操作：EFS加密、密钥备份、恢复代理

实训目的：

掌握Windows EFS加密的操作步骤及EFS密钥备份的操作步骤。

系统环境：

windows2008一台

实训要求：

1) 新建admin学号账号，如admin-18170000，并提升为管理员；新建user-学号账户，如user-18170000；新建文件夹encrypt-学号，如encrypt-18170000，并设为所有用户可读写，创建文件doc-学号，如doc-18170000，内容任意；加密文件夹encrtypt-学号，并导出EFS加密证书，导出的文件取名key-admin-学号.pfx。
1.在服务器管理器中创建用户，右键创建的admin用户，点击属性，选择隶属于，添加，高级，立即查找，选中administrator，点击确定即成功提升为管理员。

2.右键文件夹选择属性，常规，高级，勾选加密内容以便保护数据。

3.win+r，输入certmgr.msc打开证书管理控制台。
4.可以看到加密文件系统的证书。

5.右键证书，选择所有任务，选择导出，打开证书导出向导。
6.这里不导出私钥，使用base64编码，设置导出的文件名，完成。

2) 以user-学号账户身份登录，创建文件夹test-学号，如test-18170000，并加密，导出EFS证书，取名key-user-学号.pfx；在文件夹test-学号中，创建文本文档，文件名为doc-before-学号，如doc-before-18170000，内容任意；将文件复制到encrypt-学号文件夹，并查看该文件夹中所有文件的内容。
1.和实训要求1同样步骤，不赘述。

3) 以admin-学号账户身份登录，查看test-学号文件夹内所有文件的内容；生成数据恢复代理证书，证书名为recover-学号，如recover-18170000，并完成数据恢复代理程序设置。
1.用admin身份无法查看文件内容。
2.输入cipher /R:C:\recover-18171034命令生成恢复代理证书。
3.双击PFX文件打开证书导入向导，并导入。
4.运行输入certmgr.msc打开证书控制台，已成功导入文件恢复证书。

5.添加数据恢复代理程序（开始，管理工具，本地安全策略，公钥策略，右键机密文件系统，添加数据恢复代理程序，安装刚才生成的CER证书）

4) 再次以user-学号账户登录，在文件夹test-学号中，创建doc-after-学号文本文档，内容任意。
发现除了user自身外，admin18171034用户也可访问文件。

5) 以管理员身份修改user-学号账户的密码，密码自定义，只要符合密码策略即可；修改完毕后，注销，再登录，再次查看加密文件夹中的所有文件内容。

依旧能够打开。

6) 以admin-学号账户登录，查看test-学号文件夹中所有文件的内容。
同样可以打开。