瑞星卡卡安全论坛

首页 » 技术交流区 » 系统软件 » 【原创】【分享】【整理】关于EFS数据加密偶搜集整理的几篇文章
沧海一菜 - 2005-8-16 16:22:00
此贴是我在现在公司的最后一帖,即将离开,发最后一帖,搜集整理而来,可能有朋友发过次种帖,希望不要见怪,支持我一下。同时也希望此帖能对大家或学习,或工作等都有帮助。谢谢。

其中有很多来自微软网站,有许多链接没有下载,谅解!
沧海一菜 - 2005-8-16 16:34:00
加密文件系统概述     


加密文件系统 (EFS) 是 Windows 2000、Windows XP Professional 和 Windows Server 2003 的 NTFS 文件系统的一个组件。(Windows XP Home 不包含 EFS。)EFS 采用高级的标准加密算法实现透明的文件加密和解密。任何不拥有合适密钥的个人或者程序都不能读取加密数据。即便是物理拥有驻留加密文件的计算机,加密文件仍然受到保护。甚至是有权访问计算机及其文件系统的用户,也无法读取这些数据。还应该采取其他防御策略,加密这种解决方法不是解决每种威胁的恰当对策,加密只是其他防御策略之外的又一种有力措施。EFS 是 Windows 文件系统的内置文件加密工具。
然而,任何一种防御工具,如果不能正确使用,也会带来潜在的危害。必须充分理解,妥善实施和有效管理 EFS,确保用户提供技术支持的经验和希望保护的数据不受到破坏。本文档将:
·    提供 EFS 的概述和资源指南。
·    实施策略和最佳实践的指南。
·    命名危险以及减轻和预防破坏的建议。
关于 EFS 具有很多在线资源和出版资料可供参考。主要信息源为 Microsoft 资源工具包、产品文档、白皮书和知识库文章。本文档简要介绍了 EFS 的主要问题。只要有可能,不再复述已有文档的内容,只是提供最佳资源的链接。总之,本文档与可以查找到的实际文档的指南以及所需求的知识的列表相符合。此外,本文档对大量文档的关键点进行了编录,这样用户每次碰到新问题时,不用查阅成百上千页的文档,就可找到需要的信息。
本文档讨论了 EFS 的下列关键知识领域:
·    什么是 EFS
·    基本知识,如文件的加密和解密方法、已加密文件的恢复方法、密钥存档、证书管理、文件备份以及 EFS 的禁用方法。
·    EFS 是如何工作的、EFS 结构和算法
·    Windows 2000、Windows XP 和 Windows Server 2003的 EFS 之间存在的主要差异
·    EFS 的误用和滥用,以及如何防止数据丢失或者曝光
·    使用 SMB 文件共享和 WebDAV 进行加密文件的远程存储
·    适用于 SOHO 和小型公司的最佳实践
·    企业知识:如何使用 PKI 实施数据恢复策略,如何使用 PKI 进行密钥恢复
·    疑难解答
·    EFS 基本知识:使用 EFS 加密数据库,且配合 Microsoft 其他产品使用 EFS。
·    故障恢复
·    何处下载具体的 EFS 工具
使用 EFS 只要求很少的知识基础。然而,使用 EFS 时,如果不具备 EFS 的最佳实践知识,没有理解其恢复过程,用户就会产生错误的安全观,比如用户文件其实没有加密,但用户却认为已经加密,或者用户可能通过使用弱密码或者将密码公开给其他人,从而启用未经授权的访问。如果没有采取适当的恢复步骤,也可能引起数据丢失。因此,在使用 EFS 之前,应该阅读“EFS 的误用和滥用,以及如何防止数据丢失或者曝光?”一节中的链接信息。这一节中的内容提示用户,恢复操作不当或者理解不当,如何导致数据不必要的曝光。要实施安全的可恢复的 EFS 策略,应该更全面的理解 EFS。
什么是 EFS
用户可以使用 EFS 对存储在 Windows 2000、Windows XP Professional 和 Windows Server 2003 计算机文件系统中的文件进行加密。 EFS 并没有设计成可以保护从一个系统传送到另一个系统的数据。EFS 采用对称(使用一个密钥来加密文件)和非对称(使用两个密钥来保护加密密钥)加密。关于加密 的最佳入门知识,请参阅 Windows 2000 资源工具包,它介绍了证书服务。了解这些内容有助于理解 EFS。
EFS 的本质概述和 Windows 2000 中有关 EFS 的全部信息都发布在 Windows 2000 Server 资源工具包的分布式系统指南中。这些信息,多数见诸于上述指南的第十五章,在线发布在http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp。(本网站的网页中,使用 TOC 可以转至分布式系统指南、分布式安全、加密文件系统。)
Windows 2000、Windows XP Professional 和 Windows Server 2003 的 EFS 之间存在一些差异。Windows XP Professional 资源工具包说明了 Windows 2000 和 Windows XP Professional 的 EFS 实施之间的差别,并且文档“Windows XP 和 Windows Server 2003 的加密文件系统”(http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/CryptFS.asp) 对 Windows XP 和 Windows Server 2003 的修改进行了详细说明。下面的这一节,“Windows 2000、Windows XP 和 Windows Server 2003 之间的 EFS 存在的主要差异”,对这些差异性进行了总结。
下面是有关 EFS 的重要基本事实:
·    EFS 加密不是发生在应用层,而是位于文件-系统层,因此对于用户和应用程序来说,加密和解密过程都是透明的。如果某个文件夹标记为加密,则创建自或者移入到该文件夹的每个文件都将进行加密。应用程序不必理解 EFS 或者管理 EFS 加密文件,看起来和未加密文件没有什么不同。如果用户要打开文件且拥有相应的操作密钥,打开该文件不要求用户方进行任何额外的操作。如果用户没有密钥,就会收到“拒绝访问”的出错信息。
·    文件加密使用对称密钥,该密钥本身使用公钥加密对的公钥进行加密。要想对文件进行解密,必须具备有关的私钥。该密钥对绑定用户标识,只有拥有该用户标识和密码的用户才具备这个密钥对。如果私钥被破坏或者丢失,即使是加密文件的用户也无法对它进行解密。如果具有恢复代理,则可以恢复文件。如果采用了密钥存档,那么密钥可以恢复,且可以解密文件。如果没有密钥存档,文件就可能丢失。EFS 是最佳的文件加密系统——不存在“后门”问题/li>
·    文件加密密钥可以存档(例如,导出到软盘中),并放置在安全位置,确保密钥一旦损坏时能够进行恢复。
·    EFS 密钥依靠用户的密码来保护。任何用户,只要获得该用户的标识和密码,就可以像该用户一样登录进去,且能够对该用户的文件进行解密。因此,每个单位在实施安全的过程中,都必须采取强密码策略,加强用户教育,确保保护 EFS 加密文件。
·    EFS 加密文件,如果在远程服务器的文件夹中保存或者打开过,则传输时就不再为加密状态。该文件被解密,以明文方式在网络中传送,并且,如果保存到标记为加密的本地驱动器的文件夹中,该文件就在本地进行加密。EFS 加密文件,如果使用 WebDAV 保存到 Web 文件夹中,则在网络中传送时仍然为加密状态。Windows 2000 不具备这种远程存储的方法。
·    EFS 采用FIPS 140–评估 Microsoft 加密服务提供程序(CSP—包含有 Microsoft 产品加密算法的部件)。
基本知识:如何进行文件的加密和解密、恢复已加密文件、存档密钥、管理证书、备份文件以及禁用 EFS
EFS 功能很简单,而且用户可以在多个在线文档中查找到循序渐进指南。每种可能的 EFS 功能都可以在后面找到具体的链接文档,对多个功能进行总结的文档链接也可以找到。如果该文档是知识库中的文章,它的知识库序号将显示在文章标题后的括号中。
加密和解密
文件加密和解密的过程非常简单,但是确定哪些内容要加密,留意不同操作系统的上 EFS 的差异,尤为重要。
·    如何使用 Windows 2000 中的 EFS 来加密数据 Q(230520) 包括可以采用 GUI 和命令行方法。(可以在命令行中使用 cipher 工具进行单个文件或者文件组的加密和解密。)
·    在 Windows 2000 中加密文件Q(222054) 说明了如何设置文件夹加密。请注意,一旦文件夹标记为加密,放入文件时没有必要将文件手工标记为加密。
·    如何在 Windows 2000 中为安全访问文件服务器或者 Intranet 中的数据而设置 EFSQ(301395) 没有具体解释如何实现,但是提供了文件加密和解密的指南。
·    如何在 Windows XP 中加密文件Q(307877) 包含有用户在打开其他用户加密过的文件时会碰到的出错信息和警告信息。
·    然而,文件夹并不加密,设置文件夹属性为“加密”只是说明放置到该文件夹的所有文件都将自动加密 如何在 Windows XP 中加密文件夹Q(308989) 说明了这个属性的设置方法。
·    如何在 Windows XP 中取消文件加密Q(308993) 说明了如何通过取消文件加密属性来解密文件。
·    如何在 Windows Server 2003 企业级服务器中管理加密文件系统 Q(324897) 是所有 EFS 基本功能的完美概述。文档尽管简短,但是切中要害,涵盖加密、解密和恢复等内容。
共享加密文件
只在 Windows XP 和 Windows Server 2003 中才带有共享加密文件的 GUI。
·    如何在 Windows XP 中共享加密文件的访问Q(308991) 介绍了共享加密文件的方法。用户可以查看简短的说明,包括屏幕照像,参见五分钟安全指南——使用加密文件系统。请记住:只有 Windows XP 和 Windows Server 2003 才带有共享加密文件的功能。
沧海一菜 - 2005-8-16 16:36:00
规划和恢复加密文件:恢复策略
恢复策略是单位的安全策略之一,旨在规划妥善恢复加密文件。本地安全策略的公钥策略或者组策略的公钥策略,也强制采用该策略。如果是组策略的公钥策略,恢复策略说明了用户私钥破坏或者丢失而加密文件未被破坏的情况下,加密文件是如何被恢复的。恢复证书在策略中具体指定。恢复既可以是数据恢复(Windows 2000、Windows XP Professional 和 Windows Server 2003),也可以是密钥恢复(带有证书服务的 Windows Server 2003)Windows 2000 EFS 要求有恢复代理(没有恢复代理,就无法加密文件),但是 Windows XP 和 Windows Server 2003 却不是这样。默认地,Windows 2000 和 Windows Server 2003 分配有默认的恢复代理。Windows XP Professional 却不是这样。
数据恢复过程很简单。与恢复代理证书进行绑定的用户帐户用来解密该文件。随后,该文件以安全的方式传送给文件所有者,该所有者可以加密文件。通过自动存档密钥进行恢复只能使用 Windows Server 2003 证书服务来完成。在安装好证书服务之后还需要完成其他配置。在任何情况下,恢复的书面策略和流程就位非常重要。这些流程,如果设计完善且充分遵守,可以确保恢复密钥和代理及时可用,安全地进行恢复。一定要记住“恢复策略.? 有两个定义第一个定义就是指书面的恢复策略和流程,它说明了有关恢复的何人、何事、何处、何时,以及确保恢复组件可用应该采取的操作步骤内容。第二个定义,常指下面文档所述内容,为公钥策略,它是独立系统的本地安全策略或者域的组策略的一部分。它也规定了哪些证书用来恢复,以及域的公钥策略的其他内容。在下列文档中可以找到更多信息:
·    Windows XP 和 Windows Server 2003 文档包含有添加域的恢复代理的操作步骤
·    五分钟安全顾问——使用 EFS 恢复加密数据说明了备份加密文件、EFS 密钥以及其他恢复基本工作的重要性。
·    如何备份 Windows 2000 中的恢复代理加密文件系统私钥 Q(241201) 说明了如何存档恢复代理的私钥,确保恢复其所保护的 EFS 文件时可用。
·    用户和恢复代理私钥应该进行存档。如何导出 Windows 2000 中的证书 Q(310114) 说明了操作过程。
·    如果恢复私钥被破坏或者丢失,用户可以在 Windows 2000 中创建新的企业数据恢复策略 。参考该文章如何在运行 Windows 2000 的工作组计算机上重新初始化 EDRP Q(257705) 可以达到此目的。然而,用户应该认识到这并不允许用户能够恢复过去的加密文件。如果备份有过去的恢复代理证书或者私钥的话,应该使用这些密钥。如果执行新策略,现有的加密文件应该进行解密且重新加密,以便可以使用新的恢复代理证书,从而能够恢复文件。
·    受管理员控制的恢复代理的存在信息,参见 加密数据文件的恢复方法 Q(255742).
·    使用 Ntbackup 备份加密文件的说明,以及系统配置和如何使用 Ntbackup 恢复文件的有关信息,参见如何在 Windows 2000 中使用 Ntbackup 来恢复加密文件或者文件夹 Q(313277)。
·    如何 在 Windows 2000 中配置域 EFS 恢复策略 Q(313365) 说明了如果删除默认策略,如何创建新策略。
·    加密文件系统的加密数据恢复策略Q(230490) 说明了添加恢复策略的位置。
·    恢复存档私钥的循序渐进指南,详见如何在 Windows 2000 中为加密数据恢复恢复加密文件系统的私钥 Q(242296)
·    恢复的第一步就是确定恢复代理。使用 Efsinfo.exe 来确定加密文件的有关信息 Q(243026) 说明了如何使用 Windows 2000 资源工具包工具 esfinfo.exe 来达到此目的。Windows XP 和 Windows Server 2003 中加密文件的高级文件属性会自动显示该信息。
·    本地管理员并不经常成为默认的加密文件系统恢复代理 Q(255026) 说明了 Windows 2000 Professional 计算机中定义(安装期间)的首个帐户为什么会用作恢复代理。
禁用或者阻止加密
您可能不希望用户有加密文件的能力。默认就是如此。用户可以指定特定文件夹不应包含加密文件。用户也可以决定禁用 EFS,直到用户以合适的流程来实施全面的 EFS 策略且培训用户时为止。禁用 EFS 的有多种不同的方法,具体取决于操作系统和所期望的效果。
·    系统文件夹不能标记为加密。启动过程不能使用 EFS 密钥,因此如果加密了系统文件,系统文件就无法启动。要阻止其他文件夹标记为加密,用户可以将它们标记为系统文件夹。如果不可能的话,则阻止文件夹中进行加密的方法,参见加密文件系统.?/li>
·    NT 4.0 不具有使用 EFS 的功能。如果需要给加入到 Windows NT 4.0 域中的 Windows 2000 计算机禁用 EFS,参见需要为基于 Windows NT 4.0 域中的基于 Windows 2000 计算机关闭 EFS Q(288579).所提及的注册表项也可用来禁用 Window XP Professional 和 Windows Server 2003 的 EFS。
·    禁用 Windows XP Professional 的 EFS 也可通过清除本地安全策略公钥策略的属性页中的复选框来实现。通过清除域或者组织单位 (OU) 组策略公钥策略的属性页中的复选框,可以禁用加入到 Windows Server 2003 域中的XP 和 Windows Server 2003 计算机中的 EFS。
·    如何禁用/启用独立的基于 Windows 2000 的计算机的 EFS Q(243035) 详述了禁用 EFS 时,如何保存恢复代理证书和密钥,以便在将来可以启用 EFS。
·    如何禁用基于 Windows 2000 域中全部计算机的EFS Q(222022) 提供了最佳指南集,清晰地说明了删除域策略(存在基于组织单位的策略或者本地安全策略)和初始化空策略(整个域中不可能 Windows 2000 EFS 加密)两者之间的差异。这些内容也包含在 Windows 2000 Professional 产品文档加密文件系统和数据恢复。
特别操作
广为传阅本文,您将会发现还有一些问题,现有的文档或者其他资料并没有解决。这些问题中的大多数、第三方事项以及公开说明的问题都可以通过查阅下列文章得以解决。
·    第三方证书颁发机构 (CA) 的使用规范可以参见第三方证书颁发机构对加密文件系统的支持 Q(273856)。如果用户希望在 EFS 中使用第三方 CA 证书,用户还应该了解证书吊销的流程。不用检查 Windows 2000 EFS 证书的吊销情况。有时,需要检查 Windows XP 和 Windows Server 2003 的 EFS 证书的吊销情况,且有可能拒绝使用第三方证书。EFS 中证书吊销操作的有关信息,参见文章不对加密文件系统恢复代理的证书检查其吊销状态 Q(281251) 和白皮书Windows XP 和 Windows Server 2003 的加密文件系统。
·    现有的明文文件标记为加密时,首先将它复制到临时文件中。操作完成时,临时文件标记为删除,它表示原始文件的部分内容仍然保留在磁盘上,有可能通过磁盘编辑器来潜在地访问。这些数据字节,称作 数据碎片 或者 数据残余, 可以使用工具 cipher.exe 的修订版进行永久删除。该工具是 Windows 2000 Service Pack 3 (SP3) 的一部分,包含在 Windows Server 2003 中。该工具的使用指南以及可下载版本的位置,参见“如何使用 Cipher.exe 覆盖 Windows 中的已删数据 Q(315672) 和加密文件系统的安全工具 Cipher.exe Q(298009)。
·    有关如何在 Windows 资源浏览器中将加密文件显示为绿色的说明,详见如何在 Windows XP 中标识加密文件 Q(320166)。
·    如何在快捷方式菜单中启用加密命令 Q(241121) 提供一个用作此目的的注册表项进行更改。
·    用户可能希望在打印时能够保护打印机后台打印程序文件或者加密文件的物理副本。打印过程中,加密是透明的。如果用户有权(拥有该密钥)解密文件,并且具备打印文件的方法,将打印该文件。然而,有两个问题值得注意。首先,如果文件对加密非常敏感,用户如何保护打印副本?其次,后台打印程序文件驻留在 < 系统根目录 >\system32\Spool\Printers 文件夹中。此时,用户如何进行保护?用户可以加密该文件夹,但是将严重影响打印速度。Windows 2000 资源工具包中建议打印这些文件时采用不同的打印机,也就如何最大程度地保证分布式系统、分布式安全、加密文件系统中的打印机的安全给出了建议,详见打印 EFS 文件一节。
沧海一菜 - 2005-8-16 16:36:00
EFS 的工作原理。EFS 的结构和算法
为了认识 EFS,从而估计各种问题,预测潜在的攻击,解决 EFS 加密文件中的问题且保护文件,用户应该了解 EFS 结构和基本的加密、解密和恢复算法。有关这方面的信息大都在 Windows 2000 资源工具包的分布式系统指南,Windows XP Professional 资源工具包,以及白皮书,Windows XP 和 Windows Server 2003 中加密文件系统产品文档中也对大多数算法进行了说明。下面的示例摘自 Windows XP Professional 资源工具包:
·    EFS 部件(包括 EFS 服务、EFS 驱动程序和文件系统运行时库)的简洁说明位于EFS部件,第十七章“加密文件系统” Windows XP Professional 资源工具包中的一小节中。
·    EFS 所用的加密、解密和恢复算法的有关说明,位于资源工具包一节如何加密文件。这一节讨论了文件加密密钥 (FEK)、文件数据恢复内容、数据解密内容,它们用来存放用户加密过的 FEK 以及恢复代理公钥。
·    加密工作逐步地说明了用户决定变更文件夹的加密属性后的影响。该表说明了如果选择“仅仅该文件夹”或选项“该文件夹、子文件夹以及文件”,每个文件(已有的、后来添加的或者复制到文件夹的)所受的影响。
·    文件共享和 Web 文件夹上远程 EFS 操作说明了加密文件所受的影响以及如何启用远程存储。
Windows 2000、Windows XP 和 Windows Server 2003 之间的 EFS 存在的主要差异
Windows 2000 中采用了 EFS。然而,和 Windows XP Professional EFS 以及 Windows Server 2003 中 EFS 相比,存在下列差别:
·    用户可以授权其他用户访问加密文件(参阅上面的“共享加密文件”一节)。Windows 2000 中,用户可以采用共享加密文件的编程式解决方案,然而,不提供界面。Windows XP 和 Windows Server 2003 提供界面。
·    可以加密脱机文件。请参阅“如何加密脱机文件以保证 Windows XP 中的数据安全”
·    建议使用数据恢复代理,但只是可选项。XP 并不自动包含默认的恢复代理。如果存在的话,XP 将利用现有的 Windows 2000 域级恢复代理,但是没有域恢复代理也不阻止 XP 系统进行文件加密。要请求自签名恢复代理证书,需使用cipher /R:filename 命令,其中filename 就是将用来生成包含证书的 *.cer 文件和包含证书以及私钥的 *.pfx 文件的文件名。请参阅“如何:管理 Windows Server 2003 Enterprise Server 中的加密文件系统Q(324897)
·    “三重 DES” (3DES) 加密算法可用来替换“数据加密标准 X” (DESX),且在 XP SP1 的后续版本,高级加密标准 (AES) 就作为 EFS 的默认加密算法。
·    对于 Windows XP 和 Windows Server 2003 的本地帐户,密码重设磁盘可以用来安全地重设用户的密码。(不能使用该磁盘重设域密码。)如果管理员使用“重设密码?计算机管理控制台用户工具箱中的用户帐户选项,EFS 文件就无法访问。如果用户将密码变回以前的密码,就可重新访问加密文件。为了创建密码重设磁盘 ,了解使用密码重设磁盘的指南内容,请参阅产品文档和/或文章如何创建和使用计算机的密码重置磁盘,它不是 Windows XP 中的域成员 Q(305478)。
·    加密文件也可以存储在 Web 文件夹中。Windows XP Professional 资源工具包中有一节Web 文件夹环境中的远程 EFS 操作对此进行了说明。
Windows Server 2003 吸收了 Windows XP Professional 中所作的改进,并且增加了下列内容:
·    创建默认的域公钥恢复策略,给管理员帐户发行恢复代理证书。
·    证书服务提供自定义证书模板和密钥存档的功能。完成合适的配置之后,可以进行用户 EFS 密钥的存档,通过恢复用户的加密密钥,而不是通过文件恢复代理来解密,就可完成 EFS 加密文件的恢复。用来为密钥存档的证书服务循序渐进式配置提供指导的快速参考指南,可以参见证书服务实施示例:密钥存档和恢复。
·    Windows Server 2003 允许用户备份自己的 EFS 密钥,可以直接使用命令行,也可通过单击“备份密钥”按钮从详细属性页进行操作。
EFS 的误用和滥用,以及如何防止数据丢失或者曝光
未授权者可能试图获得经 EFS 加密过的信息。也可能无意中公开敏感数据。数据丢失或者曝光的两种可能的原因是误用(不恰当地使用 EFS)或者滥用(针对EFS 加密文件或者带有 EFS 加密文件的系统进行攻击 )。
无意中误用引起的问题
使用 EFS 时,有些事项可能诱发问题。首先,使用不当时,可能无意中公开敏感文件。多数情况下,这是由于不恰当或者脆弱的安全策略以及错误理解EFS 造成的。由于用户认为 他们的数据 是安全的,因而可以不必采用通常的预防措施,该问题就会导致一切变得更加糟糕。在下列几种情形中也会发生这种情况:
·    例如,如果用户将加密文件复制到 FAT 卷中,文件将被解密,因而不被保护。由于用户有权解密他们的加密文件,该文件就被解密且以明文方式存储到 FAT 卷中。发生这种情况,Windows 2000 并不给出提示信息,但是 Windows XP 和 Windows Server 2003 提供提示信息。
·    如果用户将自己的密码提供给其他人,这些人就可以使用这些凭据进行登录,且解密该用户的加密文件。(一旦用户登录成功,他们就可以对该用户帐户有权解密的任何文件进行解密。)
·    如果恢复代理的私钥没有存档,且从恢复代理配置文件中加以删除,知道这个恢复代理凭据的任何用户都可以进行登录,并且透明地解密任何加密文件。
到目前为止,EFS 遇到的最常见问题,发生在 EFS 加密密钥和/或恢复密钥没有存档的时候。如果这些密钥没有备份,丢失时就无法进行替换。如果不能使用或者替换这些密钥,数据就会丢失。如果重装 Windows (也许是磁盘破坏所至),则这些密钥会损坏。如果用户配置文件被破坏,则这些密钥会损坏。在这些情况或者任何其他情况中,密钥被破坏或者丢失且备份密钥不可用,那么,加密文件就无法解密。加密密钥绑定用户帐户,而且操作系统的重复更新意味着新的用户帐户。新用户配置文件意味着新用户密钥。如果密钥存档,它们可以导入到新帐户中。如果文件的吊销代理存在,则可以使用该帐户来恢复文件。然而,在密钥破坏的大多数情况中,用户和吊销密钥两者都不可用,且没有备份,从而导致数据丢失。
此外,其他更小的事情也有可能导致加密文件无法使用或者公开一些敏感数据,例如下列情况:
·    打开 EFS 文件时,该文件看起来已经破坏 Q(329741) 说明了在安装 XP SP1 之后,用 AES 来加密文件。它意味着这些文件如果移到 XP SP1 之前版本计算机或者 Windows 2000 计算机中,由于它们不具备 AES 算法,因此无法解密。
·    在密码重置后,EFS、凭据、证书私钥就会失效 Q(290260)
·    用户在修改密码或者使用漫游配置文件之后无法访问 EFS 加密文件。
·    不对加密文件系统恢复代理的证书检查其吊销状态 Q(281251) (Windows 2000 中不进行吊销检查)
·    加密文件的明文版本可能存在于磁盘中 Q(288183) 解释了它的发生原因,但是没有详述如何使用 cipher.exe。cipher.exe 的使用指南,可以参见如何在 Windows 中使用 Cipher.exe 来改写已删数据 Q(315672),介绍了这个新工具。
·    “拒绝访问”加密或者解密文件或者文件夹时遇到的出错信息 Q(264064) 可能是加密或者试图加密系统文件夹时造成的结果。
·    不能加密系统文件。Windows 2000 中登录过程在开始加密文件之后暂停 Q(269397) 比如说明了,如果用户对 Autoexec.bat 之类的系统文件进行加密,由于在该文件要在登录之前进行处理,因此无法解密。
最后,保证数据安全与仅仅加密文件相比,花费更多。必须从系统范围内采取方法来保证安全。可以在 TechNet 最佳实践网页 http://www.microsoft.com/technet/security/bestprac/bpent/sec2/secentbb.asp上找到多篇文章,这些文章介绍了系统安全的最佳实践。这些文章包括:
·    终端系统的安全事项
·    管理员权限的安全事项 对企业中的安全进行讨论
·    创建块状结构的安全实体
沧海一菜 - 2005-8-16 16:37:00
攻击和应对措施:加密文件的其他保护机制
加密文件的任何用户应该认识到潜在的脆弱性和各种攻击方法。就像仅仅锁住房屋前门而没有考虑到后门和窗户也会成为窃贼的通路一样,确保保密性单靠文件加密也不够。
·    使用深度防御且使用文件许可。使用 EFS 并不排斥使用文件权限来限制文件访问。除了 EFS 之外,还应该使用文件权限。如果用户获得加密密钥,就可将它们导入到自己的帐户中,然后解密文件。然而,如果拒绝该用户帐户访问这个文件,用户试图获取其中的敏感信息时就会失败。
·    使用文件权限来拒绝删除。可以删除加密文件。如果攻击者无法解密文件,则有可能选择删除该文件。攻击者不能得到其中的敏感信息,也让用户无法拥有该文件。
·    保护用户凭据。如果攻击者找到了可以进行文件解密的用户的标识和密码,攻击者就可像用户那样登录进来,读取文件。因此,保护这些凭据尤为重要。为了保护这些凭据,可以采用强密码策略,训练用户使用强密码,采用最佳实践保护这些凭据,这些都有助于防止此类攻击的发生。有关密码策略的最佳实践方法,参阅 Windows Server 2003 的 产品文档。如果帐户密码被破坏,任何人都可以使用该用户标识和密码登录进来。一旦用户登录成功,他们就可以对该用户帐户有权解密的任何文件进行解密。最佳防御方法就是采用强密码策略、用户教育以及进行全面的安全实践。
·    保护恢复代理凭据。类似地,如果攻击者可以作为恢复代理进行登录,并且恢复代理私钥没有删除掉,攻击者就可以读取文件。最佳实践就是在恢复策略中,要指示删除恢复代理密钥,将该帐户限制于只许进行恢复工作,小心保护凭据。这一节是关于恢复操作和最佳实践的,详见下列步骤。
·    找出有可能存在加密文件的明文副本或者加密文件的部分明文副本的那些区域,并进行严格管理。如果攻击者拥有或者可以访问驻留加密文件的计算机,他们就有可能从这些区域中恢复敏感数据,包括下列内容:
·    数据碎片(数据残余),在加密以前未加密过的文件之后依然存在(参见“特别操作”本文内容中有关使用 cipher.exe 进行删除的一节)
·    分页文件(参见增强打开加密文件的安全)Windows XP Professional 资源工具包中的文章,也可作为如何清除关机时的分页文件的指南和附加信息)
·    休眠文件(参见“增强打开加密文件的安全” http://www.microsoft.com/technet/prodtechnol/winxppro/reskit/prnb_efs_qyxz.asp)
·    临时文件(用来确定应用程序存放临时文件且加密这些文件夹的位置,且解决此问题
·    打印机后台打印程序文件(参见“特别操作?一节)
·    使用系统密钥提供额外的保护。使用 Syskey 可以为密码值和在本地安全机构 (LSA) 所保护的数值(如用来保护用户的主密钥加密密钥)提供额外的保护。请参阅文章使用系统密钥,即 Windows 2000 资源工具包的加密文件系统一节。Syskey 的用法、受 Syskey 保护的 Windows 2000 计算机可能遭受的攻击以及应对措施,这些内容位于文章Windows 2000 Syskey 和加密文件系统中所谓的脆弱性的分析
使用 SMB 文件共享和 WebDAV 进行加密文件的远程存储
如果用户策略要求将数据存储在文件服务器,而不是台式机系统中,用户则需要选择策略。有两种可能性可选——要么存储在文件服务器的常规共享文件夹中,要么使用 Web 文件夹。这两种方法都需要进行配置,且用户应该认识到它们各自的利弊。
·    如果将加密文件存储到远程服务器中,服务器必须按照这个目标去配置,且应该采用其他方法,如 IP 安全 (IPSec) 或者安全套接字层 (SSL),保护文件传输。有关服务器配置方面的说明,请参阅 恢复服务器中的加密文件 Q(283223) 和“如何加密远程 Windows 2000 Server 上的文件和文件夹” Q(320044).然而,后者没有提及一个重要步骤,即 Active Directory 中必须信任远程服务器,以便进行委派。事实上,可以发现许多文章都省略了这一步。如果 Active Directory 中不信任远程服务器,不进行委派,而用户希望将文件保存到远程服务器中,则结果为显示“拒绝访问”出错信息。
·    如果用户需要以明文方式将加密文件存储到远程服务器中(本地副本为密文),用户就可以实现。然而,服务器必须按照这个目标去配置。用户也应该认识到,服务器如果这样配置的话,该服务器就不可保存加密文件。请参阅文档“如何防止文件复制到服务器时被加密 Q(302093).
·    在 Windows XP 或者 Windows Server 2003中,可以在Web 文件夹中存储加密文件。Windows XP Professional 资源工具包中有一节“ Web 文件夹环境中的远程 EFS 操作”对此进行了说明。
·    如果用户的 Web 应用程序需要身份验证才能访问 Web 文件夹存储的 EFS 文件,使用 Web 文件夹存储 EFS 文件以及需要身份验证才能进行访问的这些规则详见“如何在 Internet 信息服务中使用加密文件系统 (EFS)” Q(243756)。
适用于SOHO 和小型公司的最佳实践
一旦用户了解了 EFS 的基本内容,且确定了如何使用 EFS,用户应该利用这些文档,将它们作为测定设计最佳解决方案的清单。
·    加密文件系统的最佳实践 Q(223316) 列出了多个最佳实践。
·    最佳实践:Windows 2000 资源工具包,管理流程 Windows 2000 资源工具包中 “EFS” 一节中的文章,充分阐述了必选或者可选的管理流程,包括启用恢复、禁用 EFS、恢复、配置代理策略以及查看恢复代理信息。这些都是有关管理员的最佳实践。
·    加密文件系统的最佳实践包含在 Windows 2000 Server 产品文档中。
·    本白皮书Windows XP 和 Windows Server 2003 中的加密文件系统提供许多有关不同 EFS 技术方方面面的说明,以及管理加密的有效实践。
企业须知:如何使用 PKI 实施数据恢复策略,如何使用 PKI 进行密钥恢复
默认地,EFS 证书都是自签名的,也就是说,这些证书不需要从 CA 获得证书。用户第一次加密文件时,EFS 搜索一个已存在的 EFS 证书。如没有发现,它就到域中搜索 Microsoft 企业级 CA。如果找到一个 CA,就向该 CA 发出证书请求;如果没有找到 CA,就创建自签名证书,并使用该证书。然而,如果有 CA 的话,就可对 EFS(包括 EFS 证书和 EFS 恢复)进行更加详细的控制。用户可以使用 Windows 2000 或者 Windows Server 2003 的证书服务。下列文章说明了:
·    在加密文件服务中如何使用证书颁发机构 Q(223338) 列出了使用 CA 的三个理由。
·    如何使用 Cipher.exe 使用工具,将自签名证书迁移为证书颁发机构颁发的证书 Q(295680) 说明了使用 cipher /k 命令将存档自签名证书,且向 CA 请求新的 EFS 证书。
·    用户、EFS和管理员证书 支持使用 EFS;恢复代理证书是恢复操作的必选项。
·    公钥体系 (PKI) 证书服务的实施方法,详见文章加密文件系统 (EFS) 的循序渐进指南和证书服务实施示例:密钥存档和恢复。
疑难解答
如果理解 EFS 的工作原理,EFS 的疑难解答就会变得非常简单。多个常见问题,都是由众所周知的原因引起的。下面就是几个常见问题及其解决方案:
·    用户更改用户标识和密码后,就无法再解密文件。针对这个问题有两种可行的方法,具体取决于用户。首先,如果用户帐户简单改名且密码重新设置,问题就在于用户是在使用 XP,这种反应是预期中的。当管理员重新设置 XP 用户帐户密码时,就会删除帐户和 EFS 证书以及密钥的关联信息。将密码改回为原来的密码,就可以恢复解密文件的功能。更多的信息,请参阅用户在修改密码后或者使用漫游配置文件时无法访问 EFS 加密文件 Q(331333),它解释了如果管理员修改了密码,XP Professional 加密文件为何不能解密,即使是用原来的帐户。该主题也包含在密码重置后,EFS、凭据、证书私钥就会失效 Q(290260).其次,如果帐户确实完全不同(帐户被破坏或者无意中删除),则用户要么导入用户密钥(如果以前导出过),要么请求管理员使用恢复代理密钥(如果采用的话)来恢复这些文件。恢复密钥的有关信息,详见如何在 Windows 2000 中为加密数据恢复恢复加密文件系统的私钥 Q(242296)。如何使用恢复代理来恢复文件,包含在五分钟安全顾问——使用 EFS 恢复加密数据
·    用户格式化硬盘,重装操作系统,并不能解密用户的加密文件。除非用户导出了 EFS 密钥,或者存在恢复代理并且这些密钥可用,否则,用户不能解密文件。如果拥有用户密钥或者它们的恢复代理,那么应该可以导入用户密钥,进行文件解密,或者导入恢复代理密钥(如果必需的话),恢复文件。导入密钥的方法,请参见如何在 Windows 2000 中为加密数据恢复恢复加密文件系统的私钥 Q(242296)。用户可以在 Windows 2000 中使用 esfinfo.exe 或通过查看 XP Professional 或者 Windows Server 2003 的高级文件属性确定文件的恢复代理是谁。
·    Windows XP Home 计算机中没有文件属性页的高级按钮,因此,用户不能将文件标记为加密。由于 Windows XP Home 没有 EFS,因此,它不需要解决方案。
其他一些常见问题必须解决用户为什么会遇到“拒绝访问”出错信息这类情形。(原因在于用户试图访问其他人加密的文件。)然而,到目前为止,用户遇到的最大问题就是磁盘破坏之后如何恢复 EFS 文件。EFS 的其他问题参见下列文章:
·    Windows 2000 资源工具包的 EFS 疑难解答 一节中,包含有病毒检测程序为何只能检测当前用户加密的文件的说明。
·    修复:错误文本“升级期间没有 EFS 密钥” Sqlstp.log中错误号6006 Q(299494) 解释了 SQL Server 升级时与 EFS 无关的出错信息。
·    使用漫游配置文件的用户不能在域控制器中使用 EFS Q(311513) 解释了 Windows 2000 SP3 中的修复方法。
·    打开 EFS 文件时,该文件看起来已经破坏 Q(329741) 解释了 SP1 之后的 Windows XP Professional 所用的不同加密算法,以及如果采用早期版本的操作系统来打开文件为何会出现数据看起来已经破坏或者丢失。也详述了如何使用 XP 的注册表项来控制采用哪个算法。
·    当改写配置文件时,EFS 密钥对的私钥有可能不再可用。这就是EFS 恢复代理不能导出私钥 Q(259732)的原因。
·    在生产计算机中不应该使用 Sysprep。包含EFS 有关问题的两篇文档为,Sysprep.exe 可以重新启用加密文件系统 Q(294844) 和 使用Sysprep.exe之后无法访问加密文件 Q(288348),这两篇文档详述了 Sysprep 是如何更改管理员和用户帐户的 SID 的。
·    如何在 Windows XP 中加密文件 Q(307877) 包含有用户在打开其他用户加密过的文件时会碰到的出错信息和警告信息。
·    “拒绝访问”加密或者解密文件夹时遇到的出错信息 Q(264064) 解释了如果系统属性是阻止文件解密的原因且系统属性就是问题的关键时如何删除系统属性。(请注意,无论怎样,不应该加密系统文件。此处所述的流程是针对无意中选中了系统属性的文件夹而言。)
·    加密文件可以使用 Ntbackup 来备份,且仍然为加密状态。这些文件不能还原为 FAT 或者 FAT32 卷格式。照此操作就会导致出错信息“警告:恢复目标设备。. . 恢复阶段出错信息” Q(245044)。
·    Windows 2000 中开始加密文件之后暂停登录过程 Q(269397) 说明了,如果用户对 Autoexec.bat 之类的系统文件进行加密,由于在该文件要在登录之前进行处理,因此无法解密。
·    不能在安装有多个 Windows 2000 的计算机上打开加密文件 Q(256168) 说明了,从不同的操作系统启动意味着用户是不同的用户,因此无法解密加密文件。
·    当通过标记含有多个文件和/或文件夹的文件夹为加密,或者使用 Cipher 命令来同时加密多个文件时,用户会收到 试图加密多个文件或者文件夹时的出错信息 Q(227465)。
·    出错信息“拒绝访问”当启动最近安装的应用程序时 Q(272412) 可能是临时性文件夹被加密的结果。
·    恢复服务器上的加密文件 Q(283223) 解释了,如果用来远程加密服务器上的文件的帐户没有漫游配置文件,将会生成配置文件,且创建新密钥对和证书。它意味着,这些密钥不同于本地计算机上所用的密钥。
·    无法访问 Microsoft 加密文件系统 Q(243850) 说明了强制性配置文件不能存储密钥。
·    用户更改密码之后无法访问受保护的数据 Q(322346) 说明了,当文件加密时更改密码尽管没有连接到域也会无法访问现存的原始密码。
EFS 基本知识:使用 EFS 加密数据库,且配合 Microsoft 其他产品使用 EFS
“XGEN:使用 Windows 2000 加密文件系统加密 Mdbdata 文件夹和内容 Q(233400) 说明了如何使用 EFS 来加密 Exchange Server 5.5 数据库。
保证 SQL Server 2000 的安全 说明了如何使用 EFS 来加密 SQL 数据库,只是作为一项可能的安全配置,但是没有提供具体方法也没有进行讨论。
故障恢复
用户应该规划 EFS 故障恢复,将它列为业务持续运行规划的一部分。有三个问题需要注意:
·    在 Windows 2000 网络中,使用恢复代理和存档用户以及恢复代理密钥。
·    备份加密文件应该是最佳实践的部分内容。备份系统状态也非常重要,因为它通过恢复用户配置文件(其中含有密钥),从而有可能进行恢复。
·    在使用证书服务提供 EFS 证书的 Windows 2000 网络中,以及在采用 EFS 证书和进行密钥存档的 Windows Server 2003 网络中,故障恢复规划也应该包含有证书服务的恢复规划。Windows 2000 资源工具包文章故障恢复操作提供了一些详细信息。
沧海一菜 - 2005-8-16 16:37:00
概述和大量文档     



EFS 文档主要位于产品帮助文件、资源工具包和知识库文章中。此外,也位于某些特别专栏中,如上面提到的五分钟安全小提示和一些白皮书。
下面是一些建议阅读的白皮书和一些有用的参考资料:
Windows XP 和 Windows Server 2003的加密文件系统是一个内容丰富的白皮书,它全面说明了 EFS 在这些操作系统中是如何工作的,单位中的 IT 经理和设计以及部署正式 EFS 策略的其他负责人员必须仔细阅读(这些单位在这些操作系统中使用或者将使用 EFS)。还有大量的循序渐进指南,包括屏幕照像,这些对那些使用和管理 EFS 的新手非常有用。然而,这些文档假定读者已经具备 Windows 2000 中的EFS 知识,并且对这些差异很少进行注释。对于所有读者而言,该文档中需要重点阅读的要点为:
·    导入和导出数据恢复代理密钥。
·    数据恢复——最佳实践,它介绍了集中恢复工作站的用法。这一节也介绍了 EFS 和 CA 的用法以及自动登录的用法。
·    加密离线文件。
·    关机时清除页面文件。
·    默认加密算法。
·    在 Windows XP 上重置本地密码。
·    EFS 使用 WebDAV 文件夹。
·    EFS 和系统恢复”,它介绍了使用 XP 的系统恢复功能对加密文件的影响。
·    数据恢复与密钥恢复进行对比。
Windows XP 中的数据保护和恢复在“Windows XP 和 Windows Server 2003的加密文件系统”之前发布,包含的内容都在后者里面。
“Windows 2000 的加密文件系统发布于 Windows 2000 的预发布阶段,已经完全过时。因此,这个文档中会有一些错误的信息,建议阅读产品文档、资源工具包资料和知识库文章。
加密文件系统的循序渐进指南为Windows 2000 域中实施 EFS 提供快速参考指南,包含有如何将 EFS 加密文件和 EFS 凭据恢复到另一台计算机上,以及如何设置证书服务以便使用 EFS。
证书状态和证书吊销的疑难解答说明了如何检查证书吊销列表(CRL) 以确定是否取消证书。也说明了 Windows 2000 EFS 并不进行证书吊销检查,然而 Windows XP 检查文件附加证书的状态。
Windows 2000 资源工具包包含有 EFS 的一个完整章节(第十五章),以及 EFS 许多参考资料。下面就是本文档中的一些关键内容、兴趣点和信息精华:
·    这一节“选择使用公钥技术的安全解决方案”说明了 EFS 如何使用基本 CSP 和 CryptoAPI,循序渐进地说明了 EFS 是如何工作的。
·    “如何保护加密密钥”解释了 EFS 密钥的五个保护等级。
·    “证书”说明了为了和 Windows 2000 EFS进行交互操作需要有第三方证书。
·    “EFS 疑难解答”说明了用户首次使用 EFS 时可能遇到的一些问题。
Windows XP Professional 资源工具包包含有 EFS 相关的一章,它包括 EFS 的本质概述,详述了 XP 的 EFS 具体功能:
·    “文件共享和 Web 文件夹上远程 EFS 操作”节提供了有关远程服务器上 EFS 使用用法的最详尽信息。
·    “共享文件的有关事项”指出了共享加密文件时应该考虑的一些问题。
·    “数据恢复实施的有关事项”讨论了 XP 和 Windows 2000 域中的数据恢复。也描述了不同策略的安全事项。
·    “在独立环境中配置恢复策略”说明了如何使用 cipher /R:filename 命令,以为不在域中的 XP 系统创建自签名恢复代理证书。
·    “增强密钥和文件安全”说明了数据保护 API 如何生成主密钥,以便保护用户的私钥和主密钥。
何处下载具体的 EFS 工具
可以通过单击合适的链接来下载下列具体的 EFS 工具:
Esfinfo.exe:http://www.microsoft.com/windows 2000/techinfo/reskit/tools/existing/efsinfo-o.asp.Cipher.exe:http://support.microsoft.com/default.aspx?scid=kb;zh-cn;298009
摘要     



EFS 是除了用户的信息安全工具柜的有益扩充。但是必须妥善管理和恰当应用。必须花费一些时间来培训用户和规划恢复。
沧海一菜 - 2005-8-16 16:38:00
备份加密文件系统私钥
概要
本文介绍如何备份加密文件系统 (EFS) 私钥,以便可以在计算机上的数据副本丢失时恢复加密的数据。

在使用 EFS 加密计算机上的文件时,EFS 公钥用来加密文件,而 EFS 私钥用来解密这些文件。 如果在一个文件加密后您丢失了私钥,则将无法恢复此文件。

警告: 在将私钥导出到磁盘后,须将该磁盘保存在一个安全地方。 如果有人能获取您的 EFS 私钥,则他或她就能够访问到您的加密数据。
从故障恢复代理导出私钥
1.    使用本地管理员帐户登录到计算机。备注: 必须使用内置的管理员帐户,而不只是使用一个普通的具有管理员权限的帐户。
2.    单击开始,单击运行,键入 secpol.msc,然后单击确定。
3.    单击公钥策略旁边的加号 (+) 以展开此项。
4.    单击经过加密的数据恢复代理类别。
5.    在右边的窗格中将显示一个颁发给“管理员”的证书,并说明它是用来进行“文件恢复”的。 右键单击此项,然后单击“所有任务”>“导出”。
6.    单击下一步。
7.    确保选择了“是,导出私钥”选项,然后单击下一步。
8.    在导出文件格式对话框中,如果想删除与“管理员”帐户关联的私钥,则请单击选中“如果导出成功,删除密钥”复选框。
9.    单击下一步。
10.    键入并确认一个密码以加强导出密钥的安全,然后单击下一步。
11.    系统会提示您将证书和私钥保存到一个文件中。 应将此文件备份到一个磁盘或可移动媒体设备中,然后将此备份存放在一个可在物理上确保备份安全的地方。 键入适当的文件名,然后单击下一步。
12.    当正在完成证书导出向导对话框出现时,请确认您选择的选项,然后单击完成。
13.    当“导出成功”对话框出现时,单击确定。
14.    必须重新启动计算机以完成私钥的删除过程。

疑难解答

如果您的计算机是 Windows 域的一个成员,则域管理员可能会将某些用户指定为 EFS 恢复代理,他们即使在某一特定用户的私钥丢失时也可以恢复数据。
如果您的计算机未加入 Windows 域(例如,是一台独立的计算机,或者是基于 Microsoft Windows NT 4.0 的域结构中的一台计算机),那么本地管理员帐户就是您的指定 EFS 恢复代理。 由于这一点,只有在您以前备份了本地管理员私钥的情况下,才可以恢复经过加密的数据。


这篇文章中的信息适用于:
•    Microsoft Windows XP Professional Edition
•    Microsoft Windows 2000 Advanced Server
•    Microsoft Windows 2000 Professional Edition
•    Microsoft Windows 2000 Server
沧海一菜 - 2005-8-16 16:39:00
更改密码后或使用漫游配置文件时,用户无法访问 EFS 加密文件

症状
如果用户使用加密文件系统 (EFS) 将文件加密,在他们更改密码后或者使用漫游配置文件时,可能会失去对 EFS 文件的访问权。只有在客户端用户帐户位于 Microsoft Windows NT 4.0 域中并且该用户登录到基于 Windows XP Professional 的工作站时,才会发生此问题。
原因
Windows XP 版的数据保护 API (DPAPI) 功能可保护 EFS 私钥和其他安全数据。如果用户是 Windows NT 4.0 或更早版本的域中的成员,则不支持他们使用 DPAPI 的恢复功能。
解决方案
如要在更改密码后或使用漫游配置文件时仍可保持对 EFS 文件的访问权,请将该域更新到 Active Directory。Active Directory 域提供了一种安全机制,可使用公钥/私钥对保护 DPAPI 主密钥。(DPAPI 主密钥是用来保护 EFS 私钥的。)

在 Windows NT 4.0 域中,只有在工作站上才能还原对 EFS 密钥和数据的访问权。在 Windows 2000 域中则不是这样。因为恢复机制不在工作站上,所以当工作站实际被挟制时,Windows 2000 域为 EFS 文件提供了更多的有效保护。

尽管您只需要升级单个域控制器就可以利用 DPAPI 域恢复机制,但是出于容错目的,应考虑至少升级两个域控制器。

强烈建议您在实施前对您的 Active Directory 做出计划。有关 Active Directory 设计的更多信息,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ad/windows2000/plan/bpaddsgn.asp
替代方法
警告:“注册表编辑器”使用不当可造成严重问题,这些问题可能需要重新安装操作系统。Microsoft 不保证能够解决因为“注册表编辑器”使用不当而产生的问题。使用“注册表编辑器”需要您自担风险。
若要变通解决此问题,请在客户机工作站上安装 Windows XP Service Pack 1 (SP1) 或更高版本,然后创建以下注册表项以模拟 Windows 2000 行为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb Value Name: MasterKeyLegacyNt4Domain
数值类型:REG_DWORD
数值:00000001
在您创建此项后,客户机将确定该用户是否 Windows NT 4.0 域的成员。如果是,Windows XP 客户机将模拟 Windows 2000 的行为,并且 DPAPI 将让那些改变了密码的用户能够访问到其密钥。
重要安全说明
使用此注册表项将严重降低被挟制的计算机的安全性。实际接触该计算机的攻击者将可以访问计算机上的部分或全部 EFS 加密文件。
密码更改后恢复文件
若要在更改密码后恢复某一工作站上的文件,请将密码更改为文件最后一次加密时使用的那个密码。
状态
这种现象是设计使然。
更多信息
本文“症状”部分描述的行为仅适用于那些作为 Windows NT 4.0 域成员并登录到运行 Windows XP 计算机的用户。作为工作组或 Windows 2000 Active Directory 域成员的 Windows XP Professional 客户机的行为与本文所述行为有很大差异。

有关 Windows XP 中 DPAPI 的更多信息,请访问下面的 Microsoft Web 站点:
http://msdn.microsoft.com/library/en-us/dnsecure/html/windataprotection-dpapi.asp
这篇文章中的信息适用于:
•    Microsoft Windows XP Professional Edition
沧海一菜 - 2005-8-16 16:40:00
恢复加密数据文件的方法
概要
本文介绍在对文件进行加密的用户的私钥丢失或被损坏时,用来恢复使用加密文件系统 (EFS) 加密的数据的方法。
更多信息
如果您的计算机是基于 Windows 2000 的域的成员,并且您加密文件时使用的是域用户帐户,则可以使用域的 EFS 故障恢复代理来恢复加密的文件。确定故障恢复代理的方法有两种:
•    联系您的系统管理员。
•    如果您可以访问 Microsoft Windows 2000 Resource Kit,则可以使用 Efsinfo 实用工具确定谁是给定文件或文件集的指定故障恢复代理。有关 Efsinfo 工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: 243026 使用 Efsinfo.exe 确定有关加密文件的信息
如果您的计算机不是基于 Windows 2000 的域的成员(而是独立的服务器或基于 Microsoft Windows NT 4.0 的域的成员),则您的本地内置管理员帐户可能就是计算机的所有用户的指定故障恢复代理。 在这种情况下,要想能够恢复加密信息,在密钥丢失之前您必须备份了故障恢复代理的私钥。有关使用 EFS 以及备份和还原故障恢复代理的私钥的更多信息,请查看以下 Microsoft 知识库文章:
223316 加密文件系统的最佳做法
241201 如何在 Windows 2000 中备份故障恢复代理的加密文件系统私钥
242296 如何在 Windows 2000 中还原用于加密数据恢复的加密文件系统私钥
您可以在下面的 Microsoft Web 站点中找到有关 EFS 的其他信息:
http://www.microsoft.com/WINDOWS2000/library/howitworks/security/encrypt.asp
注意:如果您无法使用有效的恢复密钥访问故障恢复代理的帐户,您将无法恢复数据。EFS 中没有解决方法。

这篇文章中的信息适用于:
•    Microsoft Windows 2000 Server
•    Microsoft Windows 2000 Advanced Server
•    Microsoft Windows 2000 Professional Edition
沧海一菜 - 2005-8-16 16:42:00
EFS 密钥导出/导入完全攻略

导出篇:使用NTFS文件系统的一个优点是“安全”,但是这种安全有时候也会造成不必要的麻烦,特别是使用Win2000/XP里面的EFS加密系统加密以后,如果你重新安装了操作系统,那么原来的被加密的文件是不可能打开的,面对你的只能够是下面的样子: 在这种情况下,做好密钥的被备份就很重要,其实,要导出/导入密钥并不困难,下面我将全程图解的告诉你如何导出/导入密钥。首先登陆任何一个账户,然后在运行里面输入MMC,点击控制台的“文件”----“添加删除管理单元”-----点“添加”-------选择“证书”----点击“添加(如果是管理员,会要求选择证书方式,选择“我的用户证书”)”----点击“关闭”----点“确定”返回控制台,操作步骤一完成。步骤2:依次展开左边的“控制台根节点”----“证书”------“个人”------“证书”------选择右边窗口中的账户----点击鼠标右键选择“所有任务--导出”,如图: 然后会出现一个说明界面: 点击“下一步”,出现是否导出私钥: 这里请选择“是,导出证书”,然后会看到: 请按照图中的选择选择,完成以后点击“下一步” 输入你要设置的密码,记住!!这个密码必须记住,否则以后你就别想导入证书了。输入完成以后点击下一步: 按浏览选择导出路径和文件名,完成以后按“下一步”,最后会看到 表示你的证书和密钥已经导出成功,而且在你选择的路径下会看到下列图标 这个图标就是密钥,千万保管好!!经过上面的操作以后我们关闭控制台(会询问是否保存,可以选择否,这里无关紧要的),密钥的导出就完成了。 导入篇:重新安装完系统以后,对于被EFS加密的文件我们是不能够打开的,这时候我们可以使用导入原来备份的密钥来使我们获得察看权限。首先要确保你导入的密钥有查看的权利,否则就是导入了也没有用的。这一点要求在导出时就要做到,另外,别忘记导出时设置的密码,还有就是最好账户也相同,不怕一万,只怕万一嘛,做好准备工作是没有坏处的。双击导出的密钥,会看到欢迎界面: 我们直接点击下一步,然后会看到要求确认路径和密钥证书,确认以后直接点击下一步: 叫你输入密码,把密码输入以后选中“标志此密钥可导出……”以确保下次能够导出,然后点击下一步: 选择存储路径,由于导出的时候我们已经选中了包含路径,所以可以直接点击下一步,如果你没有选择的话,可以自己选择,我这里就不解释了,然后看到导入界面,一直点击“下一步”直到看到提示成功: 才表示导入成功,再试试能不能查看被加密的文件了?能了吧???
沧海一菜 - 2005-8-16 16:42:00
Best Practices for Encrypting File System(加密文件系统的最佳做法)

概要
Windows 包括对使用 NTFS 文件系统的卷上的数据直接加密的功能,以便其他用户无法使用该数据。如果在对象的"属性"对话框中设置了属性,则可以对文件和文件夹进行加密。

由于加密/解密过程对用户是透明的,因此,对于要充分利用文件加密的组织来说,严格遵循文件加密准则是非常重要的。
更多信息
以下是标准做法的列表:
•    加密所有用户的"My Documents"文件夹 (User_profile\My Documents)。这将确保默认情况下加密个人文件夹(其中存储了大多数 Office 文档)。
•    告知用户一定不要加密单个文件,而是只加密文件夹。程序以各种方式对文件进行处理。始终在文件夹级别上加密文件将确保文件不会被意外地解密。
•    与恢复证书关联的私钥是极其敏感的。它们应该在物理上安全的计算机上生成,或者应该将其证书完全导出到受加强密码保护的 PFX 文件中,并存储在安全软盘上。
•    应该将恢复代理证书分配给不用于任何其他用途的特殊恢复代理帐户。
•    在更改恢复代理(应定期进行)时,不要破坏恢复证书或私钥。保留所有这些证书或私钥,直到已经用它们加密的所有文件都得到更新为止。
•    根据组织单元的大小,为每个组织单元 (OU) 指定两个或多个恢复代理帐户。指定两台或多台用于恢复的计算机,为每个指定的恢复代理帐户指定一台计算机,并赋予相应管理员使用恢复代理帐户的权限。提供两个恢复代理帐户是为了提供文件恢复冗余。在两台计算机上保存这些密钥可以提供进一步的冗余,以支持丢失数据的恢复。
•    执行恢复代理存档程序,以确保可以使用过时的恢复密钥恢复加密的文件。必须导出恢复证书和私钥,并以安全的受控方式存储它们。理想情况下,就像所有安全的数据一样,应该将档案存储在受控制的访问电子仓库中,而且应该具有以下两个档案:一个主档案和一个备份档案。主档案应保存在现场,而备份档案应位于现场之外的安全位置。
•    避免在您的打印服务器结构中使用打印假脱机文件,或者确保在加密的文件夹中生成打印假脱机文件。
•    每次用户加密和解密文件时,"加密文件系统"都会占用一些 CPU 系统开销。在许多客户端将使用 EFS 的服务器上明智地计划服务器。
有关"加密文件系统"(EFS) 的其他信息,请参阅以下 Microsoft Web 站点上的"Encrypting File System for Windows 2000"(Windows 2000 的加密文件系统):
http://www.microsoft.com/windows2000/techinfo/howitworks/security/encrypt.asp
另请参阅"Data Protection and Recovery in Windows XP"(Windows XP 中的数据保护和恢复),它包括与 Windows 2000 有关的信息:
http://www.microsoft.com/WINDOWSXP/pro/techinfo/administration/recovery/default.asp
这篇文章中的信息适用于:
•    Microsoft Windows 2000 Server
•    Microsoft Windows 2000 Advanced Server
•    Microsoft Windows 2000 Professional Edition
•    Microsoft Windows 2000 Datacenter Server
沧海一菜 - 2005-8-16 16:44:00
如何使用 Windows 2000 中的 EFS 来加密数据
概要
本文介绍在 Windows 2000 中如何使用加密文件系统 (EFS) 加密数据。 加密文件系统 (EFS) 是 Microsoft 用来在使用 NTFS 文件系统的卷上直接加密数据的文件加密技术。您可以像使用非加密数据那样使用加密的数据。另外,您可以为加密的数据配置权限,以防止未经授权的使用。没有正确权限的人若试图打开、复制、移动或重命名加密的文件或文件夹,就会收到一条“访问遭拒”错误消息。 
加密数据
1.    右键单击开始按钮,单击浏览,然后浏览到想要加密的文件或文件夹。
2.    右键单击所需的文件或文件夹,然后单击属性。
3.    单击高级,然后单击选中加密内容以便保护数据复选框,然后单击确定。
4.    对于要加密的每个文件或文件夹重复执行步骤 2-3。
备注:如果您加密一个文件夹,则该文件夹中包含的所有文件和文件夹都将得到加密。 
使用 Cipher.exe 工具
您可以使用 Cipher.exe 工具在 MS-DOS 命令提示符下显示或加密数据。如想使用 Cipher.exe 工具加密一个文件,请在 MS-DOS 命令提示符下键入类似于下行的命令:
cipher [/E | /D] [/S:dir] [/F] [/Q] [dirname [...]]
下表中定义了每一个命令行参数开关。如想在 MS-DOS 命令提示符下查看此信息,请在 MS-DOS 命令提示符下键入 cipher /?。
参数开关    说明
/E    加密指定的目录。将标记这些目录,这样以后添加的文件将被加密。
/D    解密指定的目录。将标记这些目录,这样以后添加的文件将不加密。
/S    对给定目录中的目录和所有子目录执行指定的操作。
/I    即使在发生错误后也继续执行指定的操作。默认情况下,CIPHER 在遇到错误时会停下。
/F    强制对所有指定的目录执行加密操作,甚至包括那些已加密的目录。已加密的目录在默认情况下将被跳过。
/Q    只报告最重要的信息。
dirname    指定一种模式,或指定目录。
在不使用参数时,CIPHER 将显示当前目录及其包含的所有文件的加密状态。您可以使用多个目录名和通配符。多个参数之间必须留有空格。
备注:EFS 对于使用了 System 属性的文件不起作用。如果您加密 Windows 系统文件,则您的计算机可能会变得无法使用。另外要注意,EFS 不能用于压缩的文件或文件夹。Cipher.exe 这一命令行实用工具还有其他一些参数开关可用,如想查看它们,请使用 cipher /? 命令。

这篇文章中的信息适用于:
•    Microsoft Windows 2000 Advanced Server
•    Microsoft Windows 2000 Professional Edition
•    Microsoft Windows 2000 Server
如何使用 Windows 2000 中的 EFS 来加密数据
概要
本文介绍在 Windows 2000 中如何使用加密文件系统 (EFS) 加密数据。 加密文件系统 (EFS) 是 Microsoft 用来在使用 NTFS 文件系统的卷上直接加密数据的文件加密技术。您可以像使用非加密数据那样使用加密的数据。另外,您可以为加密的数据配置权限,以防止未经授权的使用。没有正确权限的人若试图打开、复制、移动或重命名加密的文件或文件夹,就会收到一条“访问遭拒”错误消息。 
加密数据
1.    右键单击开始按钮,单击浏览,然后浏览到想要加密的文件或文件夹。
2.    右键单击所需的文件或文件夹,然后单击属性。
3.    单击高级,然后单击选中加密内容以便保护数据复选框,然后单击确定。
4.    对于要加密的每个文件或文件夹重复执行步骤 2-3。
备注:如果您加密一个文件夹,则该文件夹中包含的所有文件和文件夹都将得到加密。 
使用 Cipher.exe 工具
您可以使用 Cipher.exe 工具在 MS-DOS 命令提示符下显示或加密数据。如想使用 Cipher.exe 工具加密一个文件,请在 MS-DOS 命令提示符下键入类似于下行的命令:
cipher [/E | /D] [/S:dir] [/F] [/Q] [dirname [...]]
下表中定义了每一个命令行参数开关。如想在 MS-DOS 命令提示符下查看此信息,请在 MS-DOS 命令提示符下键入 cipher /?。
参数开关    说明
/E    加密指定的目录。将标记这些目录,这样以后添加的文件将被加密。
/D    解密指定的目录。将标记这些目录,这样以后添加的文件将不加密。
/S    对给定目录中的目录和所有子目录执行指定的操作。
/I    即使在发生错误后也继续执行指定的操作。默认情况下,CIPHER 在遇到错误时会停下。
/F    强制对所有指定的目录执行加密操作,甚至包括那些已加密的目录。已加密的目录在默认情况下将被跳过。
/Q    只报告最重要的信息。
dirname    指定一种模式,或指定目录。
在不使用参数时,CIPHER 将显示当前目录及其包含的所有文件的加密状态。您可以使用多个目录名和通配符。多个参数之间必须留有空格。
备注:EFS 对于使用了 System 属性的文件不起作用。如果您加密 Windows 系统文件,则您的计算机可能会变得无法使用。另外要注意,EFS 不能用于压缩的文件或文件夹。Cipher.exe 这一命令行实用工具还有其他一些参数开关可用,如想查看它们,请使用 cipher /? 命令。

这篇文章中的信息适用于:
•    Microsoft Windows 2000 Advanced Server
•    Microsoft Windows 2000 Professional Edition
•    Microsoft Windows 2000 Server
沧海一菜 - 2005-8-16 16:45:00
如何在 Windows XP 中加密文件
概要
本文介绍了如何使用 Windows XP 的加密文件系统(EFS)功能将文件以加密格式存储在硬盘上。

加密是将数据转换为其他人无法读取的格式的过程。 如果数据存储在硬盘上,您可以使用 EFS 自动加密数据。 备注:管理员可以恢复由另一用户加密的数据。

Microsoft Windows XP Home Edition 没有 EFS 功能。


如何加密文件
您只能对格式化为 NTFS 文件系统的卷上的文件进行加密。 要加密文件,请按照以下步骤操作:
1.    单击开始,指向所有程序,指向附件,然后单击 Windows 资源管理器。
2.    找到您希望加密的文件,右键单击该文件,然后单击属性。
3.    在常规选项卡上,单击高级。
4.    在“压缩或加密属性”下,选中“加密内容以便保护数据”复选框,然后单击确定。
5.    单击确定。 如果需要加密的文件位于未加密的文件夹中,则会出现一个加密警告对话框。请使用以下步骤之一: •    如果您只希望对文件加密,单击“只加密文件”,然后单击确认。
•    如果您希望对文件和该文件所在的文件夹加密,单击“加密文件及其父文件夹”,然后单击确定。

如果另一用户试图打开已加密的文件,此尝试将失败。 例如,如果另一用户试图打开一个已加密的 Microsoft Word 文档,则会出现类似的下列消息:
Word 无法打开此文档: 用户名 无访问权限
( 驱动器:\文件名.doc)
如果另一用户试图将加密的文件复制或移动到硬盘上的另一位置,将出现下列消息:
复制文件或文件夹时出错
无法复制文件名 :访问被拒绝。
请确定磁盘未满或未被写保护而且文件未被使用。

疑难解答
•    您无法对使用 FAT 文件系统的卷上的文件或文件夹进行加密。 您必须将您要加密的文件或文件夹存储在 NTFS 卷上。
•    您无法将已加密的文件或文件夹存储在未受信委派的远程服务器上。 要解决此问题,请将远程服务器配置为受信委派。为此: 1.    以管理员权限帐户登录到域控制器。
2.    启动 Active Directory 用户和计算机管理单元。
3.    在左窗格中,扩展域容器。 找到您的目标服务器,右键单击该服务器,然后单击属性。
4.    在常规选项卡上,选中“信任此计算机作为委派”复选框(如果此复选框尚未被选中)。 出现的“Active Directory”消息时,单击确定。
5.    单击确定,然后退出 Active Directory 用户和计算机。

•    您无法从 Macintosh 客户计算机访问已加密的文件。
•    您无法在您所创建的加密文件夹中打开其他用户存储的文档。 如果另一用户在已加密的文件夹中创建文档,该文档(默认情况下)被加密为仅有此用户有权访问该文档。 因此,您所加密的文件夹中可能包含您无法打开的文件。 如果您需要访问这些文件,请求将您的用户帐户添加到共享加密文件的用户帐户列表中。



这篇文章中的信息适用于:
•    Microsoft Windows XP Professional Edition

如何在 Windows XP 中加密文件
概要
本文介绍了如何使用 Windows XP 的加密文件系统(EFS)功能将文件以加密格式存储在硬盘上。

加密是将数据转换为其他人无法读取的格式的过程。 如果数据存储在硬盘上,您可以使用 EFS 自动加密数据。 备注:管理员可以恢复由另一用户加密的数据。

Microsoft Windows XP Home Edition 没有 EFS 功能。


如何加密文件
您只能对格式化为 NTFS 文件系统的卷上的文件进行加密。 要加密文件,请按照以下步骤操作:
1.    单击开始,指向所有程序,指向附件,然后单击 Windows 资源管理器。
2.    找到您希望加密的文件,右键单击该文件,然后单击属性。
3.    在常规选项卡上,单击高级。
4.    在“压缩或加密属性”下,选中“加密内容以便保护数据”复选框,然后单击确定。
5.    单击确定。 如果需要加密的文件位于未加密的文件夹中,则会出现一个加密警告对话框。请使用以下步骤之一: •    如果您只希望对文件加密,单击“只加密文件”,然后单击确认。
•    如果您希望对文件和该文件所在的文件夹加密,单击“加密文件及其父文件夹”,然后单击确定。

如果另一用户试图打开已加密的文件,此尝试将失败。 例如,如果另一用户试图打开一个已加密的 Microsoft Word 文档,则会出现类似的下列消息:
Word 无法打开此文档: 用户名 无访问权限
( 驱动器:\文件名.doc)
如果另一用户试图将加密的文件复制或移动到硬盘上的另一位置,将出现下列消息:
复制文件或文件夹时出错
无法复制文件名 :访问被拒绝。
请确定磁盘未满或未被写保护而且文件未被使用。

疑难解答
•    您无法对使用 FAT 文件系统的卷上的文件或文件夹进行加密。 您必须将您要加密的文件或文件夹存储在 NTFS 卷上。
•    您无法将已加密的文件或文件夹存储在未受信委派的远程服务器上。 要解决此问题,请将远程服务器配置为受信委派。为此: 1.    以管理员权限帐户登录到域控制器。
2.    启动 Active Directory 用户和计算机管理单元。
3.    在左窗格中,扩展域容器。 找到您的目标服务器,右键单击该服务器,然后单击属性。
4.    在常规选项卡上,选中“信任此计算机作为委派”复选框(如果此复选框尚未被选中)。 出现的“Active Directory”消息时,单击确定。
5.    单击确定,然后退出 Active Directory 用户和计算机。

•    您无法从 Macintosh 客户计算机访问已加密的文件。
•    您无法在您所创建的加密文件夹中打开其他用户存储的文档。 如果另一用户在已加密的文件夹中创建文档,该文档(默认情况下)被加密为仅有此用户有权访问该文档。 因此,您所加密的文件夹中可能包含您无法打开的文件。 如果您需要访问这些文件,请求将您的用户帐户添加到共享加密文件的用户帐户列表中。



这篇文章中的信息适用于:
•    Microsoft Windows XP Professional Edition

沧海一菜 - 2005-8-16 16:47:00
在 Windows XP 中加密文件夹
概要
本文介绍如何使用加密文件系统 (EFS) 加密文件夹。

加密是将数据转换为其他人无法读取的格式的过程。如果数据存储在硬盘上,您可以使用 Windows XP 中的 EFS 自动加密数据。

Microsoft Windows XP Home Edition 没有 EFS 功能。

返回页首
如何加密文件夹
备注:您只能在使用 NTFS 文件系统的卷上加密文件和文件夹。
1.    单击开始,指向所有程序,指向附件,然后单击 Windows 资源管理器。
2.    找到并右键单击所需的文件夹,然后单击属性。
3.    在常规选项卡上,单击高级。
4.    在“压缩或加密属性”下,选中“加密内容以便保护数据”复选框,然后单击确定。
5.    单击确定。
6.    在出现的确认属性更改对话框中,执行下列步骤之一: •    如果您仅需要加密文件夹,则请单击“将更改仅应用于此文件夹”,然后单击确定。
•    如果您想加密现有文件夹内容和此文件夹,请单击“将更改应用于此文件夹、子文件夹及文件”,然后单击确定。

此文件夹于是就成了加密的文件夹。您在此文件夹中创建的新文件将自动加密。注意,这不能防止他人查看此文件夹的内容。它可以防止其他人打开加密文件夹中的项目。例如,如果另一用户尝试打开一个在此加密文件夹中创建的 Microsoft Word 文档,将出现下面的消息:
Word cannot open the document:Username does not have access privileges
(drive:\filename.doc)
如果另一用户尝试将加密文件夹中的文档复制或移动到硬盘上的另一位置,将出现下面的消息:
Error Copying File or Folder

Cannot copy Filename:Access is denied.

Make sure the disk is not full or write-protected
and that the file is not currently in use.
返回页首
疑难解答
•    您无法对使用 FAT 文件系统的卷上的文件或文件夹进行加密。为解决此问题,请将您要加密的文件或文件夹存储在 NTFS 卷上。
•    您无法将已加密的文件或文件夹存储在不“受信任委派”的远程服务器上。要解决此问题,请将远程服务器配置为受信任委派。为此,请按下列步骤操作。 备注:要做到这一点,您必须具有管理员权限。 1.    登录到域控制器。
2.    启动“Active Directory 用户和计算机”管理单元。
3.    在控制台树中,展开域容器。找到并右键单击需要的服务器,然后单击属性。
4.    在常规选项卡上,选中“信任计算机作为委派”复选框(如果此复选框尚未选中)。出现“Active Directory”消息时,单击确定。
5.    单击确定,然后退出“Active Directory 用户和计算机”。

•    您无法从 Macintosh 客户机访问已加密的文件。
•    您无法在您创建的加密文件夹中打开其他用户存储的文档。如果另一用户在已加密的文件夹中创建文档,该文档将被加密,仅允许(默认情况下)此用户访问该文档。因此,您加密的文件夹中以后可能会包含您无法打开的文件。如果您需要访问这些文件,请要求将您的用户帐户添加到共享这些加密文件的用户的列表中。



这篇文章中的信息适用于:
•    Microsoft Windows XP Professional Edition
沧海一菜 - 2005-8-16 16:47:00
如何共享访问 Windows XP 中的加密文件
概要
本文介绍如何共享访问使用 Microsoft Windows XP 加密文件系统 (EFS) 存储的文件。加密是将数据转换为其他人无法读取的格式的过程。如果数据存储在硬盘上,您可以使用 Windows XP 的 EFS 自动加密数据。

如何共享访问加密文件
注意:只有管理员组的成员或者是加密该文件的用户才能向该文件添加用户。如果未得到向加密文件添加用户的授权,您将会收到以下错误信息:
EFSADU
Error in adding new user(s).Error code 5.
您可以保留文件加密的安全性,同时允许特定用户访问您的加密文件。要允许访问您的加密文件,请执行下列操作:
1.    右键单击加密文件,然后单击属性。
2.    单击常规选项卡(如果尚未选中),然后单击高级。
3.    单击详细信息,然后单击添加。
4.    选择您要与其共享访问加密文件的用户,然后单击确定。
5.    添加完用户后,请单击三次确定。
疑难解答
•    无法从 Macintosh 客户端访问加密文件。
•    您可能无法打开其他用户在您的加密文件夹中存储的文档。如果某个用户在加密的文件夹中创建文档,则只有创建该文档的用户才能打开它,除非该用户授予其他用户访问权限。因此,您加密的文件夹中以后可能会包含您无法打开的文件。如果需要访问这些文件,请让这些文件的创建者将您的用户帐户添加到可以共享加密文件的用户列表中。
•    EFS 文档指出,被授予 EFS 加密文件的共享访问权限的用户还必须具有对该文件的“NTFS 写”权限才能进行编辑。但是,如果该文件是 Microsoft Office 文档,则用户必须具有对该文件的“修改”权限才能编辑文档。“修改”权限包括“写”权限。
这篇文章中的信息适用于:
•    Microsoft Windows XP Professional Edition
沧海一菜 - 2005-8-16 16:48:00
在 Windows XP 中删除文件加密
概要
本文介绍如何解密在 Windows XP 中使用加密文件系统 (EFS) 加密的文件。

加密是将数据转换为其他人无法读取的格式的过程。如果数据存储在硬盘上,您可以使用 EFS 自动加密数据。

备注:只有加密文件的用户才能恢复已加密的数据,除非用户在加密文件前指定了恢复代理。为确保您能够在未来解密文件,您每次都应导出您的证书和私钥,并将其保存在一个安全的位置。有关如何做到这一点的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中相应的文章:
241201 HOW TO:在 Windows 2000 中备份加密文件系统私钥


如删除文件加密
仅下列人员可以解密经加密的文件。
•    加密文件的用户
•    在文件加密前被指派为恢复代理的任何用户
•    具有恢复代理的公钥或私钥的任何用户或最初加密文件的用户
•    任何已被授予此文件访问权的用户
有关如何授予对加密文件的访问权的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
308991 HOW TO:Share Access to an Encrypted File
Administrators 组成员不能解密文件,除非加密文件的人在加密文件前将他们指派为恢复代理。

备注:您必须是该文件的原始加密者或指定的恢复代理,才可以使用下列步骤。如果您未得到删除加密的授权,您将收到以下错误消息:
Error Applying Attributes
An error occurred applying attributes to the file:

Path:\Filename

Access is denied
如要删除一个文件的加密,请:
1.    使用 Windows 资源管理器浏览到您希望解密的加密文件的位置。
2.    右键单击加密的文件,然后单击属性。
3.    在常规选项卡上,单击高级。
4.    单击以清除“加密内容以便保护数据”复选框,单击确定,然后再次单击确定。
如何删除文件夹加密
备注:您必须是该文件的原始加密者或指定的恢复代理,才可使用下列步骤。如果您未得到删除加密的授权,您将收到以下错误消息:
Error Applying Attributes
An error occurred applying attributes to the file:

Path:\Filename

Access is denied
1.    使用 Windows 资源管理器浏览到您希望解密的加密文件夹的位置。
2.    右键单击该文件夹,然后单击属性。
3.    在常规选项卡上,单击高级。
4.    单击以清除“加密内容以便保护数据”复选框,单击确定,然后再次单击确定。
5.    在提示您确认属性更改时: •    如果您仅需要解密文件夹,则请单击“将更改仅应用于此文件夹”,然后单击确定。
•    如果您想解密此文件夹及其内容,请单击“将更改应用于此文件夹、子文件夹及文件”,然后单击确定。




这篇文章中的信息适用于:
•    Microsoft Windows XP Professional Edition
沧海一菜 - 2005-8-16 16:49:00
如何为非域成员计算机创建并使用密码重设盘
概要
本文介绍了如何为作为工作组一部分的计算机,或者为未与网络连接的计算机,创建和使用密码重设盘。如果您忘记了密码,可以使用密码重设盘来访问您的 Microsoft Windows XP 计算机。

有关如何为域成员计算机创建密码重设盘的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
306214 如何为域中的计算机创建和使用密码重设盘
back to the top
如何创建密码重设盘
注意,下列过程需要一张空白的、经过格式化的软盘。要为您的本地用户帐户创建密码重设盘,可使用下列方法之一。

back to the top
使用计算机管理员帐户
如果您使用管理员帐户登录到计算机,请按照下列步骤为一个用户帐户创建密码重设盘:
1.    单击开始,然后单击控制面板。
2.    在控制面板中,单击用户帐户。
3.    在用户帐户窗格中,单击您想使用的帐户。
4.    在相关任务下,单击“阻止一个已忘记的密码”以启动“忘记密码向导”,然后单击下一步。
5.    将一张空白的、已格式化的磁盘插入到驱动器 A 中,然后单击下一步。
6.    在“当前用户帐户密码”框中,键入您在第 3 步中选择的用户帐户的密码,然后单击下一步。备注: 如果此用户帐户没有密码,请不要在“当前用户帐户密码”框中键入密码。“忘记密码向导”将开始创建密码重设盘。
7.    当进度栏达到“100% 完成”时,单击下一步,然后单击完成。
8.    取出密码重设盘并给它贴上标签。将该软盘放到一个安全的地方。
使用受限制的帐户
如果您使用受限制的帐户登录到计算机,请按照下列步骤为您的用户帐户创建密码重设盘:
1.    单击开始,然后单击控制面板。
2.    在“选择一个类别”下单击用户帐户。
3.    在相关任务下,单击“阻止一个已忘记的密码”以启动“忘记密码向导”。
4.    单击下一步。
5.    将一张空白的、已格式化的磁盘插入到驱动器 A 中,然后单击下一步。
6.    在“当前用户帐户密码”框中,键入您的密码,然后单击下一步。备注: 如果您的用户帐户没有密码,请不要在“当前用户帐户密码”框中键入密码。“忘记密码向导”将开始创建密码重设盘。
7.    当进度栏达到“100% 完成”时,单击下一步,然后单击完成。
8.    取出密码重设盘并给它贴上标签。将该软盘放到一个安全的地方。
如何使用密码重设盘登录到计算机
如果您忘记了密码,则可以使用一个新的密码登录到该计算机上,此密码就是您使用“重设密码向导”和密码重设盘创建的那一密码:
1.    在 Windows XP 登录屏幕中,单击您想使用的用户名称。“请键入您的密码”框出现。按下 ENTER 键,或者单击右箭头按钮。将出现以下错误消息: Did you forget your password?You can click the "?" button to see your password hint.Or you can use your password reset disk.Please type your password again.Be sure to use the correct uppercase and lowercase letters.
2.    单击使用密码重设磁盘。“重设密码向导”即会启动。“重设密码向导”使您能够为您的用户帐户创建一个新的密码。
3.    单击下一步。
4.    将密码重设盘插入到驱动器 A 中,然后单击下一步。
5.    在“键入新密码”框中键入新密码。
6.    在“再次输入密码以确认”框中,键入同一密码。
7.    在“输入一个密码提示”框中,键入一个提示,以备忘记新密码时提示您回忆密码。备注: 任何使用您的帐户尝试登录到计算机的人都能看到此提示。
8.    单击下一步,然后单击完成。“重设密码向导”退出,您又回到了 Windows XP 登录屏幕。备注: 密码重设盘将用新的密码信息自动更新。您不必再创建新的密码重设盘。
9.    将您的新密码键入到“请键入您的密码”框中,然后单击右箭头按钮,登录到计算机。
疑难解答
•    密码重设盘不能用来重设另一台计算机上的密码。您创建的密码重设盘只能用在创建它时所用的计算机上。例如,如果您有两台具有相同用户名和密码的 Windows XP 计算机,那么您在第一台计算机上创建的密码重设盘不能用来重设第二台计算机上的密码。
•    密码重设盘中包含一些敏感信息。其他人可以使用密码重设盘访问您的计算机。因此,将此磁盘存放在安全可靠的地方非常重要。
   

这篇文章中的信息适用于:
•    Microsoft Windows XP Professional Edition
•    Microsoft Windows XP Home Edition
如何为非域成员计算机创建并使用密码重设盘
概要
本文介绍了如何为作为工作组一部分的计算机,或者为未与网络连接的计算机,创建和使用密码重设盘。如果您忘记了密码,可以使用密码重设盘来访问您的 Microsoft Windows XP 计算机。

有关如何为域成员计算机创建密码重设盘的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
306214 如何为域中的计算机创建和使用密码重设盘
back to the top
如何创建密码重设盘
注意,下列过程需要一张空白的、经过格式化的软盘。要为您的本地用户帐户创建密码重设盘,可使用下列方法之一。

back to the top
使用计算机管理员帐户
如果您使用管理员帐户登录到计算机,请按照下列步骤为一个用户帐户创建密码重设盘:
1.    单击开始,然后单击控制面板。
2.    在控制面板中,单击用户帐户。
3.    在用户帐户窗格中,单击您想使用的帐户。
4.    在相关任务下,单击“阻止一个已忘记的密码”以启动“忘记密码向导”,然后单击下一步。
5.    将一张空白的、已格式化的磁盘插入到驱动器 A 中,然后单击下一步。
6.    在“当前用户帐户密码”框中,键入您在第 3 步中选择的用户帐户的密码,然后单击下一步。备注: 如果此用户帐户没有密码,请不要在“当前用户帐户密码”框中键入密码。“忘记密码向导”将开始创建密码重设盘。
7.    当进度栏达到“100% 完成”时,单击下一步,然后单击完成。
8.    取出密码重设盘并给它贴上标签。将该软盘放到一个安全的地方。
使用受限制的帐户
如果您使用受限制的帐户登录到计算机,请按照下列步骤为您的用户帐户创建密码重设盘:
1.    单击开始,然后单击控制面板。
2.    在“选择一个类别”下单击用户帐户。
3.    在相关任务下,单击“阻止一个已忘记的密码”以启动“忘记密码向导”。
4.    单击下一步。
5.    将一张空白的、已格式化的磁盘插入到驱动器 A 中,然后单击下一步。
6.    在“当前用户帐户密码”框中,键入您的密码,然后单击下一步。备注: 如果您的用户帐户没有密码,请不要在“当前用户帐户密码”框中键入密码。“忘记密码向导”将开始创建密码重设盘。
7.    当进度栏达到“100% 完成”时,单击下一步,然后单击完成。
8.    取出密码重设盘并给它贴上标签。将该软盘放到一个安全的地方。
如何使用密码重设盘登录到计算机
如果您忘记了密码,则可以使用一个新的密码登录到该计算机上,此密码就是您使用“重设密码向导”和密码重设盘创建的那一密码:
1.    在 Windows XP 登录屏幕中,单击您想使用的用户名称。“请键入您的密码”框出现。按下 ENTER 键,或者单击右箭头按钮。将出现以下错误消息: Did you forget your password?You can click the "?" button to see your password hint.Or you can use your password reset disk.Please type your password again.Be sure to use the correct uppercase and lowercase letters.
2.    单击使用密码重设磁盘。“重设密码向导”即会启动。“重设密码向导”使您能够为您的用户帐户创建一个新的密码。
3.    单击下一步。
4.    将密码重设盘插入到驱动器 A 中,然后单击下一步。
5.    在“键入新密码”框中键入新密码。
6.    在“再次输入密码以确认”框中,键入同一密码。
7.    在“输入一个密码提示”框中,键入一个提示,以备忘记新密码时提示您回忆密码。备注: 任何使用您的帐户尝试登录到计算机的人都能看到此提示。
8.    单击下一步,然后单击完成。“重设密码向导”退出,您又回到了 Windows XP 登录屏幕。备注: 密码重设盘将用新的密码信息自动更新。您不必再创建新的密码重设盘。
9.    将您的新密码键入到“请键入您的密码”框中,然后单击右箭头按钮,登录到计算机。
疑难解答
•    密码重设盘不能用来重设另一台计算机上的密码。您创建的密码重设盘只能用在创建它时所用的计算机上。例如,如果您有两台具有相同用户名和密码的 Windows XP 计算机,那么您在第一台计算机上创建的密码重设盘不能用来重设第二台计算机上的密码。
•    密码重设盘中包含一些敏感信息。其他人可以使用密码重设盘访问您的计算机。因此,将此磁盘存放在安全可靠的地方非常重要。
   

这篇文章中的信息适用于:
•    Microsoft Windows XP Professional Edition
•    Microsoft Windows XP Home Edition
沧海一菜 - 2005-8-16 16:52:00


祝各位辛苦看完帖的好运~!
1
查看完整版本: 【原创】【分享】【整理】关于EFS数据加密偶搜集整理的几篇文章