1.1EFS加密原理
EFS是Windows系统中所特有的一个实用功能,对于NTFS分区上的文件和数据,都可以直接使用EFS加密保存,很大程度上提高了数据的安全性。
EFS加密基于公钥策略。在使用EFS加密一个文件或文件夹时,系统首先会生成一个对称密钥来加密文件或文件夹,随后系统再利用用户的公钥加密对称密钥。而在访问被加密的文件时,系统首先利用当前用户的私钥解密获得对称密钥,然后利用对称密钥解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥对,则会首先生成密钥对,然后加密数据。如果系统属于域环境,密钥对的生成依赖于域控制器,否则依赖于本地主机。
1.2 实施EFS加密
下面我们以用户zhangsan的身份来对test.txt文件进行加密。
选中NTFS分区中的一个文件,点击右键,选择“属性”,在出现的对话框中点击“常规”选项卡,然后点击“高级”按钮,在出现的对话框中选中“加密内容以便保护数据”选项,点击“确定”即可。
此时可以发现加密文件的颜色变成了绿色,当其他用户登录系统后打开该文件时,就会出现“拒绝访问”的提示,这表示EFS加密成功。而如果想取消该文件的加密,只需将“加密内容以便保护数据”选项去除即可。
1.3 导出EFS证书
当zhangsan成功进行了EFS加密之后,系统会自动为其生成一个密钥对。密钥对在Windows系统中是以证书的形式存在的,打开IE浏览器,选择“Internet选项\内容\证书”,从中可以查看到系统已经颁发给zhangsan的证书。
证书是EFS加密的唯一凭据,如果没有将证书备份,那么当账号zhangsan被删除或是系统重装之后,就无法再打开EFS加密的数据。而且由于EFS加密的安全级别很高,目前也没有解密的方法。
因而在使用EFS加密之后,一定要将相应用户的证书进行备份。
在“证书”界面中点击“导出”,打开导出证书向导,选择将私钥一并导出,并设置密码保护私钥。
为证书设置文件名和保存位置后,证书导出成功。
证书导出之后,其他用户只要能够获得zhangsan的证书,那么就可以打开zhagnsan加密的文件。
比如管理员administrator默认也无法打开zhagnsan加密的文件,但是如果administrator导入了zhangsan的证书,那么就可以打开加密文件了。
1.4 重设密码对EFS加密的影响
公钥和私钥是EFS加密的基础,而私钥则又是利用用户的密码来加密的,因而如果重设了用户密码,那么必然也会对EFS加密产生影响。
例如在“计算机管理”的“本地用户和组”界面中为zhangsan重设密码,此时系统会出现警告,提示如果重设密码可能会导致数据丢失。
点击“继续”,完成密码重设之后,那么zhangsan也无法打开加密的文件了。此时必须将zhangsan的密码再改回原先的,那么才可以打开加密文件。
因而在使用了EFS加密之后,如果需要更改相应用户的密码,建议按“Ctrl+Alt+Delete”打开“Windows安全”界面,然后使用其中的“更改密码”功能来修改密码。
本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1572800
