首先,加密文件或文件夾
步驟1:打開Windows資源管理器。
步驟2:右鍵單擊要加密的文件或文件夾,然後單擊屬性。
步驟3:在常規選項卡上,單擊高級。選中加密內容以保護數據復選框。
在加密過程中,我們還應註意以下五點:
1.要打開Windows資源管理器,請單擊開始→程序→附件,然後單擊Windows資源管理器。
2.只有NTFS分區卷上的文件和文件夾可以加密,FAT分區卷上的文件和文件夾無效。
3.壓縮文件或文件夾也可以加密。如果您想要加密壓縮文件或文件夾,該文件或文件夾將被解壓縮。
4.無法加密標有“System”屬性的文件,也無法加密位於systemroot目錄結構中的文件。
5.加密文件夾時,系統會詢問是否同時加密其子文件夾。如果選擇“是”,它的子文件夾也將被加密,並且以後添加到該文件夾的所有文件和子文件夾將在添加時被自動加密。
其次,解密文件或文件夾
步驟1:打開Windows資源管理器。
步驟2:右鍵單擊加密文件或文件夾,然後單擊屬性。
步驟3:在常規選項卡上,單擊高級。
步驟4:清除“加密內容以保護數據”復選框。
同樣,使用解密時也要註意以下問題:
1.要打開Windows資源管理器,請單擊開始→程序→附件,然後單擊Windows資源管理器。
2.解密文件夾時,系統會詢問是否同時解密文件夾中的所有文件和子文件夾。如果選擇僅解密文件夾,則要解密的文件夾中的加密文件和子文件夾將保持加密狀態。但是,在解密文件夾中創建的新文件和文件夾不會自動加密。
以上就是文件加密解密的使用方法!在使用過程中,我們可能會遇到以下問題,現解釋如下:
1.不能使用高級按鈕。
原因:加密文件系統(EFS)只能處理NTFS文件系統卷上的文件和文件夾。如果您嘗試加密的文件或文件夾位於FAT或FAT32卷上,則“高級”按鈕不會出現在文件或文件夾的屬性中。
解決方案:
使用轉換工具將卷轉換為NTFS卷。
打開命令提示符。類型:
轉換[驅動器]/fs:ntfs
(驅動器是目標驅動器的驅動器號)
2.打開加密文件時,會顯示“拒絕訪問”消息。
原因:加密文件系統(EFS)使用公鑰證書來加密文件,而與此證書相關的私鑰在此計算機上不可用。
解決方案:
找到相應證書的私鑰,並使用證書管理單元將私鑰導入到計算機中,並在此計算機上使用。
3.解決用戶基於NTFS加密文件,重裝系統後無法訪問加密文件的問題(註意:重裝Win2000/XP前必須備份加密用戶的證書);
步驟1:加密用戶以登錄計算機。
第二步:點擊開始→運行,鍵入mmc,然後點擊確定。
步驟3:在控制臺菜單上,單擊添加/刪除管理單元,然後單擊添加。
步驟4:在單獨的管理單元下,單擊證書,然後單擊添加。
第五步:點擊“我的用戶賬號”,然後點擊“完成”(如圖二,如果加密了非管理員的用戶,則不會出現此窗口,直接進入下壹步)。
第6步:單擊關閉,然後單擊確定。
第7步:雙擊證書-當前用戶,雙擊個人,然後雙擊證書。
第八步:點擊“預期用途”欄顯示“加密文件”字樣的證書。
步驟9:右鍵單擊證書,指向所有任務,然後單擊導出。
第十步:根據證書導出向導的說明,以PFX文件格式導出證書和相關私鑰(註意:建議導出私鑰,以確保證書有密碼保護,防止他人竊取。此外,證書只能保存到您具有讀寫權限的目錄中。
保存證書
註意保存PFX文件。以後重裝系統後,不管是哪個用戶,只要雙擊這個證書文件,導入這個私有證書,就可以訪問NTFS系統下該證書原用戶加密的文件夾(註意:備份恢復功能備份的NTFS分區上的加密文件夾不能恢復到非NTFS分區)。
最後,該證書還可用於以下目的:
(1)授予不同用戶訪問加密文件夾的權限。
將我的證書導出為“導出私鑰”,並將其發送給這臺計算機上需要訪問該文件夾的其他用戶。然後他登錄,導入證書,實現對這個文件夾的訪問。
(2)在其也是WinXP的機器上恢復對由“備份恢復”程序備份的先前加密文件夾的訪問。
用“備份恢復”程序備份加密文件夾,然後將生成的Backup.bkf連同此證書復制到另壹臺WinXP機器上,用“備份恢復”程序恢復(註意:只能恢復到NTFS分區)。然後導入證書,就可以訪問恢復的文件了。
WindowsXP中的文件加密功能及其使用
作者:lvvl來源:CCID安全社區
Windows XP文件加密功能強大且易於使用,因此許多用戶使用它來保護他們的重要文件。但由於大部分用戶對該功能了解不夠,在使用過程中經常出現問題。在本刊的“電腦醫院”裏,我們也經常收到讀者的求助信。為此,奇普將在此為您詳細介紹使用該功能的技巧。
微軟在Windows2000內置了文件加密功能,後來移植到了WinXP。使用該功能,我們只需簡單的點擊幾下鼠標,就可以對指定的文件或文件夾進行加密,加密後仍然可以像以前壹樣輕松地訪問和使用,非常方便。而且加密之後,即使黑客入侵系統,完全掌握了文件的訪問權限,仍然無法讀取這些文件和文件夾。
然而,簡單而強大的文件加密功能也給很多用戶帶來了困擾。因為它易於使用,許多用戶很樂意用它來保護他們的重要文件。但由於對該功能缺乏真正的了解,使用時經常出現泄密、無法解密等問題。被加密的文件往往是重要文件,影響很大。為此,筆者特意整理了壹些關於該功能的相關知識和技巧與大家分享。
加密和解密文件和文件夾。
Windows2000系列、WinXP Professional Edition和Windows2003的用戶可以使用內置的文件加密功能,但前提是要加密的文件和文件夾所在的磁盤必須采用NTFS文件系統。同時需要註意的是,由於啟動時加解密功能無法工作,系統文件或系統目錄下的文件無法加密。如果操作系統安裝目錄中的文件被加密,系統就無法啟動。此外,NTFS文件系統還提供了文件壓縮功能,用戶可以像以前壹樣方便地訪問文件和文件夾,但該功能不能與文件加密功能同時使用,除了ZIP和RAR等其他壓縮軟件壓縮的文件。
加密時,只需右鍵單擊要加密的文件或文件夾,然後選擇屬性,在屬性對話框的常規選項卡上單擊高級,在高級屬性對話框上選擇“加密內容以保護數據”復選框,並確認加密文件。如果是文件夾,系統會進壹步彈出“確認屬性更改”對話框,要求您確認所選文件夾是否加密。解密是加密的反義詞。妳只需要清除“高級屬性”對話框(如圖1)中“加密內容保護數據”復選框上的復選標記,解密文件夾時也會彈出“確認屬性更改”對話框,要求妳確認解密操作的應用範圍。
圖1
加密後用戶可以像普通文件壹樣直接打開編輯文件,或者進行復制粘貼等操作,用戶在加密文件夾中新建的文件或者從其他文件夾中復制的文件都會被自動加密。默認情況下,加密文件和文件夾的名稱將以淺綠色顯示。例如,如果您計算機上的加密文件和文件夾的名稱不以彩色顯示,您可以單擊“我的電腦”|“工具”|“文件夾選項”,然後單擊“文件夾選項”對話框中的“查看”選項卡,並選中“以彩色顯示加密或壓縮的NTFS文件”復選框。
授予或撤銷其他用戶的權限。
如果有必要,妳可以給其他用戶完全訪問加密文件的權限,但是要明白,Windows采用的是基於密鑰的加密方案,用於加密的密鑰是在用戶第壹次使用該功能時為用戶創建的,所以妳要授予權限的用戶也必須使用過系統的加密功能,否則妳將無法成功授予對方權限。Windows內置的文件加密功能只允許其他用戶擁有加密文件的完全訪問權限,而不允許其他用戶擁有加密文件夾的訪問權限。
要授予或撤銷其他用戶對加密文件的訪問權限,您可以右鍵單擊加密文件,選擇屬性,在屬性對話框的常規選項卡上單擊高級,然後在高級屬性對話框中單擊詳細信息,以添加或刪除可以訪問該文件的其他用戶。
備份密鑰
有很多讀者在系統崩潰或重裝後無法訪問自己加密的文件和文件夾,向我們的“電腦醫院”求助。但此時,為時已晚。Windows內置的加密功能與用戶的賬號密切相關,用於解密的用戶密鑰也存儲在系統中。任何導致用戶賬號變動的操作或失敗都可能帶來災難。為了避免這種情況,您必須采取預防措施,並在使用加密功能後立即備份加密密鑰。
備份密鑰的操作並不復雜。妳只需要點擊開始|運行,鍵入certmgr.msc打開證書管理器,點擊左側窗口的控制臺,在證書-當前用戶下的個人中打開證書,然後在右側窗口中右鍵點擊預期用途為加密文件系統的證書,指向“加密文件系統”,系統會打開證書導出向導引導妳。向導將詢問您是否需要導出私鑰。您應該選擇導出私鑰,根據向導的要求輸入保護導出私鑰的密碼,然後選擇保存導出文件的位置。
建議您將導出的證書存儲在系統盤以外的磁盤上,以避免在使用磁盤映像等軟件恢復系統時覆蓋備份的證書。備份後,當加密文件的賬號出現問題或者重裝系統後需要訪問或解密之前加密的文件時,只需右擊備份的證書,選擇“安裝PFX”,系統會彈出“證書導入向導”指導您操作。您只需要在導出證書時鍵入用於保護備份證書的密碼,然後選擇“讓向導根據證書類型自動選擇證書存儲”即可完成,之後就可以訪問上壹個了。
指定恢復代理
如果您同時使用多個帳戶或與其他用戶使用壹臺計算機,並且您擔心更改帳戶或被其他帳戶加密的文件,那麽您可以考慮指定壹個文件恢復代理。恢復代理可以解密系統中內置加密功能加密的所有文件,壹般用於網絡管理員處理網絡上的文件故障,可以使管理員在員工離職後解密員工加密的工作數據。在Win2000中,默認的管理員是恢復代理,而在WinXP中,如果需要恢復代理,必須自己指定。但是需要註意的是,恢復代理只能在指定恢復代理後才能解密加密的文件,所以妳應該在大家開始使用加密功能之前指定恢復代理。
如果您使用的電腦在企業網內,需要聯系管理員查詢是否制定了恢復策略,如果您只是使用單獨的電腦,可以按照以下步驟指定恢復代理。首先,您需要使用被指定為恢復代理的用戶帳戶登錄,並申請恢復證書。用戶必須是管理員或具有管理員權限的管理組的成員。對於公司網絡上的計算機,登錄後,可以通過上述證書管理器和“使用任務”中的“申請新證書”向服務器申請。在個人計算機上,您必須單擊開始|附件|命令提示符,並在命令行窗口中鍵入“cipher/r:c:\ EFS . txt”(EFS . txt可以是任何文件)。命令行窗口會提示妳輸入保護證書的密碼,生成我們需要的證書。生成的證書之壹是PFX文件,另壹個是CER文件。首先,右鍵單擊PFX文件,選擇“安裝PFX”,在彈出的證書導入向導中選擇“根據證書類型自動選擇證書存儲”導入證書。
接下來,單擊開始|運行並鍵入gpedit.msc以打開組策略編輯器。在左側控制臺中,單擊本地計算機策略|計算機配置|Windows設置|安全設置|公鑰策略|加密文件系統。然後在右邊的窗口中右鍵單擊並選擇Add Data Recovery Agent(如圖2所示)。然後在彈出的添加數據恢復代理向導中瀏覽瀏覽。完成後,在將來需要時,您可以通過使用指定為恢復代理的帳戶登錄,在指定的恢復代理後解密系統中的所有加密文件。
圖2
禁用加密功能
在多用戶計算機環境中,我們經常通過將其他用戶指定為普通用戶的權限來限制他們使用某些功能。但由於普通用戶的賬號默認允許加密,往往會給壹些多用戶使用的電腦帶來壹些麻煩。如果擔心電腦上的其他用戶會亂加密磁盤上的文件,可以設置特定的文件夾禁止加密,也可以完全禁止文件加密。
如果要設置文件夾禁止加密,可以用“[加密]”和“禁用=1”兩行編輯壹個文本文件,然後命名為“Desktop.ini”,放在不想加密的文件夾中。當其他用戶試圖加密文件夾時,系統會提示用戶禁止該文件夾的加密功能。但需要註意的是,妳只能用這種方法禁止其他用戶加密文件夾,文件夾中的子文件夾將不受保護。
如果有必要,妳也可以完全禁止文件加密功能。在Win2000中,只需使用管理員登錄並運行“secpol.msc”打開策略編輯器,在左側控制臺右鍵單擊“安全設置|公鑰策略|加密文件系統”,選擇“屬性”,清除屬性對話框中“允許用戶使用文件加密系統(EFS)加密文件”復選框的復選標記。雖然WinXP上有相應的選項,但實際上並不起作用。您需要編輯註冊表來禁止文件加密。首先點擊開始|運行,鍵入regedit.exe打開註冊表編輯器,點擊HKEY _本地_機器\軟件\微軟\ Windows NT \當前版本\ EFS,然後右鍵創建壹個“DWORD”值,雙擊新創建的值並賦為“1”,關閉註冊表並重啟。這樣,當其他用戶試圖使用文件加密功能時,系統會提示加密功能已被禁止(如圖3)。
圖3
防止泄漏
由於對文件加密功能的不了解,很多讀者對該功能能否真正發揮作用持懷疑態度,而其他用戶則過於放心,導致泄密事件頻發。首先,這個功能的加密效果妳可以放心。因為使用加密文件時不需要輸入密碼,所以不必懷疑加密效果。而這個函數的好處恰恰是加密後可以透明使用。雖然壹些第三方軟件已經成功破解了使用該功能加密的文件,但是該軟件對於Windows XP暫時無效,即使在其他版本的Windows操作系統上也可以避免。
但是妳需要小心因為自己的失誤導致加密失敗,妳需要了解這個函數的特點。Windows XP內置的文件加密功能是和用戶的賬號掛鉤的。換句話說,如果妳的Windows賬號沒有保護好,密碼被別人獲取,那麽對方就可以像妳壹樣登錄系統訪問加密文件。此外,當加密文件被復制或移動到非NTFS文件系統磁盤時,該文件將被解密。當文件通過網絡傳輸時,它們也以明文傳輸。這壹切妳都需要清楚,避免誤操作造成的泄露。最重要的是加密文件不是絕對安全的。雖然可以保證不被讀取,但無法避免被刪除。
另外,在加密文件的過程中,系統會將原始文件存儲在緩沖區中,加密後再刪除原始文件。這些被刪除的文件在系統上也不是無法恢復,很有可能是通過磁盤文件恢復工具恢復的,會造成泄密。這時候妳就需要考慮使用其他的磁盤安全工具或者使用系統內置的“cipher”命令來清除磁盤上被刪除的文件。具體步驟是點擊“開始|附件|命令提示符”,在命令行窗口輸入“cipher /w C:\”。Foldername”可以清除c盤foldername文件夾中被刪除文件留下的碎片,如果不輸入文件夾名,整個磁盤都會被清理。
解決紛爭
當您的Windows登錄帳戶更改並且無法訪問加密文件時,當用戶的帳戶名或密碼更改時,您將無法聯系原始加密證書,因此您需要考慮您在使用其他帳戶時是否更改了當前帳戶的名稱或密碼。還是管理員幹的?如果是這樣的話,可以試著把自己的帳戶名和密碼改成原來的,問題應該就解決了。但需要註意的是,根據微軟的規定,更改帳戶名和密碼的方法在管理員帳戶上可能並不有效,而如果妳的帳戶沒有被更改而是被刪除重建,也就是全新的帳戶,那麽妳只能求助於恢復代理或者導入備份證書。
如果您已經重新格式化了硬盤,重新安裝了系統,或者在文件未加密時使用系統盤映像還原了系統,那麽您只能通過導入您自己的證書或還原代理來解決問題。這個時候基本上沒有別的辦法幫妳找回文件了。此外,在Windows XP SP1之後使用了新的加密算法。如果加密時使用的是Windows XP SP1,那麽在嘗試保存數據時也要使用這個版本,或者以後的更新版本,否則在其他版本上胡亂嘗試,加密的文件可能會被破壞。
系統安全性了解加密文件系統EFS
微軟在NTFS4.0及後續版本的文件系統中捆綁了兩個強大的工具:壓縮文件系統和加密文件系統。該選項位於文件夾屬性-高級中。這是壹個收音機盒子。這裏不提壓縮文件系統,但是有壹點感興趣的朋友可能會註意到,這兩個選項是不能同時選擇的。原因很簡單,因為無論我們加密還是壓縮文件,都是在改變文件。我們通過改變文件的讀碼框架來加密或壓縮文件。這裏可能有人會問為什麽WinRAR可以加密文件和壓縮文件?實際上,WinRAR加密方法是基於WinRAR,壹個文件壓縮系統,而不是基於文件本身。讓我們言歸正傳。
這裏要提到的壹點叫做加密。相信有朋友對Alice和Bob這兩個名字非常熟悉,這兩個名字最早出現在IBM出版的壹本解釋對稱加密和非對稱加密的書中。對稱加密,簡單來說就是加密和解密用的密碼是同壹個密碼。不對稱,加密和解密是不同的密碼。這個不同的密碼,壹個叫私鑰,壹個叫公鑰。從上面的名字可以看出,私鑰在任何情況下都不會公開,而公鑰會被釋放。
詳細解釋壹下,熟悉非對稱加密的朋友可以跳過這壹段。例如,Alice想要向BOB發送壹個敏感數據,該數據顯然需要加密。非對稱加密,使用兩個不同的密碼進行加密和解密。即如果alice的公鑰和私鑰是壹組密碼,則分別是alice的公鑰和alice的私鑰。然後,用愛麗絲的公鑰加密的東西,只能用愛麗絲的私鑰解密。相應的,如果用愛麗絲的公鑰加密的東西,只能用愛麗絲的私鑰解密。所以對鮑勃來說也是壹樣。如果我們使用對稱加密,即在加密和解密的過程中使用壹個密碼,那麽這個密碼在任何情況下都不能被第三方截獲。互聯網,可以攔截;電話,可以監聽;甚至面對面的交流也能被竊聽。所以這是對稱加密的壹大缺陷。如果使用非對稱加密,alice和bob不會公開他們的私鑰,然後他們在交換信息之前互相交換公鑰。這樣,愛麗絲就用鮑勃的公鑰加密了愛麗絲想給鮑勃的文件。只有bob的私人密鑰可以打開這個加密文件。Bob從未公開過他的私鑰,所以我們可以看到這樣的加密是安全的。這種信息加密和解密以及交換公鑰的過程就是非對稱加密。
解釋完非對稱加密,我們可以簡單的比較壹下兩者在安全性上的優勢。但非對稱加密的壹個重要缺陷是運算時間很長,對稱加密的工作效率可能是非對稱加密的100-1000倍。因此,看到這壹點後,微軟在EFS整合了兩者的優勢。EFS采用對稱加密和非對稱加密相結合的方式,即使用壹個字符串作為密鑰,通過對稱加密對文件進行加密,然後通過非對稱加密對密鑰進行加密。這把鑰匙的具體位數我記不清了,大概是70位數。這裏有壹個問題。其實在操作系統中,公鑰和私鑰是如何獲得的?為什麽管理員可以解鎖所有用戶的加密文件?
根據微軟白皮書中的解釋,加密文件系統中用戶證書的獲取方式有兩種,壹種是從CA(CertificationAuthority)獲取,另壹種是在企業CA失效時為自己頒發壹個數字證書。這裏需要說明的是證書和密鑰的關系。證書是密鑰的載體,包含著密鑰。這裏可能有人會問,用戶的私鑰存放在哪裏?用戶的私鑰是通過另壹種認證機制實現的,這是系統層面的,以後我會寫文章解釋。除了這兩個密鑰,還有壹個直接加密文件的密鑰,是根據用戶自己的SID計算出來的。微軟沒有透露這些信息,所以請嘗試了解它是如何工作的。管理員之所以可以管理所有用戶的加密文件,是為了保證系統的穩定性。如果每個用戶的文件都只能由創建者修改,那麽計算機可能會處於混亂狀態。
最近,我很興奮地聽說壹些軟件可以破解微軟的EFS。結果我下載後研究了壹下。這款軟件的工作原理是備份管理員的賬號信息,通過ERA(緊急恢復代理)恢復加密文件。事實上,如果用戶在重裝系統時不小心忘記備份相應的密鑰,那麽加密的文件可能永遠都打不開。這個不難理解,因為每次安裝操作系統,操作系統都會立刻生成壹個SID號。當然,如果用戶性格足夠好,還是有可能生成相同的SID號的(開個玩笑)。關於管理員賬號和密碼的備份,可以通過Windows2000及後續版本中內置的忘記密碼向導來幫助備份密碼。希望能給妳壹些幫助。