EFS证书的使用.pptVIP

EFS证书的使用 主讲人:李露 2007-12-17 目录 EFS简介 使用EFS的好处 EFS加密原理 使用EFS准备工作 使用EFS加密 生成与备份恢复密钥 创建基于域的恢复代理 创建本地恢复代理 启用右键菜单加密/解密 启用EFS文件共享 导出数据恢复密钥 导入数据恢复密钥 恢复数据 对EFS加密的几个错误认识 相关信息 EFS简介 EFS（Encrypting File System，加密文件系统）是Windows 2000/XP所特有的一个实用功能，对于NTFS卷上的文件和数据，都可以直接被操作系统加密保存，在很大程度上提高了数据的安全性。 Windows 95、Windows 98 和 Windows Me 操作系统不支持 NTFS 或 EFS。Windows XP Home Edition 支持 NTFS，但不支持 EFS。 其次，EFS加密只对NTFS5分区上的数据有效（注意，这里我们提到了NTFS5分区，这是指由Windows 2000/XP格式化过的NTFS分区；而由Windows NT4格式化的NTFS分区是NTFS4格式的，虽然同样是NTFS文件系统，但它不支持EFS加密），你无法加密保存在FAT和FAT32分区上的数据。 使用EFS的好处 首先，EFS加密机制和操作系统紧密结合，因此我们不必为了加密数据安装额外的软件，这节约了我们的使用成本。 其次，EFS加密系统对用户是透明的。这也就是说，如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制。而其他非授权用户试图访问加密过的数据时，就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。 EFS的加密原理 EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK (File Encryption Key，文件加密钥匙)，然后将利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。随后系统利用你的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥对（统称为密钥），则会首先生成密钥，然后加密数据。如果你登录到了域环境中，密钥的生成依赖于域控制器，否则它就依赖于本地机器。 EFS使用准备工作 对压缩过的文件或文件夹无法进行 EFS 加密。对压缩文件或文件夹实施加密操作，该文件或文件夹将被解压缩。 具有“系统”属性的文件无法进行加密，systemroot 文件夹中的文件也不能被加密。 在首次加密文件或文件夹时，将弹出一个对话框。要注意选择。 查看证书 单击“开始”、“运行”，键入 mmc ，然后单击“确定”按钮。打开“Microsoft 管理控制台”。 在“文件”菜单中，选择“添加/删除管理单元”，然后单击“添加”按钮。 在“添加独立管理单元”中，单击“证书，然后单击“添加”按钮。 选择“我的用户帐户”单选项，再单击“确定”按钮。 单击“关闭”按钮，再单击“确定”按钮。 双击“证书－当前用户”、“个人”，然后双击“证书”。 在“这个证书的目的是”一栏中单击显示字样为“文件恢复”的证书。 也可以直接运行:certmgr.msc 使用EFS加密 打开 Windows 资源管理器。 右键单击要加密的文件或文件夹，在弹出的菜单中，选择“属性”项。 在“常规”选项卡中，单击“高级”。 选中“加密内容以保护数据”复选框，单击“确定”按钮。 在“属性” 对话框中，单击“确定”，然后选择加密方式。 单击“确定”按钮，确认并应用加密选项。 加密后的文件夹的颜色会变成绿色 注意选择加密文件夹类型 加密单个文件时，如果选择加密其父文件夹，则今后添加到该文件夹中的文件和子文件夹在添加时都将被自动加密。 在对文件夹进行加密时，如果选择了加密所有文件和子文件夹，那么该文件夹中现有的所有文件和子文件夹以及今后添加到该文件夹中的文件和子文件夹都将被加密。 在对文件夹进行加密时，如果选择只对该文件夹进行加密，那么该文件夹中现有的所有文件和子文件夹都不会被加密。但是，今后添加到该文件夹中的所有文件和子文件夹在添加时将被自动加密。 启用 Windows 资源管理器菜单中的加密/解密选项 运行“注册编辑器”，导航到以下注册表路径HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ 在详细信息栏（右栏）中，单击右键，在弹出