1.1 加密文件系统(EFS

EFS(Encrypting File System,加密文件系统)是Windows 2000/XP/Vista/WindowsServer2008所特有的一个实用功能,加密文件系统 (EFS) 提供了用于在 NTFS 文件系统卷上存储加密文件的核心文件加密技术。由于 EFS 与文件系统相集成,因此使管理更方便,使系统难以被攻击,并且对用户是透明的。此技术对于保护计算上可能易被其他用户访问的数据特别有用。对文件或文件夹加密后,即可像使用任何其他文件和文件夹那样,使用加密的文件和文件夹。

什么是EFS加密

EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK(File Encryption Key,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。随后系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据。如果你登录到了域环境中,密钥的生成依赖于域控制器,否则依赖于本地机器。

EFS加密系统对用户是透明的。这也就是说,如果你加密了一些数据,那么你对这些数据的访问将是完全允许的,并不会受到任何限制。而其他非授权用户试图访问加密过的数据时,就会收到“访问拒绝“的错误提示。EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。