Windows 2000/XP/Server 2003都配備了EFS(Encrypting File System,加密檔案系統(tǒng)),它可以幫助您針對存儲在NTFS磁盤卷上的文件和文件夾執(zhí)行加密操作。如果硬盤上的文件已經(jīng)使用了EFS進(jìn)行加密,即使黑客能訪問到你硬盤上的文件,由于沒有解密的密鑰,文件也是不可用的。
EFS加密基于公鑰策略。在使用EFS加密一個文件或文件夾時,系統(tǒng)首先會生成一個由偽隨機(jī)數(shù)組成的FEK(File Encryption Key,文件加密鑰匙),然后將利用FEK和數(shù)據(jù)擴(kuò)展標(biāo)準(zhǔn)X算法創(chuàng)建加密后的文件,并把它存儲到硬盤上,同時刪除未加密的原始文件。接下來系統(tǒng)利用你的公鑰加密FEK,并把加密后的FEK存儲在同一個加密文件中。而在訪問被加密的文件時,系統(tǒng)首先利用當(dāng)前用戶的私鑰解密FEK,然后利用FEK解密出文件。在首次使用EFS時,如果用戶還沒有公鑰/私鑰對(統(tǒng)稱為密鑰),則會首先生成密鑰,然后加密數(shù)據(jù)。如果你登錄到了域環(huán)境中,密鑰的生成依賴于域控制器,否則它就依賴于本地機(jī)器。
說起來非常復(fù)雜,但是實(shí)際使用過程中就沒有那么麻煩了。EFS加密的用戶驗(yàn)證過程是在登錄Windows時進(jìn)行的,只要登錄到Windows,就可以打開任何一個被授權(quán)的加密文件。換句話說,EFS加密系統(tǒng)對用戶是透明的。這也就是說,如果你加密了一些數(shù)據(jù),那么你對這些數(shù)據(jù)的訪問將是完全允許的,并不會受到任何限制。而其他非授權(quán)用戶試圖訪問你加密過的數(shù)據(jù)時,就會收到“訪問拒絕”的錯誤提示(圖1)。
圖1
如果把未加密的文件復(fù)制到經(jīng)過加密的文件夾中,這些文件將會被自動加密。若是將加密數(shù)據(jù)移動出來,如果移動到NTFS分區(qū)上,數(shù)據(jù)依舊保持加密屬性。被EFS加密過的數(shù)據(jù)不能在Windows中直接共享。如果通過網(wǎng)絡(luò)傳輸經(jīng)EFS加密過的數(shù)據(jù),這些數(shù)據(jù)在網(wǎng)絡(luò)上將會以明文的形式傳輸。NTFS分區(qū)上保存的數(shù)據(jù)還可以被壓縮,但是一個文件不能同時被壓縮和加密。再有,Windows的系統(tǒng)文件和系統(tǒng)文件夾無法被加密。
(總結(jié):將一個文件夾中的文件移動(如:先“剪切”再“粘貼”)到另外一個文件夾時,不論源文件或目標(biāo)文件夾的壓縮狀態(tài)如何,被移動的文件的壓縮等屬性將保持不變;如果將一個文件夾中的文件復(fù)制到另外一個文件夾時,被移動的文件的壓縮屬性將變更為目標(biāo)文件夾的壓縮屬性)
要提醒大家的是:要使用EFS加密功能,首先要保證操作系統(tǒng)是Windows 2000/XP/Server 2003,Windows 98/Me操作系統(tǒng)就無緣使用了。其次要保證文件所在的分區(qū)格式是NTFS格式,F(xiàn)AT32分區(qū)里的數(shù)據(jù)是無法加密的。如果你要使用EFS加密,必須將FAT32格式轉(zhuǎn)換為NTFS。
EFS應(yīng)用實(shí)例
讓我們看看如何給文件夾加密。右擊選擇要加密的文件夾,選擇快捷菜單中的“屬性”,選擇“常規(guī)”標(biāo)簽中的最下方“屬性” “高級”,在“壓縮或加密屬性”一欄中,把“加密內(nèi)容以便保護(hù)數(shù)據(jù)”打上√(圖2),點(diǎn)“確定”。回到文件屬性點(diǎn)“應(yīng)用”,彈出“確認(rèn)屬性更改”窗口,在“將該應(yīng)用用于該文件夾、子文件夾和文件”打上“√”,點(diǎn)“確定”。這樣這個文件夾里的原來有的以及新建的所有文件和子文件夾都被自動加密了。要解開加密的文件夾,把“加密內(nèi)容以便保護(hù)數(shù)據(jù)”前面的“√”去掉,點(diǎn)確定就可以了。
圖2
1.將EFS選項(xiàng)添加至快捷菜單
如果想將EFS選項(xiàng)添加至快捷菜單,請依次執(zhí)行下列操作步驟:在“運(yùn)行”對話框內(nèi)輸入regedit,在注冊表編輯器內(nèi)瀏覽至下列子鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced,然后新建一個DWORD值EncryptionContextMenu,并將它的鍵值設(shè)為1。注意,為確保對注冊表進(jìn)行修改,應(yīng)在自己的計算機(jī)上擁有管理員賬號。這樣當(dāng)用戶右鍵單擊某一存儲于NTFS磁盤卷上的文件或文件夾時,加密或解密選項(xiàng)便會出現(xiàn)在隨后彈出的快捷菜單上(圖3),非常方便。
圖3
2.禁用EFS 如果你不喜歡EFS,可以徹底禁用它。只要在“運(yùn)行”中輸入Regedit并回車,打開注冊表編輯器,依次展開到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS,然后新建一個Dword值EfsConfiguration,并將其鍵值設(shè)為1,這樣本機(jī)的EFS加密就被徹底禁用了。 3. 跳過不加密父文件夾下的某個子文件夾 在加密的過程中我們常常遇到這樣的事情,我們需要加密某一個文件夾,而此文件夾下還有很多的子文件夾,這時候我們?nèi)绻幌爰用芪挥诖宋募A下的某一個子文件夾該怎么辦呢?很多的用戶往往采取的方法是將不需要加密的子文件夾剪切出來,單獨(dú)存放,然后再加密文件夾??墒沁@樣一來卻破壞了原來的目錄結(jié)構(gòu),加密和保持原有的目錄結(jié)構(gòu)好象是魚與熊掌不可兼得,怎么辦?其實(shí)你大可不必這么辛苦,只需要在不需要加密的子文件夾下建立一個“Desktop.ini”文件即可。具體地說就是在不需要加密的子文件夾下建立一個名為“Desktop.ini”的文件,用記事本程序打開錄入以下內(nèi)容: [encryption] Disable=1 錄入完畢保存并關(guān)閉該文件,以后要加密父文件夾的時候,當(dāng)加密到該子文件夾就會遇到錯誤的信息,如圖所示(圖4),點(diǎn)“忽略”按鈕就可以跳過對該子文件夾的加密,但其父文件夾的加密不會受到絲毫的影響。

圖4 4.在命令提示符下加密、解密文件 有些用戶喜歡在命令提示符下工作,EFS也早為這些用戶準(zhǔn)備好了。用CIPHER命令即可輕松完成對文件和文件夾的加密、解密工作。其命令格式如下: CIPHER [/E /D] 文件夾或文件名 [參數(shù)] 例如要給F盤根目錄下的abcde文件夾加密就輸入:“CIPHER /e f:\abcde”,如圖所示(圖5),回車后即可完成對文件夾的加密。要給F盤根目錄下的abcde文件夾解密則輸入:“CIPHER /D f:\abcde”,回車后即可完成對文件夾的解密。/E是加密參數(shù),/D是解密參數(shù),其它更多的參數(shù)和用法請在命令提示符后輸入:“CIPHER /?”來查看。

圖5 EFS加密的破解 在EFS加密體系中,數(shù)據(jù)是靠FEK加密的,而FEK又會跟用戶的公鑰一起加密保存;解密的時候順序剛好相反,首先用私鑰解密出FEK,然后用FEK解密數(shù)據(jù)??梢?,用戶的密鑰在EFS加密中起了很大作用。 密鑰又是怎么來的呢?在Windows 2000/XP中,每一個用戶都有一個SID(Security Identifier,安全標(biāo)識符)以區(qū)分各自的身份,每個人的SID都是不相同的,并且有唯一性。可以這樣理解:把SID想象為人的指紋,雖然同名同姓甚至同時出生的人很多,但世界上任意兩個人的指紋卻完全不同。因此,這具有唯一性的SID就保證了EFS加密的絕對安全和可靠。因?yàn)槔碚撋蠜]有SID相同的用戶,因而用戶的密鑰也就絕不會相同。在第一次加密數(shù)據(jù)時,系統(tǒng)就會根據(jù)SID生成加密者(該用戶)的密鑰,并且會把公鑰及私鑰分開保存,供用戶加密和解密數(shù)據(jù)使用。 許多人由此就認(rèn)為使用EFS加密非常安全,可是現(xiàn)在網(wǎng)上有一款叫做Advanced EFS Data Recovery的軟件就可以破解EFS加密!不過使用該軟件有個前提,那就是硬盤上要保留有相應(yīng)的密鑰,而且該軟件目前僅能破解經(jīng)過Windows 2000加密的文件,對Windows XP的加密還無法破解,所以使用XP的朋友可以安心一段時間了。一段時間以后呢?我也不知道,我只知道世上沒有不透風(fēng)的墻。大家可以從網(wǎng)上下載該軟件的試用版,試用版只能解密文件的前512字節(jié)。 現(xiàn)在,假設(shè)我們的Windows 2000安裝在C盤,事先用Administrators組的賬戶Work加密了一個文本文件efs1.txt。注銷該賬戶,用同屬于Administrators組的另一個賬戶Luck登錄,直接打開efs1.txt文件試試,看到“訪問拒絕”的錯誤提示了吧?這說明經(jīng)過EFS加密后的文件非授權(quán)用戶的確無法訪問。接下來運(yùn)行Advanced EFS Data Recovery,在“EFS Related Files”標(biāo)簽下點(diǎn)擊右側(cè)的“Scan For keys”,然后指定在C盤中掃描密鑰,圖中顯示為綠色的就是可用密鑰(圖6)。然后點(diǎn)擊“Encrypted files”標(biāo)簽,再點(diǎn)擊右側(cè)的“Scan for encrypted files”按鈕,在D盤上搜索所有加密文件,會得到如圖所示的結(jié)果(圖7),其中的efs1.txt就是我們事先加密的文件,點(diǎn)擊“Save files”按鈕指定保存的位置即可。打開該文件看看,沒有任何問題,該文件已經(jīng)被解密了。

圖6
圖7 注意,如果你要解密的文件比較大的話,那就需要使用注冊版,否則無法破解。
本站僅提供存儲服務(wù),所有內(nèi)容均由用戶發(fā)布,如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請
點(diǎn)擊舉報。