แนวทางปฏิบัติที่ดีที่สุดสำหรับ Encrypting File System

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 223316 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

Microsoft Windows รวมความสามารถในการเข้ารหัสลับข้อมูลบนไดรฟ์ข้อมูลที่ใช้ระบบแฟ้ม NTFS เพื่อให้ผู้ใช้อื่นไม่สามารถใช้ข้อมูล โดยตรง คุณสามารถเข้ารหัสลับแฟ้มและโฟลเดอร์ถ้าคุณได้ตั้งค่าแอตทริบิวต์ของวัตถุคุณสมบัติกล่องโต้ตอบ

เนื่องจากกระบวนการเข้ารหัส/ถอดรหัสลับเป็นแบบโปร่งใสกับผู้ใช้ ตรวจสอบให้แน่ใจว่า องค์กรที่ต้องการใช้การเข้ารหัสลับแฟ้มทั้งหมดเลื่อนระดับแนวทางที่เข้มงวดเกี่ยวกับการใช้

ข้อมูลเพิ่มเติม

ต่อไปนี้คือ รายการของแนวทางปฏิบัติมาตรฐานที่ใช้งาน:
  • สอนผู้ใช้สามารถส่งออกใบรับรองและคีย์ส่วนตัวเหล่านั้นไปยังสื่อที่ถอดออกได้ และการจัดเก็บสื่ออย่างปลอดภัยเมื่อไม่ใช้ สำหรับปลอดภัยเป็นไปได้ที่มากที่สุด คีย์ส่วนตัวต้องถูกเอาออกจากคอมพิวเตอร์เมื่อคอมพิวเตอร์ไม่ได้ใช้งาน ซึ่งป้องกันจากผู้โจมตีที่ขอรับเครื่องคอมพิวเตอร์ และพยายามเข้าถึงคีย์ส่วนตัวทางกายภาพ เมื่อต้องสามารถเข้าถึงแฟ้มที่เข้ารหัส คีย์ส่วนตัวสามารถได้อย่างง่ายดายสามารถนำเข้าจากสื่อที่ถอดออก
  • การเข้ารหัสลับโฟลเดอร์เอกสารของฉันสำหรับ(ผู้ใช้ทั้งหมดUser_profileเอกสาร \My) ซึ่งทำให้แน่ใจว่า มีการเข้ารหัสโฟลเดอร์ส่วนบุคคล ที่เก็บเอกสารส่วนใหญ่ โดยค่าเริ่มต้น
  • สอนผู้ใช้แต่ละแฟ้มที่เข้ารหัสลับไม่เคย แต่ การเข้ารหัสลับโฟลเดอร์ โปรแกรมที่ทำงานกับแฟ้มในหลาย ๆ วิธี การเข้ารหัสลับแฟ้มอย่างสม่ำเสมอที่ระดับโฟลเดอร์ทำแน่ใจว่าการถอดรหัสว่า แฟ้มจะไม่โดยไม่คาดคิดลับ
  • คีย์ส่วนตัวที่เกี่ยวข้องกับใบรับรองการกู้คืนข้อมูลสำคัญมาก คีย์เหล่านี้ต้องสร้างอย่างใดอย่างหนึ่งบนคอมพิวเตอร์ที่ไม่ปลอดภัยทางกายภาพ หรือใบรับรองของพวกเขาต้องถูกส่งออกไปยังไฟล์.pfx ได้รับการป้องกัน ด้วยรหัสผ่านที่รัดกุม และบันทึกไว้บนฮาร์ดดิสก์ที่เก็บไว้ในที่ปลอดภัยทางกายภาพ
  • ใบรับรองของผู้ทำหน้าที่กู้คืนข้อมูลต้องถูกกำหนดให้กับบัญชีผู้ทำหน้าที่กู้คืนพิเศษที่ไม่ได้ใช้สำหรับวัตถุประสงค์อื่นใด
  • ไม่ทำลายใบรับรองการกู้คืนหรือคีย์ส่วนตัวเมื่อมีเปลี่ยนผู้ทำหน้าที่กู้คืน (ผู้ทำหน้าที่มีเปลี่ยนเป็นระยะ ๆ) เก็บแฟ้มทั้งหมด จนกว่าจะมีการปรับปรุงแฟ้มทั้งหมดที่อาจได้รับการเข้ารหัส ด้วยเหล่านั้น
  • ระบุการกู้คืน ตั้งแต่สองบัญชีของบริษัทตัวแทนสำหรับแต่ละหน่วยองค์กร (OU), ขึ้นอยู่กับขนาดของ OU กำหนดเครื่องคอมพิวเตอร์ ตั้งแต่สองสำหรับการกู้คืน หนึ่งสำหรับแต่ละบัญชีของผู้ทำหน้าที่กู้คืนที่กำหนดไว้ ให้สิทธิ์แก่ผู้ดูแลระบบที่เหมาะสมเพื่อใช้บัญชีของผู้ทำหน้าที่กู้คืน ควรมีบัญชีสองของผู้ทำหน้าที่กู้คืนเพื่อให้การสำรองสำหรับการกู้คืนแฟ้มได้ มีคอมพิวเตอร์สองเครื่องที่จัดเก็บคีย์เหล่านี้ให้สำรองเพิ่มเติมเพื่ออนุญาตการกู้คืนข้อมูลที่สูญหายไป
  • ใช้โปรแกรมที่เก็บถาวรของผู้ทำหน้าที่กู้คืนเพื่อให้แน่ใจว่า แฟ้มที่เข้ารหัสลับสามารถกู้คืน โดยใช้คีย์การกู้คืนที่ล้าสมัย กู้คืนใบรับรองและคีย์ส่วนตัวต้องถูกส่งออก และจัดเก็บไว้ในลักษณะที่มีความปลอดภัย และการควบคุม ideally ตามที่ มีข้อมูลที่มีการรักษาความปลอดภัยทั้งหมด เก็บถาวรต้องถูกเก็บอยู่ใน vault การควบคุมการเข้าถึง และคุณต้องมีการเก็บถาวรที่สอง: วางแผนหลักและการสำรองข้อมูล วางแผนหลักจะเก็บ on-site ในขณะที่การสำรองข้อมูลอยู่ในที่ปลอดภัย off-site
  • หลีกเลี่ยงการใช้แฟ้มที่เก็บพักพิมพ์ในสถาปัตยกรรมของเซิร์ฟเวอร์ของเครื่องพิมพ์ของคุณ หรือตรวจสอบให้แน่ใจว่า แฟ้มที่เก็บพักพิมพ์ถูกสร้างขึ้นในโฟลเดอร์ที่เข้ารหัสลับ
  • Encrypting File System ดำเนินการบางค่าผลิต CPU ทุกครั้งที่ผู้ใช้เข้ารหัสลับ และ decrypts แฟ้ม แผนการใช้งานเซิร์ฟเวอร์ของคุณ wisely โหลดยอดดุลการเซิร์ฟเวอร์ของคุณเมื่อ ไคลเอนต์จำนวนมากใช้ Encrypting File System (EFS)

วิธีการเปิดใช้งานร่วมกันแฟ้ม Encrypting File System

ใน Windows XP, EFS สนับสนุนการใช้แฟ้มร่วมกันของแฟ้มที่เข้ารหัสระหว่างผู้ใช้หลายคน มีการสนับสนุนนี้ คุณสามารถกำหนดผู้ใช้แต่ละสิทธิ์ในการเข้าถึงแฟ้มที่เข้ารหัสลับ ความสามารถในการเพิ่มผู้ใช้เพิ่มเติมถูกจำกัดกับแต่ละแฟ้ม ไม่มีการสนับสนุนสำหรับผู้ใช้หลายคนในโฟลเดอร์ใน Microsoft Windows 2000 หรือ Windows XP นอกจากนี้ การสนับสนุนสำหรับการใช้กลุ่มในแฟ้มที่เข้ารหัสลับไม่มี โดยใช้ EFS

หลังจากที่แฟ้มได้รับการเข้ารหัส การใช้แฟ้มร่วมกันถูกเปิดใช้งานผ่านปุ่มในอินเทอร์เฟซสำหรับผู้ใช้ใหม่ แฟ้มต้องเป็นครั้งแรกที่เข้ารหัสลับ และบันทึกไว้แล้ว ก่อนที่สามารถเพิ่มผู้ใช้เพิ่มเติม ผู้ใช้สามารถเพิ่มเข้ามา จากคอมพิวเตอร์ที่ใช้อยู่ หรือ จากบริการไดเรกทอรี Active Directory ถ้าผู้ใช้ที่มีใบรับรองที่ถูกต้องสำหรับ EFS

สำหรับข้อมูลเกี่ยวกับวิธีการเปิดใช้งานการเข้ารหัส EFS บนแฟ้มและโฟลเดอร์ ให้ดูที่ส่วน "วิธีการเข้ารหัส และถอดรหัสลับโดยใช้ระบบไฟล์ Encrypting"

วิธีการเข้ารหัสแฟ้มสำหรับผู้ใช้หลายคน

หมายเหตุ:ขั้นตอนนี้ใช้กับ Windows XP เท่านั้น You cannot encrypt a file for multiple users in Windows 2000.

To do this, follow these steps:
  1. Start Microsoft Windows Explorer, and then select the encrypted file that you want to add additional users to.
  2. Right-click the encrypted file, and then clickคุณสมบัติ.
  3. คลิกขั้นสูงto access the EFS settings.
  4. คลิกรายละเอียดto add additional users.
  5. คลิกadd. กระบวนการadddialog box will display any other EFS-capable certificates in your personal store or those of any other users who may be in your "Other People" and "Trusted People" certificate stores.

    If you do not see the user who you want to add, clickFind Userto search Active Directory. กระบวนการSelect Userหน้าต่างปรากฏขึ้น A dialog box displays valid EFS certificates in Active Directory based on your search criteria. If no valid certificate is found for that user, a message will inform you that there are no appropriate certificates for the selected user. In this case, the intended users must send you a copy of their certificate for you to import. You can then add them to your encrypted file.
  6. Select the certificate of the user who you want to add, and then clickตกลง. You will be returned to theรายละเอียดtab, and the tab will show the multiple users who will have access to the encrypted file and the users' EFS certificates.
  7. Repeat this process until you have added all the users who you want to add. คลิกตกลงto register the change and continue.
หมายเหตุ:Any user who can decrypt a file can also remove other users if the user who does the decrypting also has write permissions on the file.

How to encrypt and decrypt using the Encrypting File System

The following steps encrypt and decrypt a file or folder using the Encrypting File System.

หมายเหตุ:These guidelines apply to Windows 2000 and Windows XP.

Encrypting a folder

Although you can encrypt files individually, we strongly recommend that you designate a specific folder for storing encrypted data.

Encrypt a folder and its contents


Although you can encrypt files individually, generally it is a good idea to designate a specific folder where you will store your encrypted files, and to encrypt that folder. If you do this, all files that are created in or moved to this folder will automatically obtain the encrypted attribute.

To encrypt a folder and its current contents, follow these steps:
  1. Right-click the folder that you want to encrypt, and then clickคุณสมบัติ.
  2. ในการคุณสมบัติกล่องโต้ตอบ คลิกขั้นสูง.
  3. กระบวนการAdvanced Attributesdialog box displays attribute options for compression and encryption. This dialog box also includes archive and indexing attributes.

    หมายเหตุ:Although the NTFS file system supports both compression and encryption, it does not support both at the same time. This means that you can only select one or the other. A file or folder cannot be both encrypted and compressed at the same time.

    To encrypt the folder, click to select theEncrypt contents to secure dataกล่องกาเครื่องหมาย และจากนั้น คลิกตกลง.
  4. คลิกตกลงเมื่อต้องการปิดการAdvanced Attributesกล่องโต้ตอบ
  5. If the folder you chose to encrypt in steps 1 to 3 already contains files, aConfirm Attribute Changesdialog box will appear.

    You can choose to encrypt only the folder so that all files subsequently moved to the folder or created in this folder will be encrypted. If you want to also encrypt all the contents of this folder, clickApply changes to this folder, subfolders, and filesแล้ว คลิกตกลง.

Decrypting a folder

To decrypt a folder, use basically the same process but in reverse order:
  1. Right-click the folder that you want to decrypt, and then clickคุณสมบัติ.
  2. คลิกขั้นสูง.
  3. คลิกเพื่อยกเลิกเลือกนั้นEncrypt contents to secure datacheck box to decrypt the data.
  4. คลิกตกลงเมื่อต้องการปิดการแอตทริบิวต์ขั้นสูงกล่องโต้ตอบ
  5. คลิกตกลงเมื่อต้องการปิดการคุณสมบัติกล่องโต้ตอบ
  6. หากโฟลเดอร์ที่มีแฟ้มใน หมายยืนยันการเปลี่ยนคุณลักษณะกล่องโต้ตอบปรากฏขึ้น คุณสามารถเลือกที่จะถอดรหัสลับเฉพาะโฟลเดอร์ได้ การถอดรหัสอย่างไรก็ตาม ซึ่งจะไม่ลับแฟ้มที่ประกอบด้วยอยู่ในโฟลเดอร์

    ถ้าคุณต้องการถอดรหัสลับเนื้อหาทั้งหมดของโฟลเดอร์นี้ คลิกใช้การเปลี่ยนแปลงไปยังโฟลเดอร์ โฟลเดอร์ย่อย และแฟ้มนี้แล้ว คลิกตกลง.

Additional information:

วิธีการเข้ารหัสแฟ้ม

มีการเข้ารหัสลับแฟ้มโดยใช้การ algorithms ที่การจัดเรียง ใหม่ scramble, essentially และเข้ารหัสข้อมูล คู่คีย์ถูกสร้างขึ้นแบบสุ่มเมื่อคุณเข้ารหัสลับแฟ้มแรกของคุณ คู่คีย์นี้ขึ้นเป็นส่วนตัวและคีย์สาธารณะ คู่ของคีย์ที่ใช้ในการเข้ารหัส และถอดรหัสไฟล์ที่เข้ารหัส

ถ้าคีย์คู่สูญหาย หรือเสียหายและคุณ ได้ไม่ ถูกกำหนดเป็นผู้ทำหน้าที่กู้คืน และจากนั้น ไม่มีวิธีการกู้คืนข้อมูล

เหตุใดคุณต้องสำรองข้อมูลใบรับรองของคุณ

Because there is no way to recover data that has been encrypted with a corrupted or missing certificate, it is critical that you back up the certificates and store them in a secure location. You can also specify a recovery agent. This agent can restore the data. The recovery agent's certificate serves a different purpose than the user's certificate.

How to back up your certificate

To back up your certificates, follow these steps:
  1. Start Microsoft Internet Explorer.
  2. ในการเครื่องมือเมนู คลิกInternet Options.
  3. ในการเนื้อหาแท็บ ในการใบรับรองส่วน คลิกใบรับรอง.
  4. คลิกการส่วนบุคคลแท็บ

    หมายเหตุ:There may be several certificates present, depending on whether you have installed certificates for other purpose.
  5. Select one certificate at a time until theCertificate Intended Purposesfield showsEncrypting File System. This is the certificate that was generated when you encrypted your first folder.
  6. คลิกส่งออกto start theCertificate Export Wizardแล้ว คลิกถัดไป.
  7. คลิกใช่ ส่งออกคีย์ส่วนตัวto export the private key, and then clickถัดไป.
  8. คลิกEnable Strong protectionแล้ว คลิกถัดไป.
  9. พิมพ์รหัสผ่านของคุณ (You must have a password to protect the private key.)
  10. Specify the path where you want to save the key. You can save the key to a floppy disk, another location on the hard disk, or a CD. If the hard disk fails or is reformatted, the key and the backup will be lost. (If you back up the key to a floppy disk or CD, you must store that disk or CD in a secure location.)
  11. Specify the destination, and then clickถัดไป.
For additional information about the Encrypting File System (EFS), visit the following Microsoft Web site:
Encrypting File System in Windows 2000
http://technet.microsoft.com/en-us/library/dd277413.aspx

Encrypting File System in Windows XP and Microsoft Windows Server 2003
http://technet.microsoft.com/en-us/library/cc700811.aspx

คุณสมบัติ

หมายเลขบทความ (Article ID): 223316 - รีวิวครั้งสุดท้าย: 8 มกราคม 2554 - Revision: 2.0
ใช้กับ
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
Keywords: 
kbproductlink kbhowto kbenv kbinfo kbmt KB223316 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:223316

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com