當(dāng)前位置:
  1. 首頁
  2. 加密技術(shù)

Windows系統(tǒng)EFS加密出了問題怎么辦?(一)

admin 加密技術(shù)

隨著穩(wěn)定性和可靠性的逐步提高,Windows7已經(jīng)被越來越多的人使用,很多人還用Windows 7自帶的EFS加密功能把自己的一些重要數(shù)據(jù)加密保存。雖然EFS易用性不錯,不過發(fā)生問題后就難解決了,例如不做任何準(zhǔn)備就重裝了操作系統(tǒng),那很可能導(dǎo)致以前的加密數(shù)據(jù)無法解密。最近一段時間我們已經(jīng)可以在越來越多的論壇和新聞組中看到網(wǎng)友的求救,都是類似這樣的問題而導(dǎo)致重要數(shù)據(jù)無法打開,損失慘重。為了避免更多人受到損失,這里我把使用EFS加密的注事項寫出來,希望對大家有所幫助。

什么是EFS加密

EFS(Encrypting File System,加密文件系統(tǒng))是Windows 7所特有的一個實用功能,對于NTFS卷上的文件和數(shù)據(jù),都可以直接被操作系統(tǒng)加密保存,在很大程度上提高了數(shù)據(jù)的安全性。

EFS加密是基于公鑰策略的。在使用EFS加密一個文件或文件夾時,系統(tǒng)首先會生成一個由偽隨機(jī)數(shù)組成的FEK (File Encryption Key,文件加密鑰匙),然后將利用FEK和數(shù)據(jù)擴(kuò)展標(biāo)準(zhǔn)X算法創(chuàng)建加密后的文件,并把它存儲到硬盤上,同時刪除未加密的原始文件。隨后系統(tǒng)利用你的公鑰加密FEK,并把加密后的FEK存儲在同一個加密文件中。而在訪問被加密的文件時,系統(tǒng)首先利用當(dāng)前用戶的私鑰解密FEK,然后利用FEK解密出文件。在首次使用EFS時,如果用戶還沒有公鑰/私鑰對(統(tǒng)稱為密鑰),則會首先生成密鑰,然后加密數(shù)據(jù)。如果你登錄到了域環(huán)境中,密鑰的生成依賴于域控制器,否則它就依賴于本地機(jī)器。

EFS加密有什么好處首先,EFS加密機(jī)制和操作系統(tǒng)緊密結(jié)合,因此我們不必為了加密數(shù)據(jù)安裝額外的軟件,這節(jié)約了我們的使用成本。

其次,EFS加密系統(tǒng)對用戶是透明的。這也就是說,如果你加密了一些數(shù)據(jù),那么你對這些數(shù)據(jù)的訪問將是完全允許的,并不會受到任何限制。而其他非授權(quán)用戶試圖訪問加密過的數(shù)據(jù)時,就會收到“訪問拒絕”的錯誤提示。EFS加密的用戶驗證過程是在登錄Windows時進(jìn)行的,只要登錄到Windows,就可以打開任何一個被授權(quán)的加密文件。

如何使用EFS加密

要使用EFS加密,首先要保證你的操作系統(tǒng)符合要求。目前支持EFS加密的Windows操作系統(tǒng)主要有Windows 2000全部版本和Windows XP Professional。至于還未正式發(fā)行的Windows Server 2003和傳聞中的開發(fā)代號為Longhorn的新一帶操作系統(tǒng),目前看來也支持這種加密機(jī)制。其次,EFS加密只對NTFS5分區(qū)上的數(shù)據(jù)有效(注意,這里我們提到了NTFS5分區(qū),這是指由Windows 2000/XP格式化過的NTFS分區(qū);而由Windows NT4格式化的NTFS分區(qū)是NTFS4格式的,雖然同樣是NTFS文件系統(tǒng),但它不支持EFS加密),你無法加密保存在FAT和FAT32分區(qū)上的數(shù)據(jù)。

對于想加密的文件或文件夾,只需要用鼠標(biāo)右鍵點擊,然后選擇“屬性”,在常規(guī)選項卡下點擊“高級”按鈕,之后在彈出的窗口中選中“加密內(nèi)容以保護(hù)數(shù)據(jù)”,然后點擊確定,等待片刻數(shù)據(jù)就加密好了。如果你加密的是一個文件夾,系統(tǒng)還會詢問你,是把這個加密屬性應(yīng)用到文件夾上還是文件夾以及內(nèi)部的所有子文件夾。按照你的實際情況來操作即可。解密數(shù)據(jù)也是很簡單的,同樣是按照上面的方法,把“加密內(nèi)容以保護(hù)數(shù)據(jù)”前的鉤消除,然后確定。

如果你不喜歡圖形界面的操作,還可以在命令行模式下用“cipher”命令完成對數(shù)據(jù)的加密和解密操作,至于“cipher”命令更詳細(xì)的使用方法則可以通過在命令符后輸入“cipher/?”并回車獲得。注意事項:如果把未加密的文件復(fù)制到具有加密屬性的文件夾中,這些文件將會被自動加密。若是將加密數(shù)據(jù)移出來,如果移動到NTFS分區(qū)上,數(shù)據(jù)依舊保持加密屬性;如果移動到FAT分區(qū)上,這些數(shù)據(jù)將會被自動解密。被EFS加密過的數(shù)據(jù)不能在Windows中直接共享。如果通過網(wǎng)絡(luò)傳輸經(jīng)EFS加密過的數(shù)據(jù),這些數(shù)據(jù)在網(wǎng)絡(luò)上將會以明文的形式傳輸。NTFS分區(qū)上保存的數(shù)據(jù)還可以被壓縮,不過一個文件不能同時被壓縮和加密。最后一點,Windows的系統(tǒng)文件和系統(tǒng)文件夾無法被加密。

這里還有個竅門,用傳統(tǒng)的方法加密文件,必須打開層層菜單并依次確認(rèn),非常麻煩,不過只要修改一下注冊表,就可以給鼠標(biāo)的右鍵菜單中增添“加密”和“解密”的選項。

在運(yùn)行中輸入“regedit”并回車,打開注冊表編輯器,定位到:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion /Explorer/Advanced ,在“編輯”菜單上點擊“新建-Dword值”,輸入“EncryptionContextMenu”作為鍵名,并設(shè)置鍵值為“1”?,F(xiàn)在退出注冊表編輯器,打開資源管理器,任意選中一個NTFS分區(qū)上的文件或者文件夾,然后點擊鼠標(biāo)右鍵,就可以在右鍵菜單中找到相應(yīng)的選項,直接點擊就可以完成加密解密的操作。