微軟在Windows2000中內(nèi)建了文件加密功能,該功能后來被移植到WinXP中。使用該功能,我們只需簡單地單擊幾下鼠標(biāo)就可以將指定的文件或者文件夾進行加密,而且在加密后我們依然可以和沒加密前一樣方便地訪問和使用它們,非常方便。而且加密后即使黑客侵入系統(tǒng),完全掌握了文件的存取權(quán),依然無法讀取這些文件與文件夾。
但簡單強大的文件加密功能也給許多用戶帶來了困擾。由于使用簡單,許多用戶都樂于使用它來保護自己的重要文件,但大部分用戶由于缺乏對該功能的真正了解,在使用時泄密、無法解密等問題頻繁發(fā)生,恰恰被加密的文件往往是重要的文件,影響非常大。為此,筆者特意整理了有關(guān)該功能的一些相關(guān)知識和使用技巧與您分享。
加密和解密文件與文件夾
Windows2000系列和WinXP專業(yè)版及Windows2003的用戶都可使用內(nèi)建的文件加密功能,但前提是準(zhǔn)備加密的文件與文件夾所在的磁盤必須采用NTFS文件系統(tǒng)。同時要注意,由于加密解密功能在啟動時還不能夠起作用,因此系統(tǒng)文件或在系統(tǒng)目錄中的文件是不能被加密的,如果操作系統(tǒng)安裝目錄中的文件被加密了,系統(tǒng)就無法啟動。另外,NTFS文件系統(tǒng)還提供一種壓縮后用戶可以和沒壓縮前一樣方便訪問文件與文件夾的文件壓縮功能,但該功能不能與文件加密功能同時使用,使用ZIP、RAR等其他壓縮軟件壓縮的文件不在此限。
加密時,只需使用鼠標(biāo)右鍵單擊要加密的文件或者文件夾,然后選擇“屬性”,在“屬性”對話框的“常規(guī)”選項卡上單擊“高級”按鈕,在“高級屬性”對話框上選中“加密內(nèi)容以保護數(shù)據(jù)”復(fù)選框并確認即可對文件進行加密,如果加密的是文件夾,系統(tǒng)將進一步彈出“確認屬性更改”對話框要求您確認是加密選中的文件夾,還是加密選中的文件夾、子文件夾以及其中的文件。而解密的步驟與加密相反,您只需在“高級屬性”對話框中清除“加密內(nèi)容以保護數(shù)據(jù)”復(fù)選框上的選中標(biāo)記即可(如圖1),而在解密文件夾時將同樣彈出“確認屬性更改”對話框要求您確認解密操作應(yīng)用的范圍。
如果需要,您可賦予其他用戶對加密文件的完全訪問權(quán)限,但要明白,Windows所采用的是基于密鑰的加密方案,并且是在用戶第一次使用該功能時才為用戶創(chuàng)建用于加密的密鑰,因此您準(zhǔn)備賦予權(quán)限的用戶也必須曾經(jīng)使用過系統(tǒng)的加密功能,否則將無法成功賦予對方權(quán)限。Windows內(nèi)建的文件加密功能只允許賦予其他用戶訪問加密文件的完全權(quán)限,而不允許將加密文件夾的權(quán)限賦予給其他用戶。
要賦予或撤銷其他用戶對加密文件的訪問權(quán)限,可用鼠標(biāo)右鍵單擊已加密的文件,選擇“屬性”,在“屬性”對話框的“常規(guī)”選項卡上單擊“高級”按鈕,在“高級屬性”對話框中單擊“詳細信息”按鈕,即可通過“添加”和“刪除”按鈕添加或刪除其他可以訪問該文件的用戶。
備份密鑰
有許多讀者在系統(tǒng)發(fā)生故障或重新安裝系統(tǒng)以后,無法再訪問之前他們加密過的文件與文件夾而向本刊“電腦醫(yī)院”求助。但此時為時已晚,Windows內(nèi)建的加密功能與用戶的賬戶關(guān)系非常密切,同時用于解密的用戶密鑰也存儲在系統(tǒng)內(nèi),任何導(dǎo)致用戶賬戶改變的操作和故障都有可能帶來災(zāi)難,要避免這種情況的發(fā)生,您必須未雨綢繆,在使用加密功能后馬上備份加密密鑰。
備份密鑰的操作并不復(fù)雜,您只需單擊“開始|運行”,鍵入“certmgr.msc”打開證書管理器,在左邊窗口中依次單擊控制臺,打開“證書-當(dāng)前用戶”下的“個人”中的“證書”,然后在右邊窗口中用鼠標(biāo)右鍵單擊“預(yù)期目的”是“加密文件系統(tǒng)”的證書,指向“所有任務(wù)|導(dǎo)出”,系統(tǒng)將打開“證書導(dǎo)出向?qū)?#8221;指引您進行操作,向?qū)⒃儐柲欠裥枰獙?dǎo)出私鑰,您應(yīng)該選擇“導(dǎo)出私鑰”,并按照向?qū)У囊筝斎朊艽a保護導(dǎo)出的私鑰,然后選擇存儲導(dǎo)出后文件的位置即可完成。
建議您將導(dǎo)出的證書存儲在系統(tǒng)盤以外的其他磁盤上,以避免在使用磁盤鏡像之類的軟件恢復(fù)系統(tǒng)時將備份的證書覆蓋掉。備份后,當(dāng)加密文件的賬戶出現(xiàn)問題或重新安裝了系統(tǒng)后需要訪問或解密以前加密的文件時,您只需要使用鼠標(biāo)右鍵單擊備份的證書,選擇“安裝PFX”,系統(tǒng)將彈出“證書導(dǎo)入向?qū)?#8221;指引您的操作,您只需要鍵入當(dāng)初導(dǎo)出證書時輸入用于保護備份證書的密碼,然后選擇讓向?qū)?#8220;根據(jù)證書類型,自動選擇證書存儲區(qū)”即可完成,完成后就可以訪問以前的加密文件了。
指定恢復(fù)代理
如果您同時使用多個賬戶或者與其他用戶共用一臺電腦,擔(dān)心更換賬戶或者其他賬戶加密的文件出問題,那么您可以考慮指定一個文件故障恢復(fù)代理,恢復(fù)代理可以解密系統(tǒng)內(nèi)所有通過內(nèi)建加密功能加密的文件,一般用于網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)上處理文件故障,并能使管理員在職員離職后解密職員加密的工作資料。在Win2000中,默認Administrator為恢復(fù)代理,而在WinXP上,如果需要恢復(fù)代理則必須自行指定。但需要注意,恢復(fù)代理只能夠解密指定恢復(fù)代理后被加密的文件,所以您應(yīng)該在所有人開始使用加密功能前先指定恢復(fù)代理。
如果您所使用的電腦是企業(yè)網(wǎng)絡(luò)中的,那么您需要聯(lián)系管理員查詢是否已經(jīng)制定了故障恢復(fù)策略,而如果您只是在使用一臺單獨的電腦,那么您可以按照下面的步驟指定恢復(fù)代理。首先,您需要使用準(zhǔn)備指定為恢復(fù)代理的用戶賬戶登錄,申請一份故障恢復(fù)證書,該用戶必須是管理員或者擁有管理員權(quán)限的管理組成員。對于企業(yè)網(wǎng)絡(luò)上的電腦,登錄后可以通過上面介紹過的“證書管理器”,在“使用任務(wù)”中的“申請新證書”中向服務(wù)器申請。而在個人電腦上,您必須單擊“開始|附件|命令提示符”,在命令行窗口中鍵入“cipher /r:c:\efs.txt”(efs.txt可以是任一文件),命令行窗口將提示您輸入保護證書的密碼并生成我們需要的證書。生成的證書一個是PFX文件,一個是CER文件,先使用鼠標(biāo)右鍵單擊PFX文件,選擇“安裝PFX”,通過彈出的“證書導(dǎo)入向?qū)?#8221;選擇“根據(jù)證書類型,自動選擇證書存儲區(qū)” 導(dǎo)入證書。
接下來再單擊“開始|運行”,鍵入“gpedit.msc”打開組策略編輯器,在左邊控制臺上依次單擊“本地計算機策略|計算機配置|Windows 設(shè)置|安全設(shè)置|公鑰策略|加密文件系統(tǒng)”,然后在右邊窗口中用鼠標(biāo)右鍵單擊選擇“添加數(shù)據(jù)恢復(fù)代理”(如圖2),然后在彈出的“添加數(shù)據(jù)恢復(fù)代理向?qū)?#8221;中瀏覽并選擇剛才生成的證書中的CER文件,在鍵入保護證書的密碼后,向?qū)?dǎo)入證書,完成指定恢復(fù)代理的工作。完成后,在以后需要的時候,只需使用被指定為恢復(fù)代理的賬戶登錄,就可以解密系統(tǒng)內(nèi)所有在指定恢復(fù)代理后被加密的文件。
在多用戶共用電腦的環(huán)境下,我們往往通過將其他用戶指定為普通用戶權(quán)限,限制他們使用某些功能,但由于普通用戶賬戶默認允許使用加密功能,因此在一些多用戶共用的電腦上經(jīng)常會帶來一些困擾。如果擔(dān)心電腦上其他用戶亂加密磁盤上的文件,您可以設(shè)置特定的文件夾禁止被加密,也可以完全禁止文件加密功能。
如果您希望將某個文件夾設(shè)置為禁止加密,可以編輯一個文本文件,內(nèi)容包括“[Encryption]”和“Disable=1”兩行,然后命名為“Desktop.ini”,將其放到不希望被加密的文件夾中即可。當(dāng)其他用戶試圖加密該文件夾時,系統(tǒng)將提示用戶該文件夾加密功能被禁止。但需要注意,您只能使用這種方法禁止其他用戶加密該文件夾,文件夾中的子文件夾將不受保護。
如果需要,您也可以完全禁止文件加密功能,在Win2000中,只需使用Administrator登錄并運行“secpol.msc”打開策略編輯器,用鼠標(biāo)右鍵單擊左邊控制臺上的“安全設(shè)置|公鑰策略|加密文件系統(tǒng)”,選擇“屬性”,在屬性對話框上清除“允許用戶使用文件加密系統(tǒng)(EFS)來加密文件”復(fù)選框上的選中標(biāo)記,然后重新啟動電腦即可。而在WinXP上雖然也有相應(yīng)的選項,但實際上并不能夠起作用,您需要通過編輯注冊表來禁止文件加密功能。首先單擊“開始|運行”,鍵入“regedit.exe”打開注冊表編輯器,依次單擊 “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\EFS”,再用鼠標(biāo)右鍵單擊建立一個“DWORD”值,雙擊新建的值并賦值為“1”,關(guān)閉注冊表后重新啟動電腦。這樣,當(dāng)其他用戶試圖使用文件加密功能時,系統(tǒng)將提示加密功能已被禁止(如圖3)。
防止泄密
由于對文件加密功能缺乏了解,許多讀者對該功能是否能夠真正發(fā)揮作用抱有懷疑態(tài)度,而另外一些用戶卻又因為過分地放心而導(dǎo)致泄密事件頻繁發(fā)生。首先,對于該功能的加密效果您大可放心,不必因為在您使用加密文件時不需要輸入密碼而懷疑加密效果,在加密后能夠透明地使用恰恰正是該功能的優(yōu)點。雖然有一些第三方軟件曾經(jīng)成功地破解使用該功能加密的文件,但這種軟件暫時對于Windows XP是無效的,而且即使在其他版本的Windows 操作系統(tǒng)上,也是可以避免的。
但您需要小心由于自己的失誤引起加密失效,也需要了解該功能的特點。Windows XP內(nèi)建的文件加密功能與用戶的賬戶是聯(lián)系在一起的,換言之,如果您的Windows賬戶沒有保護好,密碼被其他人獲得,那么對方也就可以像您一樣登錄系統(tǒng)訪問加密的文件。另外,當(dāng)已加密的文件被拷貝或者移動到非NTFS文件系統(tǒng)磁盤上時,文件將被解密。在文件通過網(wǎng)絡(luò)傳輸時,也是以明文方式進行傳輸?shù)?。這些您都需要清楚,避免錯誤操作引起泄密。而最主要的是加密后的文件并不是絕對安全的,雖然可以確保不被讀取,但卻無法避免被刪除。
此外,在加密文件的過程中,系統(tǒng)將把原來的文件存儲到緩沖區(qū),然后在加密后將原文件刪除。這些被刪除掉的文件在系統(tǒng)上并不是不可能恢復(fù)的,通過磁盤文件恢復(fù)工具很有可能被恢復(fù)過來而造成泄密,此時您需要考慮通過其他磁盤安全工具,或者使用系統(tǒng)內(nèi)建的“cipher”命令對磁盤上的已刪除文件進行清除,具體的步驟是,單擊“開始|附件|命令提示符”,在命令行窗口中鍵入“cipher /w C:\foldername”即可清除C盤foldername文件夾中已刪除文件殘留的碎片,如果不輸入文件夾名稱則將對整個磁盤進行清理。
疑難排解
當(dāng)您的Windows登錄賬戶變更而無法訪問已加密的文件時,由于用戶的賬戶名稱或者密碼變更時將無法與原來的加密證書聯(lián)系上,因而您需要考慮是否在使用其他賬戶時更改了當(dāng)前賬戶的名稱或者密碼?又或者是管理員進行了這樣的操作?如果的確如此,您可以嘗試將自己的賬戶名稱和密碼更改成原來的,問題應(yīng)該能夠解決。但需要注意,根據(jù)微軟的說法,改回賬戶名稱與密碼的方法在管理員賬戶上可能無效,而且如果您的賬戶并不是改變而是被刪除后重建,也就是說是一個全新的賬戶,那么您只能夠求助于恢復(fù)代理或者導(dǎo)入備份的證書。
如果您已經(jīng)重新格式化了硬盤、重新安裝了系統(tǒng)又或者使用尚未加密文件時的系統(tǒng)盤鏡像恢復(fù)了系統(tǒng)而導(dǎo)致無法訪問加密文件,那么您只能夠通過導(dǎo)入自己的證書或者恢復(fù)代理的方法來解決問題,這時基本上已經(jīng)沒有其他方法可以幫助您取回文件。另外,Windows XP SP1版后使用了新的加密算法,如果您加密時使用的是Windows XP SP1版本,那么當(dāng)您嘗試挽救數(shù)據(jù)時也應(yīng)該使用該版本,或者未來的更新版本,否則在其他版本上亂試,加密文件可能會損毀。