| • |
计算机的物理保护至关重要。为保证计算机不失窃或不遭到物理损坏,应采取一切必要的预防措施。这些预防措施是技术手段所无法替代的。 |
| • |
使用移动计算机时,应确保登录到 Active Directory 域。 |
| • |
存储独立于移动计算机的用户私钥,并在必要时将其导入。 |
| • |
加密公共文件夹,如“我的文档”和临时文件夹,以加密所有新文件和临时文件。 |
| • |
敏感数据文件应建立在加密文件夹中,敏感数据明文文件应拷贝到加密文件夹中。遵循该原则可以确保没有明文文件存储于计算机中,并且临时文件无法被复杂的磁盘分析工具所恢复。 |
| • |
结合使用组策略、登录脚本和安全模板强制执行文件夹加密操作,从而确保将标准文件夹(如“我的文档”)设置为加密文件夹。 |
| • |
Windows XP 操作系统支持脱机文件的数据加密。在应用客户端缓存策略时,应对存储于本地缓存的脱机文件和文件夹进行加密。 |
| • |
在移动计算机中,启用系统工具 SYSKEY 的模式 2 或模式 3(软盘启动或密码启动),以防止恶意用户启动系统。Windows 版本的联机帮助中对该系统密钥工具进行了说明。 |
| • |
为服务器启用组策略中的 SMB 签名,这些服务器是受信任的委派对象,并用来存储加密文件。这个设置可以在“组策略”中找到,其路径为:“组策略对象名称”、“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”、“安全选项”、“Microsoft 网络服务器: 完全数字签名通信。 |
| • |
文件加密后,确保从硬盘驱动器中删除未加密的数据,该操作应定期执行。 |
