【正文】 用戶證書也赫然在列,我們把它加進來注銷,再以cfo登錄cfo可以看cto特意為他共享出來的EFS加密文件了,然而他貪心不足地還想看看旁邊的那個想投機把自己證書加進去...就是這樣.經過了EFS加密設置,cto只要保護好自己的賬號密碼,就不用擔心有人能偷偷登錄到他本機去看他的重要資料了.但是有一點,非常關鍵,想必吃過這個虧的網(wǎng)友都牢記住了,用來解密文件的用戶私鑰是一定需要隨證書導出來備份的,否則當重新安裝了操作系統(tǒng)而無相應的用戶證書導入之時,就算你用相同的用戶再登入也是無法解密的.那用戶當時就是忘記了備份含密鑰的證書了,而現(xiàn)在出問題了,怎么辦?我只能告訴你,網(wǎng)上可能會有一些破解EFS加密的軟件你可以嘗試,但完全恢 ,加密時使用的賬號/域賬號的SID,我覺得防患于未然才是王道,既然我們一直在說的是處于域環(huán)境的,所以EFS下篇我會為大家介紹網(wǎng)域中的EFS Recovery ,怎么使用?...同時,也會補充分析一下網(wǎng)域中使用EFS的缺陷及不足...呵呵,敬請期待~域環(huán)境下如何保護重要資料文件的安全(一)EFS加密(下)20090814 23:15:09原創(chuàng)作品，允許轉載，轉載時請務必以超鏈接形式標明文章 原始出處 、作者信息和本聲明。RMS(下)20090823 22:13:12原創(chuàng)作品，允許轉載，轉載時請務必以超鏈接形式標明文章 原始出處 、作者信息和本聲明。 先看一下基于windows server 2008操作系統(tǒng)之上的AD RMS認證服務器的最低及推薦硬件配置： 要求 建議 一個 Pentium 4 3 GHz 處理器或更高級處理器兩個 Pentium 4 3 GHz 處理器或更高級處理器512 MB 的 RAM1024 MB 的 RAM40 GB 的可用硬盤空間80 GB 的可用硬盤空間可以看到硬件需求并不苛刻注：對于DC及SQL數(shù)據(jù)庫的硬件要求這里不多做敘述 再來看軟件要求： 軟件 要求 操作系統(tǒng)Windows Server 2008 /Windows Server 2008 R2文件系統(tǒng)建議使用 NTFS 文件系統(tǒng)消息MSMQ消息隊列Web 服務Internet 信息服務 (IIS)。此安裝帳號要加入進AD RMS服務器的本地管理員組，并且具有SQL Server的本地管理員權限以及系統(tǒng)管理員數(shù)據(jù)庫角色。另一方 面，設計它的主要目的是對整個磁盤進行加密，這包括了操作系統(tǒng)分區(qū)，存放資料的數(shù)據(jù)分區(qū)等，使得即使計算機或者計算機磁盤丟失后上面的數(shù)據(jù)也不會被惡意分 子破解出來，這個初衷點和EFS、RMS等方案有些差別。 上面說到BitLocker會將密鑰保存在磁盤之外的地方，那么具體是什么地方呢？ 一是存放在TPM上。畢竟連微軟自己都承認Vista在中國的失敗，可以想象一下有多少用戶通過合法手段使用著E版和U 版的Vista了。問題出現(xiàn)了，在分區(qū)設置已經完成的Vista系統(tǒng)之上，我們怎么樣為BitLocker劃出它要用的那塊活動分區(qū)？而且這個活動分區(qū)要位于C盤的前面而優(yōu)先被加載！答案可能讓你難以接受，這就是：需要重新安裝操作系統(tǒng)，在安裝系統(tǒng)之時進入WinRE環(huán)境使用diskpart命令重新劃分分區(qū)并激活活動分區(qū)。 第一次想要啟用BitLocker的話可以直接在要加密的磁盤分區(qū)上右鍵，選擇“啟用BitLocker”，也可以在控制面板中進行操作。要使用此方式必須先加密系統(tǒng)分區(qū)。應通過打印或者將其作為數(shù)據(jù)文件存儲在可移動介質或文件夾中的方式存儲恢復密碼。 （注：這句的意思就是可以將恢復密碼存儲在AD中） 我這里選擇將恢復密碼保存到本地磁盤上，然后會打開它讓大家看看里面到底是什么內容?？梢钥吹交謴兔艽a是由一長串十進制數(shù)字組成的。加密完成后這些文件會被自動刪除，同時可用空間數(shù)量會恢復正常。 下篇預告：計算機上沒有TPM芯片的情景這個時候我們該怎么應用BitLocker呢？還有，恢復密碼到底何時用？怎么用呢？如果加密了系統(tǒng)分區(qū)，會有怎樣的情景呢？神秘的BitLocker To Go又能帶給我們什么樣的驚喜呢？最終BitLocker又是怎樣和域環(huán)境配合起來的呢？95。 在加密好的分區(qū)上右鍵點擊管理BitLocker，可以看到我們能夠的操作有更改解鎖密碼，刪除密碼，使用智能卡解鎖密碼或者再次保存或打印恢復密碼等。 當點擊“啟動加密”后，可以在控制臺中看到D盤上出現(xiàn)了一把鎖頭的標識。當然了，把密碼放在被加密的分區(qū)里就相當于把鑰匙落在鎖好門的家里一樣。如果您對其他數(shù)據(jù)驅動器進行了加密，則每個驅動器都有其自己的恢復密碼，這些密碼與安裝了 Windows 的驅動器的密碼都不同，應妥善保存。這里我輸入了一串包含大小寫字母符號等的復雜密碼。 因為這次演示過程我是在物理機器上直接操作的，所以暫時不選擇加密系統(tǒng)分區(qū)，因為加密后啟動時不方便截圖看效果，所以我后面會用虛擬機來演示加密系統(tǒng)分區(qū)的效果，這里我選擇加密數(shù)據(jù)分區(qū)D盤?？紤]到第二點的尷尬情景，微軟特別開發(fā)了一個叫做“BitLocker和EFS增強”的工具，這個工具是作為Windows Vista Ultimate Extras提供給用戶的，也就是通過Vista Ultimate的自動更新獲得的，如果是Vista Enterprise版本則需要聯(lián)系微軟獲得此工具，除此之外你找不到下載它的地方。 2. 要在Vista E/U上使用BitLocker，計算機磁盤上必須至少兩個活動分區(qū)。以筆者的工作電腦HP paq dc7800p（系統(tǒng)為win7旗艦版）來說，打開設備管理器，可以看到 。 在Vista之前的操作系統(tǒng)中，我們對數(shù)據(jù)加密的常規(guī)方法就是使用EFS，我前面的文章中也詳細介紹過了它的優(yōu)勢和不足，其中比較明顯的幾個弱 勢之處有：EFS無法加密系統(tǒng)文件；對用戶加密私鑰依賴性極強，如果發(fā)生未導出保存或沒有恢復代理的情況，很有可能發(fā)生無法打開加密文件的事件，同時，如 果發(fā)生計算機、計算機磁盤被盜竊/丟失的情況，惡意之徒可以將磁盤掛載到其他計算機上并使用工具搜索用戶密鑰從而破解。建立好AD RMS安裝帳號，我們還要創(chuàng)建一個用作AD RMS服務帳號的域帳號（這里我設定為adrmssrvc），此帳號并不要求額外的權限，domain users成員就好。Active Directory 或 Active Directory 域服務AD RMS 必須安裝在 Active Directory 域中，其中域控制器正在運行帶有 Service Pack 3 (SP3) 的 Windows Server 2000、Windows Server 200Windows Server? 2008 或 Windows Server 2008 R2。 在前文域環(huán)境下如何保護重要資料文件的安全(二)IRMamp。 在域環(huán)境下如何保護重要資料文件的安全(一)EFS加密(上),大家也是對EFS的效果比較滿意的,有兄弟就蠢蠢欲動了,先別急別急,多聽我說幾句. EFS在生產環(huán)境中使用,你需要考慮這么幾個很現(xiàn)實的問題: 因為EFS操作簡單易用,對于用戶證書及密鑰的管理就越麻煩,不備份證書及密鑰當然不可行,遇到系統(tǒng)故障 需要重做系統(tǒng)或者用戶賬號被刪除,都是極其麻煩的事情。否則將追究法律責任。否則將追究法律責任。必須啟用 。如果需要在安裝過程中注冊服務連接點（SCP），此帳號還需具有網(wǎng)域Enterprise Admins組成員身份。 BitLocker是如此的不同，所以微軟為了讓更多人了解它使用它，也在后續(xù)的操作系統(tǒng)（Win7，Windows server 2008 R2）中對它進行了改進，我這里要為大家介紹的也是基于Windows 7系統(tǒng)之上改良過的BitLocker及嶄新的BitLocker To Go. 我們還是先看一下BitLocker的一些概念知識。說到TPM，它的全名是Trusted Platform Module，是一種硬件芯片，在安全性要求比較高的臺式機/工作站/筆記本上基本都會有。拿筆者自己的軟硬件來說，購買的上萬元的Dell Studio XPS 9000也選擇的是Home Premium版本，要選擇升級到Ultimate得加1119塊錢…所以，也就無緣得用BitLocker了…至于說有多少企業(yè)采購了Vista企業(yè)版/旗艦版，我手頭并沒有相關數(shù)據(jù)，不過在論壇當版主這么久，看到網(wǎng)友問題中描述的企業(yè)環(huán)境，Vista基本不會被選擇用在客戶端。如果你的企業(yè)中的計算機在大規(guī)模部署安裝Vista企業(yè)版/旗艦版的初始并沒有想到過使用BitLocker，那么情形可能會比較囧，要使用BitLocker還得重做系統(tǒng)重新分區(qū)？~Oh，No~ 3. 第三點是接著上面第二點說的。 這里我選擇到控制面板中設定BitLocker，這樣更直觀一些。 因為我只想加密D盤這個數(shù)據(jù)分區(qū)，而手頭也沒有SmartCard，所以我選擇第一項，使用密碼加解密。將恢復密碼存儲在計算機以外的位置。 注意，當你選擇將恢復密碼保存到要被加密的區(qū)分，會被阻止。至于恢復密碼如何使用，后文自有分解… 回到BitLocker配置向導中，我們終于可以開始加密操作了。 等啊等，終于加密完成，可以看到D分區(qū)的容量顯示又恢復了