理和部署（第9章） 数据传输安全配置与部署（第 10～13章） ISA Server 2004 概述和安装配置 （第14 、15章) ISA Server 2004 服务器配置和部署 上（第 16 ～17，第22章） ISA Server 2004 服务器配置和部署 下（第 18 ～21 章） ISA Server 2004 服务器的监视（第 23 章） 今日主题 EFS概述 EFS在独立计算机的实施过程 EFS在域的实施过程 EFS排错 QA 补充 管理证书 密钥存档和密钥恢复 * 配置、部署和管理证书 管理证书（续） 密钥存档和恢复 密钥存档的前提条件：V2模板，CA运行Server 2003，CMS的证书管理信息，具有Windows Server 2003架构扩展的AD 配置CA进行密钥存档的方法 设置KRA模板权限 配置CA颁发KRA模板 为用户颁发KRA 批准和安装KRA证书 配置CA使用恢复代理 配置新模板使用恢复代理 配置CA基于新模板颁发证书 密钥恢复过程 * 配置、部署和管理证书 密钥恢复过程 * 配置、部署和管理证书 自动归档的过程 1 EFS概述－EFS加密原理 1 EFS概述－工作原理 2 EFS实施过程－在独立 XP 环境中实现 EFS 在独立环境中实现 EFS 的最佳实践 自签名的证书 使用 Windows Explorer 加密和解密文件的方法 创建数据恢复代理的方法 管理明文数据的指导方针 创建密码重设磁盘的方法 在独立计算机上禁用 EFS 2.1 在独立环境中实现 EFS 的最佳实践 2.2 自签名的证书 2.3 使用 Windows Explorer 加密和解密文件的方法 2.4 创建数据恢复代理的方法 2.5 管理明文数据的指导方针 2.6 创建密码重设磁盘的方法 2.7 在独立计算机上禁用 EFS 2.8 在 Windows XP 中启用 3DES 算法的方法 3 EFS的实施过程－在使用 PKI 的域环境中规划和实现 EFS 在使用 PKI 的域环境中规划 EFS 的指导方针 确定计算机上是否在使用 EFS 的方法 更改域的恢复策略的方法 迁移到新的证书的方法 在 Windows XP 中启用 3DES 算法的方法 在关机时清除页面文件的方法 3.1 更改域的恢复策略的方法 3.2 迁移到新的证书的方法 3.3 在关机时清除页面文件的方法 4 实现 EFS 文件共享 EFS 文件共享 在多个用户之间共享加密文件的方法 远程服务器上的文件共享 在不同位置之间移动或复制加密文件的影响 WebDAV 服务器 4.1 EFS 文件共享 4.2 在多个用户之间共享加密文件的方法 4.3 远程服务器上的文件共享 4.4 在不同位置之间移动或复制加密文件的影响WebDAV 服务器 4.5 WebDAV 服务器 5 EFS 故障排除 管理远程加密文件的指导方针 EFS 常见问题故障排除指导方针 5.1 管理远程加密文件的指导方针 5.2 EFS 常见问题故障排除指导方针 DRA 或用户并不拥有与加密文件关联的私钥 今日回顾 EFS概述 EFS在独立计算机的实施过程 EFS在域的实施过程 EFS的排错 微软教学研究会欢迎您！ 将服务器或用户账户标记为可信任委派 -或- 使用 WebDAV 实现端对端加密 确定谁能将文件解密 可以在命令行输入 certutil –store 命令并比较其证书序列号与授权解密文件的证书的序列号 如果没有匹配的证书，应使用数据或密钥恢复方法 指导原则 故障 DRA 或用户并不拥有与加密文件关联的私钥 用户账户或服务器未获得委派信任 5.5.2 EFS 常见问题故障排除指导方针 /msteacher 议题简介： 注意：强烈建议在证书管理单元里申请KRA证书，如在WEB页申请请不要让系统自动选择容器，否则系统会将KRA证书安装在计算机的KRA容器里，KRA证书必须要安装在恢复代理的个人证书容器里，才可以解密导出的BLOB（见后说明）。但默认情况下，KRA是无权在CA里找回用户证书的BLOB的，这就起到了一个制约作用。这也是CA管理员和KRA要分离的原因 KRA和DRA有什么区别呢？DRA用来对加密的文件在必要时可以解密，但DRA不能访问特别的私有密钥，也不能恢复用户的证书，而K