文件服务器加密-EFS

⽂件服务器加密-EFS
⽂件服务器之EFS⽂件加密
⽬标
通过EFS⽂件加密系统，各⽤户对上传之⽂件服务器中的数据加密。

从⽽拒绝所有未授权⽤户试图打开、复制、移动或重新命名已加密⽂件或⽂件夹。

⽂件加密系统简介
⽂件加密系统(EFS) 可以使⽤户对⽂件进⾏加密和解密。

使⽤EFS 可以保证⽂件的安全，以防那些未经许可的⼊侵者访问存储的敏感数据（例如，通过盗窃笔记本电脑或外挂式硬盘驱动器来偷取数据）。

⽤户可以像使⽤普通⽂件和⽂件夹那样使⽤已加密的⽂件和⽂件夹。

加密过程是透明的。

EFS ⽤户如果是加密者本⼈，系统会在⽤户访问这些⽂件和⽂件夹时将其⾃动解密，但是不允许⼊侵者访问任何已加密的⽂件或⽂件夹。

EFS实际应⽤介绍
1.只有NTFS 卷上的⽂件和⽂件夹才能被加密。

2.不能加密压缩⽂件或⽂件夹。

3.只有对⽂件实施加密的⽤户才能打开它。

4.不能共享加密⽂件。

EFS 不能⽤于发布私⼈数据。

5.如果将加密的⽂件复制或移动到⾮NTFS 格式的卷上，该⽂件将会被解密。

6.将⽂件移动到已加密的⽂件夹，它们在新⽂件夹中⾃动加密。

7.⽆法加密系统⽂件。

8.加密的⽂件夹或⽂件不能防⽌被删除。

任何拥有删除权限的⼈均可以删除加密的⽂件夹或⽂件。

9.对于编辑⽂档时某些程序创建的临时⽂件，只要这些⽂件在NTFS 卷上⽽且放在已加密⽂件夹中，则它们也会被加密。

为此建议加密硬盘上的Temp ⽂件夹。

加密Temp ⽂件夹可以确保在编辑过程中的⽂档也处于保密状态。

如果在Outlook 中创建⼀个新⽂档或打开附件，该⽂件将在Temp ⽂件夹中创建为加密⽂档。

如果选择将加密的⽂档保存到NTFS 卷的其他位置，则它在新位置仍被加密。

10. 加密后的⽂件只有加密者可以访问。

如需要将加密后的⽂件共享，那么还需要额外的设置。

在添加的⽤户时并不是添加⽤户的名称，⽽是添加⽤户的公钥
11. EFS加密系统的密钥是根据每个⽤户的SID⽣成的，⽂件的加密和解密都需要密钥的参与（公钥和私钥）。

私钥丢失之后就再也⽆法解密⽂件。

12.恢复策略是当你对第⼀个⽂件或⽂件夹进⾏加密时⾃动执⾏的，以便如果你丢失了⽂件加密证书和相关的私钥，恢复代理可以给你解密⽂件。

所有加⼊域的计算机，默认的恢复代理是域管理员。

EFS加密实现⽅法
1.最简单的办法就是在⽬标对象上点击⿏标右键，选择“属性”，打开属性对话框,然后在常规选项卡上点击“⾼级”按钮，打开⾼级属性对话框，选中“加密内容以便保护数据”这个选项，反之解密。

2.打开注册表HKEY_CURRENT_USER \Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced，在这⾥新建⼀个名为EncryptionContextMenu的DWORD值，并将其数值设置为“1”，这样⽤⿏标右键点击⼀个⽂件或⽂件夹的时候，右键菜单中就会有加密（如
果⽬标对象尚未被加密）或者解密（如果⽬标对象已经被加密）选项，只要选择相应的选项就可以直接完成操作。