Windows Vista下的EFS加密

作者:许本新

在Windows Vista系统中也集成了NTFS的加密功能。NTFS文件系统下的加密功能又叫着EFS系统，英文名为Encrypting File System。这中加密功能是NTFS文件系统所独有的一中安全特性。它提供了完善的数据保护功能。

1．EFS系统的介绍

EFS加密系统对用户是透明的。这也就是说，如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制。EFS加密的用户验证过程是在登录Windows时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。换句话说，而其他非授权用户试图访问你加密过的数据时，就会收到“访问拒绝”的错误提示。

（1）EFS的加密过程

EFS加密基于公钥策略。在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK(File Encryption Key，文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。接下来系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。在首次使用EFS时，如果用户还没有公钥/私钥对(统称为密钥)，则会首先生成密钥，然后加密数据。如果你登录到了域环境中，密钥的生成依赖于域控制器，否则它就依赖于本地机器。

（2）EFS的解密过程

而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。

2．利用EFS对文件夹加密

EFS加密系统即可以对文件实行加密也可以对文件夹加密，建议用户对文件夹加密，这样的好处在于以后存放在该文件夹中的文件都将被自动加密。加密后的文件或文件夹对当前用户是透明的，但是其他没有授权的用户将无法访问加密文件。

（1）进入计算机的资源管理器，鼠标右击需要加密的文件夹，在弹出的菜单中选择“属性”命令。

（2）在出现在文件夹属性对话框中单击“高级”按钮。

（3）在弹出的“高级属性”对话框上勾选“加密内容以便保护数据”复选框，

（4）单击两次“确定”按钮，在接下来出现的“确认属性更改”对话框。

l         选择“将更改应用于此文件夹、子文件夹和文件”单选框，则可以加密该文件夹下的所有内容。

l         选择“仅将更改应用于此文件夹”单选框，则该文件夹下的现有所有内容不会被加密，但是今后加入的内容将会被加密。

（5）最后单击“确定”按钮，即可加密文件下的所有内容。

3．授权其他用户访问加密文件

在NTFS文件系统下有了EFS加密系统大大的提高了文件的安全性，由于EFS加密系统加密的文件对用户自己是透明，而其他用户如果想访问加密文件就必须得到授权后才可以。

注意：

授权用户访问加密文件只能针对文件进行，而文件夹不可以。

假设当前登录计算机的用户是admin，并对磁盘中的某个文件进行了加密操作，现在admin希望另外一个用户user1也能够访问该文件，可以按照以下步骤操作授权。

（1）在设置之前，首先要确保user1用户已经执行过了加密操作。

（2）在计算机的资源管理器中找到需要授权的文件，用鼠标右击该文件，在弹出的菜单上选择“属性”命令。

（3）在出现的文件属性对话框中单击“高级”按钮。

（4）在弹出的“高级属性”对话框中单击“详细信息”按钮。

（5）在接下来的对“用户访问”话框中，单击“添加”按钮，在弹出的对话框上可以看到加密操作的所有用户，如图1-1所示。

6）选中user1用户，然后单击“确定”按钮。

（7）之后依次单击“确定”按钮，关闭所有打开的对话框，即可完成本次操作。现在user1用户就可以成功的访问该加密文件了。

4．创建EFS的恢复代理

数据恢复代理是一种被授权可以访问受 EFS 保护的文件的用户账户，这个用户账户就叫着数据恢复代理。在操作系统中创建数据恢复代理的目的,主要是为了防止由于其他用户账户被删除或者由于用户忘记登录密码，而导致无法读取加密。在以前的Windows 2000系统中，默认把内置的Administrator账户设置为系统的数据恢复代理，也就是说Administrator账户是可以访问所有其他用户的加密文件。后来考虑到安全问题，从Windows XP操作系统起，系统中不再自动创建恢复代理，不过还可以手动创建。

创建数据恢复代理的注意事项：

l         为保证建立的数据恢复代理具有最高的权限，一般选择系统中的管理员组的用户账户（Administrators），用户可以选择已经存在的用户，也可以新建一个管理组的用户账户。

l         作为数据恢复代理的用户不能再使用 EFS 实施加密，否则如果数据恢复代理用户不能登录时，加密文件将不可恢复。

手动创建数据恢复代理的具体步骤如下：

（1）以admin账户登录操作系统，并在计算机的任意地方新建一个文件，例如在当前计算机目录C:\123下创建test.txt，然后打开命令提示符窗口，并在命令提示符下，输入以下命令然后按<Enter>键:

Cipher /R:C:\123\test.txt

（2）然后根据系统提示输入保护密码和验证密码后,按<Enter>键,即可生成两个文件它们分别是,text.txt.CER(存储恢复代理证书文件)和test.txt.PFX(存放恢复代理证书和密钥文件).如图1-2所示。

图6-23生成恢复代理证书

（3）在“开始”菜单中选择“搜索”，然后在搜索中输入“secpol.msc”并按<Enter>键,打开“本地安全策略”控制台。

（4）用鼠标右键单击左侧控制台树中的“公钥策略”下的“加密文件系统”，在弹出的菜单中选择“添加数据恢复代理”命令。

（5）弹出“添加故障恢复代理向导”对话框，在其上单击“下一步”按钮。

在“选择故障恢复代理”窗口中单击“浏览文件夹”按钮，在打开的对话框中定位到先前生成的恢复代理证书test.txt.CER，并单击“打开”按钮。接着单击“是”和“完成”按钮即可把admin帐户设置为系统的数据恢复代理。