加密文件系统 (EFS)

2025年1月30日 | 阅读 5 分钟

什么是加密文件系统 (EFS)?

通过加密不同 Microsoft Windows 操作系统变体上的文件夹或文件,加密文件系统增加了额外的安全级别。 EFS 是新技术的 New Technology File System (NTFS) 的一项功能,已集成到设备的操作系统中。它利用复杂的加密方法,简化了文档或文件夹的加密和解密过程。

Encrypting File System (EFS)

EFS 加密可以保护有价值的文档,使其免受攻击者和信息窃贼的侵害,这些攻击者未经授权即可访问计算机系统或设备。

NTFS 和 EFS

NFTS 在 Windows 计算机上启用 EFS。NTFS 是一种集成的用于存储和检索数据的系统。EFS 的最终目标是对硬盘数据进行加密,以防止未经授权的攻击者物理访问。EFS 进一步保证数据只能由授权人员或授权接收者解密,并且他们可以一键完成。

经理和其他个人也可以查看这些加密的文件,但他们必须拥有相应的权限。未经授权的人员无法打开这些文档。根据尝试访问文档及其内容的程序,用户会收到警告通知。

EFS 解释

EFS 是一种基于用户的加密控制方法,允许个人管理谁可以访问其计算机上的数据。通常,在使用 EFS 时,加密是在目录级别进行的。这样,我们可以确保添加到加密文件夹中的任何文件都会立即被加密。消费者也可以同时选择和加密特定文档。无论何时访问这些文档,即使它们已被锁定和保护,也都可以立即使用。

将来移动到加密文件夹的任何文件都将被加密并立即得到保护。但是,通过使用“仅此文件”的自定义选项,用户可以选择不自动加密其数据。

当文件被指定为加密时,EFS 会在静默模式下运行,不会干扰用户活动。将文件移动到新文件夹甚至另一个硬盘驱动器都不会移除加密。

当授权人员打开目录或文件时,系统会立即对其进行解密。为了保持文件的加密安全,在他们存储文件后,会再次执行加密。未经授权的用户无法移动、修改、复制或访问加密的文件或文件夹。相反,根据尝试访问文档或其内容的程序,用户会收到“权限被禁止”之类的警报。

EFS 如何工作?

EFS 利用公钥加密方法来加密和解密文件(或文件夹)。当个人想要保护电子文档或文件夹时,EFS 会生成 X.509 证书。RSA 技术为该证书生成一对私钥/公钥组合,EFS 是其中的一项密钥用途。如果使用证书的个人丢失了证书且无法进行解密,则恢复代理用户或相关密钥的所有者可以解密数据。使用 RSA 技术生成存储在证书中的公钥和私钥。

用户的个人配置文件是 EFS 存储其私钥的地方。与用户创建的文档一起,它还保存公钥。文档必须由用户解密。为了让其他人能够为个人保护信息,必须提供他们的公钥。但是,私钥仍然是保密的,因为只有所有者能够解密它。此外,当信息被加密后,只有使用公钥进行加密的那些人才能解密它。

EFS 使用标准的 Advanced Encryption Standard (AES) 密码,在加密前创建一个安全且强大的随机密钥。此密钥(而不是信息本身)使用 RSA 技术进行加密。然后,AES 密钥由公钥 RSA 密钥加密,然后用于加密实际信息。

EFS 的特点

以下是 EFS 的一些主要特点:

  • 消费者只需在文件属性中选择或取消选择一个单选按钮即可启用或禁用加密。
  • 它有一个数据恢复系统。
  • EFS 支持稀疏文件加密。
  • 用户可以共享已加密的文件。

EFS 的优势

与许多其他第三方加密程序相比,EFS 具有一些优势,例如:

  • 加密和解密文档的授权人员可以查看加密和解密的每一个步骤。
  • 文件加密后,用户不再需要跟踪密码。
  • EFS 凭借其强大的密钥安全性,降低了字典攻击的可能性,这使其区别于许多其他由用户提供的密码生成密钥的系统。
  • 由于加密和解密过程在内核模式下运行,因此密钥不会留在可能被攻击者提取的页面文件中。
  • 在原始授权人员不再可用的情况下(例如因部门调动或员工离职),系统管理员可以使用 EFS 数据检索方法检索使用 EFS 加密的文件中存储的数据。
  • 经理可以使用工具使用 EFS 识别加密信息,并将其分配给有权解密这些文档或文件夹的账户。

EFS 的最佳实践

较新版本的 EFS 提供可信赖的加密。然而,可能存在某些安全风险,特别是如果系统管理员未能维持强大的组加密策略或在忘记凭据时未能跟踪恢复代理。为了避免这些问题,遵守一些 EFS 推荐实践至关重要。

限制私钥的持有者

如果未经授权的人员访问了私钥,他们就可以像黑客或信息窃贼一样解密 EFS 数据。因此,维护这些私钥并限制对其的访问至关重要。

为了阻止未经授权的人员解密机密信息,私钥应始终保存在安全的地方。除了私钥外,还必须使用恢复密钥。管理员必须设置多个恢复标识,并将备份恢复密钥保存在不同的设备上。

继续备份

如果 EFS 更换了恢复代理,则必须保留所有私钥和恢复证书的副本。最好保留使用早期恢复代理保护的旧数据的冗余副本。此外,用户应单独检查每个文件,而不是假设所有 EFS 文件都已使用更新的恢复代理更新。

利用恢复代理账户

这些账户除了用于恢复外,不应有其他用途。在不同计算机上维护至少两个恢复代理账户,可以防止因单一故障点而导致敏感数据永久丢失。

加密虚拟驱动器或整个分区

仅对需要额外安全限制的文件夹使用 EFS 是保持服务器以最高速度运行的最佳方法。除非绝对有必要满足特定的业务要求,否则不应加密虚拟驱动器或整个分区。

下一主题大数据优缺点





相关帖子




Logo

我们提供所有技术(如 Java 教程、Android、Java 框架)的教程和面试问题

联系信息

G-13, 2nd Floor, Sec-3, Noida, UP, 201301, India

hr@tpointtech.com

+91-9599086977

关注我们
Tpoint Tech Facebook PageTpoint Tech X PageTpoint Tech Linkedin PageTpoint Tech Telegram ChannelTpoint Tech Youtube ChannelTpoint Tech instagram Page
教程
Java 数据结构 C 语言 C++ 教程 C# 教程 PHP 教程HTML 教程 JavaScript 教程jQuery 教程Spring 教程
面试题
Microsoft Amazon Adobe Intuit Accenture Cognizant Capgemini Wipro Tcs Infosys
在线编译器
C R C++ Php Java Html Swift Python JavaScript TypeScript
最新帖子 | 教程列表 | 隐私政策 | 关于我们 | 联系我们
© 版权所有 2011 - 2025 TpointTech.com。保留所有权利。