Windows Server 2008 R2 之十五EFS（加密文件系统）

    EFS的应用条件：1、NTFS；2、具有系统属性的文件无法加密

    故障恢复代理：指定用于进行EFS文件恢复的用户帐号，该帐号将申请一张文件故障恢复的证书，同是还有持有与这张证书相应的公钥私钥对，用于对加密文件进行故障恢复。

    EFS加密过程：1、当一个用户第一次加密某个文件时，EFS会在本地证书产生一个EFS证书（非对称）；2、EFS也会随机产生一个FEK（文件加密密钥，对称）3、EFS会用第一步产生的证书的公钥对FEK进行加密4、EFS会将加密后的FEK存储在DDF（数据解压区）（DDF区域大约能够存储近800个经过用户公钥加密的FEK）

    实验环境：独立服务器R2RODC(安装好Windows Server 2008 R2）

    实验要求：

    EFS的基本操作

    备份文件恢复密钥

    新增故障恢复代理

    操作步骤：

为了便于演示，我在C盘建立一个文件夹EFSFOLDER，并在这个文件夹下建立了一个文件1.txt

一、EFS的基本操作

启用EFS可以在图形界面完成，也可以通过命令Cipher完成。相比图形界面，Cipher更为加大。

加密完成后，默认情况加密后的文件(文件夹）会彩色显示。

我们也可以使用命令完成以上任务：

默认情况下Cipher加密文件夹命令并不会加密码文件夹中已存在的文件，而是让Windows加密文件中的新文件。所以要加加密C:\EFSFolder文件夹以及其中已存在的文件，需要输入以下命令

Cipher /E C:\EFSFolder

Cipher /E C:\EFSFolder\*

当然我们也可以输入以下命令Cipher /e /s:c:\efsfolder（注意/s和后面的文件夹路径不能留空格）

解密

Cipher /d C:\EFSFolder(解密文件夹，不含文件）

Cipher /d C:\EFSFolder\* (解密文件下的文件)

二、备份密钥

图形方式

1、打开控制面版下的用户帐号，进行如下图操作

2、运行MMC，添加管理单元，选择“证书”，选择我的用户帐号

选择“个人”“证书”，操作如下图

3、通过Cipher命令备份

cipher /x

三、恢复代理

在操作之前，我先启用c:\efsfolder文件夹的EFS，下面通过操作增加故障恢复代理dcadmin,同时演示在增加前后对文件的影响

1、增加故障恢复代理

注销计算机，以EFSadmin登录计算机。

运行cipher /r:C:\Users\EFSAdmin\efsadmin

导入上一步操作产生efsadmin.pfx。打开这个文件所在文件夹，双击这个文件出现向导，选择导入（过程略）

注销计算机，以administrator登录计算机,运行Gpedit.msc,进行如下操作

现在注销administrator,以efsadmin登录，打开c:\efsfolder下的1.txt还是不能打开（这是因为故障恢复只能打开添加代理之后的文件，而1.txt是添加之前的文件）

重新以administrator登录，运行cipher /u然后以efsadmin登录，就可以打开1.txt文件了；或者先解密，然后再加密。 

补充说明

1、启用右键快键中的加密

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]"EncryptionContextMenu"=dword:00000001

2、域中计算机上的数据恢复代理

在建立第一个DC时，即将为该域配置一个默认的恢复策略，默认的恢复策略使用自签名证书，将域管理员帐号作为恢复代理。如果使用默认的恢复策略，则不需要

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!