Windows Vista下的EFS加密

作者:許本新

在Windows Vista系統中也內建了NTFS的加密功能。NTFS檔案系統下的加密功能又叫着EFS系統，英文名為Encrypting File System。這中加密功能是NTFS檔案系統所獨有的一中安全特性。它提供了完善的資料保護功能。

1．EFS系統的介紹

EFS加密系統對使用者是透明的。這也就是說，如果你加密了一些資料，那麼你對這些資料的通路将是完全允許的，并不會受到任何限制。EFS加密的使用者驗證過程是在登入Windows時進行的，隻要登入到Windows，就可以打開任何一個被授權的加密檔案。換句話說，而其他非授權使用者試圖通路你加密過的資料時，就會收到“通路拒絕”的錯誤提示。

（1）EFS的加密過程

EFS加密基于公鑰政策。在使用EFS加密一個檔案或檔案夾時，系統首先會生成一個由僞随機數組成的FEK(File Encryption Key，檔案加密鑰匙),然後将利用FEK和資料擴充标準X算法建立加密後的檔案，并把它存儲到硬碟上，同時删除未加密的原始檔案。接下來系統利用你的公鑰加密FEK,并把加密後的FEK存儲在同一個加密檔案中。在首次使用EFS時，如果使用者還沒有公鑰/私鑰對(統稱為密鑰)，則會首先生成密鑰，然後加密資料。如果你登入到了域環境中，密鑰的生成依賴于域控制器，否則它就依賴于本地機器。

（2）EFS的解密過程

而在通路被加密的檔案時，系統首先利用目前使用者的私鑰解密FEK，然後利用FEK解密出檔案。

2．利用EFS對檔案夾加密

EFS加密系統即可以對檔案實行加密也可以對檔案夾加密，建議使用者對檔案夾加密，這樣的好處在于以後存放在該檔案夾中的檔案都将被自動加密。加密後的檔案或檔案夾對目前使用者是透明的，但是其他沒有授權的使用者将無法通路加密檔案。

（1）進入計算機的資料總管，滑鼠右擊需要加密的檔案夾，在彈出的菜單中選擇“屬性”指令。

（2）在出現在檔案夾屬性對話框中單擊“進階”按鈕。

（3）在彈出的“進階屬性”對話框上勾選“加密内容以便保護資料”複選框，

（4）單擊兩次“确定”按鈕，在接下來出現的“确認屬性更改”對話框。

l         選擇“将更改應用于此檔案夾、子檔案夾和檔案”單選框，則可以加密該檔案夾下的所有内容。

l         選擇“僅将更改應用于此檔案夾”單選框，則該檔案夾下的現有所有内容不會被加密，但是今後加入的内容将會被加密。

（5）最後單擊“确定”按鈕，即可加密檔案下的所有内容。

3．授權其他使用者通路加密檔案

在NTFS檔案系統下有了EFS加密系統大大的提高了檔案的安全性，由于EFS加密系統加密的檔案對使用者自己是透明，而其他使用者如果想通路加密檔案就必須得到授權後才可以。

注意：

授權使用者通路加密檔案隻能針對檔案進行，而檔案夾不可以。

假設目前登入計算機的使用者是admin，并對磁盤中的某個檔案進行了加密操作，現在admin希望另外一個使用者user1也能夠通路該檔案，可以按照以下步驟操作授權。

（1）在設定之前，首先要確定user1使用者已經執行過了加密操作。

（2）在計算機的資料總管中找到需要授權的檔案，用滑鼠右擊該檔案，在彈出的菜單上選擇“屬性”指令。

（3）在出現的檔案屬性對話框中單擊“進階”按鈕。

（4）在彈出的“進階屬性”對話框中單擊“詳細資訊”按鈕。

（5）在接下來的對“使用者通路”話框中，單擊“添加”按鈕，在彈出的對話框上可以看到加密操作的所有使用者，如圖1-1所示。

6）選中user1使用者，然後單擊“确定”按鈕。

（7）之後依次單擊“确定”按鈕，關閉所有打開的對話框，即可完成本次操作。現在user1使用者就可以成功的通路該加密檔案了。

4．建立EFS的修復代理人

資料修復代理人是一種被授權可以通路受 EFS 保護的檔案的使用者賬戶，這個使用者賬戶就叫着資料修復代理人。在作業系統中建立資料修復代理人的目的,主要是為了防止由于其他使用者賬戶被删除或者由于使用者忘記登入密碼，而導緻無法讀取加密。在以前的Windows 2000系統中，預設把内置的Administrator賬戶設定為系統的資料修復代理人，也就是說Administrator賬戶是可以通路所有其他使用者的加密檔案。後來考慮到安全問題，從Windows XP作業系統起，系統中不再自動建立修復代理人，不過還可以手動建立。

建立資料修復代理人的注意事項：

l         為保證建立的資料修復代理人具有最高的權限，一般選擇系統中的管理者組的使用者賬戶（Administrators），使用者可以選擇已經存在的使用者，也可以建立一個管理組的使用者賬戶。

l         作為資料修復代理人的使用者不能再使用 EFS 實施加密，否則如果資料修復代理人使用者不能登入時，加密檔案将不可恢複。

手動建立資料修復代理人的具體步驟如下：

（1）以admin賬戶登入作業系統，并在計算機的任意地方建立一個檔案，例如在目前計算機目錄C:\123下建立test.txt，然後打開指令提示符視窗，并在指令提示符下，輸入以下指令然後按<Enter>鍵:

Cipher /R:C:\123\test.txt

（2）然後根據系統提示輸入保護密碼和驗證密碼後,按<Enter>鍵,即可生成兩個檔案它們分别是,text.txt.CER(存儲修復代理人證書檔案)和test.txt.PFX(存放修復代理人證書和密鑰檔案).如圖1-2所示。

圖6-23生成修復代理人證書

（3）在“開始”菜單中選擇“搜尋”，然後在搜尋中輸入“secpol.msc”并按<Enter>鍵,打開“本地安全政策”控制台。

（4）用滑鼠右鍵單擊左側控制台樹中的“公鑰政策”下的“加密檔案系統”，在彈出的菜單中選擇“添加資料修復代理人”指令。

（5）彈出“添加故障修復代理人向導”對話框，在其上單擊“下一步”按鈕。

在“選擇故障修復代理人”視窗中單擊“浏覽檔案夾”按鈕，在打開的對話框中定位到先前生成的修復代理人證書test.txt.CER，并單擊“打開”按鈕。接着單擊“是”和“完成”按鈕即可把admin帳戶設定為系統的資料修復代理人。