多语言展示
当前在线:653今日阅读:23今日分享:25

通过 加密文件系统(EFS) 保护信息安全
加密文件系统(EFS, Encrypting File System) 是 Windows 的一项功能,是一种基于 NTFS 磁盘技术的加密技术,用于将信息以加密格式存储在介质上,它是 Windows 所提供的保护信息安全的最强的保护措施。EFS 将对称加密算法和非对称加密算法结合起来保护文件:文件数据使用对称加密算法(默认128位的DESX,也可用168位的3DES)加密,在该过程中使用的密匙叫做文件加密密匙(File Encryption Key, FEK),由系统生成;FEK又使用非对称加密算法(1024位的RSA)加密,这需要一个有私钥的证书,由用户提供;加密后的数据和FEK将一起存储在介质上。同时使用两种加密是为了在提高安全性的同时加快加密的速度。任何拥有证书的用户都可以解密文件,但证书丢失将导致永久失去对加密文件的访问权限。
工具/原料
1

建议至少 Windows 7 或 Windows Server 2008 R2

2

拥有 NTFS 格式分区

设置文件加密证书
1

打开 控制面板\所有控制面板项\用户帐户,在左边栏单击 管理文件加密证书。对于运行 Windows 8.1 或更高的设备,请这样打开控制面板:将鼠标移动到屏幕左下角,长按或右键单击“开始”按钮,单击“控制面板”。

2

在 选择或创建文件加密证书 中,如果你已拥有文件加密证书,可以选择 使用此证书,如果你拥有多个证书,请单击 选择证书 以选择你希望使用的证书。这里,我们将介绍如何创建新证书并加密文件:首先,选择 创建新证书,下一步。

3

一般,选择 计算机上存储的自签名证书。对于有特殊需要的用户(如企业用户),可以使用 智能卡上的 或 域证书颁发机构颁发的 证书,这里我们不做介绍。单击下一步,将自动创建一个有私钥的证书。

4

备份证书和密钥现在,您应立即备份 证书和密钥,这样可以帮助您避免在丢失或损坏原始证书和密钥时无法访问加密的文件。请将证书备份保存到可靠的位置,建议稍后将证书备份复制到多个存储介质,以避免因意外丢失证书而永久丢失对加密文件的访问权限。注:如果备份失败,您还可以在 certmgr 中进行操作,这些内容将在下面介绍。

5

更新以前加密的文件如果您以前加密过文件,请选择包含与新证书和密钥关联的加密文件的文件夹,如果您不清楚,建议勾选 所有逻辑驱动器。现在更新可以帮助您避免在丢失以前的证书和密钥时无法访问加密的文件。操作将花费一些时间,请耐心等待。

6

现在您已经成功设置了证书和密钥,可以通过 EFS 保护您的信息安全了。稍后我们将介绍如何使用 EFS。请牢记您的证书备份位置和密码。

关于 certmgr.msc (证书管理单元)
1

运行%windir%\system32\certmgr.msc可以打开证书管理单元。如果没找到 certmgr:那么运行 mmc,选择 文件\添加或删除管理单元,选择 证书,添加。

2

展开 \个人\证书,可以看到我们刚才创建的证书。

3

现在我们讲一下如何在 certmgr 中备份证书。选择要备份的证书(如果有多个EFS证书,应当将其全部备份),选择 操作\所有任务\导出。

4

确认导出私钥,导出格式 .PFX(个人信息交换),设置密码,保存。请将证书备份保存到可靠的位置,建议稍后将证书备份复制到多个存储介质,以避免因意外丢失证书而永久丢失对加密文件的访问权限。

Windows Server 可用的另一种方法
1

前面介绍了如何设置文件加密证书,对于Windows Server,可以用另一种方法申请证书:运行certmgr,展开 \个人\证书。

2

选择 操作\所有任务\申请新证书。

3

在 证书注册 中,选择 Active Directory 注册策略,下一步,选择 基本 EFS,注册。

通过运行 Cipher.exe 管理 EFS
1

EFS 未完全受到 Windows 7 简易版(Starter)、Windows 7 家庭普通版(Home Basic)和 Windows 7 家庭高级版(Home Premium)的支持。对于 Windows 的这些版本,请通过在命令提示符窗口中运行 Cipher.exe 管理 EFS。下面将介绍常用的 Cipher.exe 命令,这些命令同样适用于其他系统及有需要的高级用户。

2

不用参数时,CIPHER 显示当前目录和它包含文件的加密状态。您可以使用几个目录名和通配符。多个参数之间必须有空格。CIPHER /? 示帮助信息CIPHER /K 创建新的证书和密钥CIPHER /Y 显示当前的 EFS 证书指纹CIPHER /U 更新本地磁盘上所有以前加密的文件CIPHER /C [pathname] 显示关于加密文件的信息。CIPHER /D [pathname] 解密指定的文件或目录。CIPHER /E [pathname] 加密指定的文件或目录。如:CIPHER /C 'E:\EncryptedFile\File.txt'CIPHER /D 'E:\E*'CIPHER /E 'E:\EncryptedFile\File.txt'CIPHER /E /S:'E:\EncryptedFile'END

如何使用 EFS
1

现在介绍如何使用 EFS。下面将以文件'E:\EncryptedFile\File.txt'做演示。首先,打开'E:\EncryptedFile'的属性对话框。

2

单击 高级,勾选 加密内容以便保护数据,确定,应用。建议选择 将更改应用于此文件夹、子文件夹和文件。

3

如果您只加密文件而不加密其父文件夹,您会收到警告,因为您的行为是不安全的。对此,请根据您的具体情况选择,建议加密父文件夹。

4

现在可以看到,经过加密的文件文件名显示呈绿色。当前用户可以正常打开。如果您看不到颜色变化,请打开 控制面板\所有控制面板项\文件夹选项,转到 查看 选项卡,勾选 用彩色显示加密或压缩的 NTFS 文件。

5

切换到其他用户后,尝试对该文件进行操作时,系统会提示拒绝访问,即使在其他操作系统(如Linux)下也是如此。

6

然而,当我们给这个用户导入了之前备份的证书后,该用户也可以访问加密后的文件了。这一现象的出现与 EFS 的工作原理(见本文 简介)有关。

注意事项
1

EFS 未完全受到 Windows 7 简易版(Starter)、Windows 7 家庭普通版(Home Basic)和 Windows 7 家庭高级版(Home Premium)的支持。对于 Windows 的这些版本,只能通过运行 Cipher.exe 管理 EFS。

2

不要冒险丢失对加密文件的访问权限!尽快备份证书和密钥,并更新以前加密的文件(如果有)。

3

如果您只加密文件而不加密其父文件夹,您会收到警告,因为您的行为是不安全的。对此,请根据您的具体情况选择,建议加密父文件夹。

4

请将证书备份保存到可靠的位置,建议稍后将证书备份复制到多个存储介质,以避免因意外丢失证书而永久丢失对加密文件的访问权限。

推荐信息
网站地图 XML TXT RSS 隐私政策 服务条款 使用条款
Copyright ©1996-2025 www.onijiang.com Corporation, All Rights Reserved