什麼是EFS,EFS加密是基於公鑰策略的。在使用EFS加密一個檔案或資料夾時,系統首先會生成一個由偽隨機陣列成的FEK(File Encryption Key,檔案檔案加金鑰匙),然後將利用FEK和資料擴充套件標準X演算法建立加密後的檔案,並把它儲存到硬碟上,同時刪除未加密的原始檔案。隨後系統利用你的公鑰加密FEK,並把加密後的FEK儲存在同一個加密檔案中。而在訪問被加密的檔案時,系統首先利用當前使用者的私鑰解密FEK,然後利用FEK解密出檔案。在首次使用EFS時,如果使用者還沒有公鑰/私鑰對(統稱為金鑰),則會首先生成金鑰,然後加密資料。如果你登入到了域環境中,金鑰的生成依賴於域控制器,否則依賴於本地機器。EFS加密系統對使用者是透明的。這也就是說,如果你加密了一些資料,那麼你對這些資料的訪問將是完全允許的,並不會受到任何限制。而其他非授權使用者試圖訪問加密過的資料時,就會收到“訪問拒絕”的錯誤提示。EFS加密的使用者驗證過程是在登入Windows時進行的,只要登入到Windows,就可以開啟任何一個被授權的加密檔案。
如果其他人想共享經過EFS加密的檔案或資料夾,又該怎麼辦呢?由於重灌系統後,SID(安全標示符)的改變會使原來由EFS加密的檔案無法開啟,所以為了保證別人能共享EFS加密檔案或者重灌系統後可以開啟EFS加密檔案,必須要進行備份證書。
1、點選“開始→執行”選單項,在出現的對話方塊中輸入“certmgr.msc”,回車後,在出現的“證書”對話方塊中依次雙擊展開“證書-當前使用者→個人→證書”選項,在右側欄目裡會出現以你的使用者名稱為名稱的證書。選中該證書,點選滑鼠右鍵,選擇“所有任務→匯出”命令,開啟“證書匯出嚮導”對話方塊。
2、在嚮導進行過程中,當出現“是否要將私鑰跟證書一起匯出”提示時,要選擇“是,匯出私鑰”選項,接著會出現嚮導提示要求密碼的對話方塊。為了安全起見,可以設定證書的安全密碼。當選擇好儲存的檔名及檔案路徑後,點選“完成”按鈕即可順利將證書匯出,此時會發現在儲存路徑上出現一個以PFX為副檔名的檔案。
3、當其他使用者或重灌系統後欲使用該加密檔案時,只需記住證書及密碼,然後在該證書上點選右鍵,選擇“安裝證書”命令,即可進入“證書匯入嚮導”對話方塊。按預設狀態點選“下一步”按鈕,輸入正確的密碼後,即可完成證書的匯入,這樣就可順利開啟所加密的檔案。
下面我們瞭解一下EFS的整個加密過程吧!
1、我們先選擇一個資料夾,對其加密。選中資料夾右擊-屬性。
2、在檔案屬性裡單擊高階
3、在“高階屬性”頁面,勾選“加密內容以便保護資料”,單擊“確定”。
4、在“檔案屬性”頁面點選“確定”時,會彈出一個確認選框告知你是選擇這個加密只適用於這個資料夾,還是適用於資料夾及裡面的子資料夾和檔案,這個可以自行選擇,這裡我們選擇“將更改應用於此資料夾,子資料夾和檔案”選項,單擊“確定”。
5、這時候我們可以看到被加密的資料夾的名字顏色已經發生了改變,變為綠色。而且資料夾裡面的檔名的名字也變成了綠色。我們看看是否能夠開啟檔案,ok是可以的。
6、那麼下面我們將切換另外一個使用者登入這臺計算機,看能夠開啟這個資料夾檢視檔案。此時我們一眼就可以看到加密檔案,開啟試試,大家可以看到開啟檔案後彈出提示拒絕訪問,這樣就是我們的檔案處於一個受保護的狀態下。
7、值得注意的是,就算這個使用者將此檔案拷到別的地方去,也是無法開啟該檔案的。有朋友會問那該使用者是否能進行取消加密呢,這樣他就可以檢視檔案。請大家不必擔心,因為該使用者沒有本機管理員許可權,所以他不能進行該操作。如果大家想取消EFS加密,只需要按照加密步驟取消勾選“加密內容以便保護資料”即可。