使用EFS加密windows文件

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

曾在碰到有朋友提出如下几个问题:
一是,我加密的文件打不开,能否将NTFS格式分区转换成FAT32分区能打开吗?
二是,加密数据后重装了操作系统,现在加密数据不能打开,如果我使用跟前一个系统同样的用户名和密码能否打开?
三是,用GHOST恢复了一下系统,用户账户和相应的SID都没有变,能否打开加密的数据文件?

以上种种是我们在XP/2000/2003中加密文件后,因为这样或那样的问题,经常出现打不开加密的文件,而导致企业或个人受到损失。现在我向大家说说,说的不好,大家不要见怪,希望能给大家有所帮助。

何谓EFS?
全称:Encrypting File System即加密文件系统,它是基于公钥策略的,它具有降低使用成本,透明性,安全性三大好处。


EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK(File Encryption Key,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。随后系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据。如果你登录到了域环境中,密钥的生成依赖于域控制器,否则依赖于本地机器。
EFS加密系统对用户是透明的。这也就是说,如果你加密了一些数据,那么你对这些数据的访问将是完全允许的,并不会受到任何限制。而其他非授权用户试图访问加密过的数据时,就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。


如何使用EFS加密呢?
在这里,我向大家介绍几种方法和使用EFS要注意的事项及具体要求。
1、操作系统要求:必须是2000/XP/2003和微软即将发行的新版系统,像95/98/me/NT都是不行的。
2、NTFS版本要求:必须是5。0或以上版本,即用2000/XP/2003和微软即将发行的新版系统格式化的NTFS分区可以,而NT系统格式化的NTFS格式分区是不行的,因为虽然它是NTFS格式分区,可是NTFS版本是4。0的。

3.只有NTFS格式的分区才可以使用EFS加密技术

4.第一次使用EFS加密后应及时备份密钥

5.如果将未加密的文件复制到具有加密属性的文件夹中,这些文件将会被自动加密。若是将加密数据移出来则有两种情况:若移动到NTFS分区上,数据依旧保持加密属性;若移动到FAT分区上,这些数据将会被自动解密。

6.被EFS加密过的数据不能在Windows中直接共享

7.NTFSF分区中加密和压缩功能不能同时使

8.Windows系统文件和文件夹无法加密


现向大家介绍在2000/XP/2003中如何使用EFS加密:
右击要加密的文件->属性->高级->加密内容以保护数据->确定。此时此数据文件即已加密了。

为了防止损失和加密文件打不开,那么我们该怎么办?假如加密文件后,系统崩溃了,重装后,加密文件是打不开的;更换用户名或密码后,加密文件是打不开的;用GHOST恢复一下系统,加密文件也是打不开的。
这就要我们注意两个关键:


一是,及时备份密钥。


在2000中如下操作:
开始->运行->MMC-》添加删除管理单元->添加->证书->我的帐户->确定。
在证书添加入组策略后,选择证书,个人,在右栏中右击证书,选所有任务,导出,导了私钥,下一步,默认,下一步,输入密码,下一步,将证书备份到某目录或优盘保存即可。

这样一旦重装系统或更改了用户名或密码等事宜打不开加密文件时,只有右击导出的证书,安装证书,导入即可。这样加密的文件又可以打开了。

二是设置有效的EFS加密恢复代理


在2000中操作如下:
在2000中,无论什么用户加密的文件,只要系统没有重装或作其它相应的更改,那么都可以用Administrator 用户登陆加以打开。但是除了adminsitrator以外,不同用户加密的文件,是不能互相打开的如:在2000中,A用户加密了A文件,B用户加密了B文件,那么A用户将打不开B文件,相反,B用户也将打不开A文件,如果要想打开A或B文件,除非得用administrator登陆才可以。还有,就是如果A文件给予了用户B权限,那就另当别论了。方法是:在2000中,以A用户登陆后,右击A文件,属性,高级,点击详细信息,添加,选择B用户证书,确定,确定即可。这时,一旦用B用户登陆后,B用户也将可以打开A用户加密的A文件,反之同理。

现在说说如何设置恢复代理:
要想利用其它用户作为恢复代理。假如要想用A用户作为恢复代理,则必须先用administrator登陆,导出Administrator用户的证书,再注销以A用户登陆,将adminsitrator 用户证书到入到A用户登陆下的组策略中,一旦导入成功,A用户即成为EFS加密恢复代理。这时,A用户将能打开任何用户加密的文件。


     本文转自Tar0 51CTO博客,原文链接:http://blog.51cto.com/tar0cissp/1318393,如需转载请自行联系原作者





相关文章
|
3月前
|
数据安全/隐私保护 Python
用python对文件内容进行加密的2种方式
这篇文章介绍了使用Python对文件内容进行加密的两种方式:利用`cryptography`库的Fernet对称加密和使用`rsa`库进行RSA非对称加密。
69 6
|
3月前
|
存储 UED Windows
Windows服务器上大量文件迁移方案
Windows服务器上大量文件迁移方案
163 1
|
3月前
|
iOS开发 MacOS Windows
Mac air使用Boot Camp安装win10 ,拷贝 Windows 文件时出错
Mac air使用Boot Camp安装win10 ,拷贝 Windows 文件时出错
|
2月前
|
安全 Linux 数据安全/隐私保护
python知识点100篇系列(15)-加密python源代码为pyd文件
【10月更文挑战第5天】为了保护Python源码不被查看,可将其编译成二进制文件(Windows下为.pyd,Linux下为.so)。以Python3.8为例,通过Cython工具,先写好Python代码并加入`# cython: language_level=3`指令,安装easycython库后,使用`easycython *.py`命令编译源文件,最终生成.pyd文件供直接导入使用。
python知识点100篇系列(15)-加密python源代码为pyd文件
|
2月前
|
数据安全/隐私保护 Python
Zipfile学习笔记(二)::通过zipfile模块暴力破解加密的压缩文件
如何使用Python的zipfile模块生成密码表并尝试暴力破解加密的ZIP压缩文件。
41 1
Zipfile学习笔记(二)::通过zipfile模块暴力破解加密的压缩文件
|
2月前
|
存储 开发框架 .NET
Windows IIS中asp的global.asa全局配置文件使用说明
Windows IIS中asp的global.asa全局配置文件使用说明
37 1
|
2月前
|
Java Windows
如何在windows上运行jar包/JAR文件 如何在cmd上运行 jar包 保姆级教程 超详细
本文提供了一个详细的教程,解释了如何在Windows操作系统的命令提示符(cmd)中运行JAR文件。
985 1
|
3月前
|
人工智能 IDE 开发工具
Python实行任意文件的加密—解密
Python实行任意文件的加密—解密
31 2
|
3月前
|
人工智能 IDE 开发工具
Python实行任意文件的加密—解密
Python实行任意文件的加密—解密
48 1
|
4月前
|
缓存 NoSQL Linux
【Azure Redis 缓存】Windows和Linux系统本地安装Redis, 加载dump.rdb中数据以及通过AOF日志文件追加数据
【Azure Redis 缓存】Windows和Linux系统本地安装Redis, 加载dump.rdb中数据以及通过AOF日志文件追加数据
136 1
【Azure Redis 缓存】Windows和Linux系统本地安装Redis, 加载dump.rdb中数据以及通过AOF日志文件追加数据