Windows Vista下的EFS加密

2021-09-20 16:55:59 字數 2766 閱讀 4982

在windows vista系統中也整合了ntfs的加密功能。ntfs檔案系統下的加密功能又叫著efs系統,英文名為encrypting file system。這中加密功能是ntfs檔案系統所獨有的一中安全特性。它提供了完善的資料保護功能。

1.efs系統的介紹

efs加密系統對使用者是透明的。這也就是說,如果你加密了一些資料,那麼你對這些資料的訪問將是完全允許的,並不會受到任何限制。efs加密的使用者驗證過程是在登入windows時進行的,只要登入到windows,就可以開啟任何乙個被授權的加密檔案。換句話說,而其他非授權使用者試圖訪問你加密過的資料時,就會收到「訪問拒絕」的錯誤提示。

(1)efs的加密過程

efs加密基於公鑰策略。在使用efs加密乙個檔案或資料夾時,系統首先會生成乙個由偽隨機數組成的fek(file encryption key,檔案加密鑰匙),然後將利用fek和資料擴充套件標準x演算法建立加密後的檔案,並把它儲存到硬碟上,同時刪除未加密的原始檔案。接下來系統利用你的公鑰加密fek,並把加密後的fek儲存在同乙個加密檔案中。在首次使用efs時,如果使用者還沒有公鑰/私鑰對(統稱為金鑰),則會首先生成金鑰,然後加密資料。如果你登入到了域環境中,金鑰的生成依賴於域控制器,否則它就依賴於本地機器。

(2)efs的解密過程

而在訪問被加密的檔案時,系統首先利用當前使用者的私鑰解密fek,然後利用fek解密出檔案。

2.利用efs對資料夾加密

efs加密系統即可以對檔案實行加密也可以對資料夾加密,建議使用者對資料夾加密,這樣的好處在於以後存放在該資料夾中的檔案都將被自動加密。加密後的檔案或資料夾對當前使用者是透明的,但是其他沒有授權的使用者將無法訪問加密檔案。

(1)進入計算機的資源管理器,滑鼠右擊需要加密的資料夾,在彈出的選單中選擇「屬性」命令。

(2)在出現在資料夾屬性對話方塊中單擊「高階」按鈕。

(3)在彈出的「高階屬性」對話方塊上勾選「加密內容以便保護資料」核取方塊,

(4)單擊兩次「確定」按鈕,在接下來出現的「確認屬性更改」對話方塊。 l

選擇「將更改應用於此資料夾、子資料夾和檔案」單選框,則可以加密該資料夾下的所有內容。

l選擇「僅將更改應用於此資料夾」單選框,則該資料夾下的現有所有內容不會被加密,但是今後加入的內容將會被加密。

(5)最後單擊「確定」按鈕,即可加密檔案下的所有內容。

3.授權其他使用者訪問加密檔案

在ntfs檔案系統下有了efs加密系統大大的提高了檔案的安全性,由於efs加密系統加密的檔案對使用者自己是透明,而其他使用者如果想訪問加密檔案就必須得到授權後才可以。

注意:授權使用者訪問加密檔案只能針對檔案進行,而資料夾不可以。

假設當前登入計算機的使用者是admin,並對磁碟中的某個檔案進行了加密操作,現在admin希望另外乙個使用者user1也能夠訪問該檔案,可以按照以下步驟操作授權。

(1)在設定之前,首先要確保user1使用者已經執行過了加密操作。

(2)在計算機的資源管理器中找到需要授權的檔案,用滑鼠右擊該檔案,在彈出的選單上選擇「屬性」命令。

(3)在出現的檔案屬性對話方塊中單擊「高階」按鈕。

(4)在彈出的「高階屬性」對話方塊中單擊「詳細資訊」按鈕。

(5)在接下來的對「使用者訪問」話框中,單擊「新增」按鈕,在彈出的對話方塊上可以看到加密操作的所有使用者,如圖1-1所示。

6)選中user1使用者,然後單擊「確定」按鈕。

(7)之後依次單擊「確定」按鈕,關閉所有開啟的對話方塊,即可完成本次操作。現在user1使用者就可以成功的訪問該加密檔案了。

4.建立efs的恢復**

資料恢復**是一種被授權可以訪問受 efs 保護的檔案的使用者賬戶,這個使用者賬戶就叫著資料恢復**。在作業系統中建立資料恢復**的目的,主要是為了防止由於其他使用者賬戶被刪除或者由於使用者忘記登入密碼,而導致無法讀取加密。在以前的windows 2000系統中,預設把內建的administrator賬戶設定為系統的資料恢復**,也就是說administrator賬戶是可以訪問所有其他使用者的加密檔案。後來考慮到安全問題,從windows xp作業系統起,系統中不再自動建立恢復**,不過還可以手動建立。

建立資料恢復**的注意事項: l

為保證建立的資料恢復**具有最高的許可權,一般選擇系統中的管理員組的使用者賬戶(administrators),使用者可以選擇已經存在的使用者,也可以新建乙個管理組的使用者賬戶。 l

作為資料恢復**的使用者不能再使用efs 實施加密,否則如果資料恢復**使用者不能登入時,加密檔案將不可恢復。

手動建立資料恢復**的具體步驟如下:

(1)以admin賬戶登入作業系統,並在計算機的任意地方新建乙個檔案,例如在當前計算機目錄c:\123下建立test.txt,然後開啟命令提示符視窗,並在命令提示符下,輸入以下命令然後按鍵:

cipher /r:c:\123\test.txt

(2)然後根據系統提示輸入保護密碼和驗證密碼後,按鍵,即可生成兩個檔案它們分別是,text.txt.cer(儲存恢復**證書檔案)和test.txt.pfx(存放恢復**證書和金鑰檔案).如圖1-2所示。

圖6-23生成恢復**證書

(3)在「開始」選單中選擇「搜尋」,然後在搜尋中輸入「secpol.msc」並按鍵,開啟「本地安全策略」控制台。

(4)用滑鼠右鍵單擊左側控制台樹中的「公鑰策略」下的「加密檔案系統」,在彈出的選單中選擇「新增資料恢復**」命令。

(5)彈出「新增故障恢復**嚮導」對話方塊,在其上單擊「下一步」按鈕。

在「選擇故障恢復**」視窗中單擊「瀏覽資料夾」按鈕,在開啟的對話方塊中定位到先前生成的恢復**證書test.txt.cer,並單擊「開啟」按鈕。接著單擊「是」和「完成」按鈕即可把admin帳戶設定為系統的資料恢復**。

關於Windows Vista下幾大還原技術比較

注 本文中討論到的一部分技術可能只有在windows vista business ultimate下才包含。本文直接以ultimate版本討論。windows vista下的備份與還原功能非常強大,除了系統還原,還有卷影副本 備份副本 complete pc備份等。本文遵旨在於防止使用者混淆這些備...

windows vista的符號鏈結

相信使用過unix的朋友都會對符號鏈結印象深刻,通過符號鏈結,可以方便地建立指向檔案系統中其他檔案的快捷方式,這在很多時候能夠給操作帶來極 大的便利。不過,在windows系統中,想要實現類似的功能則麻煩得多,雖然微軟自windows 2000開始,便為ntfs卷引入了對名為junction poi...

禁用WindowsVista企業安裝的命令提示

在某些情況下,可能要使用命令提示符來解決windows vista企業安裝過程。本文介紹如何禁用windows vista企業安裝過程中命令提示。注意 在windows vista 企業安裝過程中啟動命令提示符按 shift f 10。在所有階段的 windows vista 企業安裝過程,wind...