武汉职业技术学院
实验任务单
实验编号 | 5-4 | 实验名称 | 学时 | 2 | |||
课程名称 | 网络安全技术及应用 | 学习情景 | 5 数据安全防护 | ||||
实验目的 | 1、理解EFS加密的工作原理。 2、掌握如何建立EFS数据恢复代理。 | ||||||
实验器材 | 1、windows2003虚拟机 2、计算机1台 | ||||||
实验环境 | windows2003虚拟机 两个用户 | ||||||
实验要求 | 建立EFS数据恢复代理 使用EFS机密文件 证书备份和恢复 使用EFS数据恢复代理恢复EFS加密的文件 | ||||||
实验参考步骤 | 1、在使用 EFS 加密文件之前,应先建立数据恢复代理 首先,创建数据恢复证书 (1)以Administrator登录。单击 开始文件夹如何加密 和 运行 ,然后输入 cmd ,最后单击 确定 。 (2)在命令提示符处输入 cipher /R: 文件名 ,然后按 Enter 键。 (3) 当系统提示时,请输入加强密码,然后单击 Enter 键。此过程会为创建数据恢复代理的用户在 \Documents and Settings\ username 文件夹中创建两个文件:数据恢复证书的私钥 filename .pfx , 以及用来为本地计算机配置恢复策略的 filename .cer。 其次,为本地计算机注册数据恢复代理: (4)单击 开始 和 运行 ,然后输入 mmc ,最后单击 确定 。 (5) 在 文件 菜单中单击 添加/删除管理单元 。单击 添加 。 (6) 在 添加独立管理单元 对话框中单击 组策略 。单击 完成 。 (7) 在 组策略对象 中确保显示 本地计算机 。 单击 完成 。 (8) 在 添加独立管理单元 对话框中单击 关闭 ,然后在 添加/删除管理单元 对话框中单击 确定 。 (9) 在 本地计算机策略 中,导航至 计算机配置 \ Windows 设置 \ 安全设置 \ 公钥策略 。 右键单击 加密文件系统 ,然后单击 添加数据恢复代理 。 当出现 添加恢复代理向导 时,单击 下一步 。 (10) 在 选择恢复代理 页面中单击 浏览文件夹 ,以浏览至前面过程中创建的数据恢复证书 ( filename .cer) 的位置,选择此证书,单击 打开 ,然后单击 下一步 。 3、用 EFS 加密文件。 (1)以用户A登录,在D盘创建文件夹test,并在其下创建文本文件,右键点击“”夹,选择“属性”,打开文件夹属性对话框 (2)点击“常规”选项卡中的“高级”按钮,弹出“高级属性”对话框,勾选“加密内容以便保护数据”,两次确定后生效。加密后的文件在资源管理器里用绿文字表示。 (3)这时以其他用户(包括Administrator)登录,无法打开加密文件“”。 4、导出用户的证书(公钥/私钥)。 用户A执行为文件设置加密属性的操作后,就会自动启用 EFS,这时系统会产生一个针对该用户的公钥/私钥对。其中公钥保存在该用户的加密文件系统证书中,通过运行“certmgr.msc”(证书管理器)可以进行查看;私钥通过用户的登录系统口令派生一个主密钥并保存在该用户的个人配置文件中。数据恢复代理在恢复加密数据的过程中必须使用到该证书,用户在加密后据后要对证书进行备份。 (1)运行“certmgr.msc”打开“证书管理器”,在左侧依次展开“个人”—“证书”。(也可以在mmc或internet选项中完成) (2)这时在右侧可以看到一个证书,它是以当前系统用户的用户名来命名的。右击该证书,依次选择“所有任务”—“导出”来运行“证书导出向导”。 (3)依照证书导出向导的提示来导出证书,建议选择“导出私钥”,稍后会提示为导出的证书建立一个保护密码(在导入证书时要输入该密码才能导入),向导结束后证书将被导出。 (4)证书导出后用户要做的就是保管好这个 pfx 文件,切勿放在系统盘,以免重装系统时格式化删除掉了。 5、利用数据恢复代理来恢复数据 假设用户A的配置文件已经损坏或者删除,无法登录,这时可以能过数据恢复代理来打开被用户A加密过的文件。 登录恢复代理用户(Administrator),导入证书,双击备份的用户A的证书。导入成功后,Administrator用户便可以打开加密的文件了。 | ||||||
发布评论