曾在碰到有朋友提出如下幾個問題:
一是,我加密的文件打不開,能否將NTFS格式分區轉換成FAT32分區能打開嗎?
二是,加密數據後重裝了操作系統,現在加密數據不能打開,如果我使用跟前一個系統同樣的用戶名和密碼能否打開?
三是,用GHOST恢復了一下系統,用戶賬戶和相應的SID都沒有變,能否打開加密的數據文件?
以上種種是我們在XP/2000/2003中加密文件後,因爲這樣或那樣的問題,經常出現打不開加密的文件,而導致企業或個人受到損失。現在我向大家說說,說的不好,大家不要見怪,希望能給大家有所幫助。
何謂EFS?
全稱:Encrypting File System即加密文件系統,它是基於公鑰策略的,它具有降低使用成本,透明性,安全性三大好處。
如何使用EFS加密呢?
在這裏,我向大家介紹幾種方法和使用EFS要注意的事項及具體要求。
1、操作系統要求:必須是2000/XP/2003和微軟即將發行的新版系統,像95/98/me/NT都是不行的。
2、NTFS版本要求:必須是5。0或以上版本,即用2000/XP/2003和微軟即將發行的新版系統格式化的NTFS分區可以,而NT系統格式化的NTFS格式分區是不行的,因爲雖然它是NTFS格式分區,可是NTFS版本是4。0的。
3.只有NTFS格式的分區纔可以使用EFS加密技術
4.第一次使用EFS加密後應及時備份密鑰
5.如果將未加密的文件複製到具有加密屬性的文件夾中,這些文件將會被自動加密。若是將加密數據移出來則有兩種情況:若移動到NTFS分區上,數據依舊保持加密屬性;若移動到FAT分區上,這些數據將會被自動解密。
6.被EFS加密過的數據不能在Windows中直接共享
7.NTFSF分區中加密和壓縮功能不能同時使
8.Windows系統文件和文件夾無法加密
現向大家介紹在2000/XP/2003中如何使用EFS加密:
右擊要加密的文件->屬性->高級->加密內容以保護數據->確定。此時此數據文件即已加密了。
爲了防止損失和加密文件打不開,那麼我們該怎麼辦?假如加密文件後,系統崩潰了,重裝後,加密文件是打不開的;更換用戶名或密碼後,加密文件是打不開的;用GHOST恢復一下系統,加密文件也是打不開的。
這就要我們注意兩個關鍵:
一是,及時備份密鑰。
在2000中如下操作:
開始->運行->MMC-》添加刪除管理單元->添加->證書->我的帳戶->確定。
在證書添加入組策略後,選擇證書,個人,在右欄中右擊證書,選所有任務,導出,導了私鑰,下一步,默認,下一步,輸入密碼,下一步,將證書備份到某目錄或優盤保存即可。
這樣一旦重裝系統或更改了用戶名或密碼等事宜打不開加密文件時,只有右擊導出的證書,安裝證書,導入即可。這樣加密的文件又可以打開了。
二是設置有效的EFS加密恢復代理
在2000中操作如下:
在2000中,無論什麼用戶加密的文件,只要系統沒有重裝或作其它相應的更改,那麼都可以用Administrator 用戶登陸加以打開。但是除了adminsitrator以外,不同用戶加密的文件,是不能互相打開的如:在2000中,A用戶加密了A文件,B用戶加密了B文件,那麼A用戶將打不開B文件,相反,B用戶也將打不開A文件,如果要想打開A或B文件,除非得用administrator登陸纔可以。還有,就是如果A文件給予了用戶B權限,那就另當別論了。方法是:在2000中,以A用戶登陸後,右擊A文件,屬性,高級,點擊詳細信息,添加,選擇B用戶證書,確定,確定即可。這時,一旦用B用戶登陸後,B用戶也將可以打開A用戶加密的A文件,反之同理。
現在說說如何設置恢復代理:
要想利用其它用戶作爲恢復代理。假如要想用A用戶作爲恢復代理,則必須先用administrator登陸,導出Administrator用戶的證書,再註銷以A用戶登陸,將adminsitrator 用戶證書到入到A用戶登陸下的組策略中,一旦導入成功,A用戶即成爲EFS加密恢復代理。這時,A用戶將能打開任何用戶加密的文件。