加密文件系统 (EFS) 加密基于与证书关联的密钥对。在大多数受管理的环境中,证书由域中运行的证书颁发机构 (CA) 颁发。CA 可以自动向用户颁发证书,无须手动干预。EFS 证书设置包括域中可用的证书模板的列表,以便您可以指定将哪些证书模板用于自动注册。
 | 注意 |
此列表包括域中存在的所有证书模板。管理员必须正确配置 CA,以便可以颁发证书。某些显示的证书可能无法访问。 |
在 CA 无法颁发证书的情况下,EFS 可以使用在本地计算机上创建的自签名证书。可以选择禁用此功能或指定默认的密钥长度。
EFS 模板
这可标识用于从 CA 申请 EFS 证书的证书模板的名称。默认情况下,使用基本 EFS 模板。如果已创建用于您所在组织的自定义 EFS 模板,请单击“浏览”查找并分配要使用的模板。
自签名证书
默认设置允许 EFS 在 CA 不可用时生成自签名证书。由于考虑到信息安全风险,某些组织不允许使用自签名证书。禁用此设置将要求在能够使用 EFS 之前已授予用户来自受信任的 CA 的证书。
如果允许使用自签名证书,则可指定加密文件和文件夹时使用的加密密钥长度。默认情况下,EFS 对自签名的 RSA 证书使用 2,048 位密钥大小,对椭圆曲线加密 (ECC) 证书使用 256 位密钥(例如 Suite B 遵从性所需的证书)。下面是可用的 RSA 和 ECC 密钥:
- 1,024 位 RSA
- 2,048 位 RSA
- 4,096 位 RSA
- 8,192 位 RSA
- 16,384 位 RSA
- 256 位 ECC
- 384 位 ECC
- 521 位 ECC
长密钥大小可提高安全性但可能会造成加密速度减慢。