模板
教程
环境
性能
功能
管理
如何让你的Win2000文件更安全?
对于每个人来讲,一份机密的文件被入侵者或是别有用心的人非法获取都是很危险的,其带来的损失也许是不可估量的!然而我们常用的 Win95/98操作系统却没有提供任何的安全保障。有时甚至连NT这样的安全系统都会出现问题,比如我们可以用Ntfsdos这样的软件来得到被NT保护的数据。
Unix和Win NT的安全依赖于一个称之为DAC的系统,拥有DAC的系统可以用来保护你的敏感数据。 DAC适用于多人共用一台机器的情况,它可以区分每个用户的文件,以用来分开不同用户的数据。然而,这并不是万无一失的。破解的方法很简单,只要重新安装一下系统,那我们的所有数据就没有任何安全可言了。为了更大程度地保护用户的数据安全,我们需要对数据进行加密。在进一步介绍Win2000的文件加密系统之前,先要介绍一下通常我们采用的加密方法。了解了通常的加密方法后,大家才能更了解Win2000的文件加密系统的好处。
一、加密技术
现在,我们经常用的加密方法有以下几种:加密文件、磁盘加密、文件加密系统(EFS)。
加密文件很好理解,也很常用,比如我们常用的Word等这样的程序就能够对产生的文档进行加密。这种加密方法很容易实现,但它很容易破解,另外,被加密的文件在解密的时候会产生一个解密的副本在临时文件夹,有时又没有将其删除,其结果是非常危险的。另外,Win
NT在用户模式下使用加密文件的方法,操作系统将把密码保存在一个记录文件中。如果能够进入这个记录文件,那么就会进
入用这个密码加密过的数据,所以,这也是不安全的。
磁盘加密用一个密码来对整个磁盘进行加密,就像是用户输入一个密码来锁住磁盘。但这样做并不方便,需要对整个磁盘进行加密,加解密时间较长。
文件加密系统(EFS)与上面几种加密方法相比有很多的优点。由于EFS 加密技术被集成到操作系统中,所以使用者如果不能通过操作系统的检查,那么就不能对磁盘进行操作。Win2000的EFS驱动程序运行在内核模式中,所以它的保障是更多的。EFS对于使用者来说是透明的,用户可以用操作系统产生的随机密码来加密文件,并可以无条件地进入自己加密过的文件,而不需在使用前先解密。但另外的用户却无法进入被加密过的文件。
EFS使用公用密码技术,用一个随机的文件加密密码(FEK)来加密数据。用密码加密的共用系统有两个密码: 公用密码和私人密码。公用密码是公开的,私人密码则只有用户自己知道。用户用公用密码来加密数据,用私人密码解密数据。NTFS用具有所谓的数据解密域(DDF)和数据恢复域(DRF)属性的加密文件存放加密后的 FEK清单。
EFS的密码存放机制建立在Win2000 Crypto API结构上,它把用户的公用密码、私人密码和随机产生的密码分开存放。这样就提高了安全属性。
二、EFS的实现
Win2000把EFS作为一个文件属性来供用户选择,在任何一个文件或文件夹上点击右键,选择“属性”,在选择“高级”时(前提是你的硬盘格式必须是NTFS),在新出现的窗口里我们就可以直接加密文件了(这时要注意,加密选项与压缩选项并不能同时进行,我们不能对NTFS压缩的文件进行加密)。加密后的文件只有本人才能够打开,另外的用户就不会看到被加密过的文件的内容了。而我们本人使用加密的文件时是透明的,就像我们用普通的文件一样,不需要进行解密等操作。
还有一个很重要的问题是,如果我们重新安装了操作系统,那么被加密过的文件怎么办呢?这时我们就需要把密码备份了。请看下面的操作。
在“控制面板”里面点击“用户和密码”,在弹出的窗口里点“高级”→ “证书”按钮,就会出现“证书”窗口。选中我们的密码,点击“导出”,就会出现“证书导出向导”。在里面我们可以选择导出私人密码或者不导出私人密码。如果我们要备份密码,以便在重装系统时能够解开我们加密过的文件,那么就选择导出私匙。如果我们想让一位朋友把一份很重要的文件加密后给自己,那么就不导出私人密码,然后把导出的公用密码给他,让他用这个公用密码加密文件,然后把文件给自己,就可以自己来解开了,是很安全的。如果选择“导出私人密码”,那么在下面出现的窗口会要求我们为这个私人密码输入一个密码来保证它的安全(下次在导入这个私人密码的时候会要求我们来进行密码确认的)。再点击下一步,选择导出的格式和一些相关调整,根据个人需要来进行选择。然后选择导出的位置,最后结束。将导出的文件进行保存,以便于重装系统后用其来进行解密。
在重装系统后,我们同样要进行证书的导入工作。方法是:点击“控制面板”里的“用户和密码”,再点击“高级”,点击“证书”,在证书窗口中点击 “导入”就会出现“证书”导入向导窗口,点击“下一步”。在弹出的窗口中选择我们保存好的证书文件,选好后点击下一步,在出现的窗口里面输入我们为了保证证书的安全所设定的密码,并进行相应的个人选择。再点击下一步,在新出现的窗口里,这时我们要先按照默认值自动选择存储区,然后再进行一次导入工作,和前几步做的一样。但我们不在使用默认设置,而是选择“将所有证书放入下列存储区”后点击浏览按钮,在出现的窗口里选择“个人”。这时我们 就可以解开以前加密过的文件了。
在安装完Win2000后,系统默认的加密级别是56位,我们可以在微软的网站上下载一个文件增加我们的加密级别,可以升级到128位,这会极大地提高加密的安全性。
总的来说,Win2000的EFS是非常大的一个进步,的确可以在给我们带来方便的同时,也能够带来极高的安全性。
