科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Windows Vista中的EFS加密功能

Windows Vista中的EFS加密功能

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

从Windows 2000开始,微软提供了EFS加密功能,通过该功能,我们可以将保存在NTFS分区上的文件加密。虽然该功能已经面世很长时间了,不过很多人因为对这个功能不了解,导致了很多数据丢失的情况发生。

作者:刘晖 来源:《个人电脑》 2008年4月10日

关键字:

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共9页)

EFS的功能很强大,虽然使用过程很简单,但需要注意的事项却有很多,如果不注意,很可能会让自己永远都无法打开曾被加密过的重要文件。因此在正式投入使用之前请先注意下列问题:

永远先进行测试
无论打算借助EFS实现怎样的目的,一定要记得,在正式应用之前首先进行测试,只有在经过测试,确保万无一失之后才对自己的重要数据进行加密。这总好过加密了数据后才发现自己的操作出现纰漏,不仅无法保证数据的安全,还有可能导致自己都无法解密自己的数据,造成更大的损失。

和NTFS权限配合使用

EFS加密只能保证自己重要的文件数据不被偷窥,但并不保证文件本身的安全。例如你在计算机上加密了一个文件,别人自然是看不到文件的内容,但别人可以删除这个文件。就算没有权限,只要使用管理员帐户登录(可以破解管理员帐户的密码,或者干脆给计算机中再安装一个Windows),就可以获得所有权,并分配访问权限。虽然在这种情况下,对方依然看不到你的机密文件的内容,但完全可以将其删除。因此最好同时配合备份功能对重要数据进行备份。

注意帐户密码的修改
在Windows XP中,某些情况下,当用户修改密码后,可能会无法访问自己的EFS加密文件,但将密码更换回原来的老密码后就会恢复正常。这是一个已经确认的Bug,但截至本文完成时微软依然没有面向公众提供相应的补丁程序。因此在遇到这种问题的时候可以暂时将密码换回原来使用的,或者访问以下网址向微软索取补丁程序:
http://support.microsoft.com/kb/890951/

加密证书的创建时间
很多人还曾遇到过这样的问题:安装好系统和应用软件,设置好所有选项后,使用镜像备份软件(例如Symantec Ghost)对系统进行了完整备份,然后开始使用系统,并用EFS加密了文件。一段时间后,系统出现了一些问题,于是使用之前的备份将系统还原为备份时的状态,但发现自己的EFS加密文件打不开了。
这个问题涉及到了EFS加密证书的创建时间。和很多人想象中的不同,EFS加密证书并不是在创建用户帐户的时候进行的,而是在一个帐户第一次加密文件的时候创建的。在对系统进行备份的时候,如果还没有用EFS加密过文件,那么这时候系统中并没有EFS加密证书,因此系统的备份文件中也不会有,进而使用这样的备份文件还原系统后,因为没有证书(虽然是同一个用户帐户,同样的SID,同样的用户名和密码),依然无法打开自己加密的文件。

添加快捷菜单项

每当我们要用EFS加密文件,或者解密文件的时候,都需要用鼠标右键单击文件,选择“属性”,然后在“文件属性”对话框中进行,相当麻烦。如果你需要经常加密或解密文件,那么可以直接将加密和解密的命令添加到Windows资源管理器右键菜单中。
运行“regedit”打开注册表编辑器,定位到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion /Explorer/Advanced,在这里新建一个名为“EncryptionContextMenu”的DWORD值,将其数值设置为“1”。修改后,当我们在Windows资源管理器中用鼠标右键单击一个未加密的文件或文件夹后,右键菜单中就会出现加密的选项;如果右键单击的是加密过的文件或文件夹,那么右键菜单中就会出现解密的选项。

禁用EFS加密

虽然EFS加密很好用,但并不是所有人都需要。而且如果你的计算机是几个人共用的,一旦不了解该功能的人无意中加密了文件,而我们忘记了备份证书,那么在证书丢失或者损坏后,会导致数据丢失。
因此如果不需要使用EFS加密,我们可以将其禁用。运行“regedit”打开注册表编辑器,定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionEFS,在这里新建一个名为“EfsConfiguration”的DWORD值,将其数值设置为“1”,这样本机的EFS加密就被禁用了。日后如果需要重新启用EFS加密,只需要将该值的数值改为“0”即可。

Windows Vista中的高级选项

在Windows Vista中,通过本地安全策略控制台,我们还可以对EFS加密的一些高级选项进行设置。
运行secpol.msc打开“本地安全”策略控制台,在控制台窗口左侧的控制台树中依次进入到“安全设置”|“公钥策略”|“加密文件系统”,用鼠标右键单击“加密文件系统”节点,选择“属性”,随后可以看到“加密文件系统属性”对话框。

Windows Vista中的EFS加密功能

Windows Vista中的高级EFS选项


对于单机或工作组环境下的计算机,我们需要设置的选项包括:
使用加密文件系统(EFS)的文件加密 将该选项设置为“允许”,因为只有这样才可以继续设置下面的其他选项。
加密用户的文档文件夹的内容 选中该选项后,本机所有用户的“文档”文件夹都会被加密。对于需要多人共用一台计算机并处理机密数据的环境,请选择该选项。
启用页面文件加密 页面文件也就是我们常说的虚拟内存。正常情况下,当我们使用程序处理机密数据的时候,程序或者数据信息本身可能会被分配到页面文件中,并且在页面文件中保存很长时间,而且默认情况下页面文件在关机的时候并不会被删除。因此如果有人能够接触到页面文件,通过专用的软件将可以从中提取出数据,其中就有可能包含我们的机密数据。因此最安全的做法是加密页面文件,这样别人就算可以接触到页面文件,因为是加密的,没有证书,所以不用担心泄密。同理,我们还可以考虑加密临时文件夹。□

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章