加密文件系统的最佳做法

Microsoft Windows 具有对使用 NTFS 文件系统的卷上的数据直接加密的功能，以便其他用户无法使用该数据。如果在对象的“属性”对话框中设置了属性，则可以对文件和文件夹进行加密。

由于加密/解密过程对用户而言是透明的，应确保要使用文件加密的组织充分宣传有关其用法的坚定准则。

以下是标准做法的列表：

• 指导用户将其证书和私钥导出到可移动媒体中，并且在不使用媒体时妥善保存它。为了尽可能获得最高安全性，在不使用计算机时，一定要从计算机中删除私钥。这可以防止对计算机具有物理访问权限的攻击者试图访问该私钥。在必须访问加密的文件时，可以从可移动媒体轻松导入私钥。
• 应加密所有用户的 My Documents 文件夹 (User_profile\My Documents)。这可以确保该个人文件夹在默认情况下已加密，因为大多数文档都存储在这里。
• 指导用户不要加密单个文件，而是加密文件夹。程序以各种方式对文件进行处理。在文件夹级别统一加密文件，可以确保文件不会被意外解密。
• 与恢复证书关联的私钥是极其敏感的。这些密钥必须在物理安全的计算机上生成，或者必须将其证书导出到 .pfx 文件中，该文件不仅要用强密码保护，而且保存该文件的磁盘一定要存放在物理安全位置。
• 恢复代理证书必须分配给不用于任何其他用途的专用恢复代理帐户。
• 更改恢复代理时不要毁坏恢复证书或私钥。（代理会定期更改。）保留所有这些证书或私钥，直到用它们加密的所有文件都得到更新为止。
• 根据组织单位 (OU) 的大小，为每个组织单位指定两个或多个恢复代理帐户。指定两台或多台计算机用于恢复，为每个恢复代理帐户分别指定一台。为适当的管理员授予使用恢复代理帐户的权限。最好拥有两个恢复代理帐户，以便为文件恢复提供冗余。在两台计算机上保留这些密钥，可以提供更多冗余以便能够恢复丢失的数据。
• 执行恢复代理存档程序，以确保可使用过期恢复密钥恢复加密的文件。必须导出恢复证书和私钥，并以安全的受控方式保存它们。理想情况下，存档就像所有安全数据一样，必须存储在访问受控制的电子仓库中，并且您必须有两份存档：一个主存档和一个备份存档。主存档应保存在现场，而备份存档应位于现场之外的安全位置。
• 避免在打印服务器体系结构中使用打印假脱机文件，或者确保在加密的文件夹中生成打印假脱机文件。
• 每次用户加密和解密文件时，加密文件系统都会占用一些 CPU 开销。请明智地计划服务器使用情况。如果有许多客户端在使用加密文件系统 (EFS)，请平衡服务器的负载。

如何启用加密文件系统文件共享

在 Microsoft Windows XP 中，EFS 支持在多个用户之间共享加密文件。利用此支持，您可授予单个用户访问加密文件的权限。只能向单个文件添加其他用户。Microsoft Windows 2000 和 Windows XP 都不支持向文件夹添加多个用户。此外，EFS 也不支持对加密的文件使用组。

加密文件后，可通过用户界面中的一个新按钮来启用文件共享。必须首先加密文件，然后保存该文件，之后才能添加其他用户。可以从本地计算机或 Active Directory 目录服务（如果用户拥有有效的 EFS 证书）添加用户。只能向单个文件添加其他用户。不支持向 EFS 加密文件夹添加多个用户。此外，只有单个用户可以被添加到文件。EFS 不支持对加密的文件使用组。

有关如何对文件夹和文件启用 EFS 加密的信息，请参见“如何使用加密文件系统进行加密和解密”部分。

如何为多个用户加密文件

注意：此过程仅适用于 Windows XP。无法在 Windows 2000 中为多个用户加密文件。

为此，请按照下列步骤操作：

1. 启动 Microsoft Windows 资源管理器，然后选择要向其中添加其他用户的加密文件。
2. 右键单击加密文件，然后单击“属性”。
3. 单击“高级”以访问 EFS 设置。
4. 单击“详细信息”以添加其他用户。
5. 单击“添加”。“添加”对话框将显示个人存储区中的任何其他支持 EFS 的证书，或“其他人”和“受信任人”证书存储区中的任何其他用户的同类证书。
   
   如果您要添加的用户不在其中，请单击“查找用户”以搜索 Active Directory。将显示“选择用户”窗口。出现一个对话框，它根据您的搜索条件显示 Active Directory 中的有效 EFS 证书。如果没有为该用户找到有效证书，将显示一条消息，通知您没有适用于选定用户的证书。在这种情况下，目标用户必须将其证书副本发送给您，以便导入。然后您就可以将他们添加到加密文件中。
6. 选择要添加的用户的证书，然后单击“确定”。您将返回到“详细信息”选项卡，该选项卡将显示有权访问加密文件的多个用户以及用户的 EFS 证书。
7. 重复此过程，直到添加完所有要添加的用户为止。单击“确定”以注册更改并继续。

注意：如果进行解密的用户对文件拥有写权限，则可解密文件的任何用户都可以删除其他用户。

如何使用加密文件系统进行加密和解密

按照以下步骤操作，可使用加密文件系统加密和解密文件或文件夹。

注意：这些指南适用于 Windows 2000 和 Windows XP。

加密文件夹

尽管您可以分别加密各个文件，但极力建议您指定一个特定文件夹来存储加密的数据。

加密文件夹及其内容

尽管您可以分别加密各个文件，但一般来说，最好还是指定一个特定文件夹来存储加密的文件，然后加密该文件夹。这样一来，在该文件夹中创建的所有文件或移至该文件夹的文件，都将自动获得加密属性。

要加密文件夹及其当前内容，请按照下列步骤操作：

1. 右键单击要加密的文件夹，然后单击“属性”。
2. 在“属性”对话框中，单击“高级”。
3. 将出现一个“高级属性”对话框，显示用于压缩和加密的属性选项。此对话框还包含存档和索引属性。
   
   注意：尽管 NTFS 文件系统既支持压缩又支持加密，但不同时支持压缩和加密。这意味着您只能选择其中之一。不能同时加密并压缩文件或文件夹。
   
   要加密文件夹，请单击以选中“加密内容以便保护数据”复选框，然后单击“确定”。
4. 单击“确定”以关闭“高级属性”对话框。
5. 如果您在步骤 1 至 3 中选择要加密的文件夹中已包含有文件，则会出现“确认属性更改”对话框。
   
   可以选择仅加密文件夹，以便所有以后移至该文件夹的文件或在该文件夹中创建的文件都会被加密。如果还想加密此文件夹的所有内容，请单击“将改动应用于这个文件夹、子文件夹和文件”，然后单击“确定”。

解密文件夹

解密文件夹时所使用的过程与上述过程基本相同，只是顺序相反：

1. 右键单击要解密的文件夹，然后单击“属性”。
2. 单击“高级”。
3. 单击以清除“加密内容以便保护数据”复选框，以解密数据。
4. 单击“确定”以关闭“高级属性”对话框。
5. 单击“确定”以关闭“属性”对话框。
6. 如果该文件夹中含有文件，则会出现“确认属性更改”对话框。可以选择仅解密该文件夹。但是，这样不会解密该文件夹中当前包含的任何文件。
   
   如果要解密此文件夹的所有内容，请单击“将改动应用于这个文件夹、子文件夹和文件”，然后单击“确定”。

其他信息

文件是如何加密的

文件是使用算法进行加密的，算法实质上就是对数据进行重新排列、加密然后编码。当加密第一个文件时，会随机生成一个密钥对。密钥对由一个私钥和一个公钥组成，用于编码和解码加密的文件。

如果密钥对丢失或损坏，并且没有指定恢复代理，则无法恢复数据。

为什么必须备份证书

如果加密时所使用的证书损坏或丢失，则无法恢复数据，因此必须备份证书并将其存储在安全位置，这一点至关重要。也可以指定恢复代理。此代理可以恢复数据。恢复代理的证书与用户证书分别用于不同目的。

如何备份证书

要备份证书，请按照下列步骤操作：

1. 启动 Microsoft Internet Explorer。
2. 在“工具”菜单上，单击“Internet 选项”。
3. 在“内容”选项卡的“证书”部分，单击“证书”。
4. 单击“个人”选项卡。
   
   注意：根据您是否安装了用于其他目的的证书，可能会出现多个证书。
5. 每次选择一个证书，直到“证书的预期目的”字段显示“加密文件系统”。这是加密第一个文件夹时生成的证书。
6. 单击“导出”以启动“证书导出向导”，然后单击“下一步”。
7. 单击“是，导出私钥”以导出私钥，然后单击“下一步”。
8. 单击“启用加强保护”，然后单击“下一步”。
9. 键入密码。（必须用密码保护私钥。）
10. 指定要保存该密钥的路径。密钥可保存在软盘、硬盘上的其他位置或 CD 中。如果硬盘出现故障或进行重新格式化，则密钥和备份将丢失。（如果将密钥备份到软盘或 CD 上，则必须将该软盘或 CD 存放到安全位置。）
11. 指定目标位置，然后单击“下一步”。

有关加密文件系统 (EFS) 的其他信息，请访问下面的 Microsoft 网站：