打开加密文件的万能钥匙

                   打开加密文件的万能钥匙

 

   在很多公司都会遇到这样的情况，某个员工在离开他原来的工作岗位时，留下很多加密的资料或信息，导致公司老板或其他员工束手无策，结果还必须把原来的哪个人找回来，如果是这种情况那还是好解决的。如果是哪个人是因为公司不给他加薪水而离开的岗位，本身对公司的老板或其他的不满，甚至是有意设的加密文件，尤其是公司的重要资料，这将对公司的正常经营和业务的正常运行带来影响，跟员工加薪水是小事，但是影响了公司的业务将等于是停止了一个人的血液流通，可想而知，这还是一个相当严重的问题。
    其实，也不是毫无办法，这里跟大家推荐利用数据恢复代理来解决，其实就是对某个用户一定的 权限，使他具有打开他人加密文件的权限，但是这个人必须是一个可以信任的人，或者是有一定知名度的人，最好是公司的总负责人或经理本人，为了保证数据的安全性，具有数据恢复的人的安全性也是不容忽视的，下面将以实际例子介绍一下。

           环境介绍：以U1 U2 用户在计算机中加密自己的文件，打开自己的加密文件是完全没问题的，但打开别人的加密文件就不行了。以U3作为数据恢复代理身份，分别来打开U1 U2的加密文件，实现成功后，我的介绍就结束了。

 首先在计算机中创建三个用户，U1 U2 U3

 

 

以U1 登陆系统

 

 

 让U1在系统盘中创建一个加密文件，如U1.TXT,

 以U2 登陆系统

 

 

 

 

让U2在系统盘中创建一个加密文件，如User2.TXT

 

 

 

 下面对U3的数据恢复代理进行操作，以U3登陆

 

并执行以下命令，cipher /r:u3 目的是生成一个公钥和私钥，格式为 .pfx(私钥); .cer(公钥) 保存在一个指定位置

 

 

以管理员身份登陆，设置U3为数据恢复代理，

 

运行“gpedit.msc”打开组策略---- WINDOWS 设置---安全设置----公钥策略--加密文件系统  
    右键---添加数据恢复代理--打开向导

 

 

 

 

 

选择数据U3生成的公钥文件

 

 

 

 

下一步

 

再次以U3登陆

 

运行MMC，对管理员的私钥导入，

 

 

 

 

选择证书

 

 

 

 

 

 

导入U3的私钥UER3。PFX。

 

 

 

 

 

 

 

最后进行测试，以U2创建一个加密文件，用U3来打开，如果成功，整个过程就OK了。

用U3打开Uer2.txt加密文件，被拒绝，

 

用U3打开U2完全没问题。

 

 

最后，总结以下：但是对创建数据恢复代理之前加密的文件却打不开，这是正常的，也就是说，数据恢复代理只能打开创建它之后的加密文件，目前还不知道有什么方法来解决，希望读者们能相互学习经验，资源共享，共同进步。

     由于水平有限，有不妥当或错误请多多指教，谢谢了！！！！！！！！

     本文转自shenleigang 51CTO博客，原文链接：http://blog.51cto.com/shenleigang/138950 ，如需转载请自行联系原作者