Windows数据安全教程之EFS

什么是EFS加密

EFS加密是基于公钥策略的。

EFS加密系统对用户是透明的。这也就是说,如果你加密了一些数据,那么你对这些数据的访问将是完全允许的,并不会受到任何限制。而其他非授权用户试图访问加密过的数据时,就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。

如何加密文件

为了保证数据安全,推荐在移动硬盘上加密私人文件。

  • 确认所需要加密的文件是保存在 NTFS 分区上。
  • 另外最好是把需要加密的文件放在几个文件夹里。磁盘根目录不适合放需要加密的文件。当然也能针对一个文件进行下面的加密操作。
  • 在需要加密的文件夹上点右键,选择属性,然后勾选如图的勾,并点OK,然后点属性窗口的应用,然后选择应用到子文件夹和文件。视文件夹大小所需时间不同。最好是预先建立好空文件夹,然后把需要加密保护的文件放在这个文件夹内即可。
  • 加密完成后,系统应该会提示需要备份加密的证书。此时只要按照向导把证书备份到一个地方就可以了。期间需要输入保护证书的密码

  • 密码很重要,在更换系统(电脑)或者重装系统后需要重新导入以解密之前加密的文件,导入证书时需要输入此密码,务必牢记

备份加密的证书

  • 如果系统没有提示备份证书。则需要手动备份,步骤如下
  • 点击开始->运行,输入 certmgr.msc,然后回车,在左窗格展开“个人”/“证书”目录。如下图所示。

  • 我们需要的是预期目的被标记为加密文件系统的证书,在备份的时候记得不要选错了。,然后右键 选择所有任务->导出选项,然后在

  • 欢迎使用证书导出向导对话框中单击下一步按钮。

  • 然后在选择是否导出私钥的时候,务必选择 ,然后选择保存位置。最后点导出。

  • 看到导出成功后,应该能在保存位置看到一个 扩展名是pfx的文件,如果没有开启显示已知的扩展名的话应该看不到pfx,但是会有如图的这个图标

  • 可选安全操作步骤

    • 删除已经导出的这个证书,然后双击导出的这个pfx文件重新导入,在如下操作框内,不要勾选允许导出私钥,以保证不被他人恶意导出私钥用来解密你的文件

配置灾难恢复证书

为了防止之前导出的证书丢失,导致加密的文件不能访问,可以在系统里配置另外一个恢复证书,每次使用主证书加密文件的时候会把恢复证书信息也添加到加密后的文件中以保证灾难时能正常恢复加密的文件。 另外 需要Windows7 旗舰版 才能使用恢复代理 功能。

  • 依次点击开始->运行,输入secpol.msc,然后回车,以打开“本地安全策略”。
  • 单击“公钥策略”,右键单击“加密文件系统”,然后单击“添加数据恢复代理程序”。此操作将打开添加故障恢复代理向导,直接点击下一步。

  • 然后在下一个窗口点击浏览选择和这个PDF文件一起的recovery.cer证书文件

  • 随后在下一个警告窗口中直接点确定就能导入恢复证书,导入完成后如之前那张图所示有一个Chinni的证书就表示成功。

  • 最后需要刷新下策略,依次点击开始->运行,cmd,然后在命令行窗口里直接输入gpupdate,然后回车,稍等片刻就可以了。

配置新设备

在新的机器上使用移动硬盘,需要先安装之前导出的证书文件,然后最好配置灾难回复证书,然后再在新设备上操作加密的文件/文件夹。

  • 如果遇到系统重装,或者需要在新的电脑上使用已加密的文件则需要导入之前备份的pfx证书即可。导入的时候需要提供之前导出证书时候输入的密码。

参考文档

其他注意事项

  • 视频文件,例如电影什么的可以不加密就不要加密。主要加密的是自有数据。比如文档照片之类的。
  • 另外比较推荐 坚果云(https://www.jianguoyun.com) 这个服务。大家可以去注册一个账号试用一下。可以把任意系统上的文件夹同步到网络。也有版本控制,能保留30天内的文件变更的历史版本。一般免费版够用。