Windows 2000/XP/Server 2003都配备了EFS(Encrypting File System,加密文件系统),它可以帮助您针对存储在NTFS磁盘卷上的文件和文件夹执行加密操作。如果硬盘上的文件已经使用了EFS进行加密,即使黑客能访问到你硬盘上的文件,由于没有解密的密钥,文件也是不可用的。
EFS加密基于公钥策略。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK(File Encryption Key,文件加密钥匙),然后利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。接下来系统利用你的公钥来加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据。如果你登录到了域环境中,密钥的生成依赖于域控制器,否则它就依赖于本地机器。
说起来非常复杂,但是实际使用过程中就没有那么麻烦了。EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。换句话说,EFS加密系统对用户是透明的。这也就是说,如果你加密了一些数据,那么你对这些数据的访问将是完全被允许的,并不会受到任何限制。而其他非授权用户试图访问你加密过的数据时,就会收到“访问拒绝”的错误提示(图1)。
如果盐醇用艿奈募粗频骄用艿奈募兄校庑┪募岜蛔远用堋H羰墙用苁菀瞥隼矗绻贫絅TFS分区上,数据依旧保持加密属性。被EFS加密过的数据不能在Windows中直接共享。如果通过网络传输经EFS加密过的数据,这些数据在网络上将会以明文的形式传输。NTFS分区上保存的数据还可以被压缩,但是一个文件不能同时被压缩和加密。再有,Windows的系统文件和系统文件夹无法被加密。
要提醒大家的是:要使用EFS加密功能,首先要保证操作系统是Windows 2000/XP/Server 2003,Windows 98/Me操作系统就无缘使用了。其次要保证文件所在的分区格式是NTFS格式,FAT32分区里的数据是无法加密的。如果你要使用EFS加密,必须将FAT32格式转换为NTFS。
EFS应用实例
让我们看看如何给文件夹加密。右击选择要加密的文件夹,选择快捷菜单中的“属性”,选择“常规”标签中的最下方“属性”|“高级”,在“压缩或加密属性”一栏中,把“加密内容以便保护数据”打上√(图2),点“确定”。回到文件属性点“应用”,弹出“确认属性更改”窗口,在“将该应用用于该文件夹、子文件夹和文件”打上“√”,点“确定”。这样这个文件夹里的原来有的以及新建的所有文件和子文件夹都被自动加密了。要解开加密的文件夹,把“加密内容以便保护数据”前面的“√”去掉,点确定就可以了。
将EFS选项添加至快捷菜单
如果想将EFS选项添加至快捷菜单,请依次执行下列操作步骤:在“运行”对话框内输入regedit,在注册表编辑器内浏览至下列子键:
HKEY_LOCAL_MacHINESOFTWARE
MicrosoftWindowsCurrentVersionExplorer
Advanced,然后新建一个DWord值EncryptionContextMenu,并将它的键值设为1。注意,为确保对注册表进行修改,应在自己的计算机上拥有管理员账号。这样当用户右键单击某一存储于NTFS磁盘卷上的文件或文件夹时,加密或解密选项便会出现在随后弹出的快捷菜单上(图3),非常方便。
禁用EFS
如果你不喜欢EFS,可以彻底禁用它。只要在“运行”中输入Regedit并回车,打开注册表编辑器,依次展开到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionEFS,然后新建一个Dword值EfsConfiguration,并将其键值设为1,这样本机的EFS加密就被彻底禁用了。
标签:
