• 欢迎访问举个栗子网站
  • 小说APP下载 xsz.tw 不带广告的小说站

windows 系统配置EFS恢复代理

电脑 举个栗子 2年前 (2018-01-20) 784次浏览 0个评论 扫描二维码
文章目录[隐藏]

默认情况下,加密文件系统(EFS)使用绑定到用户帐户的自签名证书。如果这些丢失,用户将不能再访问他们的加密文件。我们可以配置EFS恢复代理,它可以解密其他用户的证书,从而提供对其加密文件的访问。


这篇文章是我们的 Microsoft 70-744 安全Windows Server 2016 考试学习指南系列的一部分。欲了解更多相关的职位和信息,请参阅我们的完整 70-744 学习指南。


注意:我们假设您已经在域中拥有 Active Directory 证书服务(AD CS)设置。这个主题不会在这里介绍,但是你可以参考这个指南进行设置。

在域环境中,默认情况下,在域内创建的第一个域管理员帐户充当数据恢复代理(DRA)。本地管理员在非域加入的工作组计算机上履行此角色。

配置 EFS 恢复代理

我们可以设置一个特定的账户作为 DRA,我们只需要为它创建一个EFS恢复代理证书。这意味着加密文件的用户和 DRA 账户都可以解密。正如您大概猜测的那样,保护 DRA 的私钥至关重要。建议在不使用时将其脱机安全地存储。

在这个例子中,我们将使用组策略在整个域中配置一个 DRA。因此,DRA 将能够在域内解密任何加密的用户内容,在紧急情况下非常有用。

要开始打开组策略管理,可以通过服务器管理器>工具>组策略管理,或通过在 PowerShell 或命令提示符下运行“gpmc.msc”来完成。此时,您可以创建新策略,也可以编辑现有策略。在这个例子中,我们将创建一个名为“DRA”的新 GPO。

编辑策略,并浏览到计算机配置>策略> Windows设置>安全设置>公钥策略>加密文件系统。目前我们没有定义 EFS 策略。我们可以右键单击加密文件系统文件夹,然后选择创建数据恢复代理。

windows 系统配置 EFS 恢复代理

我们可以在下面看到,这已经创建了我们的 CA 使用 EFS 恢复代理证书模板颁发的证书。这基本上将管理员证书部署到受此策略影响的所有Windows计算机。

windows 系统配置 EFS 恢复代理

我们也可以右键单击加密文件系统组策略文件夹,然后选择添加数据恢复代理,这会打开添加恢复代理向导。

windows 系统配置 EFS 恢复代理

从这里我们可以指定可以用作 DRA 的用户或证书。

windows 系统配置 EFS 恢复代理

选择具有在 AD 中发布的证书的用户或.cer 证书文件后,我们到达完成“添加恢复代理”向导屏幕,我们可以在其中查看摘要并单击完成以完成此过程。

windows 系统配置 EFS 恢复代理

我们也可以使用我们的 ADCS PKI 为其他用户根据需要创建 EFS 恢复代理证书,我们将在下面介绍。首先我们将介绍如何配置 CA,然后介绍如何配置客户端。

服务器配置

以下配置在我们的 CA 服务器上进行。

如果我们转到服务器管理器>工具>证书颁发机构,我们可以看到有一个 EFS 恢复代理证书模板可用于文件恢复。

windows 系统配置 EFS 恢复代理

现在我们打开 MMC 并选择证书模板管理单元。这允许我们右键单击我们想要的证书模板,并选择重复的模板来创建我们自己的自定义副本。在这种情况下,我们要复制 EFS 恢复代理模板。这是正常的过程,我们通常不编辑默认的模板。

windows 系统配置 EFS 恢复代理

这将打开新模板的属性。所有的设置都是从​​我们复制的原始模板中复制的,但是在这个阶段我们可以自定义我们喜欢的新模板。

windows 系统配置 EFS 恢复代理

在这种情况下,我更改了安全选项卡下的管理员用户的权限,如图所示。我设置了允许的注册权限,这允许管理员自行注册并获得 EFS 恢复代理证书。

windows 系统配置 EFS 恢复代理

接下来在证书颁发机构中,我们右键单击证书模板,选择新建,然后选择颁发证书模板。

windows 系统配置 EFS 恢复代理

我们现在选择我们复制的模板,在这个例子中,我留下了“EFS 恢复代理副本”的默认名称,所以选择了这个模板。

windows 系统配置 EFS 恢复代理

我们重复的证书现在与其余证书模板一起显示。

windows 系统配置 EFS 恢复代理

客户端配置

以下是在我们的客户端上以不同用户身份登录的情况。

打开 MMC 并选择“证书”管理单元。右键单击“个人”,然后选择“所有任务”>“请求新证书”。

windows 系统配置 EFS 恢复代理

在弹出的屏幕上,点击下一步继续。

在选择证书注册策略屏幕上,单击下一步。

windows 系统配置 EFS 恢复代理

从申请证书屏幕上我们应该出现重复的证书。如果不是这种情况,请确认您已在证书模板上设置适当的权限。您登录的用户必须获得注册权限。请注意,为 EFS 恢复代理证书授予正常用户的注册权限可能不是一个好主意,因为这可能允许用户解密任何加密文件(假设它通过 GPO 以某种方式部署)。

windows 系统配置 EFS 恢复代理

我们现在显示结果,我们可以看到我们已经成功注册了一个 EFS 恢复代理证书。

windows 系统配置 EFS 恢复代理

现在,如果我们查看这个客户端用户的个人证书存储,我们可以看到我们确实有一个文件恢复证书。

windows 系统配置 EFS 恢复代理

如果我们想要将此证书加入到之前介绍的组策略中,我们将右键单击它并选择“所有任务”>“导出”。从这里我们可以将证书导出为.cer 文件,该文件可以通过公钥策略组策略设置导入,如前所示。一旦策略部署完毕,新用户将能够使用他们的证书来读取域中的任何人使用 EFS 加密的文件。

概要

我们已经向您展示了如何使用 Active Directory 证书服务在域环境中配置 EFS 恢复代理。这包括分配一个帐户充当数据恢复代理,允许其私钥恢复用户数据。


这篇文章是我们的 Microsoft 70-744 安全 Windows Server 2016 考试学习指南系列的一部分。欲了解更多相关的职位和信息,请参阅我们的完整 70-744 学习指南。


举个栗子 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:windows 系统配置 EFS 恢复代理
喜欢 (0)
举个栗子
关于作者:
建筑工地上施工员,闲暇时弄个博客打发时间,
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址