安全:舉例講解EFS的加密技巧 |
發(fā)布時間: 2012/8/26 16:02:04 |
EFS:Encrypting File System,加密文件系統(tǒng)。它可以幫助你針對存儲在NTFS磁盤卷上的文件和文件夾進(jìn)行加密操作。 NTFS:Windows 2000/XP/2003支持的、一個特別為網(wǎng)絡(luò)和磁盤配額、文件加密等管理安全特性設(shè)計的磁盤格式。NTFS支持文件加密管理功能,可為用戶提供更高層次的安全保證。 MMC:Microsoft Management Console的簡稱,是一個集成了用來管理網(wǎng)絡(luò)、計算機(jī)、服務(wù)及其他系統(tǒng)組件的管理工具。MMC不執(zhí)行管理功能,但集成管理工具?梢蕴砑拥娇刂泼姘宓闹饕ぞ哳愋头Q為管理單元,其他可添加的項目包括 ActiveX 控件、指向 Web 頁的鏈接、文件夾、任務(wù)板視圖和任務(wù)。 由于EFS的用戶驗證過程是在你登錄Windows時進(jìn)行的,所以只要授權(quán)用戶登錄到Windows,就可以打開任何一個被授權(quán)的加密文件。因此,實際上EFS對用戶來說是透明的。也就是說如果你加密了某些數(shù)據(jù)后,你對這些數(shù)據(jù)的訪問將不會有任何限制,而且不會有任何提示,你根本感覺不到它的存在。但是當(dāng)其他非授權(quán)用戶試圖訪問加密過的數(shù)據(jù)時,就會收到“訪問拒絕”的錯誤提示,從而保護(hù)我們的加密文件。 小提示: 如果你要使用EFS加密文件系統(tǒng),必須將Windows 2000/XP/Server 2003的加密文件所在分區(qū)格式化為NTFS格式。 實戰(zhàn)一:實戰(zhàn)EFS文件夾加密 第一步:右擊選擇要加密的文件夾,選擇“屬性”,然后單擊彈出窗口中的“常規(guī)”標(biāo)簽,再單擊最下方的“屬性→高級”,在“壓縮或加密屬性”一欄中,把“加密內(nèi)容以便保護(hù)數(shù)據(jù)”勾選上。 第二步:單擊“確定”按鈕,回到文件屬性再單擊“應(yīng)用”按鈕,會彈出“確認(rèn)屬性更改”窗口,在“將該應(yīng)用用于該文件夾、子文件夾和文件”打上“√”,最后單擊“確定”按鈕即開始加密文件。這樣這個文件夾里的原來有的以及新建的所有文件和子文件夾都被自動加密了。 第三步:如果想取消加密,只需要右擊文件夾,取消“加密內(nèi)容以便保護(hù)數(shù)據(jù)”的勾選,確定即可。 小提示 在命令行模式下也可用“cipher”命令完成對數(shù)據(jù)的加密和解密操作,在命令符后輸入“cipher/?”并回車可以得到具體的命令參數(shù)使用方法。 實戰(zhàn)二:右鍵輕松加密解密 用上述方法加密文件須確認(rèn)多次,非常麻煩,其實只要修改一下注冊表,就可以給鼠標(biāo)的右鍵菜單中增添“加密”和“解密”選項,以后在需要時用右擊即可完成相關(guān)操作。單擊“開始→運行”,輸入regedit后回車,打開注冊表編輯器,定位到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Exporer/Advanced],在“編輯”菜單上單擊“新建→DWORD值”,然后輸入EncryptionContextMenu作為鍵名,并設(shè)置鍵值為“1”。退出注冊表編輯器,打開資源管理器,任意選中一個NTFS分區(qū)上的文件或者文件夾,右擊就可以在右鍵菜單中找到相應(yīng)的“加密”和“解密”選項,直接單擊就可以完成加密/解密的操作。 實戰(zhàn)三:多用戶禁止特殊文件夾加密 在多用戶共用電腦的時候,我們通常將用戶指定為普通用戶權(quán)限,但是普通用戶賬戶在默認(rèn)的情況下是允許使用加密功能,因此如果在一些多用戶共用的電腦上有人利用EFS加密文件,勢必會給其他用戶帶來許多麻煩。所以需要設(shè)置某些特定的文件夾禁止被加密,或者禁止文件加密功能。 先來說說如何只想禁止加密某個文件夾,方法是只要在該文件夾中用記事本創(chuàng)建一個名為Desktop.ini的文件,然后添加如下內(nèi)容: 最后保存這個文件即可。這樣如果以后其他用戶試圖加密該文件夾時就會出現(xiàn)錯誤信息,無法進(jìn)行下去。注意,你只能使用這種方法禁止其他用戶加密該文件夾,文件夾中的子文件夾將不受保護(hù)。 如果要徹底禁用EFS加密,可以打開“注冊表編輯器”,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS],在“編輯”菜單上單擊“新建→Dword值”,然后輸入EfsConfiguration作為鍵名,并設(shè)置鍵值為“1”,這樣本機(jī)的EFS加密就被禁用了。 實戰(zhàn)五:導(dǎo)出EFS密鑰 使用Windows 2000/XP的EFS加密后,如果重裝系統(tǒng),那么原來被加密的文件就無法打開了!如果你沒有事先做好密鑰的備份,那么數(shù)據(jù)是永遠(yuǎn)打不開的。由此可見,做好密鑰的被備份就很重要。 第一步:首先以本地帳號登錄,最好是具有管理員權(quán)限的用戶。然后單擊“開始→運行”,輸入“MMC”后回車,打開控制面板界面。 第二步:單擊控制面板的“控制面板→添加刪除管理單元”,在彈出的“添加/刪除管理單元”對話框中單擊“添加”按鈕,在“添加獨立管理單元”對話框中選擇“證書”后,單擊“添加”按鈕添加該單元。 如果是管理員,會要求選擇證書方式,選擇“我的用戶證書”,然后單擊“關(guān)閉”按鈕,單擊“確定”按鈕返回控制面板。 第三步:依次展開左邊的“控制面板根節(jié)點→證書→個人→證書→選擇右邊窗口中的賬戶”,右擊選擇“所有任務(wù)→導(dǎo)出”,彈出“證書導(dǎo)出向?qū)?rdquo;。 第四步:單擊“下一步”按鈕,選擇“是,導(dǎo)出私鑰”,單擊“下一步”按鈕,勾選“私人信息交換”下面的“如果可能,將所有證書包括到證書路徑中”和“啟用加強(qiáng)保護(hù)”項,單擊“下一步”按鈕,進(jìn)入設(shè)置密碼界面。 第五步:輸入設(shè)置密碼,這個密碼非常重要,一旦遺忘,將永遠(yuǎn)無法獲得,以后也就無法導(dǎo)入證書。輸入完成以后單擊“下一步”按鈕,選擇保存私鑰的位置和文件名。 第六步:單擊“完成”按鈕,彈出“導(dǎo)出成功”對話框,表示你的證書和密鑰已經(jīng)導(dǎo)出成功了,打開保存密鑰的路徑,會看到一個“信封+鑰匙”的圖標(biāo),這就是你寶貴的密鑰!丟失了它,不僅僅意味著你再也打不開你的數(shù)據(jù),也意味著別人可以輕易打開你的數(shù)據(jù)。 實戰(zhàn)六:導(dǎo)入EFS密鑰 由于重裝系統(tǒng)后,對于被EFS加密的文件我們是不能夠打開的,所以重裝系統(tǒng)以前,一定記住導(dǎo)出密鑰,然后在新系統(tǒng)中將備份的密鑰導(dǎo)入,從而獲得權(quán)限。 小提示 ★確保你導(dǎo)入的密鑰有查看的權(quán)利,否則就是導(dǎo)入了也沒有用的。這一點要求在導(dǎo)出時就要做到 ★記住導(dǎo)出時設(shè)置的密碼,最好使用和導(dǎo)出是相同的用戶名。 第一步:雙擊導(dǎo)出的密鑰(就是那個“信封+鑰匙”圖標(biāo)的文件),會看到“證書導(dǎo)入向?qū)?rdquo;歡迎界面,單擊“下一步”按鈕,確認(rèn)路徑和密鑰證書,然后單擊“下一步”繼續(xù)。 第二步:在“密碼”后面輸入導(dǎo)出時設(shè)置的密碼,把密碼輸入后勾選“啟用強(qiáng)密鑰保護(hù)”和“標(biāo)志此密鑰可導(dǎo)出”(以確保下次能夠?qū)С觯,然后單?ldquo;下一步”繼續(xù)。 第三步:根據(jù)提示,依次單擊“下一步”按鈕,OK了,單擊完成按鈕,看到“導(dǎo)入成功”就表示你已經(jīng)成功導(dǎo)入密鑰了。 試試看,原來打不開的文件,現(xiàn)在是不是全部都能打開了呢? 小提示 ★EFS加密的文件打不開了,把NTFS分區(qū)轉(zhuǎn)換成FAT32分區(qū)或者使用相同的用戶名和密碼登錄甚至重新Ghost回原系統(tǒng)都不能解決問題,因此備份和導(dǎo)入EFS密鑰就顯得非常重要。 ★Windows XP家用版并不支持EFS功能。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |