加密檔案系統

加密檔案系統

加密檔案系統 (EFS) 提供一種核心檔案加密技術,該技術用於在 NTFS 檔案系統卷上存儲已加密的檔案。一旦加密了檔案或資料夾,您就可以像使用其他檔案和資料夾一樣使用它們。

套用說明

對加密該檔案的用戶,加密是透明的。這表明不必在使用前手動解密已加密的檔案。您可以正常打開和更改檔案。

加密檔案系統 加密檔案系統

使用 EFS 類似於使用檔案和資料夾上的許可權。兩種方法可用於限制數據的訪問。然而,獲得未經許可的加密檔案和資料夾物理訪問權的入侵者將無法閱讀檔案和資料夾中的內容。如果入侵者試圖打開或複製已加密檔案或資料夾,入侵者將收到拒絕訪問訊息。檔案和資料夾上的許可權不能防止未授權的物理攻擊。

性質

正如設定其他任何屬性(如唯讀、壓縮或隱藏)一樣,通過為資料夾和檔案設定加密屬性,可以對資料夾或檔案進行加密和解密。如果加密一個資料夾,則在加密資料夾中創建的所有檔案和子資料夾都自動加密。推薦在資料夾級別上加密——加密後的樣子:(見圖片中綠色名稱的資料夾)

加密檔案系統 加密檔案系統

套用

在使用加密檔案和資料夾時,請記住下列信息:

只有 NTFS 卷上的檔案或資料夾才能被加密。由於 WebDAV 使用 NTFS,當通過 WebDAV 加密檔案時需用 NTFS。

被壓縮的檔案或資料夾不可以加密。如果用戶標記加密一個壓縮檔案或資料夾,則該檔案或資料夾將會被解壓。

如果將加密的檔案複製或移動到非 NTFS 格式的卷上,該檔案將會被解密。

如果將非加密檔案移動到加密資料夾中,則這些檔案將在新資料夾中自動加密。然而,反向操作不能自動解密檔案。檔案必須明確解密。

無法加密標記為“系統”屬性的檔案,並且位於 systemroot 目錄結構中的檔案也無法加密。

加密資料夾或檔案不能防止刪除或列出檔案或資料夾表。具有合適許可權的人員可以刪除或列出已加密檔案或資料夾表。因此,建議結合 NTFS 許可權使用 EFS。

在允許進行遠程加密的遠程計算機上可以加密或解密檔案及資料夾。然而,如果通過網路打開已加密檔案,通過此過程在網路上傳輸的數據並未加密。必須使用諸如單套接字層/傳輸層安全 (SSL/TLS) 或 Internet 協定安全 (IPSec) 等其它協定通過有線加密數據。但 WebDAV 可在本地加密檔案並採用加密格式傳送。

操作

EFS使用對稱密鑰加密檔案,這被稱為檔案加密密鑰(File Encryption Key),簡稱FEK。使用對稱加密算法是因為加密和解密大量數據時這比使用非對稱密鑰密碼本消耗更少的時間。在不同的作業系統版本和配置上將使用不同的對稱加密算法,見下面的Algorithms used by Windows version。FEK(用來加密檔案的對稱密鑰)然後會使用一個與加密檔案的用戶相關聯的公鑰加密,加密的FEK將被存儲在加密檔案的$EFS可選數據流。要解密該檔案,EFS組件驅動程式使用匹配EFS數字證書(用於加密檔案)的私鑰解密存儲在$EFS流中的對稱密鑰。EFS組件驅動程式然後使用對稱密鑰來解密該檔案。因為加密和解密操作在NTFS底層執行,因此它對用戶及所有應用程式是透明的。

內容要被加密的資料夾會被檔案系統標記為“加密”屬性。EFS組件驅動程式會檢查此“加密”屬性,這類似NTFS中檔案許可權的繼承:如果一個資料夾標記為加密,在裡面創建檔案和子資料夾就默認會被加密。在加密檔案移動到一個NTFS卷時,檔案會繼續保持加密。但是,在許多情況下,Windows可能不需詢問用戶就解密檔案。

被複製到另一種檔案系統(如FAT32)的檔案和資料夾會被解密。最後,加密的檔案使用SMB/CIFS協定通過網路複製時,檔案在傳送到網路前會被解密。避免“複製時解密”的最有效方法是使用支持“原始數據”API的備份軟體。使用Raw API的備份軟體會直接複製已加密檔案的流和$EFS備用數據流為單個檔案。換句話說,這些檔案以加密形式被“複製”,備份過程中不牽扯解密。

從Windows Vista開始,用戶的私鑰可以存儲在智慧卡上;數據恢復代理(DRA)密鑰也可以存儲在智慧卡上。

相關詞條

相關搜尋

熱門詞條

聯絡我們