EFS(Encrypting File System,加密文件系统)是Windows所特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接加密保存,在很大程度上提高了数据的安全性。
EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK(File Encryption Key,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。随后系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据。
简单的说,EFS中公钥其实是用来加密数据的,就相当于自己家里的门锁,任何人都可以使用它。 而私钥就是用来解密文件的,也就是我们家里的门钥匙。如果我们的私钥损坏或丢失了,我们同样不能打开自家的锁。
EFS加密系统对用户是透明的。这也就是说,如果你加密了一些数据,那么你对这些数据的访问将是完全允许的,并不会受到任何限制。而其他非授权用户试图访问加密过的数据时,就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。
例如要对NTFS分区上的test目录进行ESF加密,可以这样操作:单击“开始”/程序/附件,点击打开“Windows 资源管理器”,点击“我的电脑”,打开NTFS分区,右击要加密的文件或文件夹(例如test目录);然后单击“属性”,在“常规”选项卡上,单击“高级”按钮;在弹出的窗口中,勾选“加密内容以便保护数据”复选框;点击“确定”退出。
你可以根据需要,选择仅加密此文件夹、还是将此目录下的子文件夹和文件也一起加密;点击选择之后,点击“确定”按钮,后再点击“应用”完成。
于是在默认情况下,你就会发现刚才EFS加密的文件(夹),在资源管理器中显示的颜色会变为彩色,例如下图中的文件/文件夹名字的颜色,不是常见的黑色、而是绿色的,这表示它们已经被EFS加密了。
对文件的EFS加密方法,与上面介绍的类似。现在我们有了一个EFS加密过的目录(例如test),以后如果你要对某个文件或文件夹进行EFS加密,也可以把它们移到该目录中,这样就会被自动加密。
注:FAT分区上的文件和文件夹是不能被ESF加密的,另外,标记为“系统”属性的文件,位于Window系统目录中的文件也无法ESF加密。
如果你不想对某个文件或文件夹efs加密了,可以这样取消:打开windows资源管理器;右键单击加密文件或文件夹,单击“属性”;在“常规”选项卡上点击“高级”;在弹出的窗口中,清除“加密内容以便保护数据”复选框,后按“确定”即可。
微软的EFS技术可以对计算机上的数据进行加密,并控制哪些人有权解密或恢复数据。文件被加密后,即使攻击者能够物理访问计算机的数据存储器,也无法读取用户数据。所有用户都必须拥有EFS证书,方可运用EFS对数据进行加密和解密。此外,EFS用户必须拥有在NTFS卷中修改文件的权限。
EFS包括两种类型的证书。
1) 加密文件系统证书
此类证书允许其持有者使用EFS加密和解密数据,它通常也被直接称为EFS证书。普通的EFS用户使用此类证书。这类证书的“增强型密钥用法”字段(在Microsoft管理控制台管理单元中可以看到)的值为“EFS(1.3.6.1.4.1-311.10.3.4)”。
2) 文件恢复证书
此类证书的持有者可以在整个域或其他范围内对任何人加密的文件和文件夹进行恢复。只有域管理员或极受信任的委托人(即数据恢复代理)可以持有此类证书。这类证书的“增强型密钥用法”字段(在Microsoft管理控制台管理单元中可以看到)的值为“文件恢复(1.3.6.1.4.1_311.10.3.4.1)”。此类证书通常被称为EFSDRA证书。