Microsoft Windows XP操作系统在数据保护方面提供了众多增强特性--特别是Encrypting File System(加密文件系统,EFS)。本文详细描述了针对脱机文件执行加密操作的具体方法,并力求帮助系统设计师和管理人员开发出借助Windows XP创制数据恢复与数据保护策略的最佳实现方式。
当某一文件被初次加密后,文件共享特性即可通过用户界面(UI)上的一个新按钮得到激活。在添加额外用户之前,必须先对相关文件执行加密和保存操作。用户应先调出某一加密文件的Advanced Properties(高级属性)对话框,再单击Details(详细资料)按钮,以便将自己添加到文件共享行列。在具备有效EFS证书的前提下,单个用户还可从本地计算机或Active Directory将其它用户(而非组对象)添加进来。
如需面向多个用户而对某一文件进行加密处理,则请依次执行下列操作步骤:
图1. 为保护数据资料而对相关内容进行加密处理
说明: 由于压缩和加密是一对互斥属性,因此,文件将无法同时接受压缩和加密处理。
在文件或文件夹第一次接受加密处理时,系统会弹出一个对话框,以便向用户询问究竟是只需对所选文件进行加密,还是希望对整个文件夹进行加密。
如需添加新用户,则请依次执行下列操作步骤:
图2. 添加用户
系统将弹出一个新对话框,并将以缓存方式被读入本地计算机 "Other People"(其它人员) 证书存储的现有用户和证书显示出来。该对话框还允许通过单击 Find User(查找用户) 按钮的方式从 Active Directory 下添加新用户。
说明: 只有在Active Directory下具备有效EFS证书的用户才能被添加至加密文件访问调用行列。
图3. 从Active Directory中查找新用户
系统将显示一个标准对象选择对话框,并执行一次搜索操作。
对话框将根据您所设定的搜索条件将那些在Active Directory下具备有效EFS证书的用户显示出来。如果未发现特定用户具备有效证书,该对话框便会如图4所示提供下列信息:
图4. 查找用户操作的搜索结果
如果目录中用户对象的userCertificate属性包含有效证书,那么,系统便会将这些证书罗列在如图5所示的证书选择对话框内。
图5. 用户证书列表
重要提示: Windows XP将在对应于其它用户的全部证书被添加至某一加密文件的同时,针对这些证书执行撤销检查操作。出于性能表现方面的考虑,系统将不会针对持有专用密钥的用户执行撤销检查操作。当然,那些未包含CDP(证书吊销列表分发点)扩展的证书(例如,某些来自第三方CA的证书)则无法通过吊销状态检查。如果针对某一证书的吊销状态检查失败,系统便会按图6所示提供相关信息,而该证书则无法由用户使用。
或
图6. 证书吊销状态检测失败
如果吊销状态和连锁创建任务顺利完成,该用户便可被添加至对话框,而相关文件也将得到更新。(如图7所示)
图7. 成功添加新用户
说明: 具备文件解密权限的任何用户均可对其它用户执行删除操作--只要执行解密操作的用户同时具备写入权限即可。
说明: EFS元数据文件头容量仅限于256K。而这就对可供添加的文件共享条目数量构成了限制。一般情况下,可被添加至某一加密文件的用户数量上限平均为800个。
如需查看证书所含信息,则请依次执行下列操作步骤:
您可选取某一用户证书,并为制定管理决策而对其所含信息进行查看。如需查看某一证书内容,则请按图6所示执行下列操作步骤:
|