使用EFS加密windows文件-阿里云开发者社区

开发者社区> 人工智能> 正文

使用EFS加密windows文件

简介:

曾在碰到有朋友提出如下几个问题:
一是,我加密的文件打不开,能否将NTFS格式分区转换成FAT32分区能打开吗?
二是,加密数据后重装了操作系统,现在加密数据不能打开,如果我使用跟前一个系统同样的用户名和密码能否打开?
三是,用GHOST恢复了一下系统,用户账户和相应的SID都没有变,能否打开加密的数据文件?

以上种种是我们在XP/2000/2003中加密文件后,因为这样或那样的问题,经常出现打不开加密的文件,而导致企业或个人受到损失。现在我向大家说说,说的不好,大家不要见怪,希望能给大家有所帮助。

何谓EFS?
全称:Encrypting File System即加密文件系统,它是基于公钥策略的,它具有降低使用成本,透明性,安全性三大好处。


EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK(File Encryption Key,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。随后系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据。如果你登录到了域环境中,密钥的生成依赖于域控制器,否则依赖于本地机器。
EFS加密系统对用户是透明的。这也就是说,如果你加密了一些数据,那么你对这些数据的访问将是完全允许的,并不会受到任何限制。而其他非授权用户试图访问加密过的数据时,就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。


如何使用EFS加密呢?
在这里,我向大家介绍几种方法和使用EFS要注意的事项及具体要求。
1、操作系统要求:必须是2000/XP/2003和微软即将发行的新版系统,像95/98/me/NT都是不行的。
2、NTFS版本要求:必须是5。0或以上版本,即用2000/XP/2003和微软即将发行的新版系统格式化的NTFS分区可以,而NT系统格式化的NTFS格式分区是不行的,因为虽然它是NTFS格式分区,可是NTFS版本是4。0的。

3.只有NTFS格式的分区才可以使用EFS加密技术

4.第一次使用EFS加密后应及时备份密钥

5.如果将未加密的文件复制到具有加密属性的文件夹中,这些文件将会被自动加密。若是将加密数据移出来则有两种情况:若移动到NTFS分区上,数据依旧保持加密属性;若移动到FAT分区上,这些数据将会被自动解密。

6.被EFS加密过的数据不能在Windows中直接共享

7.NTFSF分区中加密和压缩功能不能同时使

8.Windows系统文件和文件夹无法加密


现向大家介绍在2000/XP/2003中如何使用EFS加密:
右击要加密的文件->属性->高级->加密内容以保护数据->确定。此时此数据文件即已加密了。

为了防止损失和加密文件打不开,那么我们该怎么办?假如加密文件后,系统崩溃了,重装后,加密文件是打不开的;更换用户名或密码后,加密文件是打不开的;用GHOST恢复一下系统,加密文件也是打不开的。
这就要我们注意两个关键:


一是,及时备份密钥。


在2000中如下操作:
开始->运行->MMC-》添加删除管理单元->添加->证书->我的帐户->确定。
在证书添加入组策略后,选择证书,个人,在右栏中右击证书,选所有任务,导出,导了私钥,下一步,默认,下一步,输入密码,下一步,将证书备份到某目录或优盘保存即可。

这样一旦重装系统或更改了用户名或密码等事宜打不开加密文件时,只有右击导出的证书,安装证书,导入即可。这样加密的文件又可以打开了。

二是设置有效的EFS加密恢复代理


在2000中操作如下:
在2000中,无论什么用户加密的文件,只要系统没有重装或作其它相应的更改,那么都可以用Administrator 用户登陆加以打开。但是除了adminsitrator以外,不同用户加密的文件,是不能互相打开的如:在2000中,A用户加密了A文件,B用户加密了B文件,那么A用户将打不开B文件,相反,B用户也将打不开A文件,如果要想打开A或B文件,除非得用administrator登陆才可以。还有,就是如果A文件给予了用户B权限,那就另当别论了。方法是:在2000中,以A用户登陆后,右击A文件,属性,高级,点击详细信息,添加,选择B用户证书,确定,确定即可。这时,一旦用B用户登陆后,B用户也将可以打开A用户加密的A文件,反之同理。

现在说说如何设置恢复代理:
要想利用其它用户作为恢复代理。假如要想用A用户作为恢复代理,则必须先用administrator登陆,导出Administrator用户的证书,再注销以A用户登陆,将adminsitrator 用户证书到入到A用户登陆下的组策略中,一旦导入成功,A用户即成为EFS加密恢复代理。这时,A用户将能打开任何用户加密的文件。


     本文转自Tar0 51CTO博客,原文链接:http://blog.51cto.com/tar0cissp/1318393,如需转载请自行联系原作者





版权声明:本文首发在云栖社区,遵循云栖社区版权声明:本文内容由互联网用户自发贡献,版权归用户作者所有,云栖社区不为本文内容承担相关法律责任。云栖社区已升级为阿里云开发者社区。如果您发现本文中有涉嫌抄袭的内容,欢迎发送邮件至:developer2020@service.aliyun.com 进行举报,并提供相关证据,一经查实,阿里云开发者社区将协助删除涉嫌侵权内容。

分享:
人工智能
使用钉钉扫一扫加入圈子
+ 订阅

了解行业+人工智能最先进的技术和实践,参与行业+人工智能实践项目

其他文章