Windows Server 2008提供的文件/文件夹加密功能是通过加密文件系统(Encrypting File System,EFS)实现的。加密文件系统提供了用于在NTFS卷上存储加密文件的核心文件加密技术。由于EFS与文件系统相集成,因此管理更方便,系统也难以被攻击,并且对用户是透明的。此技术对于保护计算机上易被其他用户访问的数据特别有用。对文件或文件夹加密后,即可像使用任何其他文件和文件夹那样使用加密的文件和文件夹。
EFS对用户是透明的。也就是说,如果用户加密了一些数据,那么用户对这些数据的访问将是完全允许的,并不会受到任何限制。而其他非授权用户试图访问加密过的数据,将会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。
只有NTFS分区内的文件或文件夹才能被加密。如果将加密的文件或文件夹复制或移动到非NTFS分区内,则该文件或文件夹将会被解密。当用户将未加密的文件或文件夹移动或复制到加密文件夹后,该文件或文件夹会自动加密;而将一个加密文件或文件夹移动或复制到非加密文件夹后,该文件或文件夹仍然会保持加密状态。这是因为加密过程是把加密密钥存储在文件或文件夹头部的DDF(数据解密域)和DRF(数据恢复域)中,与被加密的文件或文件夹形成一个整体,即加密属性跟随文件或文件夹。
例如,“刘本军”(登录名liubj)是公司的网络管理员,公司有一台服务器可供公司所有员工访问。尽管已经在多数文件夹上配置了NTFS权限来限制未授权用户查看文件,但仍希望能使“C:\个人数据”文件夹达到更高级别的安全性:保证只有此文件夹的所有者—用户“刘本军”可读,其他用户即使具有完全控制权限(如Administrator),也都无权访问。
1)在服务器上以用户“刘本军”身份登录,找到“C:\个人数据”文件夹,使用鼠标右键单击它,在弹出的快捷菜单中选择“属性”命令,打开如图6-42所示的“个人数据属性”对话框,在“常规”选项卡中单击“高级”按钮。
2)在如图6-43所示的“高级属性”对话框中,选中“加密内容以便保护数据”复选框(也可以单击“详细信息”按钮,打开此文件的加密详细信息对话框,将需要授权访问此文件的用户添加进来),单击“确定”按钮,回到“个人数据属性”对话框,单击“应用”按钮,将出现如图6-44所示的“确认属性更改”对话框。这里保持默认选项“将更改应用于此文件夹、子文件夹和文件”,然后单击“确定”按钮,回到“个人数据属性”对话框,最后单击“确定”按钮关闭所有窗口,注销用户“刘本军”。
3)在此服务器上以Administrator身份登录,打开“C:\个人数据”文件夹,系统会用彩色(默认是绿色)来显示加密过的NTFS文件或文件夹,如图6-45所示。此时若试图打开“C:\个人数据”文件夹中的文件“key.txt”,将弹出一个内容为“拒绝访问”的提示框,如图6-46所示。
4)注销用户Administrator,再以用户“刘本军”身份登录,此时可以直接访问自己加密过的文件,如图6-47所示。可以看出,加密文件对于加密者是透明的,并且仅允许加密者本人访问。
图6-42 设置文件夹属性
(www.daowen.com)
图6-43 加密文件夹
图6-44 确认属性更改
图6-45 加密过的文件夹
图6-46 拒绝用户Administrator访问
图6-47 仅允许加密者本人访问
注意:①利用加密文件系统加密的文件,只有存储在硬盘内才会被加密,通过网络发送时是不加密的;②加密文件或文件夹不能防止被有权限的用户删除或列出文件的目录,因此在加密的同时可以通过设置NTFS权限来共同保障文件系统的安全性;③也可以使用cipher.exe程序来加密和解密文件与文件夹,用法可以参阅相关文件。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。