在windows vista系统中,有两种主要的加密技术:efs和bitlocker。实际上,efs加密功能自windows 2000以来就已存在。本文将详细介绍如何有效利用efs加密技术来保护您的重要数据。
什么是EFS加密?
加密文件系统(EFS)是Windows操作系统的一项功能,允许用户以加密形式将信息存储在硬盘上。
EFS的工作原理:EFS基于公钥加密技术。它易于管理,不易遭受攻击,且对用户来说是透明的。如果用户想要访问一个加密的NTFS文件,并且拥有该文件的私钥,那么他可以像打开普通文档一样轻松打开该文件;反之,没有私钥的用户将无法访问。
图中展示了在另一个账户下尝试访问加密文件时失败的情况。
从设计上来看,EFS加密是一种非常安全的公钥加密方式,只要他人的私钥无法被获取,目前的技术水平是无法破解的。相比其他加密软件,EFS的最大优势在于它与系统紧密集成,且对用户而言,整个过程是透明的。例如,用户A加密了一个文件,只有用户A可以打开该文件。当用户A登录Windows系统时,系统已经验证了用户A的身份,在这种情况下,用户A可以在Windows资源管理器中直接打开并编辑自己的加密文件,保存时,编辑后的内容会自动加密并更新到文件中。在此过程中,用户无需重复输入密码或手动进行解密和重新加密操作,因此EFS使用起来非常方便。
EFS的一些重要功能:
- 加密方法非常简单,只需在文件或文件夹属性中勾选相应的复选框即可启用加密。
- 用户可以控制哪些人能够读取这些文件。
- 文件在关闭时自动加密,打开时自动解密。
- 如果不再希望对某个已加密的文件实施加密,只需清除该文件属性中的复选框即可。
- 完全支持EFS加密和解密的操作系统包括Windows Vista Business/Enterprise/Ultimate。Windows Vista Home Basic/Home Premium只能在有密钥的情况下打开EFS加密的文件,但无法加密新的文件。
下面以Windows Vista Ultimate为例,介绍如何使用EFS加密功能:
加密和解密文件非常简单,只需在Windows资源管理器中右键点击要加密或解密的文件或文件夹,选择“属性”,打开“属性”对话框的“常规”选项卡,然后点击“高级”按钮,打开“高级属性”对话框。
如果希望加密该文件或文件夹,请勾选“加密内容以便保护数据”;如果希望解密文件或文件夹,请取消勾选“加密内容以便保护数据”,然后点击“确定”即可。如果选择加密或解密的对象是一个包含子文件夹或文件的文件夹,点击“确定”后,会看到“确认属性更改”对话框。
在这里,我们可以决定将该属性更改应用到哪些对象。例如,如果希望同时加密或解密该文件夹中包含的子文件夹和文件,可以选择“将更改应用于此文件夹、子文件夹和文件”;如果只希望加密或解密该文件夹本身,则可以选择“仅将更改应用于此文件夹”。
默认情况下,被加密的文件或文件夹在Windows资源管理器中会显示为绿色。同时,显示蓝色的表示选择了“压缩内容以便节省磁盘空间”:
当然,可以更改默认设置,打开文件夹选项:
证书的备份和还原
一个加密密钥始终与一个加密证书相关联。要备份加密密钥,您需要备份用于加密的证书。
许多人在使用EFS加密时吃了亏。如前所述,EFS是一种公钥加密体系,因此加密和解密操作都需要证书(也称为密钥)的参与。例如,许多人会这样操作:在系统中使用EFS加密文件,某天因为某些原因直接重装了操作系统,并创建了与旧系统相同用户名和密码的账户,但发现之前加密的文件无法打开。
如果只是设置了NTFS权限的文件,我们还可以让管理员获取所有权并重新指派权限,但对于EFS加密的文件,则完全无能为力,因为解密文件所需的证书已经在系统重装时消失了。在目前的技术水平下,如果没有证书,解密文件几乎是不可能的。
因此,要安全使用EFS加密,必须注意证书的备份和还原,许多人正是因为不了解这一点而吃了亏。幸运的是,从Windows Vista开始,当我们第一次使用EFS加密文件时,系统会提醒我们备份自己的证书。
备份的步骤:
登录到以前加密文件时所用的账户。
1、打开“证书管理器(certmgr.msc)”。如果系统提示您输入管理员密码或进行确认,请输入密码或提供确认。
2、点击“个人”文件夹旁边的箭头将其展开。
双击证书时,证书的用途将显示在“常规”选项卡上的“这个证书的用途如下”下面。
点击“预期用途”下面的列出“加密文件系统”或“允许加密磁盘上的数据”的证书。(可能需要滚动到右侧才能看到此信息。如果您还进行过其他需要证书的操作,例如访问加密网站或使用网络银行系统,这里可能会出现多个证书。我们需要的是“预期目的”被标记为“加密文件系统”的证书)
3、点击“操作”菜单,指向“所有任务”,然后点击“导出”。
在导出向导中,点击“是,导出私钥”,然后点击“下一步”。(只有将私钥标记为可导出且可以访问它时才会显示该选项。)
4、点击“个人信息交换”,然后点击“下一步”。
由于这是用于加密文件系统的证书,因此证书的格式不可选择,使用默认选项即可。但这里要介绍另外一个选项“如果导出成功,删除密钥”。选中该选项后,系统会在成功导出证书后自动将当前系统里的密钥删除,这样加密的文件就无法被任何人访问了。为什么要这样做?对于安全性要求较高的文件,我们可以把导出的证书利用U盘等移动设备保存并随身携带,只在需要的时候才导入到系统中,平时系统中不保留证书,这样可以进一步防止他人在未经授权的前提下访问机密数据。设置好相应的选项后点击“下一步”。
注意:如果可能的话,根据要使用证书的方式选择要使用的格式。对于带有私钥的证书,请使用个人信息交换格式。如果要将一个文件中的多个证书从一台计算机移到另一台计算机,请使用加密消息语法标准。如果需要在多个操作系统上使用证书,请使用DER编码的二进制X.509格式。
5、输入要使用的密码,确认该密码,然后点击“下一步”。导出过程将会创建一个文件来存储证书。
输入文件的名称和位置(包括完整路径),或者点击“浏览”,导航至其位置,然后输入文件名。
6、点击“完成”。
注意:将EFS证书的备份副本存储在安全的位置并使用密码进行保护。
当然,在另一台计算机上或重装系统后,要查看加密的文件,必须导入证书,与上面导入相似,这里就不细说了。
对于Windows Vista Ultimate,还可以通过安装“BitLocker和EFS增强”更新(Windows Ultimate Extras)来将EFS恢复证书保存到Microsoft的“数字保险箱”。
这个功能也非常好,而且操作更简单。
解惑:
有一种错误的概念,认为加密文件系统就是给文件加上密码。实际上,EFS是一种可以将敏感的数据加密并存储在NTFS文件系统上面的技术,离开了NTFS文件系统它将无法实现。
附录:
个人信息交换(PKCS #12)个人信息交换格式(PFX,也称为PKCS #12)允许证书及相关私钥从一台计算机传输到另一台计算机或可移动媒体。由于导出私钥可能使私钥暴露于无关方,因此PKCS #12格式是此版本的Windows中唯一受支持的用于导出证书及其关联私钥的格式。加密消息语法标准(PKCS #7)通过PKCS #7格式可以将某个证书及其证书路径中的所有证书从一台计算机传输到另一台计算机,或从计算机传输到可移动媒体。DER编码的二进制X.509 ASN.1的DER(区别编码规则),如ITU-T Recommendation X.509中所定义,可以由不在运行Windows Server 2003的计算机上的证书颁发机构使用,因此它支持互操作性。DER证书文件使用.cer扩展名。
