打開Windows資源管理器。
2.
右鍵單擊要恢復的文件或文件夾,然後單擊屬性。
3.
在常規選項卡上,單擊高級。
4.
清除“加密內容以保護數據”復選框。
5.
制作解密文件或文件夾的備份,並將其交給用戶。
註意:您可以通過電子郵件附件、磁盤或網絡* * *將備份版本返還給用戶。
恢復數據的另壹種方法是將恢復代理的私鑰和證書傳輸到帶有加密文件的計算機,導入私鑰和證書,解密文件或文件夾,然後刪除導入的私鑰和證書。與第壹種方法相比,這種方法大大降低了私鑰的安全性,但同時也省去了備份、恢復和文件傳輸操作。
重返巔峰
最佳實踐
以下最佳實踐可以幫助公司有效地使用和管理加密文件和文件夾。
恢復代理應該將其文件恢復證書備份到安全的地方。
在Microsoft MMC的證書管理單元中,使用Export命令將文件恢復證書和私鑰導出到軟盤。將軟盤保存到安全的地方。之後,如果計算機上的文件恢復證書或私鑰被損壞或刪除,可以使用MMC的證書單元中的“Import”命令,將損壞或刪除的證書和私鑰替換為軟盤上已備份的證書和私鑰。
使用默認的域配置。
默認情況下,域管理員是Windows 2000或Windows Server 2003域中的默認數據恢復代理。當域管理員第壹次使用此帳戶登錄時,將生成壹個自簽名證書,私鑰將保存在計算機的用戶配置文件中。默認域“組策略”包含此證書的公鑰,作為域中的默認數據恢復代理。
請立即更新丟失或過期的DRA私鑰。
雖然DRA證書過期只是壹個小事件,但是DRA私鑰的丟失和損壞可能會給企業造成巨大的損失。
過期的DRA證書(私鑰)仍可用於解密以前加密的文件,但不能用於新創建或更新的加密文件。如果DRA私鑰丟失或DRA證書過期,最佳做法是立即生成壹個或多個新的DRA證書,並相應地更新組策略。當用戶加密新文件或更新現有的加密文件時,這些文件將自動用新的DRA公鑰更新。提醒用戶采用新的DRA並更新所有現有文件。
在Windows XP中,執行命令行工具cipher.exe(使用/U參數)可以更新本地驅動器中所有文件的加密密鑰或恢復代理密鑰。以下示例顯示了運行Cipher.exe的本地驅動器上兩個加密文件的更新:
Cipher.exe/U
C:\Temp\test.txt:加密已更新。
C:\My Documents\wordpad.doc:加密更新。
註意:在沒有證書頒發機構的域中使用默認的自簽名證書時,證書的有效期為99年。
以下最佳實踐可以幫助公司保護移動用戶的數據不被竊取或丟失:
計算機的物理保護非常重要。為了確保計算機不被盜或物理損壞,應采取所有必要的預防措施。這些預防措施是技術手段無法替代的。
使用移動計算機時,請確保登錄到Active Directory域。
獨立於移動計算機存儲用戶的私鑰,並在必要時導入它。
加密公共文件夾(如“我的文檔”和臨時文件夾)以加密所有新文件和臨時文件。
敏感數據文件應建立在加密文件夾中,敏感數據明文文件應復制到加密文件夾中。遵循這個原則可以確保計算機中不存儲明文文件,臨時文件無法被復雜的磁盤分析工具恢復。
使用組策略、登錄腳本和安全模板的組合來實施文件夾加密,從而確保標準文件夾(如“我的文檔”)被設置為加密文件夾。
Windows XP操作系統支持離線文件的數據加密。應用客戶端緩存策略時,存儲在本地緩存中的離線文件和文件夾應該加密。
在移動電腦中,啟用系統工具SYSKEY的模式2或模式3(軟盤啟動或密碼啟動),防止惡意用戶啟動系統。Windows版的聯機幫助中介紹了系統鍵工具。
在服務器的組策略中啟用SMB簽名,服務器是受信任的委派對象,用於存儲加密文件。此設置可以在組策略中找到,其路徑是:組策略對象名稱、計算機配置、Windows設置、安全設置、本地策略、安全選項、Microsoft網絡服務器:完全數字簽名的通信。
文件加密後,請確保從硬盤驅動器中刪除未加密的數據。這種操作應該定期進行。