當(dāng)前位置:
  1. 首頁
  2. 加密技術(shù)

Windows系統(tǒng)EFS加密出了問題怎么辦?(二)

admin 加密技術(shù)

如果你想設(shè)置禁止加密某個文件夾,可以在這個文件夾中創(chuàng)建一個名為“Desktop.ini”的文件,然后用記事本打開,并添加如下內(nèi)容:

[Encryption]

Disable=1

之后保存并關(guān)閉這個文件。這樣,以后要加密這個文件夾的時候就會收到錯誤信息,除非這個文件被刪除。

而如果你想在本機上徹底禁用EFS加密,則可以通過修改注冊表實現(xiàn)。在運行中輸入“Regedit”并回車,打開注冊表編輯器,定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionEFS,在“編輯”菜單上點擊“新建-Dword值”,輸入“EfsConfiguration”作為鍵名,并設(shè)置鍵值為“1”,這樣本機的EFS加密就被禁用了。而以后如果又想使用時只需把鍵值改為“0”。

如何保證EFS加密的安全和可靠

前面我們已經(jīng)了解到,在EFS加密體系中,數(shù)據(jù)是靠FEK加密的,而FEK又會跟用戶的公鑰一起加密保存;解密的時候順序剛好相反,首先用私鑰解密出FEK,然后用FEK解密數(shù)據(jù)。可見,用戶的密鑰在EFS加密中起了很大作用。

密鑰又是怎么來的呢?在Windows 2000/XP中,每一個用戶都有一個SID(Security Identifier,安全標(biāo)示符)以區(qū)分各自的身份,每個人的SID都是不相同的,并且有唯一性。可以這樣理解:把SID想象成人的指紋,雖然世界上已經(jīng)有幾十億人(同名同姓的也有很多),可是理論上還沒有哪兩個人的指紋是完全相同的。因此,這具有唯一性的SID就保證了EFS加密的絕對安全和可靠。因為理論上沒有SID相同的用戶,因而用戶的密鑰也就絕不會相同。在第一次加密數(shù)據(jù)的時候,操作系統(tǒng)就會根據(jù)加密者的SID生成該用戶的密鑰,并把公鑰和私鑰分開保存起來,供用戶加密和解密數(shù)據(jù)。

這一切,都保證了EFS機制的可靠

其次,EFS機制在設(shè)計的時候就考慮到了多種突發(fā)情況的產(chǎn)生,因此在EFS加密系統(tǒng)中,還有恢復(fù)代理(Recovery Agent)這一概念。

舉例來說,公司財務(wù)部的一個職工加密了財務(wù)數(shù)據(jù)的報表,某天這位職工辭職了,安全起見你直接刪除了這位職工的賬戶。直到有一天需要用到這位職工創(chuàng)建的財務(wù)報表時才發(fā)現(xiàn)這些報表是被加密的,而用戶賬戶已經(jīng)刪除,這些文件無法打開了。不過恢復(fù)代理的存在就解決了這些問題。因為被EFS加密過的文件,除了加密者本人之外還有恢復(fù)代理可以打開。

對于Windows 2000來說,在單機和工作組環(huán)境下,默認(rèn)的恢復(fù)代理是 Administrator ;Windows XP在單機和工作組環(huán)境下沒有默認(rèn)的恢復(fù)代理。而在域環(huán)境中就完全不同了,所有加入域的Windows 2000/XP計算機,默認(rèn)的恢復(fù)代理全部是域管理員。

這一切,都保證了被加密數(shù)據(jù)的安全。

如何避免不慎使用EFS加密帶來的損失

如果你也和我一樣,由于對EFS加密不了解致使重要數(shù)據(jù)丟失,那么也別氣餒,就當(dāng)買了個教訓(xùn)。畢竟通過這事情你還是能學(xué)會很多東西的。那就是:備份密鑰!設(shè)置有效的恢復(fù)代理!

對于上面講到的情況1,備份密鑰可以避免這種悲劇的發(fā)生。在運行中輸入“certmgr.msc”然后回車,打開證書管理器。密鑰的導(dǎo)出和導(dǎo)入工作都將在這里進(jìn)行。

在你加密過文件或文件夾后,打開證書管理器,在“當(dāng)前用戶”-“個人”-“證書”路徑下,應(yīng)該可以看見一個以你的用戶名為名稱的證書(如果你還沒有加密任何數(shù)據(jù),這里是不會有證書的)。右鍵點擊這個證書,在“所有任務(wù)”中點擊“導(dǎo)出”。之后會彈出一個證書導(dǎo)出向?qū)?,在向?qū)е杏幸徊綍儐柲闶欠駥?dǎo)出私鑰,在這里要選擇“導(dǎo)出私鑰”,其它選項按照默認(rèn)設(shè)置,連續(xù)點擊繼續(xù),最后輸入該用戶的密碼和想要保存的路徑并確認(rèn),導(dǎo)出工作就完成了。導(dǎo)出的證書將是一個pfx為后綴的文件。
導(dǎo)出證書

重裝操作系統(tǒng)之后找到之前導(dǎo)出的pfx文件,鼠標(biāo)右鍵點擊,并選擇“安裝PFX”,之后會出現(xiàn)一個導(dǎo)入向?qū)?,按照?dǎo)入向?qū)У奶崾就瓿刹僮鳎ㄗ⒁猓绻阒霸趯?dǎo)出證書時選擇了用密碼保護證書,那么在這里導(dǎo)入這個證書時就需要提供正確的密碼,否則將不能繼續(xù)),而之前加密的數(shù)據(jù)也就全部可以正確打開。