Windows Vista下的EFS加密

阿里狼

　　6）选中user1用户，然后单击“确定”按钮。（7）之后依次单击“确定”按钮，关闭所有打开的对话框，即可完成本次操作。现在user1用户就可以成功的访问该加密文件了。4．创建EFS的恢复代理
数据恢复代理是一种被授权可以访问受 EFS 保护的文件的用户账户，这个用户账户就叫着数据恢复代理。在操作系统中创建数据恢复代理的目的,主要是为了防止由于其他用户账户被删除或者由于用户忘记登录密码，而导致无法读取加密。在以前的Windows 2000系统中，默认把内置的Administrator账户设置为系统的数据恢复代理，也就是说Administrator账户是可以访问所有其他用户的加密文件。后来考虑到安全问题，从Windows XP操作系统起，系统中不再自动创建恢复代理，不过还可以手动创建。创建数据恢复代理的注意事项：l         为保证建立的数据恢复代理具有最高的权限，一般选择系统中的管理员组的用户账户（Administrators），用户可以选择已经存在的用户，也可以新建一个管理组的用户账户。l         作为数据恢复代理的用户不能再使用 EFS 实施加密，否则如果数据恢复代理用户不能登录时，加密文件将不可恢复。手动创建数据恢复代理的具体步骤如下：（1）以admin账户登录操作系统，并在计算机的任意地方新建一个文件，例如在当前计算机目录C:\123下创建test.txt，然后打开命令提示符窗口，并在命令提示符下，输入以下命令然后按<Enter>键:Cipher /R:C:\123\test.txt（2）然后根据系统提示输入保护密码和验证密码后,按<Enter>键,即可生成两个文件它们分别是,text.txt.CER(存储恢复代理证书文件)和test.txt.PFX(存放恢复代理证书和密钥文件).如图1-2所示。

　　图6-23生成恢复代理证书（3）在“开始”菜单中选择“搜索”，然后在搜索中输入“secpol.msc”并按<Enter>键,打开“本地安全策略”控制台。（4）用鼠标右键单击左侧控制台树中的“公钥策略”下的“加密文件系统”，在弹出的菜单中选择“添加数据恢复代理”命令。（5）弹出“添加故障恢复代理向导”对话框，在其上单击“下一步”按钮。在“选择故障恢复代理”窗口中单击“浏览文件夹”按钮，在打开的对话框中定位到先前生成的恢复代理证书test.txt.CER，并单击“打开”按钮。接着单击“是”和“完成”按钮即可把admin帐户设置为系统的数据恢复代理。