windows 系统配置EFS恢复代理

2018-01-20 0 2,497 百度已收录

默认情况下,加密文件系统(EFS)使用绑定到用户帐户的自签名证书。如果这些丢失,用户将不能再访问他们的加密文件。我们可以配置EFS恢复代理,它可以解密其他用户的证书,从而提供对其加密文件的访问。


这篇文章是我们的Microsoft 70-744安全Windows Server 2016考试学习指南系列的一部分。欲了解更多相关的职位和信息,请参阅我们的完整70-744学习指南。


注意:我们假设您已经在域中拥有Active Directory证书服务(AD CS)设置。这个主题不会在这里介绍,但是你可以参考这个指南进行设置。

在域环境中,默认情况下,在域内创建的第一个域管理员帐户充当数据恢复代理(DRA)。本地管理员在非域加入的工作组计算机上履行此角色。

配置EFS恢复代理

我们可以设置一个特定的账户作为DRA,我们只需要为它创建一个EFS恢复代理证书。这意味着加密文件的用户和DRA账户都可以解密。正如您大概猜测的那样,保护DRA的私钥至关重要。建议在不使用时将其脱机安全地存储。

在这个例子中,我们将使用组策略在整个域中配置一个DRA。因此,DRA将能够在域内解密任何加密的用户内容,在紧急情况下非常有用。

要开始打开组策略管理,可以通过服务器管理器>工具>组策略管理,或通过在PowerShell或命令提示符下运行“gpmc.msc”来完成。此时,您可以创建新策略,也可以编辑现有策略。在这个例子中,我们将创建一个名为“DRA”的新GPO。

编辑策略,并浏览到计算机配置>策略> Windows设置>安全设置>公钥策略>加密文件系统。目前我们没有定义EFS策略。我们可以右键单击加密文件系统文件夹,然后选择创建数据恢复代理。

windows 系统配置EFS恢复代理

我们可以在下面看到,这已经创建了我们的CA使用EFS恢复代理证书模板颁发的证书。这基本上将管理员证书部署到受此策略影响的所有Windows计算机。

windows 系统配置EFS恢复代理

我们也可以右键单击加密文件系统组策略文件夹,然后选择添加数据恢复代理,这会打开添加恢复代理向导。

windows 系统配置EFS恢复代理

从这里我们可以指定可以用作DRA的用户或证书。

windows 系统配置EFS恢复代理

选择具有在AD中发布的证书的用户或.cer证书文件后,我们到达完成“添加恢复代理”向导屏幕,我们可以在其中查看摘要并单击完成以完成此过程。

windows 系统配置EFS恢复代理

我们也可以使用我们的ADCS PKI为其他用户根据需要创建EFS恢复代理证书,我们将在下面介绍。首先我们将介绍如何配置CA,然后介绍如何配置客户端。

服务器配置

以下配置在我们的CA服务器上进行。

如果我们转到服务器管理器>工具>证书颁发机构,我们可以看到有一个EFS恢复代理证书模板可用于文件恢复。

windows 系统配置EFS恢复代理

现在我们打开MMC并选择证书模板管理单元。这允许我们右键单击我们想要的证书模板,并选择重复的模板来创建我们自己的自定义副本。在这种情况下,我们要复制EFS恢复代理模板。这是正常的过程,我们通常不编辑默认的模板。

windows 系统配置EFS恢复代理

这将打开新模板的属性。所有的设置都是从​​我们复制的原始模板中复制的,但是在这个阶段我们可以自定义我们喜欢的新模板。

windows 系统配置EFS恢复代理

在这种情况下,我更改了安全选项卡下的管理员用户的权限,如图所示。我设置了允许的注册权限,这允许管理员自行注册并获得EFS恢复代理证书。

windows 系统配置EFS恢复代理

接下来在证书颁发机构中,我们右键单击证书模板,选择新建,然后选择颁发证书模板。

windows 系统配置EFS恢复代理

我们现在选择我们复制的模板,在这个例子中,我留下了“EFS恢复代理副本”的默认名称,所以选择了这个模板。

windows 系统配置EFS恢复代理

我们重复的证书现在与其余证书模板一起显示。

windows 系统配置EFS恢复代理

客户端配置

以下是在我们的客户端上以不同用户身份登录的情况。

打开MMC并选择“证书”管理单元。右键单击“个人”,然后选择“所有任务”>“请求新证书”。

windows 系统配置EFS恢复代理

在弹出的屏幕上,点击下一步继续。

在选择证书注册策略屏幕上,单击下一步。

windows 系统配置EFS恢复代理

从申请证书屏幕上我们应该出现重复的证书。如果不是这种情况,请确认您已在证书模板上设置适当的权限。您登录的用户必须获得注册权限。请注意,为EFS恢复代理证书授予正常用户的注册权限可能不是一个好主意,因为这可能允许用户解密任何加密文件(假设它通过GPO以某种方式部署)。

windows 系统配置EFS恢复代理

我们现在显示结果,我们可以看到我们已经成功注册了一个EFS恢复代理证书。

windows 系统配置EFS恢复代理

现在,如果我们查看这个客户端用户的个人证书存储,我们可以看到我们确实有一个文件恢复证书。

windows 系统配置EFS恢复代理

如果我们想要将此证书加入到之前介绍的组策略中,我们将右键单击它并选择“所有任务”>“导出”。从这里我们可以将证书导出为.cer文件,该文件可以通过公钥策略组策略设置导入,如前所示。一旦策略部署完毕,新用户将能够使用他们的证书来读取域中的任何人使用EFS加密的文件。

概要

我们已经向您展示了如何使用Active Directory证书服务在域环境中配置EFS恢复代理。这包括分配一个帐户充当数据恢复代理,允许其私钥恢复用户数据。


这篇文章是我们的Microsoft 70-744安全Windows Server 2016考试学习指南系列的一部分。欲了解更多相关的职位和信息,请参阅我们的完整70-744学习指南。

收藏 (0) 打赏

感谢您的支持,我会继续努力的!

打开微信/支付宝扫一扫,即可进行扫码打赏哦,分享从这里开始,精彩与您同在
点赞 (0)

栗子博客 电脑 windows 系统配置EFS恢复代理 https://www.lizi.tw/pc/4308.html

建筑工地上施工员,闲暇时弄个博客打发时间,

常见问题
  • 1、杰齐1.7仅适用于PHP5.2 2、需Zend支持 3、尽量使用宝塔面板 4、尽量使用Windows 系统,关关对Linux支持不太友好。
查看详情

相关文章

评论
暂无评论
官方客服团队

为您解决烦忧 - 24小时在线 专业服务

windows 系统配置EFS恢复代理-海报

分享本文封面