科技时代新浪首页 > 科技时代 > 学园 > 微软专区 > 微软下载与技术专区专题 > 正文

五分钟安全顾问:使用加密文件系统


http://www.sina.com.cn 2004年11月08日 14:16 新浪科技

  文/Microsoft China.

  当您远离自己的计算机,您如何保护自己的计算机上文件的安全呢?一种方法是把您的计算机锁在保险库中并派武装人员在门外守护,但是这将花费巨额费用,您将为此而不堪重负,除非您在白宫工作。您可以而且应该使用NTFS文件系统,来保护您的文件不被同一台计算机上的其他用户在未经授权的情况下对其进行访问。然而,这不能帮助您阻止攻击者获取对您的计算机的物理访问——他们总可以取走您的磁盘,获得文件的所有权,然后再读取他们所需的东西。一种更好的解决方案是:如果您加密了这些文件,他们就无法读取它们,即
便有人偷走了整台计算机——这对于便携式计算机用户来说真是一个福音。Windows 2000 Professional 和 Windows XP Professional 包括对加密文件系统(Encrypting File System,简称:EFS)的支持,后者允许您在NTFS卷上加密单独的文件或文件夹。

  EFS的工作原理

  在使用EFS时,您加密过的每个文件或文件夹都会得到一个唯一的加密密钥的保护。该密钥反过来又受到您的用户凭证的保护,从而确保任何其他人员都无权访问这些文件——除非他们的凭证可以解开这些文件/文件夹的特定密钥,否则无法对其进行读取。该文件在磁盘一直处于加密状态;授权用户可以复制或移 动这个采用加密形式的文件。当授权用户尝试打开该文件时,Windows 就自动在内存中对其进行解密,并且将每个加密的数据块传送到请求应用程序中。Windows 决不会将未经加密的数据写入磁盘(应用程序可能会这样做,但如果您遵守 Microsoft 的指导原则并且加密临时文件夹,您将仍然会受到保护)。在您告诉 Windows 解密该文件或将其移到一个未加密的文件夹之前,它会一直处于加密状态。

  许多企业都会对业务持续性和系统访问感到担忧——如果您雇用的员工加密了一些数据而后又离职了,会发生什么事呢?这种担忧是有道理的,因为 EFS 采用的加密算法与银行用来保护 ATM 交易的算法是一样的。EFS 支持恢复代理,恢复代理可以获取加密项的所有权并且对其进行解密。一旦恢复代理恢复了加密文件,原始的拥有者就可能会泄密,因为文件不再处于加密状态。这种机制可以防止一些好事的恢复代理对您的数据进行未经授权的操作。

  Windows XP Professional 将一些非常好的特征添加到 Windows 2000 的 EFS 中。而首要的一点是,您现在可以允许其他用户使用您的加密文件。这样就在 EFS 的安全性和共享数据的便利性之间建立了良好的平衡。Windows XP EFS 允许您加密 Web 文件夹和脱机文件夹中的文件,这意味着您可以在共享和传输您的数据的同时,不放弃安全性。

  加密您的数据

  要使用 EFS,您只需要有运行 Windows 2000 Professional(或更高版本)或 Windows XP Professional 和 NTFS 卷的机器就可以了。不管您的机器是否在 Windows 或 Active Directory 域中,也不管您的网络中是否存在认证中心,EFS 都可以正常运作。在 Windows XP 中加密文件和文件夹非常简单(完全与 Windows 2000 中一样容易,只是操作的步骤略有不同):

  1.打开 Windows 资源管理器。

  2.找到您需要加密的文件夹并打开“属性”对话框。(注意,Microsoft 的 EFS 最佳实践建议只加密文件夹而不加密文件,从而确保您不会因疏漏而在磁盘上留下未加密的文件副本)。

  3.在“常规”选项卡中,可以看到“属性”组。单击“高级”按钮,将弹出“高级属性”对话框。(图1)

五分钟安全顾问:使用加密文件系统
图1

  4.选中“加密内容以保护数据”复选框。如果您加密了文件夹,Windows 将询问您是要加密该文件夹中所有的文件和文件夹,还是只加密文件夹本身。

  5.单击“确定”,关闭“高级属性”对话框,然后再次单击“确定”,关闭该项的“属性”对话框。

  就是这样!您不会注意到您所加密的项有任何不同,因为 Windows 和您的应用程序可以使用您的凭证对其进行解密,然而,同一台计算机上的其他用户在试图打开您的文件时,将会收到“拒绝访问”消息。

  解密您的文件和文件夹也很容易:打开“属性”对话框,然后取消选定“加密内容以保护数据”复选框。Windows 将自动为您解密指定的项,这样您就完成了解密过程。

  为了提供一些额外的灵活性,您可以使用命令行 cipher 工具来加解密文件和文件夹,并且可以在使用和释放磁盘空间之后对其进行重写。如果您感兴趣的话,可以阅读这些指导。

  共享加密文件

  如果您使用的是 Windows XP,您可以与其他用户共享您的加密文件。这是一种非常好的方法,通过这种方法,您可以在保护自己的数据的同时,仍然与您的计算机或文件服务器中其他经授权的用户进行数据共享。您可以将额外的授权用户添加到文件,但是您不能对文件夹进行这类操作,因为您不能添加组,而只能添加单独的用户。这个过程非常简单:

  1.找到您想要对其添加用户的文件,打开其“属性”对话框,然后打开“高级属性”对话框。

  2.如果该文件未经加密,就对其加密——在您成功地加密该文件之前,您不能添加用户。

  3.单击“详细信息”按钮。您将看到“加密详细信息”对话框,上面显示了当前可以打开该文件的授权用户。

  4.单击“添加”按钮,选择您想要授予其访问权的用户并单击“确定”。如果有必要,您可以使用“查找用户”按钮来搜索本机或 Active Directory,以查找用户和相关的证书。

五分钟安全顾问:使用加密文件系统
图2



评论】【初学者原地论坛】【推荐】【 】【打印】【下载点点通】【关闭
 

 
新 闻 查 询
关键词一
关键词二



热 点 专 题
阿拉法特病重
中华小姐环球大赛
2004珠海国际航空展
第六届孙子兵法研讨会
有影响力企业领袖评选
2004福布斯中国富豪榜
高峰亲子鉴定风波
加息后如何买房还贷
楼虫帮您买楼支招

 
 



科技时代意见反馈留言板 电话:010-82628888-5488   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2004 SINA Inc. All Rights Reserved

版权所有 新浪网