【正文】 用戶證書也赫然在列,我們把它加進(jìn)來注銷,再以cfo登錄cfo可以看cto特意為他共享出來的EFS加密文件了,然而他貪心不足地還想看看旁邊的那個(gè)想投機(jī)把自己證書加進(jìn)去...就是這樣.經(jīng)過了EFS加密設(shè)置,cto只要保護(hù)好自己的賬號密碼,就不用擔(dān)心有人能偷偷登錄到他本機(jī)去看他的重要資料了.但是有一點(diǎn),非常關(guān)鍵,想必吃過這個(gè)虧的網(wǎng)友都牢記住了,用來解密文件的用戶私鑰是一定需要隨證書導(dǎo)出來備份的,否則當(dāng)重新安裝了操作系統(tǒng)而無相應(yīng)的用戶證書導(dǎo)入之時(shí),就算你用相同的用戶再登入也是無法解密的.那用戶當(dāng)時(shí)就是忘記了備份含密鑰的證書了,而現(xiàn)在出問題了,怎么辦?我只能告訴你,網(wǎng)上可能會有一些破解EFS加密的軟件你可以嘗試,但完全恢 ,加密時(shí)使用的賬號/域賬號的SID,我覺得防患于未然才是王道,既然我們一直在說的是處于域環(huán)境的,所以EFS下篇我會為大家介紹網(wǎng)域中的EFS Recovery ,怎么使用?...同時(shí),也會補(bǔ)充分析一下網(wǎng)域中使用EFS的缺陷及不足...呵呵,敬請期待~域環(huán)境下如何保護(hù)重要資料文件的安全(一)EFS加密(下)20090814 23:15:09原創(chuàng)作品，允許轉(zhuǎn)載，轉(zhuǎn)載時(shí)請務(wù)必以超鏈接形式標(biāo)明文章 原始出處 、作者信息和本聲明。RMS(下)20090823 22:13:12原創(chuàng)作品，允許轉(zhuǎn)載，轉(zhuǎn)載時(shí)請務(wù)必以超鏈接形式標(biāo)明文章 原始出處 、作者信息和本聲明。 先看一下基于windows server 2008操作系統(tǒng)之上的AD RMS認(rèn)證服務(wù)器的最低及推薦硬件配置： 要求 建議 一個(gè) Pentium 4 3 GHz 處理器或更高級處理器兩個(gè) Pentium 4 3 GHz 處理器或更高級處理器512 MB 的 RAM1024 MB 的 RAM40 GB 的可用硬盤空間80 GB 的可用硬盤空間可以看到硬件需求并不苛刻注：對于DC及SQL數(shù)據(jù)庫的硬件要求這里不多做敘述 再來看軟件要求： 軟件 要求 操作系統(tǒng)Windows Server 2008 /Windows Server 2008 R2文件系統(tǒng)建議使用 NTFS 文件系統(tǒng)消息MSMQ消息隊(duì)列Web 服務(wù)Internet 信息服務(wù) (IIS)。此安裝帳號要加入進(jìn)AD RMS服務(wù)器的本地管理員組，并且具有SQL Server的本地管理員權(quán)限以及系統(tǒng)管理員數(shù)據(jù)庫角色。另一方 面，設(shè)計(jì)它的主要目的是對整個(gè)磁盤進(jìn)行加密，這包括了操作系統(tǒng)分區(qū)，存放資料的數(shù)據(jù)分區(qū)等，使得即使計(jì)算機(jī)或者計(jì)算機(jī)磁盤丟失后上面的數(shù)據(jù)也不會被惡意分 子破解出來，這個(gè)初衷點(diǎn)和EFS、RMS等方案有些差別。 上面說到BitLocker會將密鑰保存在磁盤之外的地方，那么具體是什么地方呢？ 一是存放在TPM上。畢竟連微軟自己都承認(rèn)Vista在中國的失敗，可以想象一下有多少用戶通過合法手段使用著E版和U 版的Vista了。問題出現(xiàn)了，在分區(qū)設(shè)置已經(jīng)完成的Vista系統(tǒng)之上，我們怎么樣為BitLocker劃出它要用的那塊活動分區(qū)？而且這個(gè)活動分區(qū)要位于C盤的前面而優(yōu)先被加載！答案可能讓你難以接受，這就是：需要重新安裝操作系統(tǒng)，在安裝系統(tǒng)之時(shí)進(jìn)入WinRE環(huán)境使用diskpart命令重新劃分分區(qū)并激活活動分區(qū)。 第一次想要啟用BitLocker的話可以直接在要加密的磁盤分區(qū)上右鍵，選擇“啟用BitLocker”，也可以在控制面板中進(jìn)行操作。要使用此方式必須先加密系統(tǒng)分區(qū)。應(yīng)通過打印或者將其作為數(shù)據(jù)文件存儲在可移動介質(zhì)或文件夾中的方式存儲恢復(fù)密碼。 （注：這句的意思就是可以將恢復(fù)密碼存儲在AD中） 我這里選擇將恢復(fù)密碼保存到本地磁盤上，然后會打開它讓大家看看里面到底是什么內(nèi)容?？梢钥吹交謴?fù)密碼是由一長串十進(jìn)制數(shù)字組成的。加密完成后這些文件會被自動刪除，同時(shí)可用空間數(shù)量會恢復(fù)正常。 下篇預(yù)告：計(jì)算機(jī)上沒有TPM芯片的情景這個(gè)時(shí)候我們該怎么應(yīng)用BitLocker呢？還有，恢復(fù)密碼到底何時(shí)用？怎么用呢？如果加密了系統(tǒng)分區(qū)，會有怎樣的情景呢？神秘的BitLocker To Go又能帶給我們什么樣的驚喜呢？最終BitLocker又是怎樣和域環(huán)境配合起來的呢？95。 在加密好的分區(qū)上右鍵點(diǎn)擊管理BitLocker，可以看到我們能夠的操作有更改解鎖密碼，刪除密碼，使用智能卡解鎖密碼或者再次保存或打印恢復(fù)密碼等。 當(dāng)點(diǎn)擊“啟動加密”后，可以在控制臺中看到D盤上出現(xiàn)了一把鎖頭的標(biāo)識。當(dāng)然了，把密碼放在被加密的分區(qū)里就相當(dāng)于把鑰匙落在鎖好門的家里一樣。如果您對其他數(shù)據(jù)驅(qū)動器進(jìn)行了加密，則每個(gè)驅(qū)動器都有其自己的恢復(fù)密碼，這些密碼與安裝了 Windows 的驅(qū)動器的密碼都不同，應(yīng)妥善保存。這里我輸入了一串包含大小寫字母符號等的復(fù)雜密碼。 因?yàn)檫@次演示過程我是在物理機(jī)器上直接操作的，所以暫時(shí)不選擇加密系統(tǒng)分區(qū)，因?yàn)榧用芎髥訒r(shí)不方便截圖看效果，所以我后面會用虛擬機(jī)來演示加密系統(tǒng)分區(qū)的效果，這里我選擇加密數(shù)據(jù)分區(qū)D盤?？紤]到第二點(diǎn)的尷尬情景，微軟特別開發(fā)了一個(gè)叫做“BitLocker和EFS增強(qiáng)”的工具，這個(gè)工具是作為Windows Vista Ultimate Extras提供給用戶的，也就是通過Vista Ultimate的自動更新獲得的，如果是Vista Enterprise版本則需要聯(lián)系微軟獲得此工具，除此之外你找不到下載它的地方。 2. 要在Vista E/U上使用BitLocker，計(jì)算機(jī)磁盤上必須至少兩個(gè)活動分區(qū)。以筆者的工作電腦HP paq dc7800p（系統(tǒng)為win7旗艦版）來說，打開設(shè)備管理器，可以看到 。 在Vista之前的操作系統(tǒng)中，我們對數(shù)據(jù)加密的常規(guī)方法就是使用EFS，我前面的文章中也詳細(xì)介紹過了它的優(yōu)勢和不足，其中比較明顯的幾個(gè)弱 勢之處有：EFS無法加密系統(tǒng)文件；對用戶加密私鑰依賴性極強(qiáng)，如果發(fā)生未導(dǎo)出保存或沒有恢復(fù)代理的情況，很有可能發(fā)生無法打開加密文件的事件，同時(shí)，如 果發(fā)生計(jì)算機(jī)、計(jì)算機(jī)磁盤被盜竊/丟失的情況，惡意之徒可以將磁盤掛載到其他計(jì)算機(jī)上并使用工具搜索用戶密鑰從而破解。建立好AD RMS安裝帳號，我們還要創(chuàng)建一個(gè)用作AD RMS服務(wù)帳號的域帳號（這里我設(shè)定為adrmssrvc），此帳號并不要求額外的權(quán)限，domain users成員就好。Active Directory 或 Active Directory 域服務(wù)AD RMS 必須安裝在 Active Directory 域中，其中域控制器正在運(yùn)行帶有 Service Pack 3 (SP3) 的 Windows Server 2000、Windows Server 200Windows Server? 2008 或 Windows Server 2008 R2。 在前文域環(huán)境下如何保護(hù)重要資料文件的安全(二)IRMamp。 在域環(huán)境下如何保護(hù)重要資料文件的安全(一)EFS加密(上),大家也是對EFS的效果比較滿意的,有兄弟就蠢蠢欲動了,先別急別急,多聽我說幾句. EFS在生產(chǎn)環(huán)境中使用,你需要考慮這么幾個(gè)很現(xiàn)實(shí)的問題: 因?yàn)镋FS操作簡單易用,對于用戶證書及密鑰的管理就越麻煩,不備份證書及密鑰當(dāng)然不可行,遇到系統(tǒng)故障 需要重做系統(tǒng)或者用戶賬號被刪除,都是極其麻煩的事情。否則將追究法律責(zé)任。否則將追究法律責(zé)任。必須啟用 。如果需要在安裝過程中注冊服務(wù)連接點(diǎn)（SCP），此帳號還需具有網(wǎng)域Enterprise Admins組成員身份。 BitLocker是如此的不同，所以微軟為了讓更多人了解它使用它，也在后續(xù)的操作系統(tǒng)（Win7，Windows server 2008 R2）中對它進(jìn)行了改進(jìn)，我這里要為大家介紹的也是基于Windows 7系統(tǒng)之上改良過的BitLocker及嶄新的BitLocker To Go. 我們還是先看一下BitLocker的一些概念知識。說到TPM，它的全名是Trusted Platform Module，是一種硬件芯片，在安全性要求比較高的臺式機(jī)/工作站/筆記本上基本都會有。拿筆者自己的軟硬件來說，購買的上萬元的Dell Studio XPS 9000也選擇的是Home Premium版本，要選擇升級到Ultimate得加1119塊錢…所以，也就無緣得用BitLocker了…至于說有多少企業(yè)采購了Vista企業(yè)版/旗艦版，我手頭并沒有相關(guān)數(shù)據(jù)，不過在論壇當(dāng)版主這么久，看到網(wǎng)友問題中描述的企業(yè)環(huán)境，Vista基本不會被選擇用在客戶端。如果你的企業(yè)中的計(jì)算機(jī)在大規(guī)模部署安裝Vista企業(yè)版/旗艦版的初始并沒有想到過使用BitLocker，那么情形可能會比較囧，要使用BitLocker還得重做系統(tǒng)重新分區(qū)？~Oh，No~ 3. 第三點(diǎn)是接著上面第二點(diǎn)說的。 這里我選擇到控制面板中設(shè)定BitLocker，這樣更直觀一些。 因?yàn)槲抑幌爰用蹹盤這個(gè)數(shù)據(jù)分區(qū)，而手頭也沒有SmartCard，所以我選擇第一項(xiàng)，使用密碼加解密。將恢復(fù)密碼存儲在計(jì)算機(jī)以外的位置。 注意，當(dāng)你選擇將恢復(fù)密碼保存到要被加密的區(qū)分，會被阻止。至于恢復(fù)密碼如何使用，后文自有分解… 回到BitLocker配置向?qū)е?，我們終于可以開始加密操作了。 等啊等，終于加密完成，可以看到D分區(qū)的容量顯示又恢復(fù)了