文章編號: 223316 - 上次校閱: 2007年10月26日 - 版次: 12.2

加密檔案系統的最佳作法

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

結論

Microsoft Windows 包含可直接在使用 NTFS 檔案系統上的磁碟區加密資料的功能,讓其他使用者無法使用此資料。如果您在物件的 [內容] 對話方塊中設定相關屬性,就可以加密檔案和資料夾。

由於使用者可以看到加密/解密程序,因此,想要使用檔案加密的組織務必全面推廣此用法的指導方針。
回此頁最上方

其他相關資訊

下列列出標準的作法:
  • 教導使用者將憑證和私密金鑰匯出至卸除式媒體,並在不使用卸除式媒體的時候,將卸除式媒體存放在安全的地方。為了儘可能得到最大安全性,當電腦不在使用中時,務必將私密金鑰從電腦移除。這樣可以防止攻擊者實際取得電腦控制權並嘗試存取私密金鑰。當使用者需要存取加密的檔案時,可以輕易地從卸除式媒體匯入私密金鑰。
  • 加密所有使用者的 [My Documents] 資料夾 (User_profile\My Documents)。這樣可確保存放大部分文件的個人資料夾會依預設而加密。
  • 教導使用者絕對不要加密個別檔案,而是加密整個資料夾。程式會以各種不同的方式來處理檔案。一致地在資料夾層級加密檔案可以確保檔案不會意外地解密。
  • 處理與修復憑證關聯的私密金鑰時,必須特別謹慎小心。這些金鑰必須是在實體上受到安全保護的電腦上產生,或者這些金鑰的憑證必須匯出至 .pfx 檔案,再以強式密碼保護並儲存在確實安全之位置的磁碟上。
  • 修復代理憑證必須指派給特殊的修復代理帳戶,此帳戶不得用於任何其他用途。
  • 修復代理有所變更時,請勿破壞修復憑證或私密金鑰 (代理會定期變更)。請保留所有憑證或私密金鑰,直到所有使用這些憑證或私密金鑰加密的檔案都已更新為止。
  • 根據組織單位 (OU) 的大小而定,為每個組織單位指定兩個以上的修復代理帳戶。請指定兩部以上的電腦來進行修復,並指定一部電腦供每個指定的修復代理帳戶使用。將權限授與適當的系統管理員,以使用修復代理帳戶。建議您指定兩個修復代理帳戶,做為檔案修復的備援。使用兩部電腦來存放這些金鑰可以提供更多備援,以用於修復遺失的資料。
  • 實作修復代理封存程式,以確保可以使用過時的修復金鑰來修復加密的檔案。必須匯出修復憑證與私密金鑰,並以安全的方式來控管這些資料的儲存。對於所有安全的資料,最理想的方式是封存必須儲存在具有存取控制的電子保險箱中,且您必須建立兩份封存:主要封存與備份封存。主要封存可以存放在辦公室中,而備份封存應存放在辦公室以外的安全地點。
  • 避免在您的列印伺服器架構中使用列印多工緩衝處理檔案,如果要使用,請確定列印多工緩衝處理檔案是產生在加密的資料夾中。
  • 每次使用者加密與解密檔案時,加密檔案系統確實會加重 CPU 負荷。因此,請好好規劃您的伺服器使用方式。當許多用戶端都使用者加密檔案系統 (EFS) 時,您必須為伺服器採用適當的負載平衡機制。
回此頁最上方

如何啟用加密檔案系統檔案共用

在 Microsoft Windows XP 中,EFS 支援在多個使用者之間共用加密的檔案。透過此支援,您可以授與個別使用者權限以存取加密的檔案。新增其他使用者的能力受限於個別檔案。不論 Microsoft Windows 2000 或 Windows XP,都不支援授與多個使用者多個資料夾的存取權。此外,EFS 不提供在加密檔案上使用群組的支援。

加密檔案後,可透過使用者介面中的新按鈕來啟用檔案共用。您必須先加密檔案並予以儲存,才能新增其他使用者。您可以從本機電腦或 Active Directory 目錄服務 (若使用者具有有效的 EFS 憑證) 來新增使用者。新增其他使用者的能力受限於個別檔案。不提供在 EFS 加密資料夾上指定多位使用者的功能。此外,只能為檔案新增個別使用者。EFS 不提供在加密檔案上使用群組的支援。

如需有關如何在資料夾與檔案上啟用 EFS 加密的詳細資訊,請參閱<如何使用加密檔案系統進行加密與解密>一節。

如何為多位使用者加密檔案

注意 此程序僅適用於 Windows XP。在 Windows 2000 中,您無法為多位使用者加密檔案。

如果要執行這項操作,請依照下列步驟執行:
  1. 啟動 Microsoft Windows 檔案總管,然後選取您要新增使用者的加密檔案。
  2. 用滑鼠右鍵按一下加密的檔案,然後按一下 [內容]
  3. 按一下 [進階] 以存取 EFS 設定。
  4. 按一下 [詳細資料] 以新增其他使用者。
  5. 按一下 [新增][新增] 對話方塊會顯示您個人存放區中任何其他具有 EFS 功能的憑證,或位於「其他人」或「受信任的人」憑證存放區中屬於任何其他使用者之 EFS 功能的憑證。

    如果沒有看到要新增的使用者,請按一下 [尋找使用者] 以搜尋 Active Directory。隨即會顯示 [選取使用者] 視窗。根據您的搜尋條件,對話方塊會顯示 Active Directory 中的有效 EFS 憑證。如果沒有找到該使用者的有效憑證,隨即會顯示訊息通知您,所選取的使用者沒有適當的憑證。在這種情況下,使用者必須將憑證副本傳送給您,讓您匯入電腦。接著,您就可以將使用者新增至加密的檔案。
  6. 選取要新增之使用者的憑證,然後按一下 [確定]。您會回到 [詳細資料] 索引標籤,並且索引標籤會顯示多個將擁有加密檔案存取權的使用者,以及使用者的 EFS 憑證。
  7. 重複執行此程序,以新增所有您想要新增的使用者。按一下 [確定] 以登錄變更並繼續執行。
注意 如果擁有解密權限的使用者也有該檔案的寫入權限,則該使用者也可以移除其他使用者。
回此頁最上方

如何使用加密檔案系統進行加密與解密

下列步驟使用「加密檔案系統」加密與解密檔案或資料夾。

注意 這些指導方針適用於 Windows 2000 與 Windows XP。

加密資料夾

雖然您可以個別地加密檔案,不過我們強烈建議您指定特定資料夾來儲存加密的資料。

加密資料夾及其內容


雖然您可以個別地加密檔案,一般而言,最好可以指定特定資料夾來儲存加密的檔案,然後再加密該資料夾。如果您執行這項操作,所有在該資料夾中建立的檔案或移動到該資料夾中的檔案都會自動得到加密的屬性。

如果要加密資料夾及其目前內容,請依照下列步驟執行:
  1. 用滑鼠右鍵按一下您想要加密的資料夾,再按一下 [內容]
  2. [內容] 對話方塊中,按一下 [進階]
  3. [進階屬性] 對話方塊會顯示壓縮與加密的屬性選項。此對話方塊也包含封存與索引屬性。

    注意 雖然 NTFS 檔案系統支援壓縮與加密,但您不能同時選擇這兩個選項。也就是說,您一次只能選擇其中一個選項。您不能同時加密並壓縮檔案或資料夾。

    如果要加密資料夾,請按一下以選取 [加密內容,保護資料] 核取方塊,然後按一下 [確定]
  4. 按一下 [確定] 關閉 [進階屬性] 對話方塊。
  5. 如果您在步驟 1 到 3 中選擇要加密的資料夾已經含有檔案,隨即會出現 [確認變更屬性] 對話方塊。

    您可以選擇只加密資料夾,如此,未來移動到此資料夾中的檔案或在此資料夾中建立的檔案也將自動加密。如果要一併加密此資料夾中的所有內容,請按一下 [將變更套用到此資料夾、子資料夾和檔案],然後按一下 [確定]

解密資料夾

如果要解密資料夾,基本上是使用相同的程序,只是順序相反:
  1. 用滑鼠右鍵按一下您想要解密的資料夾,然後按一下 [內容]
  2. 按一下 [進階]
  3. 按一下以清除 [加密內容,保護資料] 核取方塊,以解密資料。
  4. 按一下 [確定] 關閉 [進階屬性] 對話方塊。
  5. 按一下 [確定] 關閉 [內容] 對話方塊。
  6. 如果資料夾存有檔案,隨即會出現 [確認變更屬性] 對話方塊。您可以選擇僅解密資料夾。不過,這並不會解密資料夾中目前包含的任何檔案。

    如果要一併解密此資料夾中的所有內容,請按一下 [將變更套用到此資料夾、子資料夾和檔案],然後按一下 [確定]
回此頁最上方

其他相關資訊

檔案如何加密

檔案是透過演算法從根本上將資料重新排列、變碼與編碼的方式來加密的。當您加密第一個檔案時,會隨機產生金鑰組。此金鑰組是由私密金鑰與公開金鑰所組成。此金鑰組是用來編碼與解碼加密的檔案。

如果金鑰組遺失或毀損,而您尚未指定修復代理,則沒有任何方式可以修復資料。

為什麼一定要備份您的憑證

因為若憑證毀損或遺失,沒有任何方式可以修復先前使用該憑證加密的資料,所以,您必須備份憑證,並將憑證存放在安全的位置。您也可以指定修復代理。此代理可以還原資料。修復代理的憑證與使用者憑證的用途不同。

如何備份憑證

如果要備份憑證,請依照下列步驟執行:
  1. 啟動 Microsoft Internet Explorer。
  2. [工具] 功能表上,按一下 [網際網路選項]
  3. [內容] 索引標籤的 [憑證] 區域中,按一下 [憑證]
  4. 按一下 [個人] 索引標籤。

    注意 這裡可能會顯示數個憑證,需視您是否已安裝其他用途的憑證而定。
  5. 一次選取一個憑證,直到 [憑證使用目的] 欄位顯示 [加密檔案系統] 為止。這是您加密第一個資料夾時產生的憑證。
  6. 按一下 [匯出] 以啟動 [憑證匯出精靈],然後按一下 [下一步]
  7. 按一下 [是,匯出私密金鑰] 以匯出私密金鑰,然後按一下 [下一步]
  8. 按一下 [啟用加強保護],然後按一下 [下一步]
  9. 輸入您的密碼 (您必須使用密碼來保護私密金鑰)。
  10. 指定您要存放金鑰的路徑。您可以將金鑰儲存到磁片、硬碟的其他位置或 CD 上。如果硬碟損毀或重新格式化,金鑰與備份都會遺失 (如果要將金鑰備份到磁片或 CD 上,您必須將磁片或 CD 存放在安全的位置)。
  11. 指定目的地,然後按一下 [下一步]
如需有關「加密檔案系統」(EFS) 的詳細資訊,請造訪下列 Microsoft 網站:
Windows 2000 中的加密檔案系統 (英文)
http://www.microsoft.com/technet/security/prodtech/windows2000/w2kccadm/dataprot/w2kadm21.mspx (http://www.microsoft.com/technet/security/prodtech/windows2000/w2kccadm/dataprot/w2kadm21.mspx)

Windows XP 與 Microsoft Windows Server 2003 中的加密檔案系統(英文)
http://www.microsoft.com/technet/security/guidance/cryptographyetc/efs.mspx (http://www.microsoft.com/technet/security/guidance/cryptographyetc/efs.mspx)
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
回此頁最上方
關鍵字:?
kbhowto kbinfo kbenv kbproductlink KB223316
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。