您的位置: 用Windows加密文件系统保护数据
一、关门上锁:使用EFS加密
EFS 是 Microsoft 的一项技术,它可以加密计算机上的文件,并控制谁可以解密或恢复这些文件。 数据经过加密后,即使入侵者对计算机硬盘具有物理访问权,也不能阅读或修改数据(据官方消息说EFS还未证实被破解过,但经过加密的数据仍然可被删除)。
要使用EFS加密,首先必须选择合适的操作系统,目前支持EFS加密的Windows操作系统主要有Windows 2000所有版本、Windows XP Professional和Windows Server 2003。其次,EFS加密只对windows 2000系统上的NTFS5分区有效(windows nt的NTFS4、FAT和FAT32文件系统不支持EFS加密)(可以通过命令convert x: /fs:ntfs将FAT/FAT32格式转换为NTFS5格式,其中x代表分区)。
强烈建议加密前为每一个帐户特别是xp中的隐藏内置帐户administrator设置加强密码,并禁止系统自动登录。推荐加密文件夹而不是加密单个文件,因为存储在文件夹中的所有文件可以自动加密,下面以加密文件夹为例介绍操作方法,使用 Windows 资源管理器执行以下步骤: 字串5
1. 右键单击待加密的文件或文件夹,然后单击“属性”。
2. 在“常规”选项卡中单击“高级”。
3. 选择“加密内容以便保护数据”复选框,然后单击“确定”。
4. 在“属性”对话框中单击“确定”,然后在“确认属性更改”对话框中选择“将更改应用于此文件夹及其子文件夹和文件”(推荐)或“仅将更改应用于此文件夹”。
5. 单击“确定”以接受并应用您所作的加密选择。
解密数据的步骤与加密步骤类似,不同的是在以上的步骤3中把“加密内容以保护数据”前的钩消除(注:如果导出证书时删除了密钥,则必然先导入密钥才能解密)。
另外还可以在命令行模式下用“cipher”命令完成对数据的加密和解密操作,至于“cipher”命令更详细的使用方法则可以通过命令“cipher/?”查询。
为了简化加密和解密操作,可以为鼠标的右键菜单中增添“加密”和“解密”的选项。在运行中输入“regedit”并回车,打开注册表编辑器,定位到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion /Explorer/Advanced ,在“编辑”菜单上点击“新建-Dword值”,输入“EncryptionContextMenu”作为键名,并设置键值为“1”。 字串4
值得注意的是:如果把未加密的文件复制到具有加密属性的文件夹中,这些文件将会被自动加密。若是将加密数据移出来,如果移动到NTFS5分区上,数据依旧保持加密属性;如果移动到FAT/FAT32/NTFS4分区上,这些数据将会被自动解密。被EFS加密过的数据不能在Windows中直接共享。如果通过网络传输经EFS加密过的数据,这些数据在网络上将会以明文的形式传输。NTFS分区上保存的数据还可以被压缩,不过文件不能同时被压缩和加密。另外,Windows的系统文件和系统文件夹无法被加密。 字串1
二、管好钥匙:分离密钥与加密数据
EFS加密与其他加密软件有些不同,读写加密数据时并不需要输入密码,因为它的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。所以简单地通过以上加密操作保护数据还不是万无一矢,如果电脑设置的是自动登录或者帐户密码被破解,加密数据将被一览无遗。补救措施是,分离密钥与加密数据,即导出证书后删除密钥,每次导入证书后及时删除证书。下面是导出EFS个人证书的操作方法:
1.在运行中输入“certmgr.msc”后回车,打开证书管理器。
2.切换到“证书-当前用户-个人-证书”下,这里应该可以看见一个以当前帐户为名称的证书(如果还没有加密任何数据,这里不会有证书)。
3.右击这个证书,从“所有任务”中选择“导出”,之后会弹出一个“证书导出向导”对话框。
4.点“下一步”,选择“是,导出私钥”项,再点“下一步”,在“导出文件格式”页面中确认选择“私人信息交换 – PKCS #12 (.PFX)” ,并选择“如果导出成功,删除密钥”复选框。然后单击“下一步”。
5.在“密码”页面的“密码”和“确认密码”文本框中输入加强密码(注:加强密码至少七个字符长;切勿包含您的用户名、真实名称或公司名称;切勿包含完整的字典单词。 另外,此密码应不同于用来登录系统的密码)。然后,单击“下一步”。
6.在“要导出的文件”页面中,输入或浏览文件名和路径,然后单击“下一步”。 复查下一屏中显示的信息,以验证所选的文件名、文件位置和文件格式,然后单击“完成”。将报告是否成功导出。阅读通知后单击“确定”以退出“证书导出向导”。(注:任何其他用户只要获得了备份的证书,都可以对加密文件进行解密,因此一定要确保备份证书的安全性。)
重新启动电脑后验证一下,试着打开之前加密的文件,如果能够读写该文件,证明以上操作中没有成功删除密钥,仍然是不安全的。还可以用以下方法补救:在确认已备份好证书后删除证书,即在运行中输入“certmgr.msc”后回车,打开证书管理器。切换到“证书-当前用户-个人-证书”下,删除以自己的用户名为名称的证书,再重启电脑。需要提醒的是,在删除证书后而又未导入证书前,建议不要再加密数据,一旦加密数据将产生新的证书,而这个证书与之前的证书名称相同但实质是不一样的,相互不通用,容易混淆。
删除证书和密钥后必须导入才能读写或者解密加密数据,方法很简单,找到之前备份的证书或者密钥,如果是PFX文件,则双击或单击PFX文件(或者右击PFX文件选择“安装PFX”)后输入密码并按提示操作;如果是证书文件,则右击证书文件选择“安装证书”并按提示操作即可。为了确保数据绝对安全,请牢记及时删除个人证书或者密钥,不要将证书和密钥保存在有加密数据的电脑上。 字串8
三、未雨绸缪:建立数据恢复代理
用EFS加密数据是安全,但也有一定的风险,如果出现证书丢失、帐户被删除等情况,即使重新建立一个同样名称的帐户或者重装系统,都是不能恢复数据的。当然,这种情况也不是完全没有解决办法,因为用EFS加密过的文件,除了加密者本人之外还有“恢复代理”可以打开。恢复代理是一种特殊的用户,作用是解开用EFS加密的文件。对于Windows 2000来说,在单机和工作组环境下,默认的恢复代理是 Administrator ;Windows XP/2003在单机和工作组环境下没有默认的恢复代理。而在域环境中就完全不同了,所有加入域的Windows 2000/XP/2003计算机,默认的恢复代理全部是域管理员。上述风险如果出现在windows 2000中还比较幸运,可以通过administrator帐户恢复数据,而使用Windows XP/2003的就没有那么幸运了,由于没有默认的恢复代理,如果事先又没有设置恢复代理,一旦用户被删除或丢失证书,将无法恢复加密数据。所以推荐使用Windows XP/2003的用户在实施加密前设置恢复代理,留一条退路。下面介绍如何在windows XP(windows 2003参照XP)下设置恢复代理:
1.首先确定用哪个用户作为恢复代理,可以设置任何用户,比如你想让user成为恢复代理,就用user账户登录系统(一般建议使用Administrator作为恢复代理)。
字串7
2.在“运行”中输入“cipher /rc:\test”(test可以是任何其它名字),回车后系统会提示询问是否用密码把证书保护起来,你可以自己设置一个密码,也可不需要密码保护就直接按回车。完成后我们在C盘的根目录下可以发现test.cer和test.pfx两个文件(在资源管理器中点“工具→文件夹选项→查看”,取消“隐藏已知文件类型的扩展名”才能看到文件后缀名)。
3.先使用鼠标右键单击PFX文件,选择“安装PFX”,将弹出“证书导入向导”,如果提示输入密码,就输入步骤2中设置的密码,选中“标示此私钥为可导出的”,下一步选择“根据证书类型,自动选择证书存储区”导入证书。
4.在“运行”中输入“gpedit.msc”并回车,打开组策略编辑器。在“计算机配置→Windows设置→安全设置→公钥策略→正在加密文件系统”下,点击鼠标右键,并选择“添加数据恢复代理”,按“添加故障恢复代理向导”打开test.cer,完成后即成功将USER用户设置为指定恢复代理。
此后只要用USER用户登录系统,就可以解密所有在指定恢复代理后被加密的文件(夹)了。注意,在设置恢复代理前已经加密的文件是不能解密的,所以必须未雨绸缪,事先设置恢复代理。 字串7
细心的读者可能会发现,这里又出现一个安全隐患,当建立了恢复代理后,如果别人非法用恢复代理的帐户登录了系统,获取加密数据又是易如反掌。所以务必先备份恢复代理证书后再删除恢复代理密钥和证书,具体方法如下:在“开始-运行”中输入gpedit.msc回车,在“本地计算机策略”中,导航到“计算机配置”-“Windows 设置”-“安全设置”-“公钥策略”-“加密文件系统”,再参照第二部分中备份、删除个人EFS证书的方法操作。在成功备份后务必删除,避免密钥存储在本机上,只在无法打开加密数据的紧急情况下导入使用。
最后简要总结一下用EFS保护数据的要点:为所有帐户设置加强密码,禁用系统自动登录,使用EFS加密数据,配合帐户安全权限保护数据,备份个人证书密钥并及时删除证书密钥,建立恢复代理,备份恢复代理证书密钥并及时删除证书密钥,证书、密钥导入后及时删除,重启电脑确保修改生效。 字串3
字串4
嘿嘿 不错吧 还不去试试!Tags:保护 数据 系统 文件 加密 恢复 代理 EFS 密钥
来源:您的评论
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据
·请客观的评价您所看到的资讯,提倡就事论事,杜绝漫骂和人身攻击等不文明行为
热点资讯
精彩推荐
最新资讯
随机推荐
- ·了解Windows中EFS加密及解密应用
- ·如何利用回收站给文件夹加密?
- ·文件加密综述版之一
- ·给windows目录加密码防止恶意软件入
- ·为系统“加密”的另类方法
- ·用系统给文件夹加密
- ·SmartShelter文档保护系统
- ·Windows Vista系统加密及解密应用EFS
- ·加密你的html源代码
- ·玩转Ubuntu Linux之加密文件系统篇
- ·Windows XP中EFS文件加密及解密
- ·超级简单安全的加密方法
- ·巧用暴风影音藏文件
- ·Windows系统文件夹加解密技巧
- ·文件加密软件亮新招—Easy File
- ·Syskey命令对系统双重加密的方法
- ·N73文件加密方法
- ·教你两招巧妙隐藏需保密文件
- ·在Windows XP中查找加密文件
- ·压缩文件的加密方法