用Windows加密檔案系統保護資料

無論是家庭使用者還是企業使用者，特別是便攜電腦使用者，電腦中都會或多或少有一些重要資料需要安全保護。系統崩潰了可以重裝，硬體損壞了可以再去買，但如果是資料被泄密，那帶來的損失就無法估計了。除了及時做好備份外，將風險降到最低的一種方法是使用加密檔案系統 (Encrypting File System，簡稱EFS)。下面介紹一下本人的學習體會：

一、關門上鎖：使用EFS加密
EFS 是 Microsoft 的一項技術，它可以加密電腦上的檔案，並控制誰可以解密或恢複這些檔案。 資料經過加密後，即使入侵者對電腦硬碟具有物理訪問權，也不能閱讀或修改資料（據官方訊息說EFS還未證實被破解過，但經過加密的資料仍然可被刪除）。
要使用EFS加密，首先必須選擇合適的作業系統，目前支援EFS加密的Windows作業系統主要有Windows 2000所有版本、Windows XP Professional和Windows Server 2003。其次，EFS加密只對windows 2000系統上的NTFS5分區有效（windows nt的NTFS4、FAT和FAT32檔案系統不支援EFS加密）(可以通過命令convert x: /fs:ntfs將FAT/FAT32格式轉換為NTFS5格式，其中x代表分區)。
強烈建議加密前為每一個帳戶特別是xp中的隱藏內建帳戶administrator設定加強密碼，並禁止系統自動登入。推薦加密檔案夾而不是加密單個檔案，因為儲存在檔案夾中的所有檔案可以自動加密，下面以加密檔案夾為例介紹操作方法，使用 Windows 資源管理員執行以下步驟：
1. 按右鍵待加密的檔案或檔案夾，然後單擊“屬性”。 
2. 在“常規”選項卡中單擊“進階”。
3. 選擇“加密內容以便保護資料”複選框，然後單擊“確定”。
4. 在“屬性”對話方塊中單擊“確定”，然後在“確認屬性更改”對話方塊中選擇“將更改應用於此檔案夾及其子檔案夾和檔案”(推薦)或“僅將更改應用於此檔案夾”。
5. 單擊“確定”以接受並應用您所作的加密選擇。
解密資料的步驟與加密步驟類似，不同的是在以上的步驟3中把“加密內容以保護資料”前的鉤消除(註：如果匯出認證時刪除了密鑰，則必然先匯入密鑰才能解密)。
另外還可以在命令列模式下用“cipher”命令完成對資料的加密和解密操作，至於“cipher”命令更詳細的使用方法則可以通過命令“cipher/?”查詢。
為了簡化加密和解密操作，可以為滑鼠的右鍵菜單中增添“加密”和“解密”的選項。在運行中輸入“regedit”並斷行符號，開啟登錄編輯程式，定位到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion /Explorer/Advanced ，在[編輯] 功能表上點擊“建立－Dword值”，輸入“EncryptionContextMenu”作為鍵名，並設定索引值為“1”。
值得注意的是：如果把未加密的檔案複製到具有加密屬性的檔案夾中，這些檔案將會被自動加密。若是將加密資料移出來，如果移動到NTFS5分區上，資料依舊保持加密屬性；如果移動到FAT/FAT32/NTFS4分區上，這些資料將會被自動解密。被EFS加密過的資料不能在Windows中直接共用。如果通過網路傳輸經EFS加密過的資料，這些資料在網路上將會以明文的形式傳輸。NTFS分區上儲存的資料還可以被壓縮，不過檔案不能同時被壓縮和加密。另外，Windows的系統檔案和系統檔案夾無法被加密。

二、管好鑰匙：分離密鑰與加密資料
EFS加密與其他加密軟體有些不同，讀寫加密資料時並不需要輸入密碼，因為它的使用者驗證過程是在登入Windows時進行的，只要登入到Windows，就可以開啟任何一個被授權的加密檔案。所以簡單地通過以上加密操作保護資料還不是萬無一矢，如果電腦設定的是自動登入或者帳戶密碼被破解，加密資料將被一覽無遺。補救措施是，分離密鑰與加密資料，即匯出認證後刪除密鑰，每次匯入認證後及時刪除認證。下面是匯出EFS個人認證的操作方法：
1.在運行中輸入“certmgr.msc”後斷行符號，開啟Cert Manager。
2.切換到“認證-目前使用者－個人－認證”下，這裡應該可以看見一個以當前帳戶為名稱的認證(如果還沒有加密任何資料，這裡不會有認證)。
3.右擊這個認證，從“所有任務”中選擇“匯出”，之後會彈出一個“認證匯出嚮導”對話方塊。
4.點“下一步”，選擇“是，匯出私密金鑰”項，再點“下一步”，在“匯出檔案格式”頁面中確認選擇“私人資訊交換 – PKCS #12 (.PFX)” ，並選擇“如果匯出成功，刪除密鑰”複選框。然後單擊“下一步”。
5.在“密碼”頁面的“密碼”和“確認密碼”文字框中輸入加強密碼(註：加強密碼至少七個字元長；切勿包含您的使用者名稱、真實名稱或公司名稱；切勿包含完整的字典單詞。 另外，此密碼應不同於用來登入系統的密碼)。然後，單擊“下一步”。
6.在“要匯出的檔案”頁面中，輸入或瀏覽檔案名稱和路徑，然後單擊“下一步”。 複查下一屏中顯示的資訊，以驗證所選的檔案名稱、檔案位置和檔案格式，然後單擊“完成”。將報告是否成功匯出。閱讀通知後單擊“確定”以退出“認證匯出嚮導”。(註：任何其他使用者只要獲得了備份的認證，都可以對加密檔案進行解密，因此一定要確保備份認證的安全性。)
重新啟動電腦後驗證一下，試著開啟之前加密的檔案，如果能夠讀寫該檔案，證明以上操作中沒有成功刪除密鑰，仍然是不安全的。還可以用以下方法補救：在確認已備份好認證後刪除認證，即在運行中輸入“certmgr.msc”後斷行符號，開啟Cert Manager。切換到“認證-目前使用者－個人－認證”下，刪除以自己的使用者名稱為名稱的認證，再重啟電腦。需要提醒的是，在刪除認證後而又未匯入認證前，建議不要再加密資料，一旦加密資料將產生新的認證，而這個認證與之前的認證名稱相同但實質是不一樣的，相互不通用，容易混淆。
刪除認證和密鑰後必須匯入才能讀寫或者解密加密資料，方法很簡單，找到之前備份的認證或者密鑰，如果是PFX檔案，則雙擊或單擊PFX檔案（或者右擊PFX檔案選擇“安裝PFX”）後輸入密碼並按提示操作；如果是認證檔案，則右擊認證檔案選擇“安裝認證”並按提示操作即可。為了確保資料絕對安全，請牢記及時刪除個人認證或者密鑰，不要將認證和密鑰儲存在有加密資料的電腦上。

三、未雨綢繆：建立資料修復代理
用EFS加密資料是安全，但也有一定的風險，如果出現認證丟失、帳戶被刪除等情況，即使重建立立一個同樣名稱的帳戶或者重裝系統，都是不能恢複資料的。當然，這種情況也不是完全沒有解決辦法，因為用EFS加密過的檔案，除了加密者本人之外還有“修復代理”可以開啟。修復代理是一種特殊的使用者，作用是解開用EFS加密的檔案。對於Windows 2000來說，在單機和工作群組環境下，預設的修復代理是 Administrator ；Windows XP/2003在單機和工作群組環境下沒有預設的修復代理。而在域環境中就完全不同了，所有加入域的Windows 2000/XP/2003電腦，預設的修復代理全部是網域系統管理員。上述風險如果出現在windows 2000中還比較幸運，可以通過administrator帳戶恢複資料，而使用Windows XP/2003的就沒有那麼幸運了，由於沒有預設的修復代理，如果事先又沒有設定修復代理，一旦使用者被刪除或丟失認證，將無法恢複加密資料。所以推薦使用Windows XP/2003的使用者在實施加密前設定修復代理，留一條退路。下面介紹如何在windows XP（windows 2003參照XP)下設定修復代理：
1.首先確定用哪個使用者作為修復代理，可以設定任何使用者，比如你想讓user成為修復代理，就用user賬戶登入系統（一般建議使用Administrator作為修復代理）。
2.在“運行”中輸入“cipher /rc：/test”（test可以是任何其它名字），斷行符號後系統會提示詢問是否用密碼把認證保護起來，你可以自己設定一個密碼，也可不要求輸入密碼保護就直接按斷行符號。完成後我們在C盤的根目錄下可以發現test.cer和test.pfx兩個檔案（在資源管理員中點“工具→檔案夾選項→查看”，取消“隱藏已知檔案類型的副檔名”才能看到檔案尾碼名）。
3.先使用滑鼠右鍵單擊PFX檔案，選擇“安裝PFX”，將彈出“認證匯入嚮導”，如果提示輸入密碼，就輸入步驟2中設定的密碼，選中“標示此私密金鑰為可匯出的”，下一步選擇“根據認證類型，自動選擇憑證存放區區”匯入認證。
4.在“運行”中輸入“gpedit.msc”並斷行符號，開啟組策略編輯器。在“電腦配置→Windows設定→安全設定→公開金鑰策略→正在加密檔案系統”下，點擊滑鼠右鍵，並選擇“添加資料修復代理”，按“添加故障修復代理嚮導”開啟test.cer，完成後即成功將USER使用者佈建為指定修復代理。
此後只要用USER使用者登入系統，就可以解密所有在指定修復代理後被加密的檔案（夾）了。注意，在設定修復代理前已經加密的檔案是不能解密的，所以必須未雨綢繆，事先設定修復代理。
細心的讀者可能會發現，這裡又出現一個安全隱患，當建立了修復代理後，如果別人非法用修復代理的帳戶登入了系統，擷取加密資料又是易如反掌。所以務必先備份修復代理認證後再刪除修復代理密鑰和認證，具體方法如下：在“開始－運行”中輸入gpedit.msc斷行符號，在“本機電腦策略”中，導航到“電腦配置”－“Windows 設定”－“安全設定”－“公開金鑰策略”－“加密檔案系統”，再參照第二部分中備份、刪除個人EFS認證的方法操作。在成功備份後務必刪除，避免金鑰儲存區在本機上，只在無法開啟加密資料的緊急情況下匯入使用。
最後簡要總結一下用EFS保護資料的要點：為所有帳戶設定加強密碼，禁用系統自動登入，使用EFS加密資料，配合帳戶安全許可權保護資料，備份個人認證密鑰並及時刪除認證密鑰，建立修復代理，備份修復代理認證密鑰並及時刪除認證密鑰，認證、密鑰匯入後及時刪除，重啟電腦確保修改生效。