使用Windows EFS(怎麼給檔案夾加密)進行檔案加密

標籤：

和Windows BitLocker一樣,Encrypting File System(EFS,加密檔案系統)是Windows內建的一套基於公用密鑰的加密機制,可以加密NTFS分區上的檔案和檔案夾,能夠即時、透明地對磁碟上的資料進行加密。

 加密操作

 加密方法使用者是透明的,檔案加密之後,不必手動解密,使用者能自動開啟加密檔案,而其他使用者則無法開啟加密檔案。

 加密的方法很簡單,在任何一個NTFS分區的目錄或檔案下,右擊要加密的檔案或檔案夾;然後單擊“屬性”,在“常規”選項卡上,單擊“進階”按鈕;在彈出的視窗中,勾選“加密內容以便保護資料”複選框;點擊“確定”即可,在關閉檔案時檔案即被加密。

 在預設情況下,被EFS加密的檔案或檔案夾在資源管理員中會顯示為綠色,這表示該檔案或檔案夾已經被EFS加密了。

 如果不再希望對某個檔案實施加密,清除該檔案的屬性中的複選框即可。

 備份密鑰

 ESF加密操作雖然簡單,但是如果使用者重裝了系統,以後即使利用原來的使用者名稱和密碼,也無法開啟EFS加密檔案(夾),因此使用者應該及時備份密鑰,這樣以後即使重裝系統,也能開啟加密檔案。

 在進行加密操作後,Windows系統狀態列會自動提示使用者進行備份加密金鑰,點擊後會出現“備份檔案加密認證和密鑰”的對話方塊,選擇“現在備份”,會出現認證匯出嚮導。

 點下一步匯出檔案格式選項裡,選擇預設的“個人資訊交換”。

 再點下一步輸入密碼,這個密碼是恢複認證要使用的密碼,然後點下一步,選擇儲存地址,然後即可將認證檔案成功匯出。

 如果使用者沒有點狀態列的圖片即時進行備份密鑰,也沒有關係,還可以通過手動備份的方式進行密鑰備份,方法是:點擊菜單“開始”-“運行”,鍵入certmgr.msc開啟Cert Manager,點擊“個人”-“認證”,只要以前做過加密操作,右邊視窗就會有使用者名稱同名的認證,假如有多份認證,選擇“預期目的”為“加密檔案系統”的;右擊“認證”,在菜單中選擇“所有任務”-“匯出”。

 之後會彈出一個“認證匯出嚮導”視窗,在視窗中選取“匯出私密金鑰”,並按照嚮導的要求,輸入密碼保護匯出的私密金鑰,選擇儲存認證的目錄,最後就完成了認證檔案的匯出工作。

 加密的優點

 EFS加密基於公開金鑰加密策略,使用了一種快速的對稱式加密演算法用一個隨機產生的檔案加密金鑰(file encryption key,FEK)對檔案或檔案夾進行加密,加密不同的檔案或檔案夾時使用的密鑰也不相同。

 EFS加密的使用者驗證過程是在登入Windows時進行的,只要登入到Windows,就可以開啟任何一個被授權的加密檔案。所以這就是為什麼EFS加密後的檔案夾或檔案,使用者幾乎無法感覺到加密效果的原因。

 從操作的便利性來說,由於EFS的密碼和使用者登入Windows密碼整合在一起,因此無需輸入密碼即可解密檔案,操作甚為方便。

 加密的缺點

 不過,相比Bitlocker來說,EFS加密擁有幾個重大的缺點。

 首先,如果在重裝系統前沒有備份加密認證,重裝系統後EFS加密的檔案夾裡面的檔案將無法開啟,即使使用者使用原先的密碼登入,也不能解密檔案。

 其次,對於多使用者操作同一台電腦的情況,另一個使用者雖然無法看到加密的檔案內容,但是依舊可以看到加密的檔案夾名稱和檔案名稱,從而獲得一些資訊,此外,如果加密時候使用預設許可權,其他使用者還可以對EFS加密的檔案和檔案夾進行刪除操作,因此,使用者在使用EFS加密的時候,需要在“屬性”-“安全”選項裡設定一下檔案或檔案夾的存取權限,以防止他人查看或刪除。

 對於多使用者使用同一台電腦還有一個有意思的情況,如果多使用者都有管理員權限,那麼修改另一個使用者的密碼,並用這個使用者的身份登入系統後,並不能訪問被EFS加密後的檔案,因為使用者密碼被他人修改,但如果是使用者自己對密碼進行修改(需要輸入舊密碼的方式修改),那麼使用者依然可以開啟被EFS加密的檔案。

 對於未設定存取權限的EFS加密檔案是進行解密的前提條件是:知道使用者帳戶的登入密碼,該被刪帳戶的設定檔必須存在,因為加密後的私密金鑰和主要金鑰(還包括認證和公開金鑰),都儲存在設定檔裡,如果以上兩個條件滿足,那麼先從舊的設定檔裡面獲得被刪帳戶的SID(在設定檔目錄\Application Data\Microsoft\Crypto\RSA 下有一個以該帳戶的SID為名的檔案夾,然後建立一個使用者,用newsid工具把SID改的和原來一樣,然後用新使用者登入,隨便加密一個檔案,再登出,把舊的設定檔覆蓋新使用者的設定檔,再用新使用者登入進去就可以解密其它檔案了。

 Bitlocker和EFS的對比

 Bitlocker主要用於加密整個磁碟機、外部硬碟、隨身碟等,EFS主要用於加密單個檔案或檔案夾。

 Bitlocker不依賴使用者賬戶,對於所有使用者都是同樣的狀態(開啟或關閉),EFS的加密依賴使用者賬戶,如果電腦有多個使用者,每個使用者都可以獨立加密自己的檔案。

 Bitlocker必須是管理使用者才能使用,EFS不需要管理員權限即可使用。

使用Windows EFS(怎麼給檔案夾加密)進行檔案加密