CA证书与DHCP服务

1、创建私有CA并进行证书申请。

1 ：创建 CA 私钥

$ openssl genrsa -des3 -out cakey 4096

2 ：生成 CA 的自签名证书，其实 CA 证书就是一个自签名证书

$ openssl req -new -x509 -days 365 -key cakey -outcacrt

3 ：生成需要颁发证书的私钥

$ openssl genrsa -des3 -out serverkey 4096

4 ：生成要颁发证书的证书签名请求

Ps:证书签名请求当中的 Common Name 必须区别于 CA 的证书里面的 Common

Name

$ openssl req -new -key serverkey -out servercsr

5 ：创建一个ext文件，内容如下

keyUsage = nonRepudiation, digitalSignature,keyEncipherment

extendedKeyUsage = serverAuth, clientAuth

subjectAltName=@SubjectAlternativeName

[ SubjectAlternativeName ]

DNS1=abccom

DNS2=abccom

6 ：用 2 创建的 CA 证书给 4 生成的 签名请求 进行签名

$ openssl x509 -req -days 365 -extfile httpext -inservercsr -CA cacrt -CAkey cakey -set_serial 01 -out servercrt

7 ：最终会得到一下几个文件

cacrt: 这个是ca证书，客户端信任该证书意味着会信任该证书颁发出去的所有证书

cakey: ca证书的密钥

serverkey: 服务器密钥，需要配置的

servercsr: 证书签名请求,通常是交给CA机构，这里我们就自己解决了

servercrt: 服务器证书，需要配置的

2、总结ssh常用参数、用法

ssh命令是ssh客户端，允许实现对远程系统经验证地加密安全访问。ssh客户端配置文件是：/etc/ssh/ssh_config

ssh

命令配合的常见选项：

-p port

：远程服务器监听的端口

ssh 19216818 -p 2222

-b

指定连接的源IP

ssh 19216818 -p 2222 -b 192168188

-v

调试模式

ssh 19216818 -p 2222 -v

-C

压缩方式

-X

支持x11转发支持将远程linux主机上的图形工具在当前设备使用

-t

强制伪tty分配，如：ssh -t remoteserver1 ssh -t remoteserver2 ssh

remoteserver3

-o option

如：-oStrictHostKeyChecking=no

-i

指定私钥文件路径，实现基于key验证，默认使用文件：~/ssh/id_dsa,

~/ssh/id_ecdsa,/ssh/id_ed25519

，/ssh/id_rsa等

3、总结sshd服务常用参数。服务器端的配置文件: /etc/ssh/sshd_config

常用参数：

Port #

端口号

ListenAddress ipLoginGraceTime 2m #

宽限期

PermitRootLogin yes #

默认ubuntu不允许root远程ssh登录

StrictModes yes #

检查ssh/文件的所有者，权限等

MaxAuthTries 6

MaxSessions 10 #

同一个连接最大会话

PubkeyAuthentication yes #

基于key验证

PermitEmptyPasswords no #

空密码连接

PasswordAuthentication yes #

基于用户名和密码连接

GatewayPorts no

ClientAliveInterval 10 #

单位:秒

ClientAliveCountMax 3 #

默认3

UseDNS yes #

提高速度可改为no

GSSAPIAuthentication yes #

提高速度可改为no

MaxStartups #

未认证连接最大值，默认值10

Banner /path/file

以下可以限制可登录用户的办法：

AllowUsers user1 user2 user3

DenyUsers

AllowGroups

ssh

服务的最佳实践建议使用非默认端口禁止使用protocol version 1

限制可登录用户设定空闲会话超时时长利用防火墙设置ssh访问策略仅监听特定的IP地址基于口令认证时，使用强密码策略，比如：tr -dc A-Za-z0-9_ < /dev/urandom| head -c 12|

xargs

使用基于密钥的认证禁止使用空密码禁止root用户直接登录限制ssh的访问频度和并发在线数经常分析日志

4、搭建dhcp服务，实现ip地址申请分发

一、配置DHCP服务器

1、安装DHCP服务器软件

[root@centos01 ~]# mount /dev/cdrom /mnt/<!--挂载操作系统光盘-->

mount: /dev/sr0 写保护，将以只读方式挂载

[root@centos01 ~]# rm -rf /etc/yumreposd/CentOS-<!--删除系统自动yum源-->

[root@centos01 ~]# yum -y install dhcp<!--安装DHCP服务 -->

2、建立主配置文件dhcpdconf

[root@centos01 ~]# vim /etc/dhcp/dhcpdconf<!--编辑主配置文件-->

:r /usr/share/doc/dhcp-425/dhcpdconfexample<!--读取默认配置文件-->

ddns-update-style none;<!--禁用DNS动态更新-->

option domain-name "benetcom";<!--指定默认搜索域-->

option domain-name-servers 202106010, 202106020; 

<!--指定DNS服务器地址-->

default-lease-time 600;<!--默认租约时间-->

max-lease-time 7200;<!--最大租约时间-->

1）/etc/dhcp/dhcpdconf文件的配置构成

在主配置文件dhcpdconf中，可以使用声明、参数、选项这三种类型的配置，各自的作用和表现形式如下所述：

声明：用来描述dhcpd服务器中对网络布局的划分，是网络设置的逻辑范围。常见的声明是subnet、host，其中subnet声明用来约束一个网段。host声明用来约束一台特定主机。

参数：由配置关键字和对应的值组成，总是以“;”（分号）结束，一般位于指定的声明范围之内，用来设置所在范围的运行特性（如默认租约时间、最大租约时间等）。

选项：由“option”引导，后面跟具体的配置关键字和对应的值，也是以“;”结束，用于指定分配给客户机的各种地址参数（如默认网关地址、子网掩码、DNS服务器地址等）。

2）确定dhcpd服务的全局配置

为了使配置文件的结构更加清晰、全局配置通常会放在配置文件dhcodconf的开头部分，可以是配置参数，也可以是配置选项。常用的全局配置参数和选项如下所述：

ddns-update-style：动态DNS更新模式。用来设置与DHCP服务相关联的DNS数据动态更新模式。在实际的DHCP应用中很少用到该参数。将值设为“none”即可。

default-lease-time：默认租约时间。单位为秒，表示客户端可以从DHCP服务器租用某个IP地址的默认时间。

max-lease-time：最大租约时间。单位为秒，表示允许DHCP客户端请求的最大租约时间，当客户端未请求明确的租约时间时，服务器将采用默认租约时间。

option domain-name：默认搜索区域。未客户机指定解析主机名时的默认搜索域，该配置选项将体现在客户机的/etc/resolvconf配置文件中，如“search benetcom”。

option domain-name-servers：DNS服务器地址。为客户端指定解析域名时使用的DNS服务器地址，该配置选项同样将体现在客户机的/etc/resolvconf配置文件中，如“nameserver 202106020”。需要设置多个DNS服务器地址时，以逗号进行分隔。

3）确定subnet网段声明

一台DHCP服务器可以为多个网段提供服务，因此subnet网段声明必须有而且可以有多个。例如，若要DHCP服务器为1921681000/24网段提供服务，用于自动分配的IP地址范围为192168100。100~192168100200，为客户机指定默认网关地址为192168100254，则ke可以修改dhcpdconf配置文件，参考以下内容调整subnet网段声明：

[root@centos01 ~]# vim /etc/dhcp/dhcpdconf<!--编辑主配置文件-->

subnet 1921681000 netmask 2552552550 {<!--声明网段地址-->

range 192168100100 192168100200;<!--设置地址池，可以有多个-->

option routers 192168100254;<!--指定默认网关地址-->

}

4）确定host主机声明

host声明用于设置单个主机的网络属性，通常用于为网络打印机或个别服务器分配固定的IP地址（保留地址），这些主机的共同特点是要求每次获取的IP地址相同，以确保服务的稳定性。

host声明通过host关键字指定需要使用保留地址的客户机名称，并使用“hardware ethernet”参数指定该主机的MAC地址，使用“fixed-address”参数指定保留给该主机的IP地址。例如，若要为打印机prtsvr（MAC地址为00:0C:29:0D:BA:6B）分配固定的IP地址192168100101，可以修改dhcpdconf配置文件，参考以下内容在网段声明内添加host主机声明。

C:\Users\Administrator>getmac

物理地址            传输名称

=================== =======================================================

00-0C-29-0D-BA-6B  \Device\Tcpip_{92E3F48B-40F0-4A0D-9604-6386AAAE3233}<!--客户端获取MAC地址-->

[root@centos01 ~]# vim /etc/dhcp/dhcpdconf

host win7 {

hardware ethernet 00:0C:29:0D:BA:6B;<!--客户机的MAC地址-->

fixed-address 192168100101;<!--分配给客户机的IP地址-->

}

3、启动dhcpd服务

在启动dhcpd服务之前，应确认提供DHCP服务器的网络接口具有静态指定的固定IP地址，并且至少有一个网络接口的IP地址与DHCP服务器中的一个subnet网段相对应，否则将无法正常启动dhcpd服务。例如，DHCP服务器的IP地址为19216810010，用于为网段192。1681000/24内的其他客户机提供自动分配地址服务。

安装dhcp软件包以后，对应的系统服务脚本位于/usr/lib/systemd/system/dhcpdservice，可以使用systemd服务进行控制。例如，执行以下操作可以启动dhcpd服务，并检查UDP的67端口是否在监听，以确认DHCP服务器是否正常。

[root@centos01 ~]# systemctl start dhcpd<!--启动dhcp服务-->

[root@centos01 ~]# systemctl enable dhcpd<!--设置服务开机自动启动-->

[root@centos01 ~]# netstat -anptu | grep 67<!--监听DHCP服务端口号-->

udp        0      0 0000:67              0000:                          2102/dhcpd         

udp        0      0 0000:67              0000:                          1064/dnsmasq       

注意：需要关闭、重启dhcpd服务时，只要将上述操作命令中的“start”改为“stop”或“restart”即可。

二、使用DHCP客户端

1、windows客户端

ipconfig /renew<!--可以为主机重新获取新的IP地址-->

ipconfig /release<!--释放IP地址-->

tracert IP地址<!--可以测试从当前主机到目的主机经过的网络节点-->

route print<!--查看路由表-->

2、Linux客户端

在Linux客户机中可以设置使用DHCP的方式获取地址。只需要编辑对应网卡的配置文件，修改或添加“BOOTPROTO=dhcp”配置行，并重新加载配置文件或者重新启动network服务即可。例如，执行以下操作可修改网卡配置文件，并重新加载配置以通过DHCP方式自动获取地址：

[root@centos02 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens32

TYPE=Ethernet

PROXY_METHOD=none

BROWSER_ONLY=no

BOOTPROTO=dhcp

DEFROUTE=yes

NAME=ens32

DEVICE=ens32

ONBOOT=yes

[root@centos02 ~]# ifdown ens32 ; ifup ens32

[root@centos02 ~]# systemctl restart network

在Linux客户机中，还可以使用dhclient工具来测试DHCP服务器。若直接执行“dhclient”命令，则dhclient将尝试为除回环接口lo以外的所有网络接口通过DHCP方式申请新的地址，然后自动转入后台继续运行。当然，测试时可以指定一个具体的网络接口，并结合“-d”选项使其在前台运行，测试完毕后按Ctrl+C组合键终止。例如，执行“dhclient -d ens32”命令后，可以为网卡ens32自动获取新的IP地址，并显示获取过程。

[root@centos02 ~]# dhclient -d ens32

Internet Systems Consortium DHCP Client 425

Copyright 2004-2013 Internet Systems Consortium

All rights reserved

For info, please visit https://wwwiscorg/software/dhcp/

Listening on LPF/ens32/00:0c:29:97:5c:9f

Sending on  LPF/ens32/00:0c:29:97:5c:9f

Sending on  Socket/fallback

DHCPDISCOVER on ens32 to 255255255255 port 67 interval 4 (xid=0x5364e17f)

DHCPDISCOVER on ens32 to 255255255255 port 67 interval 6 (xid=0x5364e17f)

DHCPDISCOVER on ens32 to 255255255255 port 67 interval 14 (xid=0x5364e17f)<!--DHCP发现-->

DHCPREQUEST on ens32 to 255255255255 port 67 (xid=0x5364e17f)<!--DHCP请求-->

DHCPOFFER from 19216810010<!--DHCP提供-->

DHCPACK from 19216810010 (xid=0x5364e17f)<!--DHCP确认-->

bound to 192168100102 -- renewal in 229 seconds

<!--按Ctrl+C组合键终止-->

客户端需要通过dhclient命令释放获取的IP租约时，可以结合“-r”选项。例如，执行以下的“dhclient -r ens32”将会释放之前为网卡ens32获取的IP租约。此时再通过执行“ifconfig ens32”命令就看不到分配的IP地址了。

[root@centos02 ~]# dhclient -r ens32

哈，站长一语中的。其实不是Exchange的问题，是CA的问题。大概在这里解释一下吧，如果站长觉得在此处不妥，就把这个帖子移到别处吧。

CA是5年前11月份为Exchang2003建立的，有效期是5年（咋建CA网上有的是了）结果2年前5月份升级到Exchange2010，重新向CA申请的证书，现在2年到期，续订证书，但是到11月份正好根证书5年到期，所以会出现这样仅能续订半年证书的情况。

查看CA时间的方法为，在CA服务器上，打开控制面板里－管理工具－证书颁发机构－右键点击CA属性，查看证书日期，一般都是5年，续订的方法是右键点CA－所有任务－续订CA证书，这样就会再延期5年。

重新在EXCHANGE上申请续订证书，这时候的申请续订的数字证书时间会是2年，要想延长这个时间需要修改CA服务器的注册表（这个网上也有，大家可以搜一下）

续订完证书，在EXCHANGE的EMC上完成证书申请的搁置请求，导入证书后，会提示证书不可用，我觉得是虽然在CA上续订了证书，但是在EXCHANGE上还是认为是一个新证书，所以要手动把证书安装一下，既可。最后记得把服务迁移到新证书下，尤其是IIS，改变后可能某些IIS设置需要调整一下，要不会出现用户OWA访问有点问题。

俺自以为是的给留下的问题解决的办法，结果发现还是有问题，犯了一个基本的错误，这个也讲给大家吧，也许大家都知道了，客户端上需要安装的是根证书而不是导入Exchange的那张，我把EXCHANGE那张证书在客户端装了N多遍都报错。结果发现是这个问题，根源就是没有搞懂数字证书的原理。另外在CA服务器下载根证书的时候还要注意，因为续签了所以有两张根证书，注意要下那个续签的新根证书！

呵呵，ntfs的加密恢复很复杂。

(EFS)“加密文件系统”完全解读

“加密文件系统”(EFS) 提供一种核心文件加密技术，该技术用于在 NTFS文件系统卷上存储已加密文件。一旦加密了文件或文件夹，你就可以象使用其他文件和文件夹一样使用它们。对加密该文件的用户，加密是透明的。这表明不必在使用前解密已加密的文件。你可以象平时那样打开和更改文件。但是，试图访问已加密文件或文件夹的入侵者将被禁止这些操作。如果入侵者试图打开、复制、移动或重新命名已加密文件或文件夹，将收到拒绝访问的消息。

正如设置其他任何属性（如只读、压缩或隐藏）一样，通过为文件夹和文件设置加密属性，可以对文件夹或文件进行加密和解密。如果加密一个文件夹，则在加密文件夹中创建的所有文件和子文件夹都自动加密。推荐在文件夹级别上加密。

也可以用命令行功能 cipher 加密或解密文件或文件夹。有关 cipher 命令的详细信息，请参看本文附录。

使用 EFS 可以防止在未经授权的情况下获取对物理存储的敏感数据（例如，窃取便携式计算机或 Zip 磁盘）的访问的入侵者，以确保文档安全。

文件加密系统简介

文件加密系统 (EFS) 可以使用户对文件进行加密和解密。使用 EFS 可以保证文件的安全，以防那些未经许可的入侵者访问存储的敏感数据（例如，通过盗窃笔记本电脑或外挂式硬盘驱动器来偷取数据）。

用户可以象使用普通文件和文件夹那样使用已加密的文件和文件夹。加密过程是透明的。EFS 用户如果是加密者本人，系统会在用户访问这些文件和文件夹时将其自动解密，但是不允许入侵者访问任何已加密的文件或文件夹。

使用加密文件

在使用加密文件和文件夹时，请记住下列信息和建议。

重要的 EFS 信息

只有 NTFS 卷上的文件和文件夹才能被加密。

不能加密压缩文件或文件夹。首先必须对文件和文件夹解压缩，然后才能加密。在已压缩的卷上，解压缩所要加密的文件夹。

只有对文件实施加密的用户才能打开它。

不能共享加密文件。EFS 不能用于发布私人数据。

如果将加密的文件复制或移动到非 NTFS 格式的卷上，该文件将会被解密。

使用剪切和粘贴将文件移动到已加密的文件夹。如果使用拖放式操作来移动文件，则不会将它们在新文件夹中自动加密。

无法加密系统文件。

加密的文件夹或文件不能防止被删除。任何拥有删除权限的人均可以删除加密的文件夹或文件。

对于编辑文档时某些程序创建的临时文件，只要这些文件在 NTFS 卷上而且放在已加密文件夹中，则它们也会被加密。为此建议加密硬盘上的 Temp 文件夹。加密 Temp 文件夹可以确保在编辑过程中的文档也处于保密状态。如果在 Outlook 中创建一个新文档或打开附件，该文件将在 Temp 文件夹中创建为加密文档。如果选择将加密的文档保存到 NTFS 卷的其他位置，则它在新位置仍被加密。

在允许进行远程加密的远程计算机上可以加密或解密文件及文件夹。详细信息，请与域管理员联系。然而，如果通过网络打开已加密文件，通过此过程在网络上传输的数据并未加密。其他协议，例如 SSL/PCT 或者 IPSEC 必须用于通过线路加密数据。

恢复策略是当你对第一个文件或文件夹进行加密时自动执行的，以便如果你丢失了文件加密证书和相关的私钥，恢复代理可以给你解密文件。

EFS 推荐

如果你将大多数文档保存在“我的文档”文件夹中，则将对该文件夹加密。这将确保在默认情况下加密个人文档。

加密 Temp 文件夹，使程序创建的所有临时文件自动加密。

加密文件夹而不是加密单独的文件，以便如果程序在编辑期间创建了临时文件，这些临时文件也会加密。

从 Microsoft 管理控制台 (MMC) 的“证书”，使用“导出”命令，可以在软盘上制作文件加密证书和相关私钥的备份副本。将软盘保留在安全位置。那么，如果你丢失了文件加密证书（由于磁盘故障或任何其他原因），则可以从 MMC 的证书中使用“导入”命令从软盘还原证书和相关的私钥，并可以打开加密的文件。

数据加密和解密

文件加密系统 (EFS) 可以使用户在本地计算机上安全地存储数据。EFS 通过在选定的 NTFS 文件和文件夹中加密数据来达到这一目的。

由于 EFS 与文件系统集成在一起，所以它易于管理、难以被攻击而且对用户完全透明。这是一种保护易于盗窃的计算机（便携机）上的数据的典型方法。

FAT 卷中的文件和文件夹不能被加密和解密。而且，EFS 一般用于在本地计算机上安全地存储数据。例如，它不支持加密文件的共享。

EFS 加密密钥

如果用户对指定的文件进行加密，那么对用户来讲实际的数据加密和解密过程是完全透明的。用户不需要了解这个过程。但对管理员来说，以下关于数据如何被加密和解密的说明是十分有用的。

以下说明只适用于文件，而不适用于文件夹。文件夹本身不会被加密，而是文件夹中所包含文件的内容被加密。和文件夹一样，子文件夹不能被加密，但是它们都带有明显标识指出其中包含加密的文件数据。

文件的加密过程如下：

每个文件都有一个唯一的文件加密密钥，用于以后对文件数据进行解密。

文件的加密密钥在文件之中加密的--通过与用户的 EFS 证书对应的公钥进行保护。

文件加密密钥同时受到授权恢复代理的公钥的保护。

文件的解密过程如下：

要解密一个文件，首先要对文件加密密钥进行解密。当用户的私钥与这个公钥匹配时，文件加密密钥就被解密。

用户并不是唯一能对文件加密密钥进行解密的人。恢复代理的私钥同样可以对文件加密密钥进行解密。

当文件加密密钥被解密后，可以被用户或恢复代理用于文件数据的解密。

私钥保存在受保护的密钥存储区，而不是在安全帐户管理器 (SAM) 或单独的目录中。

在远程服务器上存储加密文件

如 Windows 2000 计算机环境中的用户想在远程服务器上存储加密文件，请注意以下信息：

Windows 2000 支持在远程服务器上存储加密文件。然而，这一功能并不支持多个用户对加密文件的远程共享。

用户永远不能在物理存放位置的安全性不好的服务器上存储高敏感度的数据。

加密的数据在网络上传输时是不加密的，只有当它存储在磁盘上时才是加密的。当系统包括网际协议的安全机制 (IPSec) 时例外。IPSec 对传输在 TCP/IP 网络上的数据进行加密。

加密的文件不能从 Macintosh 客户端访问。

用户可以对远程服务器上的文件加密之前，管理员必须指定远程服务器为信任委派。允许在该服务器上拥有这些文件的所有用户对文件进行加密。

加密文件系统和数据恢复

作为系统的整个安全策略的一部分，'加密文件系统'(EFS) 的数据故障恢复是可用的。例如，如果你丢失了文件加密证书和相关的私钥（由于磁盘错误或是其他原因），还是可以通过指定的故障恢复代理来恢复数据。或者，在商业环境中，单位能够在雇员离开后恢复雇员加密的数据。

恢复策略

EFS 通过实施故障恢复策略要求来提供内置数据的故障恢复。要求故障恢复策略必须在用户可以加密文件之前就位。故障恢复策略提供人员，作为被指派的故障恢复代理。当管理员第一次登录到系统上时，默认的故障恢复策略将会自动地添加进去，以便为管理员提供故障恢复代理。

故障恢复代理拥有特殊证书和相关私钥，该私钥允许在故障恢复策略的影响范围内恢复数据。如果是故障恢复代理，请务必在 Microsoft 管理控制台 (MMC) 的证书中使用“导出”命令，将故障恢复证书和相关私钥备份到安全位置。在备份之后，应使用 MMC 中的“证书”管理单元从恢复代理的个人存储区（而不是从恢复策略）删除恢复证书。然后，当需要为用户执行故障恢复操作时，应该首先从 MMC 的“证书”管理单元中使用“导入”命令将故障恢复证书和相关的私钥还原到故障恢复代理的个人存储区。在数据恢复之后，应从恢复代理的个人存储区中再次删除恢复证书。不必重复导出过程。从计算机中删除故障恢复证书并将其保存在安全位置是用于保护敏感数据的附加安全措施。

默认故障恢复策略在本地配置为用于单机。对于网络中的计算机，可以在域、部门或单个计算机一级配置故障恢复策略，并在所定义的影响范围内，将其应用于所有基于 Windows 2000 的计算机。恢复证书由证书颁发机构 (CA) 发布，并使用 MMC 中的证书来管理。

在网络环境中，对于故障恢复策略影响范围中的所有计算机用户，域管理员控制如何执行 EFS。在默认的 Windows 2000 安装中，当安装第一个域控制器时，域管理员是指定的域故障恢复代理。域管理员配置故障恢复策略的方法将决定如何为本地机器上的用户执行 EFS。域管理员登录到第一域控制器以更改域的故障恢复策略。下表解释几种故障恢复策略配置对用户的影响。

空的故障恢复策略 无法使用 EFS 没有故障恢复代理 删除每个故障恢复代理 域等级中没有故障恢复策略 可以在本地使用 EFS 默认的故障恢复代理是本地计算机的管理员 在第一个域控制器上删除故障恢复策略 故障恢复策略以指定的故障恢复代理来配置。 可以在本地使用 EFS 默认的故障恢复代理是域管理员 网络环境的默认配置

因为 Windows 2000 安全子系统处理故障恢复策略的实施、复制和缓冲，用户能够在暂时脱机的系统上执行文件加密，如便携式计算机（此过程类似于使用缓冲的凭据登录到域帐户）。

故障恢复策略

“故障恢复策略”指计算机环境中的用户在恢复加密的数据时所遵从的策略。故障恢复策略是一种公钥策略类型。

安装 Windows 2000 Server 时，如果已设置第一个域控制器时，将自动对域执行故障恢复策略。域管理员被颁发自签名的证书，该证书将域管理员指派为故障恢复代理。

EFS 通过实施故障恢复策略要求来提供内置数据的故障恢复。要求故障恢复策略必须在用户可以加密文件之前就位。故障恢复策略提供指派为故障恢复代理的人员。当管理员第一次登录到系统时，故障恢复策略将自动就位，让管理员成为故障恢复代理。

配置恢复策略

默认故障恢复策略是为单独的计算机在本地配置的。对于网络中的计算机，可以在域、组织单元或单独计算机级别上配置故障恢复策略，并在所定义的影响范围内将其应用到所有基于 Windows 2000 的计算机。故障恢复证书由证书颁发机构 (CA) 颁发，并用 Microsoft 管理控制台 (MMC) 中的证书来管理。

在网络上，故障恢复策略由域管理员或故障恢复代理设置，它控制策略影响范围内所有计算机的控制恢复项。

由于安全子系统处理故障恢复策略的实施、复制和缓存，因此用户可以在暂时脱机的系统上（如便携机）执行文件加密。（此进程类似于使用缓存的凭据登录到域帐户）。

故障恢复策略的类型

管理员可以定义三种策略中的一种：非故障恢复策略、空故障恢复策略，或者带一个或多个故障恢复代理的故障恢复策略。

故障恢复代理策略。当管理员添加一个或多个故障恢复代理时，故障恢复代理策略生效。这些代理负责在其管理范围内恢复任何加密的数据。这是最常用的故障恢复策略类型。

空故障恢复策略。当管理员删除所有的故障恢复代理及其公钥证书时，空故障恢复策略生效。空故障恢复策略意味着没有故障恢复代理，而且用户无法在故障恢复策略影响范围内的计算机上加密数据。空故障恢复策略的结果是完全关闭 EFS。

非故障恢复策略。当管理员删除组故障恢复策略时，非故障恢复策略生效。由于没有组故障恢复策略，因此单个计算机上的默认本地策略被用于恢复数据。这意味着本地管理员控制其计算机上的数据恢复。

更改故障恢复策略

要更改域的默认故障恢复策略，请以管理员身份登录第一个域控制器。然后，必须通过'Active Directory 用户和计算机'管理单元激活'组策略'，并选择'安全设置'、'公钥策略'和'加密数据的故障恢复代理'。

故障恢复代理

故障恢复代理就是获得授权解密由其他用户加密的数据的管理员。例如，当雇员离开公司而其剩余数据需要解密时故障恢复代理非常有用。在添加域的故障恢复代理之前，必须确保每个故障恢复代理都已经颁发 X509 第三版的证书。

故障恢复代理拥有特殊证书和相关私钥，允许在故障恢复策略的影响范围内恢复数据。如果你是故障恢复代理，请务必在 Microsoft 管理控制台 (MMC) 的证书中使用“导出”命令，将故障恢复证书和相关私钥备份到安全位置。备份完成后，应该使用 MMC 中的证书删除故障恢复证书。然后，在需要为用户执行故障恢复操作时，应该首先从 MMC 的证书中使用“导入”命令还原故障恢复证书和相关私钥。恢复数据之后，应该再次删除故障恢复证书。不必重复导出过程。

要对域添加故障恢复代理，请将它们的证书添加到现有的故障恢复策略中。可以通过“Active Directory 用户和计算机”管理单元激活“添加故障恢复代理”向导来完成。

使用证书

证书是一种帮你申请新的公钥证书并管理现有证书的管理单元。证书由提供身份验证、数据完整性以及在不安全的网络（如 Internet）间进行安全通讯的许多公钥安全服务和应用程序所使用。管理员可以为自己或其他用户、计算机或服务管理证书。用户只管理自己的证书。 有关打开管理单元或使用 Microsoft 管理控制台 (MMC) 的信息，请参阅相关信息。

附：Cipher 命令详解

在 NTFS 卷上显示或改变文件的加密。

cipher [/e| /d] [/s:dir] [/a][/i] [/f] [/q] [/h] [pathname []]

1． 参数

无

不带参数使用，将显示当前文件夹和其包含文件的加密状态。

/e

加密指定的文件夹。文件夹将被标记，以后添加到此文件夹中的文件将被加密。

/d

将指定的文件夹解密。文件夹将被标记，以后将会不加密添加到此文件夹的文件。

/s: dir

对在给定目录及全部子目录中的文件执行指定操作。

/a

对带指定名称的文件执行所选操作。如果没有匹配的文件，该参数将被忽略。

/i

即使发生错误，系统仍然继续执行指定的操作。默认情况下，遇到错误时 cipher 会停止。

/f

对所有指定的对象进行加密或解密。默认情况下，已加密或解密的文件被跳过。

/q

只报告最基本的信息。

/h

显示带隐藏或系统属性的文件。默认情况下，这些文件是不加密或解密的。

pathname

指定样式、文件或文件夹。

2．范例

要使用 cipher 命令加密文件夹 MonthlyReports 中的子文件夹 May，请键入下列命令：

cipher /e monthlyreports\may

要加密 MonthlyReports 文件夹中的 January 到 December 子文件夹以及 month 子文件夹中的 Manufacturing 子文件夹，请键入：

cipher /e /s:monthlyreports

如果只想加 May 子文件夹中的 Marketingxls 文件，请键入：

cipher /e /a monthlyreports\may\marketingxls

要加密 May 文件夹中的 Marketingxls 文件、Maintenancedoc 文件以及 Manufacturing 子文件夹，请键入：

cipher /e /a monthlyreports\may\ma

要确定 May 是否已加密，请键入：

cipher monthlyreports\may

要确定 May 文件夹中哪些文件已加密，请键入：

cipher monthlyreports\may\

3．注意

加密或解密文件

要防止加密文件在修改时变为解密，建议你将文件和其存放的文件夹两者一同加密。

多个文件夹名称

可以使用多个文件夹名称和通配符。

多个参数

每个参数之间至少有一个空格分隔。