详解EFS加密及其应用

2018 年 12 月 19 日 0 Comments 447 Views 1 Thumb

从Windows 2000 开始,微软新增了一种叫做EFS(Encrypting File System,加密文件系统)的加密方法。这是一种既方便又安全的加密方式,然而人们总是对它敬而远之,为什么呢?一方面,EFS 加密方式不像其他加密软件(比如文件夹加密超级大师)那样容易理解。另一方面,由于EFS 的高安全性,如果用户操作不当则可能导致数据丢失。

要使用EFS,必须满足两个条件:
文件需要保存在NTFS文件系统的分区上。
操作系统必须支持EFS加密。目前支持EFS的操作系统主要有:windows 2000、windows XP、windows 7 、windows8、windows10、Professional(不包括Home 版),还有Windows Server 2003。

EFS加密的优势
首先,EFS使用密钥加密,不易被破解。虽然WinRAR可以给压缩的文件设置密码,但是网上有很多破解工具都可以破解,而EFS 自从1999 年发布,至今没有听说有谁能够破解。其次,EFS 和系统结合紧密,如果你用账户A 加密了数据,那么只有使用账户A 登录系统,才能打开文件。另外,EFS对用户是完全透明的,EFS 加密后的文件对于加密者来说,和没有加密的文件是完全一样的,可以直接在资源管理器中打开查看、编辑、删除、复制和移动,所有操作都和平时一样。

加密方法
最简单的办法就是在目标对象上点击鼠标右键,选择“属性”, 打开属性对话框,然后在常规选项卡上点击“ 高级”按钮,打开高级属性对话框,选中“加密内容以便保护数据”这个选项。
详解EFS加密及其应用

加密后文件的共享
默认情况下,加密后的文件只有加密者可以访问。如果因为特殊情况,你需要将加密后的文件和别人共享,那么还需要额外的设置(仅针对 Windows XP)。

在需要共享的文件上点击鼠标右键,选择“ 属性”。接着点击常规选项卡上的“ 高级” 按钮, 在打开的高级属性对话框中点击“ 详细信息” 按钮,然后在这个对话框中点击“ 添加”按钮,就可以选择你希望共享这个文件的用户。另外,这里添加用户并不是添加用户的名称,而是添加用户的公钥,也就是说希望共享文件的用户必须有自己的公钥。
详解EFS加密及其应用

密钥的备份和恢复
文件的加密和解密都需要密钥的参与,而密钥分为公钥和私钥两种。无论是加密还是解密文件,都需要用到个人密钥。加密文件的时候使用公钥,解密文件的时候则使用相对应的私钥。那么无论是丢失了公钥还是私钥,都会给我们的使用带来麻烦,尤其是私钥,丢失之后就再也无法解密文件了。为了保证数据安全,最好能在加密文件之后立即将自己的密钥备份出来,并保存到安全的地方,以防系统崩溃或其他原因导致数据无法解密。

如何备份密钥呢?
运行“certmgr.msc ”打开证书管理器,在“当前用户/个人/证书”路径下,可以看见一个以你的用户名为名称的证书。用鼠标右键点击这个证书,在“所有任务”中点击“导出”。之后会弹出一个证书导出向导,在向导中会询问你是否导出私钥,在这里要选择“导出私钥”,其它选项按照默认设置,连续点击继续,最后输入该用户的密码和想要保存的路径并确认,导出工作就完成了。导出的证书将是一个以 pfx 为后缀的文件。这个pfx 文件最好能保存到其他位置,并且要保证该文件的安全。

恢复密钥
当用户的密钥丢失后,例如重装了操作系统,或者无意中删除了某个账户,只要找到之前导出的pfx 文件,用鼠标右键点击,并选择“安装PFX”,之后会出现一个导入向导,按照导入向导的提示完成操作,之前加密的数据也就全部可以正确打开。

由于EFS安全性非常高,如果使用不慎或方法不当可能造成非常麻烦的后果,所以建议先用不重要的文件作EFS加密的试验。