一、什么是EFS?
EFS(加密文件系统)是微软Windows平台集成的,可以对NTFS分区上的数据进行加密及解密的协议。用户使用EFS可以有效的保证数据存储的安全性,可以让数据不被未知的第三方窥探。它不仅适合个人用户使用,同样对于数据安全性要求较高的企业用户,EFS的功能也将发挥得淋漓尽致。
二、使用EFS的条件:
1、EFS(加密文件系统)是依赖用NTFS文件系统来工作的。也就是说要想使用EFS功能我们的分区必须是NTFS类型。其实,EFS也是NTFS文件系统安全性的一个实例体现。
2、大家都知道NTFS的两大特点:加密和压缩。我要强调的一点是NTFS加密和压缩功能不能同时使用,我们只能取二者其一。(正所谓鱼和熊掌不可兼得)
三、EFS原理及说明:
1、如果一个用户对文件或文件夹进行了加密,那么只有这个用户可以访问这个文件夹,我们目前还没有办法可以使第二个普通用户来访问这个已加密的数据。
2、对数据进行加密的用户可以像平时一样使用已被加密数据(如打开、修改等操作),而其它没有访问权限的用户是不对访问这个被加密数据的。也就是说,EFS对于加密数据的用户来说是透明的。
3、对于已加密的数据进行移动或传输时,在移动或传输过程中数据是被解密的,待移动到相应的位置后再次被加密。如果加密数据被移动到了非NTFS分区,数据会被自动解密。
4、EFS同时使用了私钥和公钥的加密方案。在加密数据时,EFS会根据其算法随机地生成一个EFS密钥。这个密钥会用来加密当前数据,并在用户需要时用于解密数据。当EFS密钥一旦用于加密了某个数据,那么这个密钥本生也将被加密保存在这个公钥里。要想解密这个公钥就必须拥有用户私钥,这样,我们就只有访问私钥来得到EFS的加密密钥。基于这个原理,用户必须拥有私钥的访问权才能获得对加密数据的访问权。
5、为了保障EFS的正常工作,它被内置了一个恢复方案。在用户丢失了私钥时,密码恢复代理用户可以给已加密的数据解密。这样就极大的保障了加密数据的安全性。
四、怎样加密一个文件或文件夹?
1、在须要加密的文件或文件夹上单击鼠标右键选择“属性”
2、在打开的快捷菜单上找到“常规”选项卡中单击“高级”
3、在“高级属性”对话框中选中“加密内容以便保护数据”单击“确定”便完成的对数据的加密(如图1所示)
五、如何解密一个已加密的数据?
根据对数据加密的方法,取消“加密内容以便保护数据”前面的钩即可。
六、恢复代理是什么?
由于意外原因用户一旦丢失自己的私钥就会行失去对加密数据的访问权,这里我们就需要使用Windows内置的恢复代理功能。简单地说,恢复代理就是可以不提供加密用户的私钥或EFS公钥就可以对加密数据进行解密。
七、恢复代理添加要求:
1、要获得恢复代理仅限就必须拥有一个恢复代理证书。
2、你必须拥有Administrator权限,并且还要知道恢复代理证书存储的位置。
3、如果是域环境,你可以向Domain Admin获取恢复代理证书的存储位置。
4、我们只需导出证书的.cer文件就可以对证书进行的备份,这里我们就创建好了一个恢复代理。
八、证书备份过程
1、单击“开始”菜单,选择“运行”。输入“MMC /A”后回车,打开“控制台”
2、单击“文件”菜单,选择“添加/删除管理单元”,在弹出的窗口中选择“添加”按钮
3、在弹出的“添加独立管理单元”窗口中选择“证书”并单击“添加”按钮(如图2所示)
4、这里会弹出一个“证书管理单元”窗口(如图3),我们选择适合使用的类型后单击“完成”便做好了添加
5、这里我们只需要在控制台中单击右键根据向导导出所需要备份的恢复代理证书即可。
总结:在此我们详诉了EFS的功能和工作原理,希望能帮助大家更好的了解和使用EFS。
今天又收到网友的求救,说EFS加密的内容打不开了。加上今天的邮件,我已经收到不少网友的求救信。有的把自己的数据加密后经过一些操作后不能打开,我记得最严重的一位朋友是把中央领导来视察的数码照片加密后不能打开。那么我今天就对这些朋友遇到的问题进行一个简单的说明。
1、
A: EFS加密需要安装什么软件吗?
Q:EFS是Windows自带的一个功能,Win2000/WinXP(不包括Home版)/Server2003,都系统自带。
2、
A: EFS加密的条件是什么?
Q:首先要求您是我以上提到的操作系统之一,其次要求您要加密的数据存放在NTFS分区上。
3、
A: 我打开加密的数据时为什么没要求我输入密码?
Q:对于加密数据的用户来说解密是透明的,此用户在登录系统时已经完成的解密工作。
4、
A: 我重装系统以后,用以前相同的用户名和密码可以打开未重装时加密的数据吗?
Q:不行。系统对用户的识别是通过SID来实现的,而不是用户名。重装以后系统会根据一定的算法自动重新生成新SID,而这个新SID一定是和你以前不同的。所以是不能打开以前加密数据的。
5、
A: 要是加密数据打不开,我可以将数据复制到FAT分区再打开吗?
Q:不行。因为EFS是一个加密的过程,所以将EFS加密的数据Copy到FAT分区上,它也是以加密形式存在的。经测,用Rcovery Consols将EFS加密数据从NTFS分区拷贝到FAT分区,一样不能完成解密工作。
6、
A: 我用Ghost恢复了一下系统,用户以前SID没有变化,为什么我还是不能打开加密数据了?
Q:因为EFS的公钥和私钥是在第一次加密时才生成,如果您备份系统时还没没有进行过EFS加密,那么公钥和私钥还没有生成,在恢复系统以后系统没有相应的密钥,同样不能解密数据。
7、
A: 我进行了EFS加密,为什么数据还是可以被别人删除?
Q:EFS只是进行一个加密过程,您可以将NTFS权限配合EFS使用,来保证数据的安全。
8、
A: 我应该怎样备份EFS的证书呢?
Q:请在运行中输入certmgr.msc → 个人 → 证书 ,将相应的证书导出就可以了。导出证书时记得将私钥一起导出,不然这次证书备份是没有任何意义的。
PS:您要是还有任何关于EFS的问题,请到bbs.mstc.com.cn提出,或者Mail给我。
评论前必须登录!
注册