Windows 2000的加密文件系统
4:EFS文件加密
EFS是如何工作的
当一个用户使用EFS去加密文件时,必须存在一个公钥和一 个私钥,如果用户没有,EFS服务自动产生一对。对于初级用 户来说,即使他完全不懂加密,也能加密文件,可以对单个文 件进行加密,也可以对一个文件夹进行加密,这样所有写入文 件夹的文件将自动被加密。 一旦用户发布命令加密文件或试图添加一个文件到一个已 加密的文件夹中,EFS将进行以下几步: 第一步:NTFS首先在这个文件所在卷的卷信息目录下(这 个目录隐藏在根目录下面)创建一个叫做efs0.log的日志文件, 当拷贝过程中发生错误时利用此文件进行恢复。 第二步:然后EFS调用CryptoAPI设备环境。设备环境使用 Microsoft Base Cryptographic Provider 1.0 产生密匙,当打开这个 设备环境后,EFS产生FEK(File Encryption Key,文件加密密 匙)。FEK的长度为128位(仅US和Canada),这个文件使用 DESX加密算法进行加密。
EFS是Encrypting File System,加密文件系统的 缩写,他可以被应用在windows 2000以上的操作系统 且为NTFS5格式的分区上(windows xp home不支持)。 EFS 只能对存储在磁盘上的数据进行加密,是 一种安全的本地信息加密服务。EFS使用核心的的文 件加密技术在NTFS卷上存储加密文件。 它可以防止那些未经允许的对敏感数据进行物理 访问的入侵者(偷取笔记本电脑、硬盘等)。
EFS和NTFS如何共存
EFS可以被认为除NTFS外的第二层防护,为访 问一个被加密的文件,用户必须有访问到文件的 NTFS权限。在相关NTFS权限的用户能看到文件夹 中的文件,但不能打开文件除非有相应的解密钥匙。 同样,一个用户有相应的钥匙但没有相应的NTFS权 限也不能访问到文件。所以一个用户要能打开加密 的文件,同时需要NTFS权限和解密钥匙。 然而,NTFS权限可能被大量的方法穿越,包括 口令破解程序、用户在离开前没有退出系统或系统 内部的NTFSDOS。在NT4.0下,游戏结束了――硬 盘上所有的数据都可以访问了。在Windows 2000下, 当一个文件用EFS加密后,一个未授权的用户,即 使访问到磁盘上的文件,但也不能访问文件上数据, 因为没有授权用户的私钥。
信息安全简答题
信息安^简笞题第一章1.简述信息安全的含义。
简述计算机网络安全的定义。
答:从狭义的保护角度来看,计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,从广义来说,凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。
2.目前互联网上各种严重的信息安全问题大致是由哪几个方面的问题引起的?3.从系统上说,信息要全主要包括哪几个方面的问题?4.数据安全的机密性、完整性、认证性、不可否认性分别指什么?5.什么是行为安全?行为的秘密性、完整性、可控性分别指什么?6.简述信息安全所包含的技术。
答:信息加密技术,防火墙技术,入侵检测技术,系统容灾技术7.谈谈你对信息加密技术的认识。
答:信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。
数据加密技术主要分为数据传输加密和数据存储加密。
数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。
8.网络控制技术主要包括哪几项技术?答:(1)身份验证技术(2)访问控制(3)防火墙技术(4)数据加密(5)一次性口令(6)主机认证(7)网际协议安全(8)安全服务器网络(9)网络安全漏洞扫描技术(10)网络反病毒技术(11)安全审计9.防火墙可分为外部防火端和内部防火墙,它们分别有什么作用?10.讨论信息安全立法现状。
第三章1.在WindowsNT安全模模型中,最重要的三个组件是什么?它们的任务分别是什么?2.简述LANManager 口令和WindowsNT 口令,并说明它们之间的区别。
3.在WindowsNT中,对象可被设定的属性有哪些?4.注册表是什么?注册表的数据结构由哪几个部分组成?5. WindowsNT交全子系统由哪5个关键部分组成?6.如何操作可以保护注册表的安全?7.在Windows2000安装完成之后,哪些服务是可以关闭的?8.如何对Windows系统进行网络安全管理?9.作为Windows2000新增的安全机制之一的加密文件系统(EFS)具有什么特性?10.在Windows2000中安全审核是指什么?应该被审核的最普通的事件类型包括哪些?11.如何在Windows2000中备份文件、还原文件?12. Windows2000提供哪些选项可帮助识别计算机故障并进行恢复?13.简述Windows7中增加或改进的十大安全功能。
EFS文件夹加密的优点和缺点
EFS文件夹加密的优点和缺点平时你是怎么给文件夹加密的?有没有什么诀窍?如果你的磁盘格式是NTFS的,那你就可以使用EFS加密文件夹,来保护您的资料。
EFS加密:EFS(Encrypting File System,加密文件系统)是Windows 2000/XP/VISTA/7所特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接作加密保存,在很大程度上提高了数据的安全性。
EFS加密的优点:首先,EFS加密机制和操作系统紧密结合,因此我们不必为了加密数据安装额外的加密软件,这节约了我们的使用成本。
其次,EFS加密系统对用户是透明的。
如果你用EFS加密了一些数据,那么你对这些数据的访问将是完全允许的,并不会受到任何限制。
而其他非授权用户试图访问EFS加密过的数据时,就会收到"访问拒绝"的错误提示。
EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。
所以这就是为什么EFS加密后的文件夹或文件您看不到加密效果的原因。
EFS加密的注意事项:1、只有NTFS分区才能使用EFS加密;2、我的电脑——工具——文件夹选项——查看——取消简单文件共享;3、右键点击要加密的文件或文件夹——属性——高级——加密内容以保护数据。
4、单击"确定"按钮,回到文件属性再单击"应用"按钮,会弹出"确认属性更改"窗口,在"将该应用用于该文件夹、子文件夹和文件"打上"√",最后单击"确定"按钮即开始加密文件。
这样这个文件夹里的原来有的以及新建的所有文件和子文件夹都被自动加密了。
5、如果想取消EFS加密,只需要文件夹的高级属性窗口,取消"加密内容以便保护数据"的勾选,确定即可。
此文件夹加密方法虽然比较的简单。
详解EFS加密技术
详解EFS加密技术在windows vista下,有两⼤加密技术:EFS和Bitlocker。
其实,EFS加密从windows 2000开始就有了。
如何⽤好EFS加密技术保护⾃⼰数据呢?这⾥进⾏详细说明。
什么是EFS加密加密⽂件系统 (EFS) 是 Windows 的⼀项功能,它允许您将信息以加密的形式存储在硬盘上。
EFS原理:EFS所⽤的加密技术是基于公钥的。
它易于管理,不易受到攻击,并且对⽤户是透明的。
如果⽤户想要访问⼀个加密的NTFS⽂件,并且有这个⽂件的私钥,那么就能像打开普通⽂档那样打开这个⽂件,⽽没有该⽂件的私钥拥护将被拒绝访问。
这是在另⼀个账户下访问加密的⽂件时失败的信息。
其实从设计上来看,EFS加密是相当安全的⼀种公钥加密⽅式,只要别⼈⽆从获得你的私钥,那么以⽬前的技术⽔平来看是完全⽆法破解的。
和其他加密软件相⽐,EFS最⼤的优势在于和系统紧密集成,同时对于⽤户来说,整个过程是透明的。
例如,⽤户A加密了⼀个⽂件,那么就只有⽤户A可以打开这个⽂件。
当⽤户A登录到Windows的时候,系统已经验证了⽤户A的合法性,这种情况下,⽤户A在Windows资源管理器中可以直接打开⾃⼰加密的⽂件,并进⾏编辑,在保存的时候,编辑后的内容会被⾃动加密并合并到⽂件中。
在这个过程中,该⽤户并不需要重复输⼊⾃⼰的密码,或者⼿⼯进⾏解密和重新加密的操作,因此EFS在使⽤时⾮常便捷。
EFS 的⼀些重要功能:加密⽅法⼗分简单;仅须选中⽂件或⽂件夹属性中的复选框即可启⽤加密。
您可以控制哪些⼈能够读取这些⽂件。
在关闭⽂件时⽂件即被加密,但是当打开这些⽂件时,⽂件将会⾃动处于备⽤状态。
如果不再希望对某个已加密的⽂件实施加密,清除该⽂件的属性中的复选框即可。
完全⽀持EFS加密和解密的操作系统包括:Windows Vista Business/Enterprise/Ultimate。
Windows Vista Home Basic/Home Premium只能在有密钥的情况下打开被EFS加密的⽂件,但⽆法加密新的⽂件。
EFS加密和解密
EFS加密和解密EFS是一种系统自带的文件加密技术,下面就讲如何进行EFS加密以及如何解密的相关知识……大家对Windows2000/XP/2003系统提供的EFS(加密文件系统)功能一定不陌生吧!它应用在NTFS文件系统中,能有效保护机器中的重要数据不被非法侵犯。
通常情况下,用户在Windows 图形界面中对文件或文件夹进行EFS加密和解密操作。
这里笔者介绍它的另一种使用方法——cipher.exe命令。
cipher.exe命令格式:CIPHER[/E|/D][/S:directory][/A][/I][/F][/H][pathname[...]]CIPHER /KCIPHER /R:filename参数介绍:/A 使用于目录和文件/D 解密指定的目录/E 加密指定的目录/F 强制加密所有指定的对象/H 显示具有隐藏、系统属性的文件/I 出现错误后,继续执行指定操作/K 为运行 cipher 的用户创建新文件加密密钥/R 生成一个 EFS 恢复代理密钥和证书,然后将它写入一个 .PFX 文件(含有证书和密钥)和一个 .CER 文件(只含有证书)中/S 在指定目录及其所有子目录的目录中执行指定操作应用实例:一、加密目录文件夹和文件1.加密F盘下的efs目录点击“开始→运行”,在运行对话框中输入“CMD”命令,弹出“命令提示符”窗口,进入到“F:\>”提示符下,然后运行“cipher /e efs”命令,接着系统提示“正在加密 f:\ 中的目录,efs [OK],一个目录中一个目录被加密”信息后,完成“efs”目录的加密操作。
如果要加密efs目录下的所有子目录,运行“cipher /e /s:efs”命令即可。
2.加密F盘下efs1目录中的“ichat.txt”文件在命令提示符窗口中运行“cipher /e /a efs1\ichat.txt”命令后,系统提示“ichat.txt[OK],1 个目录中的 1 个文件(或目录)已被加密”信息后,完成对ichat.txt文件的加密。
Windows加密文件系统加密原理与解密方法研究
Windows加密文件系统加密原理与解密方法研究摘要:微软操作系统给用户提供了加密文件系统efs用来加密数据。
分析了efs的加密原理,详细介绍了多种情形下的加密文件解密方法。
关键词:efs;加密;解密;密码恢复中图分类号:tp309文献标识码:a文章编号:1672-7800(2012)012-0153-03作者简介:张林锋(1981-),男,硕士,95923部队工程师,研究方向为信息安全;王伟光(1972-),男,95923部队工程师,研究方向为通信安全;王维祥(1963-),男,95923部队高级工程师,研究方向为通信技术。
0引言微软自windows 2000及以上windows版本中推出加密文件系统(efs:encrypting file system),给用户提供在ntfs磁盘格式分区中文件加密功能,在企事业单位、公司中得到了广泛的应用,尤其是一台计算机多个用户使用时,很多人将涉及自己工作、生活隐私的文件进行efs加密,防止他人窥探。
加密文件系统在一定程度上对个人隐私提供保障的同时,也给用户带来了麻烦,当计算机用户口令丢失、操作系统崩溃、磁盘介质损坏时,这些加密文件一般来说就无法打开了。
本文在深入分析加密原理的基础上,经过反复测试实验,对不同情形下加密文件的恢复方法进行了研究。
1efs加密、解密操作efs 使用对称密钥和非对称密钥技术相结合的方法来提供文件的保护,对称密钥用于加密文件,非对称密钥中的公钥用于加密对称密钥。
efs 加密发生在文件系统层而不在应用层,因此,其加密和解密过程对加密用户和应用程序是透明的。
用户在使用加密文件时,感觉与普通文件一样。
需要注意的是,efs只能对存储在ntfs磁盘格式分区的文件进行加解密,而且家庭版、简化版windows 系统是不支持的。
加密操作:在文件属性的“高级”属性对话框中勾选上“加密内容以便保护数据”完成加密, windows默认设置下加密文件是彩色显示的。
关于EFS加密文件系统
EFS加密文件系统一、什么是EFS加密EFS(Encrypting File System,加密文件系统)是Windows 2000/XP/VISTA所特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接被操作系统加密保存。
如果硬盘上的文件已经使用EFS进行了加密,即使一个攻击者能访问到硬盘上,由于没有解密的密钥,文件也是不可用的,在很大程度上提高了数据的安全性。
这种特性对于移动用户、通过宽带连接的用户、对敏感数据有更高安全要求的机构的益处是显而易见的。
EFS可以被认为除NTFS外的第二层防护,为访问一个被加密的文件,用户必须有访问到文件的NTFS权限。
在相关NTFS权限的用户能看到文件夹中的文件,但不能打开文件除非有相应的解密密钥。
同样,一个用户有相应的密钥但没有相应的NTFS权限也不能访问到文件。
所以一个用户要能打开加密的文件,同时需要NTFS权限和解密密钥。
EFS加密是基于公钥策略的。
在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK (File Encryption Key,文件加密钥匙),然后将利用FEK 和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。
随后系统利用用户的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。
而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。
二、使用EFS的好处EFS加密机制和操作系统紧密结合,因此不必为了加密数据安装额外的软件,节约了使用成本。
访问一个加密的文件不需要用户任何的操作,而先前的第三方的文件加密工具需要用户每次访问文件时键入口令,它们并没有与文件系统或操作系统进行无缝地集成。
EFS集成进文件系统,因此一个恶意的用户不能绕过文件系统访问到硬盘,而且,所有运行在内核模式的EFS驱动程序不能由用户直接访问。
EFS加密系统对用户是透明的。
精选操作系统安全性概述
图4.5 本地登录过程
① 用户按Ctrl+Alt+Del键,引起硬件中断,被系统 捕获,这样使操作系统激活WinLogon进程。
② WinLogon进程通过调用标识与鉴别DLL,将登 录窗口(账号名和口令登录提示符)展示在用户面 前。
③ WinLogon进程发送账号名和加密口令到本地安 全认证(LSA)。
⑥ 创建文件和目录的拥有者,总是可以随时更改对 文件或目录的权限设置来控制其他用户对该文件或 目录的访问。
(2)文件内容的加密
Windows 2000增强了文件系统的安全性,采用 了加密文件系统(Encrypted File System,EFS)技 术。加密文件系统提供的文件加密技术可以将加密 的NTFS文件存储到磁盘上。
为了实现进程间的安全访问,Windows NT/2000中的对象采用了安全性描述符( Security Description)。安全性描述符主要由用 户SID(Owner)、工作组SID(Group)、访问控制 列表(DACL)和系统访问控制列表(SACL) 组成,安全性描述符的构成如图4.8所示。
图4.1 访问能力表
(3)访问控制表( Access Control List)
访问控制表ACL是目 前采用最多的一种方式, 如图4.2所示。
图4.2 访问控制表
(4)授权关系表(Authorization Relations List)
用每一行(或称每一个元组)表示主体和客体的一个权限关系,如
4.2.4 Windows NT/2000的安全管理
1.用户和用户组 在Windows NT/2000中,每个用户必须有一个
账号。用户账号是系统安全的核心,系统网络中发 生的一切活动都可以以此账号追溯到特定的授权用 户。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows 2000的加密文件系统白皮书摘要本文对加密文件系统(EFS) 及技术进行了概述。
该系统包含在Microsoft®Windows®2000操作系统中。
EFS提供的核心文件加密技术可将加密的NTFS文件存储到磁盘上。
EFS特别考虑了其他操作系统上的现有工具引起的安全性问题,这些工具允许用户不经过访问检查就可以从NTFS 卷访问文件。
使用EFS,NTFS文件中的数据在磁盘上进行了加密。
所用的加密技术是基于公钥的,并作为一个集成系统服务运行;它易于管理,不易受到攻击,并且对用户是透明的。
如果用户要访问一个加密的NTFS文件,并且有这个文件的私钥,那么用户能够打开这个文件,并透明地将该文件作为普通文档使用。
没有该文件私钥的用户被拒绝对文件的访问。
概述个人计算机系统采取的一个标准安全措施就是,在试图从硬盘引导前,尝试从软盘引导。
这可以保护用户避开硬盘驱动器故障以及被破坏的引导分区。
不幸的是,它方便了启动不同的操作系统。
这意味着可以物理访问系统的人可以使用可读取Windows NTFS盘上结构的工具,绕过Microsoft®Windows®NT文件系统访问控制的内置安全功能。
很多硬件配置提供了类似引导口令的功能来限制此类访问。
但此类功能并没有得到广泛使用。
在典型环境中,多用户共享一个工作站,这些功能没有很好地发挥作用。
即使这些功能获得了普遍使用,口令提供的保护也不是很强大。
未经授权的数据访问已成为一个严重问题,比较典型的有:●失窃的膝上型计算机—要拿走无人看管的膝上型计算机只需一会儿的功夫。
如果窃贼偷计算机并不是为了卖掉它来获利,而是对存储在硬盘上的敏感信息感兴趣,那么会产生什么样的后果?●不受限制的访问—办公室桌面系统无人看管时,任何人都可进来从无人看管的计算机中很快地将信息窃走。
这种安全性问题的根源就是敏感信息,通常这些信息以未加保护的文件形式存储在磁盘上。
如果Windows NT是唯一可运行的操作系统,并且不能物理地卸下硬盘驱动器,就可以限制对存储在NTFS分区上敏感信息的访问。
如果有人真想获得信息,他们如能物理访问计算机或硬盘驱动器,就不难获得这些信息。
使用允许从MS-DOS®和UNIX操作系统访问NTFS 文件的工具,就会很容易地绕过NTFS安全机制。
数据加密是解决这一问题的唯一方案。
市场上有很多产品使用由口令演变而来的密钥技术,提供应用程序级的文件加密。
但这些加密方法大多具有一些局限:●每次使用时手动加密和解密。
对大多数产品而言,加密服务对用户不透明。
每次使用前,用户须先将文件解密,文件完成后再重新加密。
如果用户忘记了加密文件,那么该文件不受保护。
因为每次使用必须指定要加密(和解密)的文件,所以它可能会被忽略。
●临时文件和分页文件的泄密。
很多应用程序在用户编辑文档时创建临时文件(例如,Microsoft Word)。
这些临时文件存放在磁盘上未经加密,即使原始文档加过密也是如此,这样数据很容易被窃取。
应用程序级加密运行在Windows用户模式下。
这意味着,用户的密钥可能存储在分页文件中。
仅仅通过挖掘一个内存分页文件,就可以轻而易举地使用一个密钥访问所有文档。
●安全性差。
密钥来自口令。
如果使用很容易记的口令,字典攻击可以轻易破坏这种安全性。
●没有数据恢复。
很多产品不提供数据恢复服务。
对用户来说,这又是一件令人沮丧的事情。
对不想再记一个口令的用户,更是如此。
而提供基于口令的数据恢复时,又产生了另一个访问的漏洞。
要窃取数据的窃贼只需获得此恢复机制的口令,就可以获得对加密文件的访问。
加密文件系统(EFS) 定位到所有这些问题,甚至更多。
下面四节详细讨论了加密技术,以及加密在系统、用户界面和数据恢复的何处进行?EFS是基于公钥的加密技术,它使用了Windows的CryptoAPI结构。
每个文件都是使用随机产生的密钥加密的,这种密钥独立于用户的公钥/私钥对,从而扼制了多种基于密码分析的攻击。
文件加密可以使用任何对称加密算法。
第一版的EFS将DES作为加密算法。
将来的发行版本将允许其它的加密方案。
EFS也支持对存储在远程文件服务器上的文件加密和解密。
备注在这种情况下,EFS只对磁盘上的数据加密。
EFS不加密在网络上传输的数据。
Windows提供了诸如SSL/PCT的网络协议,对网络上的数据访问进行加密。
EFS与NTFS紧密地集成在一起。
当创建临时文件时,只要所有文件在NTFS卷上,原始文件的属性就会被复制到临时文件中。
如果加密了一个文件,EFS也会将其临时文件进行加密。
EFS驻留在操作系统内核中,并且使用不分页的池存储文件加密密钥,保证了密钥不会出现在分页文件中。
EFS的默认配置允许用户不需任何管理努力,即可开始对文件进行加密。
EFS自动为用户文件加密生成一个公钥对(如果没有)。
单个文件或完整目录均支持文件加密和解密。
目录加密是强制为透明的。
在标为加密的目录中创建的所有文件(和子目录)自动被加密。
每个文件具有唯一的加密密钥,这样文件重命名很安全。
如果将加密目录中的一个文件重命名到同一卷上的未加密目录上,该文件仍是加密的。
加密和解密服务可从Windows Explorer获得。
对高级用户和恢复代理还提供了命令行工具和管理界面,他们可以充分利用此功能。
文件使用前不需要解密。
当向磁盘存储和从磁盘读取字节时,加密和解密透明地完成。
EFS 自动检测加密文件,并从系统密钥存储区定位用户密钥。
因为密钥存储机制是基于CryptoAPI 的,用户在将密钥存储在诸如智能卡的安全设备上方面具有很大的灵活性。
EFS的早期版本不支持文件共享。
但是,EFS结构是为任意数量的用户使用其公钥、实现文件共享而设计的。
然后,用户可以使用他们的个人私钥,独立地解密文件。
可以方便地从一组许可共享加入用户(如果他们有配置的公钥对)或删除用户。
EFS提供内置的数据恢复支持。
Windows 2000安全基础结构强制对数据恢复密钥的配置。
只有当系统配置了一个或多个恢复密钥时,才可以使用文件加密。
EFS允许恢复代理配置用于启用文件恢复的公钥。
使用恢复密钥时,仅仅文件随机产生的密钥可用,用户的私钥不可用。
这保证了其它私人信息不会无意中泄露给恢复代理。
数据恢复是出于对大多数业务环境的考虑,例如员工离开公司后或加密密钥丢失时公司要恢复员工加密过的文件。
恢复策略可以在Windows域的域控制器中定义。
此域中的所有计算机都被强制执行此策略。
恢复策略处在域管理员控制之下,域管理员使用Windows目录服务委派功能,可以将此策略委派给受托的数据安全管理员帐户。
这提供了更好、更灵活的方法控制被授权恢复加密数据者。
通过允许多恢复密钥配置,EFS还支持多恢复代理,为单位实现恢复过程提供冗余和灵活性。
EFS也可用于家庭环境。
在没有Windows域的情况下,EFS自动生成恢复密钥,并将它存为机器密钥。
通过使用管理员帐户,家庭用户也可以使用命令行工具恢复数据。
这减少了家庭用户的管理开销。
使用加密文件系统下面几节提供用户一些案例用以说明EFS是如何工作的。
下图给出了Windows Explorer用于文件加密服务的上下文菜单。
上下文菜单提供用户以下EFS功能:●加密—此选项允许用户加密当前选定文件。
如果当前选定的是一个目录,此选项让用户加密目录中的所有文件(和子目录),并标记目录为已加密。
●解密—此选项与加密选项正好相反。
此选项使用户能够将当前选定的文件进行解密。
如果当前选定的是一个目录,此选项使用户能够将目录中的所有文件进行解密,并将目录重设为未加密目录。
●配置-用户可以生成、导出、导入和管理用于基于EFS的文件加密的公钥。
配置与用户安全设置的其它部分集成在一起。
此功能是为要管理自己密钥的高级用户开发的。
通常,用户并不需要进行任何配置。
如果用户没有用于文件加密的配置的密钥,EFS自动为他生成密钥。
除了图形界面,Windows 2000还提供命令行工具以丰富管理操作的功能。
命令行工具有:●密码命令行工具—可以在命令提示符下加密和解密文件。
例如:o要加密“C:\My Documents”目录,用户键入:C:\>cipher /e “My Documents”o要加密所有带有“cnfdl”的文件时,用户键入:C:\ >cipher /e /s cnfdl完整的cipher命令支持以下选项:CIPHER [/E | /D] [/S[:dir]] [/A] [/I] [/F] [/Q] [filename [...]]/E加密指定文件。
目录会被标记,这样以后添加的文件就会被加密。
/D解密指定文件。
目录会被标记,这样以后添加的文件就不会被加密。
/S对给定目录及所有子目录中的文件进行指定操作。
默认“dir”指的是当前目录。
/I即使发生了错误,也要继续执行恢复操作。
默认情况下,当出现错误时,CIPHER 命令停止执行。
/F对所有指定文件强制执行加密操作,即使是对已加密的文件。
默认情况下,会跳过已加密的文件。
/Q仅报告最基本的信息。
filename指定一个模式、文件或目录。
如果没有参数,CIPHER命令显示当前目录及目录下文件的加密情况。
可以使用多文件名和通配符。
多个参数之间必须加空格。
Copy命令—此命令将用新的选项加以扩展,以可移植的格式导出和导入加密文件。
例如:o要将加密文件导出到软盘上,用户键入:C:\>copy /e EncResume.doc a:copy命令支持的新选项是:copy [/E |/I] sourcefile destinationfile/E将加密文件(sourcefile) 作为一个不透明的加密位流导出到目标文件(destinationfile)。
目标文件(destinationfile) 不必在NTFS卷上,它可以是软盘上的FAT 文件。
/I将来自源文件(sourcefile) 的不透明位流作为NTFS卷上的EFS加密文件导入。
源文件(sourcefile) 不要求是NTFS文件。
但目标文件(destinationfile) 则必须是NTFS 文件。
文件加密用户只需选择一个或多个文件,然后从“文件加密”上下文菜单中选择“加密”。
EFS对选定文件进行加密。
文件一旦加密,就以加密形式存储到磁盘上。
对文件的所有读写均透明地解密和加密。
要查看文件是否已加密,用户可以检查文件的属性,看加密属性位是否打开。
因为加密是透明的,用户可以像以前一样使用文件。
例如,用户仍可以像以前一样打开Word文档进行编辑,或者使用Notepad打开和编辑文本文件。
任何其他用户要打开此加密文件,就会出现访问被拒绝的错误,这是因为此用户没有解密文件的密钥。
用户(此处指管理员)不应加密系统目录中的文件,因为系统引导时需要这些文件。