使用代理服務(wù)恢復(fù)數(shù)據(jù)

引言：在系統(tǒng)管理中常會(huì)丟失數(shù)據(jù)。這就要求管理員采取各種方法找回，如使用系統(tǒng)自帶的代理恢復(fù)功能。本文以Windows Server 2012為例，來說明具體的實(shí)現(xiàn)方法。

使用EFS代理恢復(fù)加密文件

使用EFS進(jìn)行加密的原理并不復(fù)雜，在系統(tǒng)中生成一個(gè)加密密鑰，然后該密鑰通過用戶的證書，對文件進(jìn)行加密處理。所以用戶的證書是很重要的，如果用戶誤刪或者丟失證書，則加密的文件就無法打開了。

在域環(huán)境中，可以利用恢復(fù)代理功能，即使用戶丟失了證書，也可以允許指定的用戶來恢復(fù)加密文件。一般情況下，可以使用管理員賬戶，來管理恢復(fù)代理功能。當(dāng)然，在域中需要配置好證書服務(wù)器。以域管理員身份登錄系統(tǒng)，執(zhí)行“mmc”命令，在控制臺窗口中點(diǎn)擊菜單“文件”→“添加/管理單元?jiǎng)h除”項(xiàng)，在彈出窗口左側(cè)列表中選擇“證書”項(xiàng)，點(diǎn)擊“添加”按鈕，選擇“我的用戶賬戶”項(xiàng)，點(diǎn)擊完成按鈕，在控制臺左側(cè)點(diǎn)擊“證書”→“個(gè)人”項(xiàng)，在其右鍵菜單上點(diǎn)擊“所有任務(wù)”→“申請新證書”項(xiàng)，在向?qū)Ы缑嬷悬c(diǎn)擊下一步按鈕，選擇“Active Directory注冊策略”項(xiàng)，在下一步窗口（如圖1）中選擇“EFS故障恢復(fù)代理”項(xiàng)，點(diǎn)擊注冊按鈕，當(dāng)注冊成功后，點(diǎn)擊完成按鈕，返回控制臺窗口。

圖1 注冊代理恢復(fù)證書

圖2 添加數(shù)據(jù)恢復(fù)證書

打開組策略窗口，在左側(cè)打開“林”→“域”→“具體的域名”，在“Default Domain Policy”項(xiàng)的右鍵菜單上點(diǎn)擊“編輯”項(xiàng)，在打開窗口左側(cè)選擇“計(jì)算機(jī)配置”→“策略”→“Windows設(shè)置”→“安全設(shè)置”→“公鑰策略”→“加密文件系統(tǒng)”項(xiàng)。在默認(rèn)情況下，系統(tǒng)已經(jīng)指定了一個(gè)恢復(fù)代理，使用的自簽名的證書，頒發(fā)者是管理員。將該恢復(fù)代理刪除，在“加密文件系統(tǒng)”項(xiàng)的右鍵菜單上點(diǎn)擊“創(chuàng)建數(shù)據(jù)恢復(fù)代理程序”項(xiàng)，添加所需的證書（如圖2）。在 CMD 窗口中執(zhí)行“gpupdate/force”命令，來刷新組策略。執(zhí)行“rsop.msc”程序，在策略的結(jié)果集窗口左側(cè)選擇“計(jì)算機(jī) 配 置”→“Windows設(shè)置”→“安全設(shè)置”→“公鑰策略”→“加密文件系統(tǒng)”項(xiàng)，在右側(cè)可以看到上述申請的證書。這樣就配置好了EFS代理服務(wù)功能。

實(shí)際上，在該加密文件屬性窗口的常規(guī)面板中點(diǎn)擊“高級”項(xiàng)，在“壓縮或加密屬性”欄中點(diǎn)擊“詳細(xì)信息”按鈕，在彈出窗口中的“由恢復(fù)策略定義的此文件的恢復(fù)證書”欄中顯示用來恢復(fù)加密文件的證書信息。當(dāng)然，作為恢復(fù)代理人，需要將管理員證書導(dǎo)出備份，運(yùn)行“certmgr.msc”程序，在證書管理器中選擇“證書”→“個(gè)人”項(xiàng)，在其右鍵菜單上點(diǎn)擊“所有任務(wù)”→“導(dǎo)出”項(xiàng)，之后按照提示選擇“是，導(dǎo)出私鑰”項(xiàng)，輸入密碼后，將證書備份為獨(dú)立的“.pfx”文件。

使用密鑰代理恢復(fù)用戶證書

在活動(dòng)目錄證書中，可使用密鑰代理來恢復(fù)用戶的證書。在域控制器上安裝有Active Directory證書服務(wù)，可以用來頒發(fā)證書。在實(shí)現(xiàn)恢復(fù)操作之前，需要申請密鑰恢復(fù)代理證書。以域管理員身份登錄系統(tǒng)，在證書頒發(fā)機(jī)構(gòu)管理窗口左側(cè)選擇“具體的域名”→“證書模板”項(xiàng)，在右側(cè)窗口的右鍵菜單中點(diǎn)擊“新建”→“要頒發(fā)的證書模板”項(xiàng)，在啟用證書模板窗口（如圖3）中選擇“密鑰恢復(fù)代理”項(xiàng)，點(diǎn)擊確定按鈕保存配置信息，即可以管理員身份申請所需的證書。

圖3 啟用證書模板窗口

圖4 查看證書序列號

圖5 設(shè)置證書屬性

運(yùn)行“mmc”程序，在控制臺窗口中點(diǎn)擊菜單“文件”→“添加/管理單元?jiǎng)h除”項(xiàng)，在彈出窗口左側(cè)列表中選擇“證書”項(xiàng)，點(diǎn)擊“添加”按鈕，選擇“我的用戶賬戶”項(xiàng)，點(diǎn)擊完成按鈕，在控制臺左側(cè)點(diǎn)擊“證書”→“個(gè)人”項(xiàng)，在其右鍵菜單上點(diǎn)擊“所有任務(wù)”→“申請新證書”項(xiàng)，在向?qū)Ы缑嬷悬c(diǎn)擊下一步按鈕，選擇“Active Directory注冊策略”項(xiàng)，在下一步窗口中選擇“密鑰恢復(fù)代理”項(xiàng)，點(diǎn)擊注冊按鈕，執(zhí)行證書申請操作。在獲得的證書右側(cè)點(diǎn)擊“詳細(xì)信息”項(xiàng)，在彈出面板中點(diǎn)擊“查看證書”按鈕，在其屬性窗口中的“詳細(xì)信息”面板中選擇“序列號”項(xiàng)，可以查看其序列號信息（如圖4）。

證書申請完畢后，在證書頒發(fā)機(jī)構(gòu)窗口中，在左側(cè)選擇域名項(xiàng)目，在其右鍵菜單中點(diǎn)擊“屬性”項(xiàng)，在彈出窗口（如圖5）中打開“恢復(fù)代理”項(xiàng)，在其中選擇“存檔密鑰”項(xiàng)，因?yàn)槲覀冎簧暾埩艘粡埓碜C書，所以在“要恢復(fù)的代理數(shù)目”欄中設(shè)置為1，點(diǎn)擊“添加”按鈕，選擇上述證書，將其添加到密鑰恢復(fù)代理證書列表中，之后系統(tǒng)會(huì)提示需要重啟Active Directory證書服務(wù)。當(dāng)重啟完畢后，在上述證書中的“狀態(tài)”列中顯示“未加載”信息，為此，可以在窗口左側(cè)選擇證書服務(wù)器名，在其右鍵菜單上分別點(diǎn)擊“所有任務(wù)”→“停止服務(wù)”和“啟動(dòng)服務(wù)”項(xiàng)，手工啟動(dòng)證書服務(wù)，之后就可以看到證書已經(jīng)變成了有效狀態(tài)。

當(dāng)恢復(fù)代理配置完成后，就可以來恢復(fù)用戶證書了。例如，在“證書模板”項(xiàng)的右鍵菜單上點(diǎn)擊“管理”項(xiàng)，在證書模板中選擇“用戶”項(xiàng)，在其右鍵菜單上點(diǎn)擊“復(fù)制模板”項(xiàng)，在彈出窗口中點(diǎn)擊確定按鈕，在新模板的屬性窗口中的“常規(guī)”面板中輸入其顯示名稱，在“請求”面板（如圖6）中的“目的”列表中選擇“簽名和加密”項(xiàng)，選擇“包括使用者允許的對稱算法”，“把使用者的加密私鑰存檔”，“使用高級對稱算法將密鑰發(fā)送給CA”等項(xiàng)，點(diǎn)擊應(yīng)用按鈕保存配置信息。在證書模板窗口的右鍵菜單中點(diǎn)擊“新建”→“要頒發(fā)的證書模板”項(xiàng)，在彈出窗口中選擇“用戶的副本”項(xiàng)，點(diǎn)擊確定按鈕，添加用戶證書模板。

在控制臺左側(cè)點(diǎn)擊“證書”→“個(gè)人”項(xiàng)，在其右鍵菜單上點(diǎn)擊“所有任務(wù)”→“申請新證書”項(xiàng)，在向?qū)Ы缑嬷械摹罢埱笞C書”窗口中選擇“用戶的副本”項(xiàng)，執(zhí)行該證書的申請操作。之后在證書列表中可以看到該證書。如果管理員因?yàn)檎`操作，將該證書刪除就可以使用密鑰恢復(fù)代理功能，來恢復(fù)該證書。方法是在證書頒發(fā)機(jī)構(gòu)窗口左側(cè)選擇“證書服務(wù)器名稱”→“頒發(fā)的證書”項(xiàng)，在右側(cè)窗口選擇上述使用“用戶”模板申請的證書，在屬性窗口中的“詳細(xì)信息”面板中復(fù)制其序列號。

在CMD窗口中執(zhí)行“certutil–getkey 具 體的序列號 huifu.p7b”，注意序列號中的空格應(yīng)該刪除。之后將其保存到名為“huifu.p7b”的文件中，該文件名稱可自行設(shè)置。執(zhí)行“certutil–recoverkey huifu.p7b huifu.pfx”命令，將導(dǎo)出為帶有私鑰的證書文件“huifu.pfx”。在“輸入新密碼”欄中輸入新的密碼來保護(hù)該證書。當(dāng)出現(xiàn)“CertUtil： RecoverKey 命令成功完成”的信息后，在上述選擇“證書”→“個(gè)人”項(xiàng)，在其右鍵菜單上點(diǎn)擊“所有任務(wù)”→“導(dǎo)入”項(xiàng)，按照操作向?qū)У奶崾荆x擇上述“huifu.pfx”證書文件，輸入密碼。執(zhí)行證書導(dǎo)入操作。這樣就找回誤刪證書。

圖6 設(shè)置新模板屬性