设置加密型恢复代理 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

Xiaotang 公司为了保证公司财务数据的保密性与机密性,公司财务部要求每个员工对自己所涉及的所有数据都要进行加密。为了防止由于某一个员工的突发离职,而导致这些加密型的文件无法打开,只有加密本人和 administrator 才能读取这些加密的文件,其它的人都不允许读取,而公司希望财务部的主管可以打开这些别的员工加密的文件 , 可以通过设置加密恢复代理等技术来实现。

1.    搭建一个域环境

  (1) 建立一个 Windows 2008 的域环境,域名命名为 xiaotang.com.cn ,在活动目录当中建立一个财务部的组织单位,名称为 Caiwubu, 在这个 OU 当中分别建立一个财务部主管 A 、财务部员工 B 、财务部员工 C 的账号,并把这些员工的账号都加入到 Domain Aamins 组。

  (2) 在域控制器的计算机当中安装“ Active Directory 证书服务”。

   (3) 以财务部员工 B 登录到域控制器当中,建立一个 Caiwubu 的文件夹,在这个文件夹当中建立一个 Caiwubu.txt 的文本文件,将刚才建立的文件夹和文件进行加密。

   (4) 以财务部主管 A 、财务部员工 C 登录到域控制器当中,访问财务部员工 B 建立的文件夹,系统会自动提示“拒绝访问”。

2.    申请证书

  (1) 以财务部主管 A 的账号登录到域控制器当中。

  (2) 运行“ MMC ”命令,在微软管理控制台当中添加“证书”单元。

  (3) 展开“证书”,右击“个人”,选择“所有任务”——“申请新证书”。

  (4) 单击“下一步”按钮,选择“ EFS “故障恢复代理”,单击“注册”。

  (5) 单击“完成”按钮,完成证书的注册任务。

3.    申请证书

  (1) 右击刚刚注册的证书,选择“所有任务”——“导出”。

 
  (2) 单击“下一步”按钮,选择“不,不要导出私钥”,单击“下一步”按钮。

   (3) 单击“下一步”按钮,指定导出后保存的文件名,如“ Key1.cer ”,单击“下一步”按钮。

  (4) 单击“完成”按钮,系统会提示“导出成功“。

4. 组策略

  (1) 单击“开始”——“程序”——“管理工具”——“组策略管理”。

  (2) 在展开域,单击“ xiaotang.com.cn ”域。
  (3) 右击“ Default Domain Controller Policy ”,选择“编辑”。在弹出的窗口中依次展开“计算机配置”——“策略”——“ Windows 设置”——“安全设置”——“公钥策略”,单击“加密文件系统”。

  (4) 右击“加密文件系统”,选择“添加数据恢复代理程序”,单击“下一步“按钮。

  (5) 单击“下一步”按钮,单击“浏览文件夹”按钮,选择前面导出的密钥,单击“打开”。

(6) 单击“下一步”按钮,单击“完成”按钮,把刚才导出的密钥再导入到组策略当中来。

(7) 运行“ gpupdate /force ”命令,应用更新后的策略。

4.    数据加密

(1)  以财务部员工 B 的账号登录到域控制器上,在前面建立的加密型文件中再建立一个新的文本文件, caiwubu2.txt 。可以看到,该文件会被自动的加密。

(2) 以财务部主管 A 的账号登录到域控制器上,打开财务部员工 B 加密的文件夹是可以打开的,而且还可以取消加密时的状态,这就说明财务部主管 A 是加密恢复代理。

(3) 再以财务部员工 C 的账号登录到域控制器上,尝试一下打开财务部员工 B 加密的文件夹,仍然会提示“拒绝服务”。