添加NTFS的加密恢复代理

添加添加 NTFSNTFS 的加密恢复代理的加密恢复代理添加加密添加加密 NTFSNTFS 的加密恢复代理（尚没有贴图）的加密恢复代理（尚没有贴图） 1NTFS 加密在 windows 2000 开始，微软开始采用 NTFS 5.0 的新文件系统，该文 件系统和 NT4 时代的 NTFS 相比，主要增加了磁盘限额及 NTFS 加密功能。其中， NTFS 的加密功能最成为人们批评的焦点：太敏感了！ 稍有不慎，就会导致数 据丢失的情况发生。 在深入之前，我们首先来回顾一下，NTFS 的加密原理：NTFS 的加密采用了非对称和对称加密两项技术，在要加密的文档上， 当我们选择加密后，发生了如下的事情： 1 文档采用随机生成的对称密钥加密 2 然后这把对称秘钥又被加密人的公钥进行加密 3 为防止加密人丢失公钥或其他情况的发生，同时亦用 administrator 的 公钥进行加密。解密的过程正相反： 1 首先用户用自己的私钥解自己公钥加密的对称秘钥。 2 拿到对称秘钥后，解开用对称秘钥加密的文档内容。 整个过程我总是喜欢用这样的一个比喻：将文档卷轴放在一个大樟木箱子里面，然后用一把锁锁起来（对称秘钥），然将文档卷轴放在一个大樟木箱子里面，然后用一把锁锁起来（对称秘钥），然 后将这把锁的钥匙放在一个小盒子里，用用户的公钥锁锁起来（公钥加密），后将这把锁的钥匙放在一个小盒子里，用用户的公钥锁锁起来（公钥加密）， 解密的时候，反过来，用用户的私钥解开小盒子，拿出里面的对称秘钥，用这解密的时候，反过来，用用户的私钥解开小盒子，拿出里面的对称秘钥，用这 把钥匙打开大樟木箱子，取出文档。把钥匙打开大樟木箱子，取出文档。 在这里，可能有人会觉得奇怪，为什么不直接采用用户的公钥加密文档呢，还 要通过加密对称秘钥来实现这一步呢？这是因为公钥加密的算法难度要远远大 于对称加密，本身不适合加密大量数据，而适合加密加密秘钥。2NTFS 加密的注意点：（1）NTFS 的加密是在磁盘上的，一旦文件离开磁盘，则加密效果就消失了。 所以，不要希望通过 NTFS 加密来增强网络通讯的安全性（2）NTFS 加密的用户必须在有 NTFS 加密文件的计算机上修改密码，如果 他在另一台域内的计算机上修改密码，然后回过头来要打开这台计算机上的加 密文件，则将不能打开（3）NTFS 加密用户的密码必须由用户自己修改，方可继续打开加密文件， 如果由 administrator 修改了用户密码，则用户不能打开加密文件。（4）管理员是默认的加密恢复代理，可以打开任何加密的文档。默认如果 没有加密代理，则不允许进行加密操作。3 添加加密恢复代理 有时候，企业需要添加额外的加密代理恢复员的角色，那么，就需要在 administrator 之外，添加专门的加密恢复员。 以下步骤，是添加加密恢复代理的操作：（一），安装企业级证书认证机构（CA） 要添加企业加密恢复代理，需要从 CA 申请 EFS recovery Agent 证书，所以， 必须在企业内安装 AD 和基于 AD 的证书机构。安装 AD 不是我们讨论的内容，我 们来看一下证书机构的安装吧。 首先，选择安装证书服务然后，在证书服务类型中选择企业级根 CA在安装过程中填写一些必要的信息然后，在安装的过程中，会问是否暂时停止 IIS 服务等信息，在此不一一罗列 了 （二），修改证书模版权限，允许加密恢复员有对 EFS Recovery Agent 证书有 申请的权利 要申请加密恢复代理证书，普通用户是没有权利的，默认只有 domain admins 组的成员才有权利申请，接下来，我们要修改证书模版，使得普通用户能够申 请该证书 （1）首先，打开 active directory site and service,默认情况下，service 节点是不显示出来的，需要选择 show service node，才能将其显示出来。（2）在 service 节点中，选择 public key policy，在其中选择 certificate template 中 EFS Recovery 模版（3）打开该模版，可以发现该证书默认有权利申请者，在这里我们添加 uer2 用户，赋予其 full control 的权限。以允许其申请和修改证书。（三），以 user2 身份登录，申请加密恢复代理证书首先请注意，user2 作为一个普通用户，默认是没有权利 在 DC 上登录的，如何修改组策略，使得普通用户也能在 DC 上登录不在本文的 讨论范围。(简单讲就是修改 domain controller security policy 的 user right assignment .使其具有 logon on locally 的权利)。 （1） 在 user2 身份登录后，打开 MMC，选择证 书控件（2）在控件的 personal 下，选择申请新的证书（这一点，也是企业级 CA 和 独立 CA 的重大差别，可以通过证书申请向导申请证书，而独立 CA 只能通过证 书申请 WEB 页申请）（3）在申请证书向导中，我们就可以看见 user2 多了 EFS Recovery 证书申请。在申请中，选择一个友好名称（4）申请该证书后，检查证书已经存在（四）修改域级的组策略，添加加密恢复代理（1）重新以 administrator 身份登录，然后选择 domain security policy（2）在策略中，选择公钥策略，在公钥策略中，选择加密恢复代理，然后快 捷键选择添加（这里可以看到，administrator 是默认的加密恢复代理）（3）在弹出的向导中，选择添加 user2然后，我们可以看见 user2 成为了加密恢复代理。（五），刷新策略，使修改生效在 run 中输入以上的命令，注意最后的 enforce 参数是强制刷新。在 windows 2003 中，该命令简化成了 gpupdate至此，user2 用户被添加为加密恢复代理了，但是我们还是有一些问题要明确：1 User2 不能解密在他成为加密代理前加密的文档 2 只有存有 user2 证书的计算机才可以加解密 NTFS 文档。 3 如果我们要指定一台计算机集中解密数据，那么必须把 user2 的证书(含 私钥) 导入到该台计算机。该台计算机将被称为“加密恢复站” 4注意保管好 user2 的证书