前言
你的電腦中總不免有一些個人的隐私或是個秘密,不希望他人看到的東西。那麼你當然要把它放好喽,光是放好就行了嗎?當然不能。還要有安全措施啊。設定個NTFS權限?是個不錯的主意,可如果你的筆記本被盜了怎麼辦?再如公司裡的公共計算機或網吧計算機怎麼辦?解決資料安全的唯一途徑就是加密。可第三方的加密軟體不僅貴而且使用麻煩,真的沒有好辦法了嗎?别擔心,微軟公司早就幫你想好了,在WIN2000裡就開始提供了系統自己的加密檔案系統—EFS。在WIN2003裡,該功能更有了長足的發展。下面我們帶大家去看看EFS的神秘之處。
簡單操作
先來點簡單的,如何加密檔案。使用加密檔案系統要有兩個前提條件:
系統應使用NTFS檔案系統,FAT分區不支援EFS
系統要有DRA(資料修復代理人)
小知識:DRA—資料修復代理人,資料修復代理人是一個非常重要的角色,它能幫助你解密由于使用者證書丢失不能打開的加密檔案。為了安全起見,在沒有DRA政策存在時,EFS系統不會工作。預設情況下,本地的本機管理者是單機模式下的DRA,而域的預設域管理者是域環境下的DRA。
1、 在資料總管中操作
先來個簡單的,我們可以在資料總管裡加密和解密檔案,該操作如同設定檔案屬性一樣,非常友善,請見圖:
選擇檔案或檔案夾屬性裡的進階,選擇其中的加密選項,确定即可。你可以選擇加密檔案還是檔案夾,建議大家加密檔案夾。這樣會比較安全。
加密完畢的檔案WIN2003裡顯示為綠色,在WIN2000裡不變。選中後屬性為加密。
注意:加密和壓縮屬性不可同時選擇!檔案的解密與加密一樣操作,如圖:
2、 指令行方式操作
通過指令行加密和解密檔案更加友善快速。适合進階使用者使用。
系統使用CIPHER指令來進行加密和解密操作。
[code]
E:\Documents and Settings\Administrator>cipher /?
顯示或更改 NTFS 分區上的目錄[檔案]的加密
CIPHER [/E | /D] [/S:directory] [/A] [/I] [/F] [/Q] [/H] [pathname [...]]
CIPHER /K
CIPHER /R:filename
CIPHER /U [/N]
CIPHER /W:directory
CIPHER
/X[:efsfile] [filename]
/A 在檔案及目錄上操作。如果父目錄沒有加密,當加密檔案被修改後,它
可能被解密。建議您給此檔案和父目錄加密。
/D 将指定的目錄解密。會标記目錄,這樣随後添加的檔案就不會被加密。
/E 将指定的目錄加密。會标記目錄,這樣随後添加的檔案就會被加密。
/F 強迫在指定的對象進行加密操作,即使這些對象已經被加密。會按預設
方式跳過已經加密的對象。
/H 用隐藏或系統屬性顯示檔案。在預設方式下,會忽略這些檔案。
/I 即使發生錯誤也繼續執行指定的操作。在預設方式下,CIPHER 在遇到
錯誤時會停止。
/K 為運作 CIPHER 的使用者建立新的加密密鑰。如果選擇了此選項,會忽略
所有其他選項。
/N 此選項隻能與 /U 使用。這将阻止更新密鑰。此選項用于查找本地磁盤
上所有加密檔案。
/Q 隻報告最重要的資訊。
/R 生成一個 EFS 修復代理人密鑰和證書,然後把它們寫入一個 .PFX 檔案
(包含證書和私鑰)和一個 .CER 檔案(隻包含證書)。管理者可以向 EFS
恢複政策添加 .CER 内容,為使用者建立修復代理人并導入 .PFX 來恢複單獨檔案。
/S 在已知目錄和所有子目錄執行指定的操作。
/U 嘗試包括本地磁盤上所有加密的檔案。如果使用者檔案加密密鑰或恢複代
理的密鑰改變,這會将其更新為目前的密鑰。除了 /N 外,此選項不能
與其他選項一起使用。
/W 從整個卷上所有沒有使用的磁盤空間删除資料。如果選擇了此選項,會
忽略其他選項。指定的目錄可以位于本地卷上的任意位置。如果它是另
一個卷上一個目錄的裝入點,此卷上的資料将被删除。
/X 将 EFS 證書和密鑰備份成檔案的檔案名。如果提供了 EFS 檔案,将會
備份目前使用者的、用于加密此檔案的證書。否則,将會備份使用者目前的
EFS 證書和密鑰。
directory 一個目錄路徑。
filename 沒有擴充名的一個檔案名。
pathname 指定一個模式、檔案或目錄。
efsfile 一個加密的檔案路徑。
不用參數時,CIPHER 顯示目前目錄和它包含檔案的加密狀态。您可以使用幾個目錄名和通配符。多個參數之間必須有空格。
操作執行個體:
解密類似,這裡就不做了。請大家自己去操作。CIPHER指令除可可以做加密和解密外,還可以備份密鑰,生成DRA證書等。
注意:使用EFS後,一定要記得備份使用者證書和DRA證書。
應用技巧和注意點
大家從上面可以看到,EFS的應用是非常簡單的,但是EFS在應用中需要注意的東西也很多,我們一起來看看:
1、 密鑰備份
EFS加密系統是利用使用者證書來進行加密操作的,是以加密結束後,一定要備份使用者證書,否則一旦使用者證書丢失,解密EFS将是不可能的。
備份方法:使用證書管理工具,将證書導出,見圖:
注意:一定要記得導出私鑰,否則證書備份是無意義的。見圖:
帶有私鑰的證書稱為數字ID,需要有密碼保護方能通路。
除了備份使用者自己的證書外,還需要備份系統在安裝系統時建立的DRA證書,這是你丢失使用者證書後的最後依賴。備份方法同上。
2、 加密檔案的共享
加密的檔案預設情況下隻能由加密者自己通路,這裡需要注意的是,加密的檔案的透明通路者是加密的使用者,而不是加密檔案夾的所有者,換句話說,我在你設定為加密的檔案夾裡建立了檔案,則該檔案隻有我可以通路,你也不能通路。(加密的檔案夾不會拒絕非加密使用者的通路),同時需要注意的是,加密的檔案雖然可以限制非授權使用者的通路,但不能限制有通路權的使用者删除或改名。是以加密一般要和NTFS權限協同使用。如果由于特殊的原因,你需要把加密的檔案和朋友共享,怎麼辦呢?
首先,你的朋友也要有EFS證書(EFS證書是在第一次使用加密檔案時系統建立的)。然後你的朋友需要将該證書備份給你(此時備份的證書可以是不帶私鑰的),你得到證書後,将其安裝在系統中,并使用加密檔案裡的詳細資訊增加朋友EFS證書。見圖:
加密檔案系統的禁用
由于加密檔案系統依賴于使用者證書,而使用者往往會在一些網絡共享檔案夾上建立或設定加密檔案,一旦使用者證書丢失,就将帶來不可彌補的損失,是以有的企業往往會要求關閉EFS系統,這裡介紹幾個關閉EFS系統的辦法:
1) 單個檔案夾禁止加密
對單個檔案夾禁止加密的辦法很簡單,将以下内容複制到記事本裡,并儲存desktop.ini檔案,放在要禁止加密的檔案夾下。
[color=red]
[Encryption]
Disable=1
[/color]
樣例:
加密完成後,你會看到該目錄下的子目錄被加密了,但該目錄本身沒有。
2)在一個DC或OU裡禁止加密,你需要在系統資料庫中建立如下的鍵值:
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\EFS\EfsConfiguration
Disable: 0x00000001
3、 EFS的安全性有多高?
EFS加密檔案系統工作于證書機制(PKI)下,安全性很高,EFS系統由于使用了使用者的SID和其密碼加密主密鑰,是以EFS的加密強度很大程度上取決于加密使用者的密碼強度。建議使用較強的密碼強度,這樣會提高EFS的安全性。另外,EFS的證書存儲在使用者配置檔案中。在重新安裝系統或提升DC之前,務必将證書導出,并盡量不要破壞原來的使用者配置檔案,實踐證明,如果丢失了使用者證書副本又破壞了使用者配置檔案,恢複EFS檔案幾乎是不可能的。
4、 EFS檔案證書丢失的處理
一旦EFS的使用者證書丢失,你可以将原先備份的使用者證書導入到個人證書區即可解密,如果沒有證書備份,可以導入系統的DRA證書,系統的DRA證書應在系統安裝後備份并從運作系統中删除,以防萬一。
注意:DRA證書沒有關聯性,可導入任何使用者的個人證書區工作。
如果暫時無法找到合适的DRA證書也無法解密檔案,那麼EFS加密檔案是禁止移動或複制的。你可以使用系統自帶的備份工具将EFS檔案備份出來儲存以便今後解密。
注意:盡管EFS加密檔案不能移動或複制,但可以删除或改名。
5、 注意點
a) 不要加密系統檔案夾
b) 不要加密臨時目錄
c) 應該始終加密個人檔案夾
d) 部署EFS前必須定義合适的DRA
e) 必須備份使用者證書和DRA證書
f) 使用EFS後應盡量避免重新安裝系統,重新安裝前應先将檔案解密。
g) 加密檔案系統不對傳輸過程加密