目标:配置密钥恢复代理:使得系统管理员账户可以打开其他用户创建的加密文件;(在拓扑图中任一台主机上均可完成)

(1)用新建的账户test登录系统后,在NTFS分区上对其创建的一个文件(夹)进行加密。当加密操作完成后,系统会多出一个与账户有关的数字证书。(certmgr.msc)

clip_image002

图1:加密文件后会产生一个用户数字证书,查看证书信息

(2)将账户切换到管理员,当前,即使是管理员也无法打开用户test加密过的文件。

clip_image004

图2:缺少正确的用户数字证书,所以无法打开加密文件

(3)打开命令提示符,输入如下命令。其中cipher是用于加解密的命令行工具,/r是该命令的参数。admin是产生的文件名。操作完成后,在文件夹中找到新生成的两个文件。

clip_image006

图3:生成配置密钥恢复代理所需的两个文件,注意扩展名

clip_image008

图4:产生的配置密钥恢复代理所需的两个文件

(4)在运行里输入secpol.msc打开本地安全策略设置窗口,展开至“加密文件系统”,并通过右键打开添加代理程序。

clip_image010

图5:添加数据恢复代理程序

(5)按照向导的提示,添加图4中的*.cer文件为故障恢复代理。

clip_image012

图6:指定证书文件

clip_image014

图7:配置完成后的显示界面

(6)处理完*.cer证书后,再对*.pfx文件进行操作。双击图4中的pfx文件,对证书进行导入操作。

clip_image016

图8:对证书进行导入

clip_image018

图9:证书位置选择自动存储

(3)再次切换到test账号,对文件或文件夹执行加密操作。此时即使文件经过加密,但是administrator账号仍然能够打开。

clip_image020

图10:密钥恢复代理能够打开其他用户加密过的文件

查看加密文件的属性,在详细信息中能看到与加密有关的属性。

clip_image022

图11:能打开加密文件的用户列表