在加入域的计算机上,您可以使用 EFS 加密文件夹,然后导出证书/私钥,然后以其他用户身份登录并导入以查看加密文件吗?我试过这个但失败了,但可能做错了。失败是因为证书的 CN 只为一个用户注册了吗?
有什么方法可以覆盖这台机器?即导入到机器的证书存储中并允许所有用户查看此文件?
域中没有 AD 证书颁发机构。
谢谢
答案1
设置测试虚拟机环境后,我确定了以下内容。
要查看 EFS 加密文件,你的个人 EFS 存储必须包含私人的加密文件的用户创建的证书的密钥,或者恢复代理证书的私钥。
您无法将私钥导入到机器的证书存储中,因为这只会授予系统帐户访问权限。
您可以使用该命令cipher /c filename.txt 来确定谁加密了文件,以及需要从中导出私钥的证书指纹是什么。
要检索用户的私钥,请以加密的用户身份登录并使用start->run->mmc->certificates->export私钥。
要检索域恢复代理的私钥,请登录域控制器并执行相同操作 start->run->MMC->certificates->personal-> find Domain Recovery Certificate -> export private key。
然后获取此.pfx 文件并将其导入到相关的机器上,同时以您想要访问的用户身份登录。
需要注意的是,这是在没有 PKI/CA 的域环境中测试的。有了 PKI/CA,事情可能就容易多了。
希望这对某人有帮助。