加密文件系统 (EFS) 是用于在 NTFS 文件系统卷上存储加密文件的核心文件加密技术。只有用户有权访问解密信息所必需的密钥时,才能使用加密的文件。
您不必手动解密就可以使用加密的文件。可以用一般方法打开和更改文件。对文件或文件夹进行加密后,就可以像处理任何其他文件或文件夹那样使用加密的文件或文件夹。
使用 EFS 类似于使用文件和文件夹的权限。这两种方法都可以用于限制对数据的访问权限。但是,将阻止未经授权就可以物理访问加密文件或文件夹的入侵者对其进行读取。如果入侵者尝试打开或复制加密的文件或文件夹,则他(她)会收到一条拒绝访问的消息。文件和文件夹的权限无法保护免受未经授权的物理攻击。
通过设置文件夹和文件的加密属性来对文件夹或文件进行加密或解密,就像设置任何其他属性(如只读、压缩或隐藏)一样。如果加密文件夹,则将对加密的文件夹中所创建的所有文件和子文件夹进行自动加密。我们建议在文件夹级别进行加密。
还可以使用 Cipher 命令对文件或文件夹进行加密或解密。
使用加密的文件或文件夹时,请考虑以下信息:
-
只能加密 NTFS 卷上的文件和文件夹。但是,可以使用 Web 分布式创作和版本管理 (WebDAV) 以加密的形式传输文件。WebDAV 也使用 NTFS。
-
也不能加密压缩的文件或文件夹。如果用户将文件或文件夹标记为加密,则会将该文件或文件夹解压缩。
-
如果将加密的文件复制或移动到非 NTFS 卷,则会对加密的文件进行解密。
-
将未加密的文件移动到加密的文件夹中将自动导致在新文件夹中加密这些文件。但是,相反的操作并不会自动解密文件。必须显式地解密文件。
-
无法加密标记有系统属性的文件,也无法加密系统根目录结构中的文件。
-
对文件夹或文件进行加密无法阻止删除或列出文件或目录。具有相应权限的任何人都可以删除或列出加密的文件夹或文件。因此,建议将 EFS 与 NTFS 权限结合使用。
-
可以加密或解密位于已启用远程加密的远程计算机上的文件和文件夹,但不加密此过程在网络上传输的数据。在网络上传输数据时,必须使用其他协议(如安全套接字层/传输层安全 (SSL/TLS) 或 Internet 协议安全 (IPsec))加密数据。(如第一项中所述,还可以使用 WebDAV 以加密的形式传输文件。)
EFS 策略设置
可以使用组策略配置若干 EFS 策略设置。这些策略设置位于“计算机配置\Windows 设置\安全设置\公钥策略\加密文件系统”。
允许或不允许使用 EFS
可以选择允许或不允许使用 EFS。如果不配置 EFS 的任何策略设置,则允许使用 EFS。
如果选择允许使用 EFS,则还可以选择若干选项(如是否自动加密用户的文档文件夹),从而要求将智能卡用于 EFS,缓存基于智能卡创建的密钥,从智能卡创建支持缓存的用户密钥,或通知用户创建其加密密钥的备份副本。
允许或不允许使用椭圆曲线加密技术加密
您可以选择允许或不允许将椭圆曲线加密 (ECC) 技术加密与 EFS 一起使用。如果不配置 EFS 的任何策略设置,则允许使用 ECC 加密。ECC 加密使组织能够符合 Suite B 加密标准。
Suite B 是一组加密算法。Suite B 的组件包括:用于对称加密的密钥大小为 128 和 256 位的高级加密标准 (AES)、用于数字签名的椭圆曲线数字签名算法 (ECDSA)、用于密钥协议的椭圆曲线 Diffie-Hellman (ECDH) 以及用于消息摘要的安全哈希算法(SHA-256 和 SHA-384)。