如果原始用户无法恢复加密的数据(例如,该用户已离开公司),您需要一种
数据恢复方法,以便公司能够继续使用这些数据。本节描述了如何恢复加密的文件或文件夹。为此,需要使用备份工具,把用户的加密文件或文件夹还原到计算机上,而文件恢复证书和
数据恢复代理的恢复密钥也存储于该计算机中。
只有指定的恢复代理才能执行该操作。也就是说,再待恢复的文件或文件夹中,您必须拥有有效的 DRA 私钥和证书。
要求
• |
凭据:
数据恢复代理。
|
• |
工具:Windows 资源管理器。
|
• |
还原加密的文件或文件夹
|
最佳做法
以下最佳做法可以帮助公司有效地使用和管理加密的文件和文件夹。
• |
恢复代理应将其文件恢复证书备份到一个安全的地方。
在 Microsoft MMC 的证书管理单元中,使用“导出”命令,将文件恢复证书和私钥导出到软盘上。将软盘保存到安全的地方。此后,如果计算机上的文件恢复证书或私钥发生损坏或被 删除,可以在 MMC 的证书单元中,使用“导入”命令,用已备份到软盘上的证书和私钥代替已损坏或删除的证书和私钥。 |
• | |
• |
请立即更新已丢或到期的 DRA 私钥。
虽然 DRA 证书的到期只是一个小事件,但是 DRA 私钥的丢失与损坏对可能造成企业的巨大损失。 到 期的 DRA 证书(私钥)仍然可以用于解密以前加密的文件,但不能用于新建或更新的加密文件。在 DRA 私钥丢失或 DRA 证书到期的情况下,最佳做法是立即生成一个或多个新的 DRA 证书,并对“组策略”实施相应的更新。用户加密新文件或更新现有的加密文件时,这些文件将使用新的 DRA 公钥自动进行更新。提醒用户采用新的 DRA,更新所有的现有文件。 在Windows XP中,执行命令行工具 cipher.exe (使用 /U 参数),可以更新本地驱动器中所有文件的加密密钥或恢复代理密钥。以下示例显示了运行 Cipher.exe 的本地驱动器上两个加密文件的更新: Cipher.exe /U
注意:在无证书颁发机构的域中使用默认的自签名证书时,该证书的有效时间为 99 年。
|
下面的最佳做法可以帮助公司保护移动用户的数据,以防失窃或丢失:
• |
计算机的物理保护至关重要。为保证计算机不失窃或不遭到物理损坏,应采取一切必要的预防措施。这些预防措施是技术手段所无法替代的。
|
• |
使用移动计算机时,应确保登录到 Active Directory 域。
|
• |
存储独立于移动计算机的用户私钥,并在必要时将其导入。
|
• |
加密公共文件夹,如“我的文档”和临时文件夹,以加密所有新文件和临时文件。
|
• |
敏感数据文件应建立在加密文件夹中,敏感数据明文文件应拷贝到加密文件夹中。遵循该原则可以确保没有明文文件存储于计算机中,并且临时文件无法被复杂的磁盘分析工具所恢复。
|
• |
结合使用组策略、登录脚本和安全模板强制执行文件夹加密操作,从而确保将标准文件夹(如“我的文档”)设置为加密文件夹。
|
• |
Windows XP 操作系统支持脱机文件的数据加密。在应用客户端缓存策略时,应对存储于本地缓存的脱机文件和文件夹进行加密。
|
• |
在移动计算机中,启用系统工具 SYSKEY 的模式 2 或模式 3(软盘启动或密码启动),以防止恶意用户启动系统。Windows 版本的联机帮助中对该系统密钥工具进行了说明。
|
• |
为服务器启用组策略中的 SMB 签名,这些服务器是受信任的委派对象,并用来存储加密文件。这个设置可以在“组策略”中找到,其路径为:“组策略对象名称”、“计算机配置”、 “Windows 设置”、“安全设置”、“本地策略”、“安全选项”、“Microsoft 网络服务器: 完全数字签名通信。
|
• |
文件加密后,确保从硬盘驱动器中删除未加密的数据,该操作应定期执行。
|
转载于:https://blog.51cto.com/datarecovery/184455