讓資料更安全 6招實戰EFS加密技巧
使用Windows 2000/XP/Server 2003的用戶一定聽說或接觸過EFS,但由於其較為複雜,弄不好就會丟失掉資料。因此,很多人並沒有使用它。其實,EFS並沒有我們想像中的那樣難,關鍵要真正玩轉它,我們需要掌握好幾個關鍵招數……
術語精靈
EFS:Encrypting File System,加密文件系統。它可以說明 你針對儲存於在NTFS磁牒捲上的文件和資料夾進行加密操作。
NTFS:Windows 2000/XP/2003支持的、一個特別為網路和磁牒配額、文件加密等管理安全特性設計的磁牒格式。NTFS支持文件加密管理功能,可為用戶提供更高層次的安全保證。
MMC:Microsoft Management Console的簡稱,是一個整合了用來管理網路、電腦、服務及其他系統元件的系統管理工具。MMC不執行管理功能,但整合系統管理工具。可以增加到控制台的主要工具檔案類型稱為管理單元,其他可增加的項目包括 ActiveX 控件、指向 Web 頁的連接、資料夾、工作板視圖和工作。
由於EFS的用戶驗證程序是在你登入Windows時進行的,所以只要使用權用戶登入到Windows,就可以開啟任何一個被使用權的加密文件。因此,實際上EFS對用戶來說是透明的。也就是說如果你加密了某些資料後,你對這些資料的訪問將不會有任何限制,而且不會有任何提示,你根本感覺不到它的存在。但是當其他非使用權用戶試圖訪問加密過的資料時,就會收到「訪問拒絕」的錯誤提示,從而保護我們的加密文件。
小提示:
如果你要使用EFS加密文件系統,必須將Windows 2000/XP/Server 2003的加密文件所在分區格式化為NTFS格式。
實戰一:實戰EFS資料夾加密
第一步:右擊選項要加密的資料夾,選項「內容」,然後按下彈出視窗中的「一般」標籤,再按下最下方的「內容→進階」,在「壓縮或加密內容」一欄中,把「加密內容以便保護資料」勾選上(如圖1)。 [attachment=186479]
第二步:按下「確定」按鈕,回到文件內容再按下「套用」按鈕,會彈出「驗證內容更改」視窗,在「將該套用用於該檔案夾、子資料夾和文件」打上「√」,最後按下「確定」按鈕即開始加密文件。這樣這個資料夾裡的原來有的以及新增的所有文件和子資料夾都被自動加密了。
第三步:如果想取消加密,只需要右擊資料夾,取消「加密內容以便保護資料」的勾選,確定即可。
小提示
在指令行模式下也可用「cipher」指令完成對資料的加密和解密操作,在指令符後輸入「cipher/?」並Enter鍵可以得到具體的指令參數使用方法。
實戰二:右鍵輕鬆加密解密
用上述方法加密文件須驗證多次,非常麻煩,其實只要修改一下註冊表,就可以給滑鼠的右鍵表單中增添「加密」和「解密」選項,以後在需要時用右擊即可完成相關操作。按下「開始→執行」,輸入regedit後Enter鍵,開啟註冊表編輯器,定位到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Exporer/Advanced],在「編輯」表單上按下「新增→DWORD值」,然後輸入EncryptionContextMenu作為鍵名,並設定鍵值為「1」。結束註冊表編輯器,開啟檔案總管,任意選一個NTFS分區上的文件或者資料夾,右擊就可以在右鍵表單中找到相應的「加密」和「解密」選項,直接按下就可以完成加密/解密的操作(如圖2)。
[attachment=186480]
實戰三:多用戶禁止特殊資料夾加密
在多用戶共用電腦的時候,我們通常將用戶指定為普通用戶權限,但是普通用戶帳戶在預設值的情況下是允許使用加密功能,因此如果在一些多用戶共用的電腦上有人利用EFS加密文件,勢必會給其他用戶帶來許多麻煩。所以需要設定某些特定的資料夾禁止被加密,或者禁止文件加密功能。
先來說說如何只想禁止加密某個資料夾,方法是只要在該檔案夾中用記事本新增一個名為Desktop.ini的文件,然後增加如下內容:
[Encryption]
Disable=1
最後儲存這個文件即可。這樣如果以後其他用戶試圖加密該檔案夾時就會出現錯誤訊息,無法進行下去。注意,你只能使用這種方法禁止其他用戶加密該檔案夾,資料夾中的子資料夾將不受保護。
實戰四:禁用EFS加密功能
如果要徹底禁用EFS加密,可以開啟「註冊表編輯器」,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS],在「編輯」表單上按下「新增→Dword值」,然後輸入EfsConfiguration作為鍵名,並設定鍵值為「1」,這樣本地機的EFS加密就被禁用了。
實戰五:匯出EFS密鑰
使用Windows 2000/XP的EFS加密後,如果重裝系統,那麼原來被加密的文件就無法開啟了!如果你沒有事先做好密鑰的制作備份,那麼資料是永遠打不開的。由此可見,做好密鑰的被制作備份就很重要。
第一步:首先以本機帳號登入,最好是具有管理員權限的用戶。然後按下「開始→執行」,輸入「MMC」後Enter鍵,開啟控制台介面。
第二步:按下控制台的「控制台→增加移除管理單元」,在彈出的「增加/移除管理單元」對話視窗中按下「增加」按鈕,在「增加獨立管理單元」對話視窗中選項「證書」後,按下「增加」按鈕增加該單元。
如果是管理員,會要求選項證書方式,選項「我的用戶證書」,然後按下「關閉」按鈕,按下「確定」按鈕返回控制台。
第三步:依次展開左邊的「控制台根節點→證書→個人→證書→選項右邊視窗中的賬戶」,右擊選項「所有工作→匯出」,彈出「證書匯出嚮導」(如圖3)。
[attachment=186481]
第四步:按下「下一步」按鈕,選項「是,匯出私鑰」,按下「下一步」按鈕,勾選「私人訊息交換」下面的「如果可能,將所有證書包括到證書路徑中」和「啟用加強保護」項,按下「下一步」按鈕,進入設定密碼介面。
第五步:輸入設定密碼,這個密碼非常重要,一旦遺忘,將永遠無法獲得,以後也就無法匯入證書。輸入完成以後按下「下一步」按鈕,選項儲存私鑰的位置和檔案名。
第六步:按下「完成」按鈕,彈出「匯出成功」對話視窗,表示你的證書和密鑰已經匯出成功了,開啟儲存密鑰的路徑,會看到一個「信封+鑰匙」的圖示,這就是你寶貴的密鑰!丟失掉了它,不僅僅意味著你再也打不開你的資料,也意味著別人可以輕易開啟你的資料。
實戰六:匯入EFS密鑰
由於重裝系統後,對於被EFS加密的文件我們是不能夠開啟的,所以重裝系統以前,一定記住匯出密鑰,然後在新系統中將制作備份的密鑰匯入,從而獲得權限。
小提示
★確保你匯入的密鑰有檢視的權利,否則就是匯入了也沒有用的。這一點要求在匯出時就要做到
★記住匯出時設定的密碼,最好使用和匯出是相同的用戶名。
第一步:雙按匯出的密鑰(就是那個「信封+鑰匙」圖示的文件),會看到「證書匯入嚮導」歡迎介面,按下「下一步」按鈕,驗證路徑和密鑰證書,然後按下「下一步」繼續(如圖4)。
[attachment=186482]
第二步:在「密碼」後面輸入匯出時設定的密碼,把密碼輸入後勾選「啟用強密鑰保護」和「標誌此密鑰可匯出」(以確保下次能夠匯出),然後按下「下一步」繼續。
第三步:根據提示,依次按下「下一步」按鈕,OK了,按下完成按鈕,看到「匯入成功」就表示你已經成功匯入密鑰了。
試試看,原來打不開的文件,現在是不是全部都能開啟了呢?
小提示
★EFS加密的文件打不開了,把NTFS分區轉換成FAT32分區或者使用相同的用戶名和密碼登入甚至重新Ghost回原系統都不能解決問題,因此制作備份和匯入EFS密鑰就顯得非常重要。
★Windows XP家用版並不支持EFS功能。
|