加密文件系统
Windows 2000 加密文件系统 (EFS) 让用户能够在本地计算机上给指定文件或文件夹加密,为本地存储的数据添加保护。EFS 自动为正在使用的文件加密并在文件存储时再次加密。除了为文件加密的用户和有
EFS 恢复证书的管理员,其他人都无法读取这些文件。由于加密机制已经内置在文件系统中,它的操作对用户是透明的而且很难攻击。
EFS
对保护可能被盗的计算机如膝上型电脑上的数据尤为有用。可在膝上型电脑上配置 EFS 以确保用户文档文件夹内的商业信息都已加密。即使有人想绕过 EFS
并试图使用低级磁盘工具读取信息,加密也能保护信息。
EFS 的主要目的在于保护本地 NTFS
文件系统磁盘上的用户文件。如果您离开这个模型(远程驱动器、多个用户、编辑已加密文件),还应了解许多例外情况和特殊条件。
EFS
工作原理
EFS 使用对每个文件都是唯一的对称加密密钥为文件加密。然后使用来自文件所有者 EFS
证书的公钥为加密密钥加密。由于文件所有者是唯一能够访问私钥的人,他也是唯一能为密钥、继而为文件解密的人。
使用管理员 EFS
文件恢复证书的公钥也能为初始加密密钥加密。这个证书的私钥可用来在紧急情况下恢复文件。建议单位建立恢复代理。
即使通过网络或计算机丢失造成文件被盗,如果不能先作为适当的用户登陆网络,文件也无法解密。既然无法读取文件,也就无法对其进行秘密修改。EFS
解决的是数据保密策略方面的问题。
实现 EFS 的先决条件
要实现 EFS,公钥基础结构必须到位,而且必须至少有一位管理员拥有
EFS 数据恢复证书,这样才能在文件原作者出现问题时为文件解密。文件作者必须有 EFS 证书。要加密的文件和文件夹必须存储在 Windows 2000 中的
NTFS 版本上。
如何实现 EFS
打开Windows
资源管理器,右击一个文件夹或文件。选择“属性”。在“常规”选项卡上,单击“高级”。然后选择“内容加密为安全数据”复选框。到清除复选框为止,该文件或选定文件夹中的所有文件内容现在都已加密。
EFS 的注意事项
只有 Windows 2000 使用的 NTFS 版本支持 EFS,EFS
不能与其它任何文件系统一起工作,包括以前的 NTFS 版本。
EFS
可用于在共享服务器上安全存储敏感数据,允许正常数据管理(备份)。服务器必须得到很好的保护,而且必须进行“受信委派”。给文件加密和解密时,EFS 服务“模拟”
EFS 用户并代表他们进行其它网络连接。
EFS 使用数据恢复策略让得到授权的数据恢复代理为已加密文件解密。EFS
至少需要一个恢复代理。如果用户离开单位或将加密凭据丢失,恢复代理可以使用 EFS 恢复已加密文件。您需要规划部署 PKI 组件,为 EFS
数据恢复颁发一个或多个证书。这些证书需要脱机安全存储,防止损坏。EFS 可以为 EFS 用户和 EFS 恢复代理生成自己的证书。按照默认方式,EFS
向域管理员帐户颁发 EFS 恢复证书,使其作为域的恢复代理。对于没有加入域的单独计算机,EFS 给本地管理员用户帐户颁发 EFS
恢复证书作为该计算机的恢复代理。很多单位可能希望指定其它 EFS 恢复代理集中管理 EFS
恢复程序。例如,您可以为计算机组创建部门,为特定部门指定特定恢复代理帐户对 EFS 恢复进行管理。
您可以部署 Microsoft 证书服务,为
EFS 恢复代理和 EFS 用户颁发证书。如果有联机证书服务,EFS 使用证书服务生成 EFS 证书。
注意由于群集服务不支持共享存储上的重新分列点,如果文件服务器实际上是一个 Windows 群集,就不能使用 EFS。
网络安全部署规划应包含 EFS 策略和 EFS 恢复。EFS 策略可能包含下列信息。
· 膝上型电脑和其它计算机的文件系统策略。
· EFS 恢复代理。
· 推荐的 EFS 恢复步骤。
· 推荐的 EFS 恢复代理私钥管理和存档步骤。
· 支持 EFS
恢复证书所需的证书服务。
对保护可能被盗的计算机如膝上型电脑上的数据尤为有用。可在膝上型电脑上配置 EFS 以确保用户文档文件夹内的商业信息都已加密。即使有人想绕过 EFS
并试图使用低级磁盘工具读取信息,加密也能保护信息。
EFS 的主要目的在于保护本地 NTFS
文件系统磁盘上的用户文件。如果您离开这个模型(远程驱动器、多个用户、编辑已加密文件),还应了解许多例外情况和特殊条件。
EFS
工作原理
EFS 使用对每个文件都是唯一的对称加密密钥为文件加密。然后使用来自文件所有者 EFS
证书的公钥为加密密钥加密。由于文件所有者是唯一能够访问私钥的人,他也是唯一能为密钥、继而为文件解密的人。
使用管理员 EFS
文件恢复证书的公钥也能为初始加密密钥加密。这个证书的私钥可用来在紧急情况下恢复文件。建议单位建立恢复代理。
即使通过网络或计算机丢失造成文件被盗,如果不能先作为适当的用户登陆网络,文件也无法解密。既然无法读取文件,也就无法对其进行秘密修改。EFS
解决的是数据保密策略方面的问题。
实现 EFS 的先决条件
要实现 EFS,公钥基础结构必须到位,而且必须至少有一位管理员拥有
EFS 数据恢复证书,这样才能在文件原作者出现问题时为文件解密。文件作者必须有 EFS 证书。要加密的文件和文件夹必须存储在 Windows 2000 中的
NTFS 版本上。
如何实现 EFS
打开Windows
资源管理器,右击一个文件夹或文件。选择“属性”。在“常规”选项卡上,单击“高级”。然后选择“内容加密为安全数据”复选框。到清除复选框为止,该文件或选定文件夹中的所有文件内容现在都已加密。
EFS 的注意事项
只有 Windows 2000 使用的 NTFS 版本支持 EFS,EFS
不能与其它任何文件系统一起工作,包括以前的 NTFS 版本。
EFS
可用于在共享服务器上安全存储敏感数据,允许正常数据管理(备份)。服务器必须得到很好的保护,而且必须进行“受信委派”。给文件加密和解密时,EFS 服务“模拟”
EFS 用户并代表他们进行其它网络连接。
EFS 使用数据恢复策略让得到授权的数据恢复代理为已加密文件解密。EFS
至少需要一个恢复代理。如果用户离开单位或将加密凭据丢失,恢复代理可以使用 EFS 恢复已加密文件。您需要规划部署 PKI 组件,为 EFS
数据恢复颁发一个或多个证书。这些证书需要脱机安全存储,防止损坏。EFS 可以为 EFS 用户和 EFS 恢复代理生成自己的证书。按照默认方式,EFS
向域管理员帐户颁发 EFS 恢复证书,使其作为域的恢复代理。对于没有加入域的单独计算机,EFS 给本地管理员用户帐户颁发 EFS
恢复证书作为该计算机的恢复代理。很多单位可能希望指定其它 EFS 恢复代理集中管理 EFS
恢复程序。例如,您可以为计算机组创建部门,为特定部门指定特定恢复代理帐户对 EFS 恢复进行管理。
您可以部署 Microsoft 证书服务,为
EFS 恢复代理和 EFS 用户颁发证书。如果有联机证书服务,EFS 使用证书服务生成 EFS 证书。
注意由于群集服务不支持共享存储上的重新分列点,如果文件服务器实际上是一个 Windows 群集,就不能使用 EFS。
网络安全部署规划应包含 EFS 策略和 EFS 恢复。EFS 策略可能包含下列信息。
· 膝上型电脑和其它计算机的文件系统策略。
· EFS 恢复代理。
· 推荐的 EFS 恢复步骤。
· 推荐的 EFS 恢复代理私钥管理和存档步骤。
· 支持 EFS
恢复证书所需的证书服务。
没有评论:
发表评论