设置加密型恢复代理<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

Xiaotang公司为了保证公司财务数据的保密性与机密性,公司财务部要求每个员工对自己所涉及的所有数据都要进行加密。为了防止由于某一个员工的突发离职,而导致这些加密型的文件无法打开,只有加密本人和administrator才能读取这些加密的文件,其它的人都不允许读取,而公司希望财务部的主管可以打开这些别的员工加密的文件,可以通过设置加密恢复代理等技术来实现。

1.    搭建一个域环境

  (1)建立一个Windows 2008的域环境,域名命名为xiaotang.com.cn,在活动目录当中建立一个财务部的组织单位,名称为Caiwubu,在这个OU当中分别建立一个财务部主管A、财务部员工B、财务部员工C的账号,并把这些员工的账号都加入到Domain Aamins组。

  (2)在域控制器的计算机当中安装“Active Directory证书服务”。

   (3)以财务部员工B登录到域控制器当中,建立一个Caiwubu的文件夹,在这个文件夹当中建立一个Caiwubu.txt的文本文件,将刚才建立的文件夹和文件进行加密。

   (4)以财务部主管A、财务部员工C登录到域控制器当中,访问财务部员工B建立的文件夹,系统会自动提示“拒绝访问”。

2.    申请证书

  (1)以财务部主管A的账号登录到域控制器当中。

  (2)运行“MMC”命令,在微软管理控制台当中添加“证书”单元。

  (3)展开“证书”,右击“个人”,选择“所有任务”——“申请新证书”。

  (4)单击“下一步”按钮,选择“EFS“故障恢复代理”,单击“注册”。

  (5)单击“完成”按钮,完成证书的注册任务。

3.    申请证书

  (1)右击刚刚注册的证书,选择“所有任务”——“导出”。

 
  (2)单击“下一步”按钮,选择“不,不要导出私钥”,单击“下一步”按钮。

   (3)单击“下一步”按钮,指定导出后保存的文件名,如“Key1.cer”,单击“下一步”按钮。

  (4)单击“完成”按钮,系统会提示“导出成功“。

4.组策略

  (1)单击“开始”——“程序”——“管理工具”——“组策略管理”。

  (2)在展开域,单击“xiaotang.com.cn”域。
  (3)右击“Default Domain Controller Policy”,选择“编辑”。在弹出的窗口中依次展开“计算机配置”——“策略”——“Windows设置”——“安全设置”——“公钥策略”,单击“加密文件系统”。

  (4)右击“加密文件系统”,选择“添加数据恢复代理程序”,单击“下一步“按钮。

  (5)单击“下一步”按钮,单击“浏览文件夹”按钮,选择前面导出的密钥,单击“打开”。

(6)单击“下一步”按钮,单击“完成”按钮,把刚才导出的密钥再导入到组策略当中来。

(7)运行“gpupdate /force”命令,应用更新后的策略。

4.    数据加密

(1) 以财务部员工B的账号登录到域控制器上,在前面建立的加密型文件中再建立一个新的文本文件,caiwubu2.txt。可以看到,该文件会被自动的加密。

(2)以财务部主管A的账号登录到域控制器上,打开财务部员工B加密的文件夹是可以打开的,而且还可以取消加密时的状态,这就说明财务部主管A是加密恢复代理。

(3)再以财务部员工C的账号登录到域控制器上,尝试一下打开财务部员工B加密的文件夹,仍然会提示“拒绝服务”。