和Windows BitLocker一樣,Encrypting File System(EFS,加密文件系統)是Windows內置的一套基於公共密鑰的加密機制,可以加密NTFS分區上的文件和文件夾,能夠實時、透明地對磁盤上的數據進行加密。
加密操作
加密方法用戶是透明的,文件加密之後,不必手動解密,使用者能自動打開加密文件,而其他用戶則無法打開加密文件。
加密的方法很簡單,在任何一個NTFS分區的目錄或文件下,右擊要加密的文件或文件夾;然後單擊“屬性”,在“常規”選項卡上,單擊“高級”按鈕;在彈出的窗口中,勾選“加密內容以便保護數據”復選框;點擊“確定”即可,在關閉文件時文件即被加密。
在默認情況下,被EFS加密的文件或文件夾在資源管理器中會顯示為綠色,這表示該文件或文件夾已經被EFS加密了。
如果不再希望對某個文件實施加密,清除該文件的屬性中的復選框即可。
備份密鑰
ESF加密操作雖然簡單,但是如果用戶重裝了系統,以後即使利用原來的用戶名和密碼,也無法打開EFS加密文件(夾),因此用戶應該及時備份密鑰,這樣以後即使重裝系統,也能打開加密文件。
在進行加密操作後,Windows系統狀態欄會自動提示用戶進行備份加密密鑰,點擊後會出現“備份文件加密證書和密鑰”的對話框,選擇“現在備份”,會出現證書導出向導。
點下一步導出文件格式選項裡,選擇默認的“個人信息交換”。
再點下一步輸入密碼,這個密碼是恢復證書要使用的密碼,然後點下一步,選擇保存地址,然後即可將證書文件成功導出。
如果用戶沒有點狀態欄的圖片即時進行備份密鑰,也沒有關系,還可以通過手動備份的方式進行密鑰備份,方法是:點擊菜單“開始”-“運行”,鍵入certmgr.msc打開證書管理器,點擊“個人”-“證書”,只要以前做過加密操作,右邊窗口就會有用戶名同名的證書,假如有多份證書,選擇“預期目的”為“加密文件系統”的;右擊“證書”,在菜單中選擇“所有任務”-“導出”。
之後會彈出一個“證書導出向導”窗口,在窗口中選取“導出私鑰”,並按照向導的要求,輸入密碼保護導出的私鑰,選擇保存證書的目錄,最後就完成了證書文件的導出工作。
加密的優點
EFS加密基於公鑰加密策略,使用了一種快速的對稱加密算法用一個隨機生成的文件加密密鑰(file encryption key,FEK)對文件或文件夾進行加密,加密不同的文件或文件夾時使用的密鑰也不相同。
EFS加密的用戶驗證過程是在登錄Windows時進行的,只要登錄到Windows,就可以打開任何一個被授權的加密文件。所以這就是為什麼EFS加密後的文件夾或文件,用戶幾乎無法感覺到加密效果的原因。
從操作的便利性來說,由於EFS的密碼和用戶登錄Windows密碼集成在一起,因此無需輸入密碼即可解密文件,操作甚為方便。
加密的缺點
不過,相比Bitlocker來說,EFS加密擁有幾個重大的缺點。
首先,如果在重裝系統前沒有備份加密證書,重裝系統後EFS加密的文件夾裡面的文件將無法打開,即使用戶使用原先的密碼登錄,也不能解密文件。
其次,對於多用戶操作同一台電腦的情況,另一個用戶雖然無法看到加密的文件內容,但是依舊可以看到加密的文件夾名稱和文件名稱,從而獲得一些信息,此外,如果加密時候使用默認權限,其他用戶還可以對EFS加密的文件和文件夾進行刪除操作,因此,用戶在使用EFS加密的時候,需要在“屬性”-“安全”選項裡設置一下文件或文件夾的訪問權限,以防止他人查看或刪除。
對於多用戶使用同一台電腦還有一個有意思的情況,如果多用戶都有管理員權限,那麼修改另一個用戶的密碼,並用這個用戶的身份登錄系統後,並不能訪問被EFS加密後的文件,因為用戶密碼被他人修改,但如果是用戶自己對密碼進行修改(需要輸入舊密碼的方式修改),那麼用戶依然可以打開被EFS加密的文件。
對於未設置訪問權限的EFS加密文件是進行解密的前提條件是:知道用戶帳戶的登錄密碼,該被刪帳戶的配置文件必須存在,因為加密後的私鑰和主密鑰(還包括證書和公鑰),都保存在配置文件裡,如果以上兩個條件滿足,那麼先從舊的配置文件裡面獲得被刪帳戶的SID(在配置文件目錄\Application Data\Microsoft\Crypto\RSA 下有一個以該帳戶的SID為名的文件夾,然後新建一個用戶,用newsid工具把SID改的和原來一樣,然後用新用戶登錄,隨便加密一個文件,再注銷,把舊的配置文件覆蓋新用戶的配置文件,再用新用戶登錄進去就可以解密其它文件了。
Bitlocker和EFS的對比
Bitlocker主要用於加密整個驅動器、外部硬盤、U盤等,EFS主要用於加密單個文件或文件夾。
Bitlocker不依賴用戶賬戶,對於所有用戶都是同樣的狀態(打開或關閉),EFS的加密依賴用戶賬戶,如果電腦有多個用戶,每個用戶都可以獨立加密自己的文件。
Bitlocker必須是管理員用戶才能使用,EFS不需要管理員權限即可使用。