自从“艳照门”事件之后,危险漫步的安全意识就有了很大的提高,开始尝试使用一些所谓的文件加密软件,但这些软件的安全性并不高,很容易就被破解,那有没有一个好的文件加密软件呢?答案是肯定的,EFS就是一个不错的选择。EFS的全称是Encrypting File Syatem.翻译过来就是加密文件系统,这是系统内置的功能,可以将队NTFS格式存放在磁盘上的文件通过操作系统加密来保存,这在一定程度上保证了数据的安全性。
一、使用EFS之前的准备
因为EFS只能为NTFS格式存放的文件进行加密,因此如果我们的磁盘不是NTFS格式的话就得先进行转换。转换的方法很简单,只要在命令提示符下输入convert X:/fs:NTFS就可以了(其中的“X”更换成我们想要转换的盘符)。可能有人会担心自己的数据会丢失,大可不必担心,这个是无损转换,不会丢失任何数据的。
二、EFS的原理
当我们使用EFS时,系统会分配给我们一个证书,包括有两把密钥,一把是公开密钥,另一把是私有密钥。要加密某个文件时,系统会随机产生一个密钥,然后用这个密钥进行对称加密文件,接着系统会使用之前分配给我们的公开密钥把这个随机生成的密钥进行加密,然后储存在文件头。当我们要打开EFS加密过的文件时,系统先使用分配给我们的私有密钥对文件头进行解密,就可以得到系统密该文件时的随机密钥,再使用得到的密钥来进行解密文件了。
三、EFS的使用
好了,听了这么多的理论,我们也该动动手了。在加密的文件上点击右键,选择“属性”,在弹出的窗口中切换到“常规”选项,在右下角我们可以看到一个名为“高级(D)…”的按钮,点击这个按钮后,就会弹出“高级属性”窗口,勾选上“加密内容以保护数据(E)”,然后点击两次“确定”,眼尖的朋友就会发现刚才加密的文件已经变成绿色的了。“这个文件不是可以正常打开吗?哪里加密了呀?”一朋友问道。大家需要挂意的是,EFS并不是那种打开需要验证密码的文件加密系统,现在我们更换一个用户再打开看看,就会看到提示了。
“那我们要想让一个特定的用户也可以访问,该怎么做呢?”又一个朋友问道。其实解决的方法很简单,返回到“高级属性”窗口,点击“详细信息”按钮,在弹出的窗口中点击“添加(A)”,在出现的窗口的上面就会显示已有证书的用户。我们选择想要共享的用户,再点击“添加”按钮,最后点击“确定”就行了。没有取得证书的用户是无法象我们那样访问加密过的文件的,要想使特定用户取得证书,可以让该用户加密JAr文件即可。
四、备份与恢复
有时候,我们的电脑总会出现一些问题,比如系统崩溃了或配置文件丢失,这都会造成我们使用EFS加密过的文件无法打开,为了避免这种情况,所以应该在启用EFS加密时就做好证书的备份,好在出现意外时加以恢复。
打开控制台(在“运行”中输入“mmc”),依次展开菜单“文件”一“添加/删除管理单位”,点击“添加”按钮,在弹出的窗口中找到“证书”并添加。
如果我们正在使用的用户是管理员的话,就会弹出一个窗口询问我们管理单位为哪个帐户管理证书,选择“我的用户帐户”,然后在左侧的控制台中依次展开“证书-当前用户”-“个人”-“证书”,再在右侧的窗口中选择自己的证书并点击右键,选择“所有任务”-“导出”。在弹出来的窗口中一路点击NEXT就行了,不过在询问是否导出私钥时,要选择导出密钥。导出的密钥一定要保存好,有条件的可以弄个U盘,把密钥存放在U盘里,再把U盘上个十几把锁,呵呵,总之要保存好就是了。当我们需要恢复时,需要先把证书分解,这时候就需要使用我编写的一个小工具-EFS操作工具(也可以在命令行下完成,具体的命令我会在后面提到)。打开工具,把文件拖到“分解证书”标签右边的编辑框里,就会出现一个窗口要求我们输入密码,这里的密码就是我们导出密钥时所设置的密码。当我们输入正确的密码后,就会生成两个文件,一个是PFX文件,一个是CER文件。
打开PFX文件,.—直点击NEXT就可导入了,不过在选择证书存储区的时候,我们需要选择“所有的证书放人下列存储区”单选项,再把存储区设置为“个人”。CER文件也差不多,不过就是打开后再按下“安装证书”就行了。
五、EFStl9命令行用法
前面提到了EFS命令行的厢法,其实很简单的,我们在命令行下执行Cipher/就可以看到了详细的用法了。