EFS介紹
EFS(Encrypting File System,加密檔案系統)是Windows 2000及以上Windows版本中,磁碟格式為NTFS的檔案加密。
什麼是EFS加密
EFS加密是基於公鑰策略的。在使用EFS加密一個檔案或資料夾時,系統首先會生成一個由偽隨機數組成的FEK(File Encryption Key,檔案加密鑰匙),然後將利用FEK和數據擴展標準X算法創建加密後的檔案,並把它存儲到硬碟上,同時刪除未加密的原始檔案。隨後系統利用你的公鑰加密FEK,並把加密後的FEK存儲在同一個加密檔案中。而在訪問被加密的檔案時,系統首先利用當前用戶的私鑰解密FEK,然後利用FEK解密出檔案。在首次使用EFS時,如果用戶還沒有公鑰/私鑰對(統稱為密鑰),則會首先生成密鑰,然後加密數據。如果你登錄到了域環境中,密鑰的生成依賴於域控制器,否則依賴於本地機器。
EFS加密系統對用戶是透明的。這也就是說,如果你加密了一些數據,那么你對這些數據的訪問將是完全允許的,並不會受到任何限制。而其他非授權用戶試圖訪問加密過的數據時,就會收到“訪問拒絕”的錯誤提示。EFS加密的用戶驗證過程是在登錄Windows時進行的,只要登錄到Windows,就可以打開任何一個被授權的加密檔案。
EFS加密
選中NTFS分區中的一個檔案,點擊滑鼠右鍵,選擇“屬性”命令,在出現的對話框中點擊“常規”選項卡,然後點擊“高級”按鈕,在出現的對話框中選中“加密內容以便保護數據”選項,點擊“確定”即可。也可使用cipher命令。用法:
顯示或更改 NTFS 分區上的目錄[檔案]的加密
CIPHER [/E | /D] [/S:directory] [/A] [/F] [/Q] [/H] [pathname [...]]
CIPHER /K
CIPHER /R:filename
CIPHER /U [/N]
CIPHER /W:directory
CIPHER /X[:efsfile] [filename]
/A 在檔案及目錄上操作。如果父目錄沒有加密,當加密檔案被修改後,它可能被解密。建議您給此檔案和父目錄加密。
/D 將指定的目錄解密。會標記目錄,這樣隨後添加的檔案就不會被加密。
/E 將指定的目錄加密。會標記目錄,這樣隨後添加的檔案就會被加密。
/F 強制在所有指定的對象上進行加密操作,即使這些對象已經被加密。默認地會跳過已經加密的對象。
/H 顯示帶隱藏或系統屬性的檔案。在默認方式下,會忽略這些檔案。
/I 即使發生錯誤也繼續執行指定的操作。在默認方式下,CIPHER 在遇到錯誤時會停止。
/K 為運行 CIPHER 的用戶創建新的加密密鑰。如果選擇了此選項,會忽略所有其他選項。
/N 此選項只能與 /U 同時使用。這將阻止更新密鑰。此選項用於查找本地磁碟上所有加密檔案。
/Q 只報告最重要的信息。
/R 生成一個 EFS 恢復代理密鑰和證書,然後將它們寫入一個PFX 檔案(包含證書和私鑰)和一個 .CER 檔案(只包含證書)。管理員可以將 .CER 的內容添加到 EFS 恢復策略,從而為用戶創建恢復代理並導入 .PFX 來恢復單獨檔案。
/S 在已知目錄和所有子目錄執行指定的操作。
/U 嘗試包括本地磁碟上所有加密的檔案。如果用戶檔案加密密鑰或恢復代理的密鑰改變,這會將其更新為當前的密鑰。除了 /N 外,此選項不能與其他選項一起使用。
/W 從整個卷上所有沒有使用的磁碟空間刪除數據。如果選擇了此選項,會忽略其他選項。指定的目錄可以位於本地卷上的任意位置。如果它是另一個卷上一個目錄的裝入點,此卷上的數據將被刪除。
/X 將 EFS 證書和密鑰備份成檔案的檔案名稱。如果提供了 EFS檔案,將會備份當前用戶的、用於加密此檔案的證書。否則,將會備份用戶當前的 EFS 證書和密鑰。
directory 一個目錄路徑。
filename 沒有擴展名的一個檔案名稱。
pathname 指定一個模式、檔案或目錄。
efsfile 一個加密的檔案路徑。
不用參數時,CIPHER 顯示當前目錄和它包含檔案的加密狀態。您可以使用幾個目錄名和通配符。多個參數之間必須有空格。
此時你可以發現,加密檔案名稱的顏色變成了綠色,當其他用戶登錄系統後打開該檔案時,就會出現“拒絕訪問”的提示,這表示EFS加密成功。而如果想取消該檔案的加密,只需將“加密內容以便保護數據”選項去除即可。
注意:Windows XP Home不支持EFS加密。
EFS解密
如果其他人想共享經過EFS加密的檔案或資料夾,又該怎么辦呢?由於重灌系統後,SID(安全標示符)的改變會使原來由EFS加密的檔案無法打開,所以為了保證別人能共享EFS加密檔案或者重灌系統後可以打開EFS加密檔案,必須要進行備份證書。
點擊“開始→運行”選單項,在出現的對話框中輸入“certmgr.msc”,回車後,在出現的“證書”對話框中依次雙擊展開“證書-當前用戶→個人→證書”選項,在右側欄目里會出現以你的用戶名為名稱的證書。選中該證書,點擊滑鼠右鍵,選擇“所有任務→導出”命令,打開“證書導出嚮導”對話框。
在嚮導進行過程中,當出現“是否要將私鑰跟證書一起導出”提示時,要選擇“是,導出私鑰”選項,接著會出現嚮導提示要求密碼的對話框。為了安全起見,可以設定證書的安全密碼。當選擇好保存的檔案名稱及檔案路徑後,點擊“完成”按鈕即可順利將證書導出,此時會發現在保存路徑上出現一個以PFX為擴展名的檔案。
當其他用戶或重灌系統後欲使用該加密檔案時,只需記住證書及密碼,然後在該證書上點擊右鍵,選擇“安裝證書”命令,即可進入“證書導入嚮導”對話框。按默認狀態點擊“下一步”按鈕,輸入正確的密碼後,即可完成證書的導入,這樣就可順利打開所加密的檔案。詳細的私鑰證書導入方法如下:
設定Windows 恢復代理(以下以magic用戶為例):
STEP1:首先以magic這個用戶登錄系統。
STEP2:在“運行”對話框中輸入“cipher /r:c:\magic”(magic可以是其他任何名字)回車後要求輸入一個密碼,隨便輸入一個回車後便在c盤裡出現magic.cer和magic.pfx兩個檔案。
STEP3:安裝magic.pfx證書,輸入剛才設定的保護證書的密碼,一路按NEXT就完成了證書的安裝。
STEP4:在“開始→運行”輸入“gpedit.msc”,打開組策略編輯器,在“計算機配置→Windows設定→安全設定→公鑰策略→正在加密檔案系統”下,右擊彈出右鍵選單,選擇“添加數據恢復代理”,打開“添加故障恢復代理嚮導”打開magic.cer,然後按幾次下一步就完成了恢復代理的設定。最後,就可以用magic這個用戶名解密加密的檔案了。
禁止EFS加密
如果你想設定禁止加密某個資料夾,可以在這個資料夾中創建一個名為“Desktop.ini”的檔案,然後用記事本打開,並添加如下內容:
[Encryption]
Disable=1
之後保存並關閉這個檔案。這樣,以後要加密這個資料夾的時候就會收到錯誤信息,除非這個檔案被刪除。
而如果你想在本機上徹底禁用EFS加密,則可以通過修改註冊表實現。在運行中輸入“Regedit”並回車,打開註冊表編輯器,定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS,在“編輯”選單上點擊“新建-Dword值”,輸入“EfsConfiguration”作為鍵名,並設定鍵值為“1”,這樣本機的EFS加密就被禁用了。而以後如果又想使用時只需把鍵值改為“0”。
EFS加密注意事項
a.只有NTFS格式的分區才可以使用EFS加密技術
b.第一次使用EFS加密後應及時備份密鑰
c.如果將未加密的檔案複製到具有加密屬性的資料夾中,這些檔案將會被自動加密。若是將加密數據移出來則有兩種情況:若移動到NTFS分區上,數據依舊保持加密屬性;若移動到FAT分區上,這些數據將會被自動解密。
d.被EFS加密過的數據不能在Windows中直接共享
e.NTFSF分區中加密和壓縮功能不能同時使用
f.Windows系統檔案和資料夾無法加密
Efs框架
什麼是Efs框架
EfsFrame 是一套整體的企業級開發解決方案,整個框架體系中包含了Web 表現層開發包,組件開發包,基礎資料庫設計一整套完整的基於B/S/S架構應用程式設計開發的完整解決方案。
EfsFrame從研發到實踐,歷時近10年,積累了大量實戰軟體工程專家、數學專家的心血不斷完善而成,已套用的大大小小的項目幾十個,從小項目的開發管理維護設計到大項目的負載均衡設計,Efs 逐漸形成了一整套完整的基於B/S架構的設計解決方案。
Efs框架設計目標
a 整體提升企業的項目管理水平;
b 整體提升企業的研發人員的研發水平;
c 整體提升企業的項目研發效率;
d 整體提升企業的項目研發的健壯性;
e 最大限度減少企業的項目維護成本;
Efs框架特點
1、完善的Web表現層開發包:為企業Web表現層開發人員提供的一套完整、
高效、美觀的B/S結構設計表現層解決方案,簡單易學。
a) 極大提高企業的項目Web表現層的開發效率;
b) 統一企業的項目UI設計,統一的框架結構,能迅速規範企業的Web
表現層代碼設計規範,最大限度的減輕企業後期的項目管理、維護、
升級成本;
c) 減少企業Web表現層開發人員的培訓投入;
2、完善的組件開發包:為企業組件開發人員提供的一套完整、穩定、高效
的B/S結構設計業務邏輯層解決方案。
a) 極大提高企業的項目業務邏輯層組件開發效率;
b) 統一的接口規範,能迅速規範企業的業務邏輯層組件代碼設計規
范,最大限度的減輕企業後期項目管理、維護升級成本;
c) 減少企業業務邏輯層組件開發人員的培訓投入;
3、分層結構設計:Efs框架嚴格按照MVC模式設計開發。
a) 能幫助企業迅速發揮團隊開發優勢,合理分工協作(能迅速將Web
表現層開發,業務邏輯組件開發,系統設計合理分離)。
b) 標準的三層結構模型,為系統的穩定、高效運行打下堅實基礎。
完善的基礎資料庫設計
a) 完整的事務、事件管理、用戶、單位、角色、許可權管理設計,能快
速幫助企業在不同的項目中快速完成用戶、單位、角色、許可權的分
配,迅速投入到項目本身的業務系統開發中。
b) 完整的字典管理功能,能方便的對業務系統的全部字典檔案進行維
護。
c) 分頁查詢存儲過程設計,為業務系統開發過程中的分頁查詢提升效
率。
d) 編碼分配設計,只需要通過配置即可快速實現可滿足各種要求的唯
一編碼。
e) 漢字拼音管理,收錄了常用的3萬多漢字的全拼與簡拼,能迅速完
成對漢字的全拼與簡拼的翻譯處理。