防止机密文件丢失方法.docVIP

如何使用EFS加密 　　要使用EFS加密，首先要保证你的操作系统符合要求。目前支持EFS加密的Windows操作系统主要有Windows 2000全部版本和Windows XP Professional。至于还未正式发行的Windows Server 2003和传闻中的开发代号为Longhorn的新一带操作系统，目前看来也支持这种加密机制。其次，EFS加密只对NTFS5分区上的数据有效（注意，这里我们提到了NTFS5分区，这是指由Windows 2000/XP格式化过的NTFS分区；而由Windows NT4格式化的NTFS分区是NTFS4格式的，虽然同样是NTFS文件系统，但它不支持EFS加密），你无法加密保存在FAT和FAT32分区上的数据。 　　对于想加密的文件或文件夹，只需要用鼠标右键点击，然后选择“属性”，在常规选项卡下点击“高级”按钮，之后在弹出的窗口中选中“加密内容以保护数据”，然后点击确定，等待片刻数据就加密好了。如果你加密的是一个文件夹，系统还会询问你，是把这个加密属性应用到文件夹上还是文件夹以及内部的所有子文件夹。按照你的实际情况来操作即可。解密数据也是很简单的，同样是按照上面的方法，把“加密内容以保护数据”前的钩消除，然后确定。 　　如果你不喜欢图形界面的操作，还可以在命令行模式下用“cipher”命令完成对数据的加密和解密操作，至于“cipher”命令更详细的使用方法则可以通过在命令符后输入“cipher/?”并回车获得。 　　注意事项：如果把未加密的文件复制到具有加密属性的文件夹中，这些文件将会被自动加密。若是将加密数据移出来，如果移动到NTFS分区上，数据依旧保持加密属性；如果移动到FAT分区上，这些数据将会被自动解密。被EFS加密过的数据不能在Windows中直接共享。如果通过网络传输经EFS加密过的数据，这些数据在网络上将会以明文的形式传输。NTFS分区上保存的数据还可以被压缩，不过一个文件不能同时被压缩和加密。最后一点，Windows的系统文件和系统文件夹无法被加密。 　　这里还有个窍门，用传统的方法加密文件，必须打开层层菜单并依次确认，非常麻烦，不过只要修改一下注册表，就可以给鼠标的右键菜单中增添“加密”和“解密”的选项。 在运行中输入“regedit”并回车，打开注册表编辑器，定位到：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion /Explorer/Advanced ，在“编辑”菜单上点击“新建－Dword值”，输入“EncryptionContextMenu”作为键名，并设置键值为“1”。现在退出注册表编辑器，打开资源管理器，任意选中一个NTFS分区上的文件或者文件夹，然后点击鼠标右键，就可以在右键菜单中找到相应的选项，直接点击就可以完成加密解密的操作。 　　如果你想设置禁止加密某个文件夹，可以在这个文件夹中创建一个名为“Desktop.ini”的文件，然后用记事本打开，并添加如下内容： [Encryption] Disable=1 　　之后保存并关闭这个文件。这样，以后要加密这个文件夹的时候就会收到错误信息，除非这个文件被删除。 　　而如果你想在本机上彻底禁用EFS加密，则可以通过修改注册表实现。在运行中输入“Regedit”并回车，打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS，在“编辑”菜单上点击“新建－Dword值”，输入“EfsConfiguration”作为键名，并设置键值为“1”，这样本机的EFS加密就被禁用了。而以后如果又想使用时只需把键值改为“0”。 　　如何保证EFS加密的安全和可靠 　　前面我们已经了解到，在EFS加密体系中，数据是靠FEK加密的，而FEK又会跟用户的公钥一起加密保存；解密的时候顺序刚好相反，首先用私钥解密出FEK，然后用FEK解密数据。可见，用户的密钥在EFS加密中起了很大作用。 　　密钥又是怎么来的呢？在Windows 2000/XP中，每一个用户都有一个SID（Security Identifier，安全标示符）以区分各自的身份，每个人的SID都是不相同的，并且有唯一性。可以这样理解：把SID想象成人的指纹，虽然世界上已经有几十亿人（同名同姓的也有很多），可是理论上还没有哪两个人的指纹是完全相同的。因此，这具有唯一性的SID就保证了EFS加密的绝对安全和可靠。因为理论上没有SID相同的用户，因而用户的密钥也就绝不会相同。在第一次加密数据的时候，操作系统就会根据加密者的SID生成该用户的密钥，并把公钥和私钥分开保存起来，供用户加密和解密数据。