Win XP中的文件加密功能及其使用(2)

　备份密钥的操作并不复杂，您只需单击“开始　运行”，键入“certmgr.msc”打开证书管理器，在左边窗口中依次单击控制台，打开“证书-当前用户”下的“个人”中的“证书”，然后在右边窗口中用鼠标右键单击“预期目的”是“加密文件系统”的证书，指向“所有任务　导出”，系统将打开“证书导出向导”指引您进行操作，向导将询问您是否需要导出私钥，您应该选择“导出私钥”，并按照向导的要求输入密码保护导出的私钥，然后选择存储导出后文件的位置即可完成。 　　

　 建议您将导出的证书存储在系统盘以外的其他磁盘上，以避免在使用磁盘镜像之类的软件恢复系统时将备份的证书覆盖掉。备份后，当加密文件的账户出现问题或重新安装了系统后需要访问或解密以前加密的文件时，您只需要使用鼠标右键单击备份的证书，选择“安装PFX”，系统将弹出“证书导入向导”指引您的操作，您只需要键入当初导出证书时输入用于保护备份证书的密码，然后选择让向导“根据证书类型，自动选择证书存储区”即可完成，完成后就可以访问以前的加密文件了。 　　

　　指定恢复代理 　　

　　如果您同时使用多个账户或者与其他用户共用一台电脑，担心更换账户或者其他账户加密的文件出问题，那么您可以考虑指定一个文件故障恢复代理，恢复代理可以解密系统内所有通过内建加密功能加密的文件，一般用于网络管理员在网络上处理文件故障，并能使管理员在职员离职后解密职员加密的工作资料。在Win2000中，默认Administrator为恢复代理，而在WinXP上，如果需要恢复代理则必须自行指定。但需要注意，恢复代理只能够解密指定恢复代理后被加密的文件，所以您应该在所有人开始使用加密功能前先指定恢复代理。 　　

　　如果您所使用的电脑是企业网络中的，那么您需要联系管理员查询是否已经制定了故障恢复策略，而如果您只是在使用一台单独的电脑，那么您可以按照下面的步骤指定恢复代理。首先，您需要使用准备指定为恢复代理的用户账户登录，申请一份故障恢复证书，该用户必须是管理员或者拥有管理员权限的管理组成员。对于企业网络上的电脑，登录后可以通过上面介绍过的“证书管理器”，在“使用任务”中的“申请新证书”中向服务器申请。而在个人电脑上，您必须单击“开始　附件　命令提示符”，在命令行窗口中键入“cipher /r:c:\efs.txt”（efs.txt可以是任一文件），命令行窗口将提示您输入保护证书的密码并生成我们需要的证书。生成的证书一个是PFX文件，一个是CER文件，先使用鼠标右键单击PFX文件，选择“安装PFX”，通过弹出的“证书导入向导”选择“根据证书类型，自动选择证书存储区” 导入证书。　　

　 接下来再单击“开始　运行”，键入“gpedit.msc”打开组策略编辑器，在左边控制台上依次单击“本地计算机策略　计算机配置　Windows 设置　安全设置　公钥策略　加密文件系统”，然后在右边窗口中用鼠标右键单击选择“添加数据恢复代理”（如图2），然后在弹出的“添加数据恢复代理向导”中浏览并选择刚才生成的证书中的CER文件，在键入保护证书的密码后，向导将导入证书，完成指定恢复代理的工作。完成后，在以后需要的时候，只需使用被指定为恢复代理的账户登录，就可以解密系统内所有在指定恢复代理后被加密的文件。

图2
　　禁止加密功能 　　

　 在多用户共用电脑的环境下，我们往往通过将其他用户指定为普通用户权限，限制他们使用某些功能，但由于普通用户账户默认允许使用加密功能，因此在一些多用户共用的电脑上经常会带来一些困扰。如果担心电脑上其他用户乱加密磁盘上的文件，您可以设置特定的文件夹禁止被加密，也可以完全禁止文件加密功能。 　　

　　如果您希望将某个文件夹设置为禁止加密，可以编辑一个文本文件，内容包括“[Encryption]”和“Disable=1”两行，然后命名为“Desktop.ini”，将其放到不希望被加密的文件夹中即可。当其他用户试图加密该文件夹时，系统将提示用户该文件夹加密功能被禁止。但需要注意，您只能使用这种方法禁止其他用户加密该文件夹，文件夹中的子文件夹将不受保护。