Windows XP中的数据保护和恢复一(组图)-Windows频道-中国IT实验室

Windows XP中的数据保护和恢复一(组图)

简介
Microsoft?Windows? XP 提供了数据恢复与保护以及私钥恢复方面的重大改进。MicrosoftWindows 2000 通过加密文件系统 (EPS) 的实现引入了数据恢复的功能，并且这一功能在 Windows XP 中得到了改进。
EFS——同时存在于 Windows 2000 和 Windows XP 中——支持使用数据恢复代理 (DRA) 来对由其他用户加密的文件执行解密操作。
本文旨在帮助系统架构师和管理员为创建使用 Windows XP 的数据恢复和数据保护策略开发最佳方案。
除了 Windows XP 中的数据恢复和数据保护策略之外，本文还包含很多进阶示例，演示如何建立您在部署 Windows XP 数据恢复和保护解决方案时想要使用的数据恢复和数据保护特性。
注意：EFS 仅在 Windows XP Professional 上可用；它在 Windows XP Home Edition 上不受支持。
Windows XP 中的 EFS 改进
EFS 提升的功能性极大地增强了 Windows XP Professional 客户端的功能。Windows XP Professional 如今为公司用户在部署基于加密文件和文件夹的安全解决方案时提供附加的灵活性。这些新特性包括：
对被系统使用的证书执行撤销检查的全面支持
对采用替代颜色（绿色）显示加密文件的支持
对加密脱机文件夹的支持
对外壳用户界面 (UI) 中加密文件的多用户支持
对微软增强的加密服务提供程序 (CSP) 的支持
对符合 FIPS 140-1 级别 1 标准的对称算法（3DES [数据加密标准]）的附加支持
采用 WebDAV 上的 EFS 进行端到端加密
增强的恢复策略灵活性
用于保护 EFS 数据的附加的安全特性
注意：这些新的 EFS 特性仅在 Windows XP Professional 客户端中可用。
阅读《Windows XP 的新增安全特性》一文，以更多地了解 Windows XP 中的 EFS 改进——http://www.microsoft.com/technet/prodtechnol/winxppro/evaluate/xpsec.mspx
数据恢复概述
数据恢复是指各个数据元素（如文件或文件夹）对多人或多个实体进行加密的过程。所谓对多人或多个实体进行加密，第三方实体可以是组织内被指定为执行数据恢复职责的管理员。数据可以由第三方以明文格式进行检索。数据恢复并不一定就意味着发生了私钥恢复；然而，密钥恢复可以是实现数据恢复的一种方法。在基于对称加密数据块的 Windows XP 操作系统中，可以在不进行私钥恢复的情况下完成数据恢复.
加密的多功能 Internet 邮件扩展 (S/MIME) 和 EFS 都使用对称加密数据块，对称密钥由一个公/私钥对的一个或多个公钥进行保护。在这种情境中，对称密钥可以由不止一个用户进行保护（加密），从而使用不止一个公钥。
数据恢复可以通过第二个对数据进行解密的用户来发生。对 EFS 而言，可以通过使用下图 1 中所示的数据恢复代理 (DRA) 来打开文件并进行数据恢复。

图 1：恢复数据
在 Windows 2000 中，DRA 是强制性的，并且默认为 Windows 2000 域的域管理员。Windows XP 消除了这一限制。
数据恢复通过使用 Active Directory? 和微软企业证书颁发机构进行有效地管理。通过使用组策略，Active Directory 提供了集中地对一个或多个数据恢复代理进行配置的机制。这些 DRA 拥有在有必要进行数据恢复时恢复用户文件的能力。
数据恢复和 EFS
EFS 通过执行恢复策略要求提供了内置的数据恢复功能。这个要求就是必须在用户对文件进行加密之前必须使恢复策略部署就绪。恢复策略是一种将一个或多个用户帐户指定为 DRA 的公钥策略。在管理员首次登陆到系统时，默认的恢复策略自动部署就绪，将管理员设定为恢复代理。
对于独立的计算机而言，默认的恢复代理在本地进行配置。对于隶属于 Active Directory 域的计算机而言，在域、组织单元 (OU) 或单个计算机级别上对恢复代理进行配置，并应用到所定义的影响范围内所有的 Windows 2000 和 Windows XP 计算机上。恢复证书由证书颁发机构 (CA) 颁发并使用微软管理控制台 (MMC) 证书管理单元进行管理。
在网络环境中，由域管理员控制恢复策略中影响范围内所有的用户和计算机如何执行 EFS。在 Windows 2000 或 Windows XP 默认安装中,当建立起第一个域控制器时,域管理员被指定为该域的恢复代理。域管理员配置恢复策略的方式决定了用户在他们的本地机器上如何实现 EFS。若要修改该域的恢复策略，域管理员需登陆到第一个域控制器。
管理员可以定义三种策略类型中的一种：
恢复代理策略.当管理员添加一个或多个恢复代理时，恢复代理策略生效。这些代理负责其管理范围内任何加密数据的恢复。这是最常用的恢复策略类型。
空恢复策略.当管理员删除所有的恢复代理及其公钥证书时，空恢复策略生效。空恢复策略意味着不存在任何恢复策略，并且如果客户端操作系统是 Windows 2000 的话，EFS 被彻底禁用。只有 Windows XP 客户端支持带有空 DRA 策略的 EFS。
无恢复策略.当管理员删除与给定恢复策略相关联的私钥时，无恢复策略生效。由于没有可用的私钥，无法使用恢复代理，从而也就不可能进行恢复操作。对于具有 Windows 2000 和 Windows XP 客户端混合环境、无须数据恢复的组织而言，这非常有用。
尽管 Active Directory 环境中的域管理员是默认的 DRA，这种功能可以被委派或分配给一个或多个用户。在本文的后面将对此进行更详细地论述。
独立机器上的数据恢复
Windows XP 不再为组中新安装的机器（独立机器）创建默认的 DRA。这有效地防止了以前存在的对管理员帐户的脱机攻击。因此，DRA 必须由用户手动创建并安装。若要手动创建一个 DRA，必须使用 cipher.exe 实用程序。
CIPHER /R:filename
/R　　Generates a PFX and a CER file with a self-signed EFS recovery
certificate in them.
filename A filename without extensions
这个命令将生成 filename.PFX（用于数据恢复）和 filename.CER （用于策略中）。该证书生成于内存中，在生成文件后被删除。一旦生成这些密钥，证书应该被导入到本地策略中，并且将私钥储存在一个安全的位置。
使用 EFS 进行数据恢复
本节讨论并演示使用 EFS 文件共享所需的步骤。
EFS 文件共享
在 Windows 2000 和 Windows XP 中都不提供对在加密文件上使用组的支持。此外，在 Windows 2000 和 Windows XP 中都不提供在文件夹上对多用户的支持。然而，在 Windows XP 中，EFS 支持在单个文件上多用户之间的文件共享。
Windows XP 中 EFS 文件共享的使用为通过添加附加的用户到一个加密文件中进行数据恢复提供了另一个机会。虽然附加用户的使用不能通过组或其他方式来执行，但对于不真正使用组并且没有在用户之间共享私钥的条件下启用多个用户对加密文件进行恢复而言，这是一个有用而简单的方法。
一旦某文件经过初始地加密，则通过 UI 中的一个新按钮启用了文件共享。在添加附加的用户之前，必须首先对文件进行加密，然后保存。在选择加密文件的高级属性之后，可以通过选择详细信息按钮来添加用户。如果单独的用户拥有有效的 EFS 证书，则它可以从本地机器或 Active Directory 添加其他用户（不是组）。
启用 EFS 文件共享
从 Windows 2000 通过 Win32 应用程序接口 (API)起，使用 EFS 共享加密文件受到支持，但在开发出 Windows XP Professional 客户端之前，EFS 一直没有出现在 Windows 资源管理器的用户界面中。
为多个用户对文件加密
1.打开 Windows 资源管理器并选择想要加密的文件
2.右键单击所选定的文件，并从上下文菜单中选择 属性 。
3.选择高级按钮以启用 EFS。
4.通过选中为保护数据而对内容进行加密复选框对文件进行加密，如下图 2 中所示。单击“确定”。

图 2：. 为保护数据而对内容进行加密
注意：文件无法同时接受压缩和加密处理，因为它们是一对互斥属性。
如果是第一次对该文件或文件夹进行加密，将出现一个对话框，询问是仅对文件加密，还是对整个文件夹进行加密。
5.选择适当的选项，并单击“确定”。于是，系统便会返回到初始对话框。
注意：直到您单击确定，选定文件才被加密。此外，在文件被第一个用户加密之前，不能添加附加的用户。
6.单击“确定”，对文件进行加密。
7.通过“高级”属性按钮再次打开文件属性，然后选择详细信息按钮以添加其他用户。当“详细信息”对话框被打开时，将显示添加用户选项。
注意：在“加密详细信息”对话框中还有附加的信息，对于故障排除非常有用。
添加用户
1.单击添加按钮，如下图 3 中所示。

图 3：. 添加用户
将出现一个新的对话框，显示现有的用户以及缓存于本地机器上“其他人”证书存储区中的证书。此外，它还允许通过单击“查找用户”按钮从 Active Directory 添加新用户。
注意：被添加的用户必须在 Active Directory 中拥有有效的 EFS 证书。
2.单击查找用户按钮以查找新用户，如下图 4 中所示。

图 4：. 从 Active Directory 查找新用户
将弹出标准对象选取器对话框,并执行搜索。
一个对话框将显示基于您的搜索标准、在 Active Directory 中持有合法 EFS 证书的用户。如果没有找到给定用户的有效证书，将显示如下图 5 中所示的对话框：

图 5：. 查找用户搜索结果
如果目录中用户对象的用户证书属性中存在有效的证书，它们将被显示在如下图 6 中所示的证书选择对话框中。

图 6：. 用户证书列表
重要须知：Windows XP 如今在其他用户被添加到一个加密文件时在所有的证书上执行撤销检查。出于性能方面的考虑，不对持有私钥的用户进行撤销检查。然而，对不包含 CDP（证书撤销列表分发点）扩展名的证书（如一些来自第三方证书颁发机构的用户证书），不进行撤销状态的验证。如果对某证书的撤销状态检查失败，将显示如下图 7 中所示的消息，不使用该证书。

或者

图 7：. 证书撤销状态检查失败
如果撤销状态和生成链成功完成，该用户可被添加到对话框中，更新后的文件如下图 8 中所示。
3.单击确定对所作修改进行注册，并继续。

图 8：. 成功添加一个新用户
注意：任何可以对文件解密的用户也可以移除其他用户——如果该用户在执行解密的同时还拥有写入权限的话。
注意：EFS 对 EFS 元数据的文件头具有 256K 的限制。它限制了可被添加的文件共享项目的个数。平均说来，可为一个加密文件添加至多 800 个单独的用户。
查看证书信息
可以选择一个用户证书，查看证书信息以做出管理决策。若要查看证书，如上图 6 中所示，请完成下列步骤：
1.在对话框中突出显示该证书并单击查看证书按钮。
2.在完成之后，单击确定以关闭此对话框。系统将返回到前面的对话框，您可以从中选择适当的用户，添加到加密文件中。
3.突出显示您想要使用的、选定的用户证书，并单击“确定”
复制、移动和保存加密文件
由于加密文件的独特属性，在不同位置间对加密文件执行移动或复制操作时会出现不同的结果。例如，当从本地机器向网络上的服务器复制加密文件时，取决于服务器上所使用的操作系统，复制操作会产生不同的结果。一般说来，复制文件将继承目标的 EFS 属性，但移动操作则不会继承目标文件夹的 EFS 属性.
在复制加密文件时：
如果目标服务器运行 Microsoft Windows NT? Server 4.0，文件将被自动解密并复制到服务器上。
如果目标服务器运行 Windows 2000，并且该服务器的机器帐户受信任在 Active Directory 中进行委派，则该文件被自动解密并复制到服务器，在其上使用本地配置文件和加密密钥重新进行加密。
如果目标服务器运行 Windows 2000 并且该服务器的机器帐户不受信任在 Active Directory 中进行委派，或者该服务器位于一个工作组或 Windows NT 4.0 域中，则该文件不会被复制，用户将收到“拒绝访问”错误消息。
“拒绝访问”错误信息返回给来自 NTFS 文件系统的应用程序以确保与现有应用程序之间的兼容性。使用替代的或更具描述性的错误消息将导致更多应用程序失败或表现异常。
Windows XP Professional 客户端包含在复制加密文件领域的一些改进。外壳界面和命令行如今都支持允许或禁止文件加密的选项。当一个加密文件被复制到不允许远程加密的目标位置时，将用对话框提示用户选择允许或禁止对该文件解密。
命令行工具，XCOPY 和 COPY，通过采用特殊的参数切换允许在复制操作中进行解密的方式来允许相同的行为。
C:\>copy /?（复制一个或多个文件到另一个位置。）
COPY [/D] [/V] [/N] [/Y | /-Y] [/Z] [/A | /B ] source [/A | /B]
[+ source [/A | /B] [+ ...]] [destination [/A | /B]]
source
（指定进行复制的一个或多个文件。）
/D （允许以解密的方式创建目标文件。）
注意：如果目标服务器不支持远程加密，这将允许在目标位置/服务器上以平面文本的方式创建文件。
C:\>xcopy /?（复制多个文件和目录树。）
XCOPY source [destination] [/A | /M] [/D[:date]] [/P] [/S [/E]] [/V] [/W]
[/C] [/I] [/Q] [/F] [/L] [/G] [/H] [/R] [/T] [/U]
[/K] [/N] [/O] [/X] [/Y] [/-Y] [/Z]
[/EXCLUDE:file1[+file2][+file3]...]
source
（指定要进行复制的文件。）
destination （指定新文件的位置和/或名称。）
/G （允许将加密文件复制到不支持加密的目标位置。）
保存使用 EFS 文件共享的文件
如果一个文件对多个用户进行了加密，应用程序必须调用特定的 API 以确保在文件以其本地文件格式打开、修改并保存时没有丢失针对附加用户的加密数据（证书）。使用 Microsoft Office XP 打开本地文档将保留多用户 EFS 状态，但其他应用程序可能删除添加到该文件的附加用户。
系统文件夹和文件
操作系统还防止对 %SYSTEMROOT%\... 路径中的系统文件夹、文件和位置进行加密。当用户试图对系统文件进行加密或者将加密文件复制到系统路径时，用户将接收到“拒绝访问”的消息。
证书缓存
当证书使用 EFS 时，它将被缓存到本地机器上。这避免了每次将新用户添加到加密文件时在 Active Directory 中查找用户的必要。隶属于证书链的证书以及自签证书可被使用和缓存。当隶属于证书链的证书被添加到加密文件时，它将被缓存到当前用户的“其他人”证书储存区，如下图 9 中所示。
　
图 9：. 缓存“其他人”证书储存区的用户证书
其他人的自签证书，如在没有证书颁发机构可用时由 EFS 自动生成的证书，缓存到当前用户的“受信任人”证书储存区，如下图 10 中所示：
　
图 10：. 缓存“受信任人”证书储存区的用户证书
当证书被添加到“受信任人”存储区时，系统将被警告用户，该证书将被明确信任并要求用户验证该操作。一旦某证书被添加到“受信任人”存储区，除了时间有效性之外，将不执行证书的状态检查。Microsoft Outlook? 2002 客户端还可以使用“受信任人” CryptoAPI 存储区进行单个证书信任决策的存储。
注意：除了“其他人”证书储存区之外，在本地机器上持有私钥的用户还被添加到“受信任人”证书储存区。这增强了在机器上进行本地加密的性能。
EFS 恢复策略过程
一些常见的与 EFS 和数据恢复相关的过程在下一节中进行了扼要地介绍。
吊销现有的恢复策略
有可能出现下面的情况：一个组织最初部署了数据恢复策略，以后选择移除或清除该恢复策略。当一个恢复策略从域中移除时，在更新那些机器上的组策略之后，不能对新文件进行加密。用户仍然可以打开现有的加密文件，但他们不能对那些文件进行更新或重新加密。现有的加密文件只有在它们是由拥有对那些文件进行解密的私钥的用户进行访问和更新才能被解密。
确定在一台机器上是否使用了 EFS
有些组织可能会发现查看域中机器上的用户是否使用 EFS 非常有用。尽管无法确定 EFS 是否正在被使用，但是可以查看一些注册表键项来确定 EFS 是否被机器上的用户使用过。
如果是一台 Windows 2000 机器，可以检查下列注册表项来确定是否存在证书哈希：
HKCU\Software\Microsoft\Windows NT\CurrentVersion\EFS\CurrentKeys\CertificateHash
如果该机器运行 Windows XP，可以检查下列注册表项：
HKCU\Software\Microsoft\Windows NT\CurrentVersion\EFS\CurrentKeys\CertificateHash
HKCU\Software\Microsoft\Windows NT\CurrentVersion\EFS\CurrentKeys\Flag
改变域的恢复策略
1.打开 Active Directory MMC 管理单元——用户和计算机。
2.右键单击想要修改恢复策略的域，然后单击“属性”。
3.右键单击想要修改的恢复策略，然后单击“编辑”。
4.在控制台树中，单击“加密数据恢复代理”。按下列路径依次单击：
计算机配置
Windows 设置
公钥策略
加密数据恢复代理
5.在“详细信息”窗格中右键单击，并单击想要进行的适当操作。
重要须知：在以任何方式改变恢复策略之前，务必首先将恢复密钥复制到软盘。
注意：您必须作为域管理员或拥有在域中更新组策略权限的用户或选定的 OU 登录。如果计算机连接到网络，网络策略设定也可能阻止您完成这一过程。
禁用 EFS
如果您想要阻止特定域中的特定组或用户或者 Active Directory 中的 OU 对数据进行加密，如今使用 Windows XP 禁用 EFS 已成为可能。在域环境中，可以通过“组策略”来禁用 EFS。
设定“组策略”
1.按照下列路径，依次单击：
计算机配置
Windows 设置
安全设置
公钥策略
加密文件系统
2.选择属性
3.移除复选框选定来禁用 EFS，如下图 11 中所示。

图 11：. 使用“组策略”来禁用 EFS
“组策略”设定一个注册表项，在用户操作时由 EFS 进行检查。该项是：
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\CurrentVersion\EFS\EfsConfiguration
对于不隶属于域的本地机器而言，不具有禁用 EFS 的本地策略。然而，可以设定另外一个注册表项来禁用 EFS。如果该项设定 DWORD 值为 0x01，则 EFS 将被禁用。注册表项：
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS\EfsConfiguration
执行数据恢复
数据恢复与文件加密的执行方式相同。唯一的差别在于数据恢复暗指由不同于原用户的人在对文件进行解密。由于所有的文件拥有至少一个用户以及一个可以对它进行解密的 DRA，对由另一个用户加密的文件进行恢复无须特殊的过程。
恢复文件对于离开组织、私钥丢失或私钥被毁等的用户而言，只能由 DRA 选定相关文件并如同原有用户一样正常打开这些文件。这些文件一旦被打开，则将以清除格式的形式出现，可被保存为未加密的格式。
注意：DRA 必须具有 DRA 证书的私钥才能在本地执行数据恢复。
DRA 也可通过另一种方式来移除加密：无须打开文件，而是选定相关文件、选择文件属性、选择高级按钮，清除为保护数据而对内容进行加密复选框选定。在单击确定并关闭文件属性后，该文件将被解密——假定登录用户为 DRA 并且在登录时将 DRA 私钥装载到他或她的配置文件中。这些方法在 Windows 2000 和 Windows XP 中都可用。
导入和导出数据恢复代理密钥
以下的步骤和演示扼要地介绍了导入和导出 DRA 密钥的过程。
导出密钥
执行下列步骤来导出默认域 DRA 的证书和私钥：
1.用管理员帐户在域中的第一个域控制器上登录到域。
2.从“开始”菜单选择运行。
3.键入mmc.exe并按回车。将启动一个空白的 MMC 外壳。
4.选择“控制台”菜单，然后选择“添加/删除管理单元”。将弹出带有已经添加到此 MMC 外壳中的所有管理单元列表的对话框。
5.单击添加按钮。将出现当前机器上所有注册的管理单元的列表。
6.双击证书管理单元。选择我的用户帐户，然后单击完成按钮。
7.在“添加独立的管理单元”对话框上单击关闭按钮，然后在“添加独立的管理单元”对话框上单击确定。此时，MMC 包含管理员的个人证书储存区。
8.扩展该证书储存区的树形视图。按照下列路径，依次单击：证书、当前用户、个人，然后单击证书，如下图 12 中所示。单击左侧的“证书”文件夹，右侧的窗格将显示该管理员帐号所有证书的列表。在默认条件下，在证书存储区一般有两个证书。
　
图 12：. 使用文件恢复证书