安全:舉例講解EFS的加密技巧 |
發(fā)布時(shí)間: 2012/8/26 16:02:04 |
EFS:Encrypting File System,加密文件系統(tǒng)。它可以幫助你針對(duì)存儲(chǔ)在NTFS磁盤卷上的文件和文件夾進(jìn)行加密操作。 NTFS:Windows 2000/XP/2003支持的、一個(gè)特別為網(wǎng)絡(luò)和磁盤配額、文件加密等管理安全特性設(shè)計(jì)的磁盤格式。NTFS支持文件加密管理功能,可為用戶提供更高層次的安全保證。 MMC:Microsoft Management Console的簡(jiǎn)稱,是一個(gè)集成了用來管理網(wǎng)絡(luò)、計(jì)算機(jī)、服務(wù)及其他系統(tǒng)組件的管理工具。MMC不執(zhí)行管理功能,但集成管理工具?梢蕴砑拥娇刂泼姘宓闹饕ぞ哳愋头Q為管理單元,其他可添加的項(xiàng)目包括 ActiveX 控件、指向 Web 頁(yè)的鏈接、文件夾、任務(wù)板視圖和任務(wù)。 由于EFS的用戶驗(yàn)證過程是在你登錄Windows時(shí)進(jìn)行的,所以只要授權(quán)用戶登錄到Windows,就可以打開任何一個(gè)被授權(quán)的加密文件。因此,實(shí)際上EFS對(duì)用戶來說是透明的。也就是說如果你加密了某些數(shù)據(jù)后,你對(duì)這些數(shù)據(jù)的訪問將不會(huì)有任何限制,而且不會(huì)有任何提示,你根本感覺不到它的存在。但是當(dāng)其他非授權(quán)用戶試圖訪問加密過的數(shù)據(jù)時(shí),就會(huì)收到“訪問拒絕”的錯(cuò)誤提示,從而保護(hù)我們的加密文件。 小提示: 如果你要使用EFS加密文件系統(tǒng),必須將Windows 2000/XP/Server 2003的加密文件所在分區(qū)格式化為NTFS格式。 實(shí)戰(zhàn)一:實(shí)戰(zhàn)EFS文件夾加密 第一步:右擊選擇要加密的文件夾,選擇“屬性”,然后單擊彈出窗口中的“常規(guī)”標(biāo)簽,再單擊最下方的“屬性→高級(jí)”,在“壓縮或加密屬性”一欄中,把“加密內(nèi)容以便保護(hù)數(shù)據(jù)”勾選上。 第二步:?jiǎn)螕?ldquo;確定”按鈕,回到文件屬性再單擊“應(yīng)用”按鈕,會(huì)彈出“確認(rèn)屬性更改”窗口,在“將該應(yīng)用用于該文件夾、子文件夾和文件”打上“√”,最后單擊“確定”按鈕即開始加密文件。這樣這個(gè)文件夾里的原來有的以及新建的所有文件和子文件夾都被自動(dòng)加密了。 第三步:如果想取消加密,只需要右擊文件夾,取消“加密內(nèi)容以便保護(hù)數(shù)據(jù)”的勾選,確定即可。 小提示 在命令行模式下也可用“cipher”命令完成對(duì)數(shù)據(jù)的加密和解密操作,在命令符后輸入“cipher/?”并回車可以得到具體的命令參數(shù)使用方法。 實(shí)戰(zhàn)二:右鍵輕松加密解密 用上述方法加密文件須確認(rèn)多次,非常麻煩,其實(shí)只要修改一下注冊(cè)表,就可以給鼠標(biāo)的右鍵菜單中增添“加密”和“解密”選項(xiàng),以后在需要時(shí)用右擊即可完成相關(guān)操作。單擊“開始→運(yùn)行”,輸入regedit后回車,打開注冊(cè)表編輯器,定位到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Exporer/Advanced],在“編輯”菜單上單擊“新建→DWORD值”,然后輸入EncryptionContextMenu作為鍵名,并設(shè)置鍵值為“1”。退出注冊(cè)表編輯器,打開資源管理器,任意選中一個(gè)NTFS分區(qū)上的文件或者文件夾,右擊就可以在右鍵菜單中找到相應(yīng)的“加密”和“解密”選項(xiàng),直接單擊就可以完成加密/解密的操作。 實(shí)戰(zhàn)三:多用戶禁止特殊文件夾加密 在多用戶共用電腦的時(shí)候,我們通常將用戶指定為普通用戶權(quán)限,但是普通用戶賬戶在默認(rèn)的情況下是允許使用加密功能,因此如果在一些多用戶共用的電腦上有人利用EFS加密文件,勢(shì)必會(huì)給其他用戶帶來許多麻煩。所以需要設(shè)置某些特定的文件夾禁止被加密,或者禁止文件加密功能。 先來說說如何只想禁止加密某個(gè)文件夾,方法是只要在該文件夾中用記事本創(chuàng)建一個(gè)名為Desktop.ini的文件,然后添加如下內(nèi)容: 最后保存這個(gè)文件即可。這樣如果以后其他用戶試圖加密該文件夾時(shí)就會(huì)出現(xiàn)錯(cuò)誤信息,無法進(jìn)行下去。注意,你只能使用這種方法禁止其他用戶加密該文件夾,文件夾中的子文件夾將不受保護(hù)。 如果要徹底禁用EFS加密,可以打開“注冊(cè)表編輯器”,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS],在“編輯”菜單上單擊“新建→Dword值”,然后輸入EfsConfiguration作為鍵名,并設(shè)置鍵值為“1”,這樣本機(jī)的EFS加密就被禁用了。 實(shí)戰(zhàn)五:導(dǎo)出EFS密鑰 使用Windows 2000/XP的EFS加密后,如果重裝系統(tǒng),那么原來被加密的文件就無法打開了!如果你沒有事先做好密鑰的備份,那么數(shù)據(jù)是永遠(yuǎn)打不開的。由此可見,做好密鑰的被備份就很重要。 第一步:首先以本地帳號(hào)登錄,最好是具有管理員權(quán)限的用戶。然后單擊“開始→運(yùn)行”,輸入“MMC”后回車,打開控制面板界面。 第二步:?jiǎn)螕艨刂泼姘宓?ldquo;控制面板→添加刪除管理單元”,在彈出的“添加/刪除管理單元”對(duì)話框中單擊“添加”按鈕,在“添加獨(dú)立管理單元”對(duì)話框中選擇“證書”后,單擊“添加”按鈕添加該單元。 如果是管理員,會(huì)要求選擇證書方式,選擇“我的用戶證書”,然后單擊“關(guān)閉”按鈕,單擊“確定”按鈕返回控制面板。 第三步:依次展開左邊的“控制面板根節(jié)點(diǎn)→證書→個(gè)人→證書→選擇右邊窗口中的賬戶”,右擊選擇“所有任務(wù)→導(dǎo)出”,彈出“證書導(dǎo)出向?qū)?rdquo;。 第四步:?jiǎn)螕?ldquo;下一步”按鈕,選擇“是,導(dǎo)出私鑰”,單擊“下一步”按鈕,勾選“私人信息交換”下面的“如果可能,將所有證書包括到證書路徑中”和“啟用加強(qiáng)保護(hù)”項(xiàng),單擊“下一步”按鈕,進(jìn)入設(shè)置密碼界面。 第五步:輸入設(shè)置密碼,這個(gè)密碼非常重要,一旦遺忘,將永遠(yuǎn)無法獲得,以后也就無法導(dǎo)入證書。輸入完成以后單擊“下一步”按鈕,選擇保存私鑰的位置和文件名。 第六步:?jiǎn)螕?ldquo;完成”按鈕,彈出“導(dǎo)出成功”對(duì)話框,表示你的證書和密鑰已經(jīng)導(dǎo)出成功了,打開保存密鑰的路徑,會(huì)看到一個(gè)“信封+鑰匙”的圖標(biāo),這就是你寶貴的密鑰!丟失了它,不僅僅意味著你再也打不開你的數(shù)據(jù),也意味著別人可以輕易打開你的數(shù)據(jù)。 實(shí)戰(zhàn)六:導(dǎo)入EFS密鑰 由于重裝系統(tǒng)后,對(duì)于被EFS加密的文件我們是不能夠打開的,所以重裝系統(tǒng)以前,一定記住導(dǎo)出密鑰,然后在新系統(tǒng)中將備份的密鑰導(dǎo)入,從而獲得權(quán)限。 小提示 ★確保你導(dǎo)入的密鑰有查看的權(quán)利,否則就是導(dǎo)入了也沒有用的。這一點(diǎn)要求在導(dǎo)出時(shí)就要做到 ★記住導(dǎo)出時(shí)設(shè)置的密碼,最好使用和導(dǎo)出是相同的用戶名。 第一步:雙擊導(dǎo)出的密鑰(就是那個(gè)“信封+鑰匙”圖標(biāo)的文件),會(huì)看到“證書導(dǎo)入向?qū)?rdquo;歡迎界面,單擊“下一步”按鈕,確認(rèn)路徑和密鑰證書,然后單擊“下一步”繼續(xù)。 第二步:在“密碼”后面輸入導(dǎo)出時(shí)設(shè)置的密碼,把密碼輸入后勾選“啟用強(qiáng)密鑰保護(hù)”和“標(biāo)志此密鑰可導(dǎo)出”(以確保下次能夠?qū)С觯,然后單?ldquo;下一步”繼續(xù)。 第三步:根據(jù)提示,依次單擊“下一步”按鈕,OK了,單擊完成按鈕,看到“導(dǎo)入成功”就表示你已經(jīng)成功導(dǎo)入密鑰了。 試試看,原來打不開的文件,現(xiàn)在是不是全部都能打開了呢? 小提示 ★EFS加密的文件打不開了,把NTFS分區(qū)轉(zhuǎn)換成FAT32分區(qū)或者使用相同的用戶名和密碼登錄甚至重新Ghost回原系統(tǒng)都不能解決問題,因此備份和導(dǎo)入EFS密鑰就顯得非常重要。 ★Windows XP家用版并不支持EFS功能。 本文出自:億恩科技【1tcdy.com】 服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |