首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件网络安全

系统安全 | 邮件软件漏洞 | 攻防技术 | 安全基础 | 病毒公告 | 病毒查杀 | Forefront/TMG/ISA | 防火墙 | 数字签名 |
首页 > 邮件网络安全 > 安全基础知识 > 使用EFS对你电脑上的脱机文件加密 > 正文

使用EFS对你电脑上的脱机文件加密

出处:WindowsITPro 作者:WindowsITPro 时间:2011-6-9 16:49:05
文件加密系统的原理
EFS可以让用户使用不对称和对称密码算法来加密文件。当用户对一个文件进行加密时,系统首先检测用户的电脑上是否有可用的公共基础结构证书服务器(例如由微软提供的证书服务器)。如果存在的话,那么公共基础结构证书服务器这时就会给用户一个新的EFS数字证书,这个证书的期限为两年。如果系统没有检测到公共基础结构证书服务器的话,那么这时系统就会为用户创建一个独立的EFS证书,这个证书的期限为100年。
当用户对一个文件进行加密时,系统会创建一个随机的相对称的密钥(这个密钥叫做文件加密密钥——FEK)和文件本身合成在一起。Windows系统使用FEK来对文件加密,不管有多少个用户对同一文件进行加密,每个文件都只有一个FEK,而且是唯一的。Windows使用用户独立不对称的公共密钥来加密FEK。如果用户是一个指定的数据恢复代理,系统这时会把文件的FEK副本和数据恢复代理用户的EFS公共密钥加密在一起。对每个加密过文件的用户,Windows系统把用户的EFS公共密钥和FEK副本加密在一起。每个用户的EFS加密私钥可以还原出FEK(这个FEK是对文件进行解密的),这个私钥被存放在用户的帐户配置文件中。每个EFS的私密密钥都是被一个称作“主钥匙”所保护的,这个主钥匙是系统根据用户的密码所创建的。EFS是经过严格测试的、可靠的一种文件加密系统(如果想了解更多的关于EFS的知识,可以参考2005年10月刊文章“EFS——比你想象的还要稳定、安全”)。
脱件文件
使用脱机文件,即使没有连接到网络也可以继续处理网络文件和程序。在服务器上通常是默认支持脱机文件的,但是要想在客户端电脑上使用脱机文件,就必须为客户端配置使用脱机文件,客户端还必须允许支持在共享文件夹上使用脱机文件。当用户的电脑连上一个支持脱机文件的共享文件夹上时,共享文件夹上的文件就会被下载到用户本地电脑的脱机文件缓存中。这样一来,即使用户的电脑没有和网络上的共享文件夹连接时,也仍然可以在本地电脑上继续对文件进行处理。当用户的电脑重新和服务器或网络上的共享文件夹连接上时,系统将会在网络断开时在用户电脑上打开或更新的文件与保存在网络上的文件的版本进行比较。只要在脱机时更改的文件尚未被其他人更改,用户所作的更改都将复制到网络上。如果其他人对您脱机时更新的网络文件作了更改,系统会提示保存您的版本、保存网络上的版本或两个版本均保存。文件同步只会在用户电脑和服务器断开连接、在用户登录和注销或是用户事先已设定的一个计划任务中才发生。

使用EFS对脱机文件加密
在Windows XP和之后的操作系统中,用户可以对存储在本地电脑中的所有脱机文件进行加密。要想使用对脱机文件加密这个功能,用户必须得配置自己的电脑支持脱机文件,当然在此之前用户不需要对单独的文件进行加密。当用户配置客户机支持对本地脱机文件缓存中的文件夹加密时,这时系统将会使用特定的EFS数字证书为脱机缓存文件夹进行加密。让人感到有点不足的地方是,系统这时会使用机器密钥对所有用户的个人脱机文件加密。很明显,这个方法不及使用不同用户的加密密钥加密安全。但是微软已经申明将会在以后的系统版本中对此项功能作出更加安全的改动。
在本地的Windows XP系统中对脱机文件数据库加密
1. 在开始菜单中选择设置,再选择控制面板。如果控制面板是以经典方式显示的话,就双击文件夹选项。如果控制面板是以分类别显示的话,选择外貌,再选择文件夹选项。
2. 在脱机文件选项中选择脱机文件。
3. 如果没有启用脱机文件的话,就在启用脱机文件选项前打上勾。
4. 启用把脱机文件夹中的数据加密成安全数据,然后点击确定。
做完了以上步骤以后,这时系统就会用cscui.dll自动对脱机文件进行加密了。要对脱机文件中的文件进行加密还需要满足以条下件:
 
1. 本地的脱机文件夹必须是存放在NTFS分区上。 
2. 在脱机文件夹加密启用以后,在本地登录的用户必须具有本地计算机管理员权限。这是因为系统需要对系统注册表进行修改,而修改注册表需要管理员权限。
3. 使用EFS加密脱机文件选项必须没有被计算机管理员或组策略禁止。

组策略和脱机文件缓存
和Windows其它的重要功能一样,你可以使用组策略来控制脱机文件缓存。有很多组策略设置可以对脱机文件生效。想要了解更多的关于组策略和脱机文件之间信息,请参考微软Windows XP系统的工具文档(组策略在脱机文件上的应用),也可以在微软的网站上(http://www.microsoft.com/resources/documentation/Windows/XP/all/reskit/en-us/Default.asp?url=/resources/documentation/Windows/XP/all/reskit/en-us/prde_ffs_phvy.asp)找到相关文章。虽然有很多组策略设置可以对脱机文件生效,但是只有一个组策略设置可以对脱机文件和EFS同时生效:那就是对脱机文件加密。如果这个组策略被启用的话,在运行Windows XP的电脑上,整个脱机文件缓存都将会被加密,并且这时你不能单独地对文件进行加密。

EFS加密文件的使用要点
EFS只能加密保护被存放在磁盘上的文件。当一个已授权的用户打开加密过的文件时,系统会把加密过的文件解密成原来的文件。当用户在网络上传送这些加密文件的时候,文件是以明文的形式传送的。所以微软建议使用网际协议安全(IPSec)、安全套接字层或其它一些网络加密协议在网上传送重要文件。对我而言,我不知道微软为什么要阻止同时使用脱机文件和远程桌面,换句话说就是每次你只能进行其中一种操作。最后,对很多远程同步技术而言,有时候同步操作会失败或会中断其它一些正常操作。例如,如果在你的电脑脱机前,系统没有完成文件同步的话,你很有可能被系统阻止访问脱机文件;直到下一次电脑重新和服务器连接上并完成文件的同步,这时你才可以访问脱机文件。虽然脱机文件使用起来有一些不足,但是毕竟Windows XP和之后的系统为用户提供了一个可行安全的对脱机文件加密的功能。
相关文章 热门文章
  • How to 使用 EFS 对远程文件服务器上的文件加密
  • 使用 Windows 下的 EFS 加密文件
  • Windows Vista系统加密及解密应用EFS
  • 深入剖析EFS
  • 巧妙隐藏IP地址做网上“隐身”人
  • SYMANTEC NAV 9.0中文企业版的安装
  • Rapid Restore PC安装及使用步骤
  • DoS 拒绝服务攻击
  • 如何实现VPN使用脱离内部网络的IP地址
  • 关于卡巴斯基使用的个人经验综合
  • 常用端口对照详解
  • 免费端口监控软件Port Reporter
  • 宽带拨号连接密码恢复原理
  • 网络端口及其详解
  • 图解McAfee的使用方法
  • 网络安全技巧大全
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号