Windows系统将加密生成的密钥内容自动保存在NTFS系统中,通过与NTFS分区的内在联系,让用户日后在访问已经加密了的文件时,不需要输入密钥内容,从而产生透明的感觉。换句话说就是,用户对某个文件进行了EFS加密后,再次访问它时,还是不会受到任何限制。但其他人访问这个文件时,却会出现“访问拒绝”之类的错误。
在平时的学习或工作中,免不了要用一些专业的加密工具,保护重要的数据文件。为了图方便,很多人就地取材,都选择了Windows系统自带的EFS加密功能,来保证重要数据文件的访问安全!EFS加密看似简单,不过在实际加密过程中,有些人常常会受到各种各样的困扰,例如,不知道如何加密、解密,不知道如何管理加密文件,不知道加密文件和证书的关联,不知道EFS加密功能与NTFS分区的联系等等。那么如何在很短的时间内弄清楚这些问题,快速炼成EFS加密达人呢?
EFS与NTFS之间的关联
EFS的全称为“EncryptingFileSystem”,含义为加密文件系统,使用该加密方式对重要数据文件加密时,它会自动创建好文件加密钥匙,并利用该钥匙与特殊算法生成加密文件,同时删除原始文件。这个加密过程很透明,用户感觉不到密钥的使用,主要是因为Windows系统在后台,悄悄将加密的文件、用户的证书和安全标识符之间建立了联系。
Windows系统将加密生成的密钥内容自动保存在NTFS系统中,通过与NTFS分区的内在联系,让用户日后在访问已经加密了的文件时,不需要输入密钥内容,从而产生透明的感觉。换句话说就是,用户对某个文件进行了EFS加密后,再次访问它时,还是不会受到任何限制。但其他人访问这个文件时,却会出现“访问拒绝”之类的错误。EFS加密方式对用户的安全认证是在登录系统时进行的,只要用户可以顺利登录进入Windows系统,任何EFS加密文件都能正常访问到。
当位于NTFS分区中的EFS加密文件,被拷贝到FAT格式的磁盘分区中时,文件的加密属性就会自动消失,这时文件就不会受到EFS加密功能的安全保护了。当然,移动、拷贝EFS加密文件是有条件的,用户必须要拥有目标文件的安全证书才行,如果该证书已被删除或丢失,那么日后即使用户获得了系统管理员权限,即使用户重新创建安全证书,也将不能改变EFS加密文件的位置,只是管理员用户能删除加密文件。
文件与证书之间的关联
EFS功能在加密文件时,会自动生成与之对应的安全证书,那么加密文件与证书之间又有什么关联呢?正常情况下,加密文件与证书都相对独立,相同的用户在不同的时间备份证书时,证书的内容是不同的,日后他在导入证书的时候,如何才能知道哪个证书正在发挥作用呢?
当用户使用EFS方式对某个文件进行首次加密时,Windows系统生成的证书就是当前证书,只要不将其删除掉,那么它就能始终发挥作用。例如,当我们对111文件进行加密后,系统自动生成的证书就能一直发挥作用,哪怕我们将该证书删除掉,只要不注销Windows系统,那么就能正常访问加密文件。而且,对其他重要文件进行EFS加密时,发挥作用的也是已经被删除的证书。
不过,只要我们关闭或注销了Windows系统,下次使用相同的用户账号重新登录进入Windows系统时,就不能访问以前加密过的文件了,因为与该加密文件关联的证书已经不存在了。这时,如果我们继续对222文件进行加密时,系统会自动生成一个全新的安全证书,该证书又会变成当前证书,这个当前证书与之前的当前证书是完全不同的。为了安全起见,很多人完成文件加密操作后,往往会下意识对证书进行备份和删除,随着加密文件的不断增多,与之对应的安全证书也会越来越多,如果某个时候我们要同时访问已经加密过的111、222、333等文件时,是否需要逐一导入各自对应的安全证书呢?当然不需要!Windows系统自带的EFS加密方式,一个很重要的特性就是,支持透明处理功能,最新创建的安全证书适用于所有的加密文件,所以只要保留最新的安全证书,就能正常访问不同的加密文件,而其他各个加密文件对应的旧证书都可以全部删除。
查看文件证书对应关系
虽然最新生成的安全证书对所有加密文件有效,但在计算机中同时保存很多安全证书和加密文件的情况下,如果我们想了解每个加密文件究竟与哪个安全证书对应时,该怎么查看呢?很简单!通过安全证书的编号,就能弄明白特定加密文件究竟与哪个安全证书对应了,具体操作为:在系统资源管理器窗口中,找到特定的EFS加密文件,打开它的右键菜单,点击“属性”命令,弹出目标加密文件的属性设置框,选择“常规”标签,按下对应标签页面中的“高级”按钮,展开加密文件的高级设置对话框。单击其中的“详细信息”按钮,在其后界面的“证书指纹”位置处(如图1所示),能看到一串数字,该数字就是当前文件使用的安全证书唯一编号。为了找到安全证书文件中的编号,我们还要使用“Win+R”快捷键,调用系统运行文本框,输入“certmgr.msc”命令并回车,弹出如图2所示的证书管理控制台界面,从中选中某个安全证书,用鼠标双击之,打开对应安全证书的属性对话框,点击“详细信息”标签,切换到如图3所示的标签设置页面,在“指纹”位置处就能看到安全证书的编号。检查这里的编号与加密文件使用的编号是否相同,如果相同的话,那就意味着该证书与加密文件存在对应关系。为了方便下次查找,我们最好在备份安全证书时,将证书文件名称设置成加密文件的名称,日后根据文件名称就能快速弄清楚加密文件究竟对应哪个安全证书了。
安全证书的备份保存
安全证书是访问EFS加密文件的密钥,不小心将其丢失或删除的话,用户即使拥有系统管理员操作权限,也无法访问加密文件中的内容,为此,我们一定要重视安全证书的备份保存操作。
在对重要数据文件执行初次加密时,Windows系统在加密操作成功后,会在系统托盘区域处自动弹出相关提示,要求用户备份保存好安全证书,如果没有按提示备份证书的话,日后每次登录进入Windows系统后,用户都能看到这样的提示。当然,我们也可以按照如下操作步骤,对加密文件的证书进行随时备份:打开系统资源管理器窗口,找到已经加密成功的文件,用鼠标右键单击它,点选右键菜单中的“属性”命令,在加密文件属性对话框的常规标签页面中,单击“高级”按钮,进入高级属性对话框。按下“详细信息”按钮,选中其后界面中的证书选项,单击“备份密钥”按钮,弹出备份向导对话框,依照提示设置好证书的访问密码,以确保证书的使用安全,同时定义好安全证书的保存路径,最后点击“完成”按钮退出备份向导对话框。
除此而外,我们也能在安全证书控制台窗口,备份所需要的安全证书,具体操作为:先在系统运行对话框中,执行“certmgr.msc”命令,打开安全证书控制台窗口。在该窗口的左侧列表中,将鼠标定位到“证书—当前用户”、“个人”、“证书”分支上,用鼠标右键单击该分支下的特定证书选项,依次选择右键菜单中的“所有任务”、“导出”命令,弹出安全证书导出向导对话框,如图4所示,依照提示选择是否要将私钥和安全证书一起导出,默认只导出安全证书,之后设置好安全证书的导出格式、文件名称以及存储路径,最后单击“完成”按钮结束证书的导出备份任务。
日后,当删除了本地计算机中的安全证书时,只有先将备份好的证书导入进来,才能成功访问加密文件,导入证书的具体操作步骤为:双击特定的EFS加密文件,弹出安全证书导入设置框,根据提示不停点“下一步”按钮,并输入正确的导入密码,就能顺利将安全证书导入进来,这时就能正常访问加密文件了。
要提醒大家的是,为了保证加密文件的安全,我们必须保存好两种类型的密码,一种是登录Windows系统的密码,另外一种是安全证书的导入密码。如果别人知道前一种密码,他们就能轻易登录进入Windows系统,导出加密文件的安全证书,加密文件的安全性就不复存在。如果不小心丢失了证书的导入密码,那么我们手头即使拥有加密文件的安全证书,也无法成功访问到加密文件中的隐私信息。
EFS加密操作的技巧
1.加密保护重要文件
要使用EFS加密功能保护重要文件的安全,必须先将重要文件转移到NTFS磁盘分区中,因为这种加密功能仅对NTFS分区有效。在对某个文件执行EFS加密操作时,可以依次点击“开始”、“所有程序”、“附件”、“Windows资源管理器”命令,进入系统资源管理器窗口,找到保存重要文件的特定文件夹,打开该文件夹的右键菜单,从中选择“属性”命令,弹出特定文件夹属性设置框。
单击“常规”标签,在常规标签设置页面中按下“高级”按钮,打开文件夹高级属性框,如图5所示。在“压缩或加密属性”设置项处,将“加密内容以便保护数据”选中,确认后保存设置操作。继续按下“确定”按钮后,系统会弹出如图6所示的提示对话框,选中“将更改应用于此文件夹、子文件夹和文件”选项,确认后退出EFS加密对话框。这时,细心的用户会发现,加密成功的文件夹名称,已经变成了绿色显示状态,通过这种状态,能很直观地看到计算机中有哪些文件夹处于EFS加密状态。
在一些特殊场合下,用户有时不想让EFS加密文件处于绿色显示状态,因为这容易让加密文件夹成为众矢之的。要达到这个目的,可以进行如下设置操作,取消EFS加密文件的彩色显示属性:打开Windows系统资源管理器窗口,依次点击“组织”、“文件夹和搜索选项”命令,切换到文件夹选项设置对话框。选择“查看”标签,弹出如图7所示的标签设置页面,取消选中“用彩色显示加密或压缩的NTFS文件”选项,确认后保存设置即可。2.安全访问加密文件
在手头拥有安全证书的前提下,加密文件中的隐私内容可以轻易地访问到。为了保证安全访问加密文件,首先要为重要的EFS加密文件设置合适的访问权限,让值得信任的用户有权限对加密文件进行相关权限的操作。在进行该操作时,先打开Windows系统资源管理器窗口,找到需要访问的重要加密文件,打开它的快捷菜单,执行“属性”命令,弹出加密文件属性对话框,点选“常规”标签,按下对应标签页面中的“高级”按钮,点击高级设置框中的“详细信息”按钮,之后按下“添加”按钮,将拥有安全证书的用户账号添加导入进来,确认后返回。
接着用刚刚授权的可信账号重新登录计算机系统,登录成功后,找到EFS加密文件,用鼠标双击之,弹出安全证书导入对话框,将事先备份好的安全证书导入进来,就能安全访问到加密文件中的内容了。对于那些没有安全证书的用户来说,即使他们能够登录进入Windows系统,也不能对加密文件进行随意访问。所以,在这里再次提醒大家,必须要妥善保存好加密文件的安全证书,一旦丢失,即使文件的主人,也无法看到其中的内容了。
3.快速进行加密操作
对重要文件夹进行EFS加密时,一般都要经过打开系统资源管理器窗口、进入加密文件属性对话框、展开高级设置界面等环节。其实,我们完全可以将EFS方式的加密、解密命令添加到文件的右键菜单中,日后通过右键菜单命令,就能实现快速加密、解密操作目的,从而有效提升操作效率。
首先使用“Win+R”快捷键,调用系统运行对话框,在其中执行“regedit”命令,开启系统注册表编辑器运行状态。在编辑窗口左侧列表中,将鼠标定位到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExporerAdvanced”注册表分支上。在该分支下面,手工创建一个“EncryptionContextMenu”双字节键值。
用鼠标双击“EncryptionContextMenu”键值,弹出如图8所示的编辑键值文本框,输入数字“1”,点击“确定”按钮执行设置保存操作,再重新启动计算机系统,让设置正式生效。日后,当我们需要对重要文件夹执行EFS加密或解密操作时,只要简单地打开它的右键菜单,点击“加密”或“解密”菜单选项即可。
4.临时停用加密功能
在多用户账号环境下,倘若允许普通用户自由进行EFS加密,或许会影响他人的正常工作。所以,有的时候,我们需要临时停用Windows系统自带的加密功能,确保公共资源访问不会受到影响。在临时关闭Windows系统的EFS加密功能时,可以按照如下步骤来进行:首先在系统运行文本框中,输入“Regedit”命令并回车,切换到系统注册表控制台界面。在该编辑界面的左侧列表中,将鼠标定位到注册表分支“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionEFS”上,如图9所示。
看看指定分支下面是否有“EfsConfiguration”键值,找不到该键值时,不妨打开目标分支的右键菜单,从中逐一点击“新建”、“Dword值”选项,将新创建的键值名称设置为“EfsConfiguration”,同时将其数值设置为“1”,再刷新系统注册表让上述设置正式生效。这样,用户日后就不能使用Windows系统自带的EFS加密功能,随意加密重要共享文件了。