Microsoft Windows XP操作系统在数据保护方面提供了众多增强特性--特别是Encrypting File System(加密文件系统,EFS)。本文详细描述了针对脱机文件执行加密操作的具体方法,并力求帮助系统设计师和管理人员开发出借助Windows XP创制数据恢复与数据保护策略的最佳实现方式。
EFS文件共享特性
Windows XP操作系统中的EFS特性可在基于同一文件的多个用户之间提供文件共享支持。而这就允许将更多用户添加至某一加密文件,并在此基础上为数据恢复创造条件。尽管新增用户调用权限尚无法通过策略或其它手段得以实现,然而,这的确是一种无须真正使用组对象并在用户间共享专用密钥即可确保多个用户对加密文件执行恢复处理的简便且有效的方法。
当某一文件被初次加密后,文件共享特性即可通过用户界面(UI)上的一个新按钮得到激活。在添加额外用户之前,必须先对相关文件执行加密和保存操作。用户应先调出某一加密文件的Advanced Properties(高级属性)对话框,再单击Details(详细资料)按钮,以便将自己添加到文件共享行列。在具备有效EFS证书的前提下,单个用户还可从本地计算机或Active Directory将其它用户(而非组对象)添加进来。
激活EFS文件共享特性
虽然自Windows 2000开始,操作系统即可通过Win32应用编程接口(API)为借助EFS实现的加密文件共享提供支持,但是,直到Windows XP Professional开发完成之前,EFS特性一直没有被呈现在Windows资源管理器用户界面(UI)之上。
如需面向多个用户而对某一文件进行加密处理,则请依次执行下列操作步骤:
- 打开 Windows资源管理器 ,并选择需要进行加密处理的文件。
- 右键单击所选文件,并在随后弹出的快捷菜单上选取 Properties(属性) 命令。
- 单击 Advanced(高级) 按钮,以便将EFS设定为激活状态。
- 如图1所示,请选中 Encrypt contents to secure data(为保护数据而对内容进行加密) 复选框,并单击 OK(确定) 。于是,所选文件即可接受加密处理。
图1. 为保护数据资料而对相关内容进行加密处理
说明: 由于压缩和加密是一对互斥属性,因此,文件将无法同时接受压缩和加密处理。
在文件或文件夹第一次接受加密处理时,系统会弹出一个对话框,以便向用户询问究竟是只需对所选文件进行加密,还是希望对整个文件夹进行加密。
- 请选取适当选项,并单击 OK(确定) 。于是,系统便会返回到初始对话框。
说明: 直到您单击 OK(确定) 之前,所选文件尚未接受加密处理。不仅如此,直到第一个用户对所选文件执行加密操作之前,其他用户均无法被添加到访问调用行列。 - 单击 OK(确定) ,以便对所选文件进行加密处理。
- 请再次通过 Advanced properties(高级属性) 按钮打开文件属性,并单击 Details(详细资料) 按钮,以便将额外用户添加进来。当 Details(详细资料) 对话框被打开时,添加用户选项便会出现。
说明:Encryption Details(加密详细资料) 对话框还可为您提供有助于解决疑难问题的更多相关信息。
如需添加新用户,则请依次执行下列操作步骤:
- 如图2所示,单击 Add(添加) 按钮。
图2. 添加用户
系统将弹出一个新对话框,并将以缓存方式被读入本地计算机 "Other People"(其它人员) 证书存储的现有用户和证书显示出来。该对话框还允许通过单击 Find User(查找用户) 按钮的方式从 Active Directory 下添加新用户。
说明: 只有在Active Directory下具备有效EFS证书的用户才能被添加至加密文件访问调用行列。
- 如图3所示,单击 Find User(查找用户) 按钮,以便对新用户进行查找。
图3. 从Active Directory中查找新用户
系统将显示一个标准对象选择对话框,并执行一次搜索操作。
对话框将根据您所设定的搜索条件将那些在Active Directory下具备有效EFS证书的用户显示出来。如果未发现特定用户具备有效证书,该对话框便会如图4所示提供下列信息:
图4. 查找用户操作的搜索结果
如果目录中用户对象的userCertificate属性包含有效证书,那么,系统便会将这些证书罗列在如图5所示的证书选择对话框内。
图5. 用户证书列表
重要提示: Windows XP将在对应于其它用户的全部证书被添加至某一加密文件的同时,针对这些证书执行撤销检查操作。出于性能表现方面的考虑,系统将不会针对持有专用密钥的用户执行撤销检查操作。当然,那些未包含CDP(证书吊销列表分发点)扩展的证书(例如,某些来自第三方CA的证书)则无法通过吊销状态检查。如果针对某一证书的吊销状态检查失败,系统便会按图6所示提供相关信息,而该证书则无法由用户使用。
或
图6. 证书吊销状态检测失败
如果吊销状态和连锁创建任务顺利完成,该用户便可被添加至对话框,而相关文件也将得到更新。(如图7所示)
- 单击 OK(确定) ,以便注册所做修改并继续。
图7. 成功添加新用户
说明: 具备文件解密权限的任何用户均可对其它用户执行删除操作--只要执行解密操作的用户同时具备写入权限即可。
说明: EFS元数据文件头容量仅限于256K。而这就对可供添加的文件共享条目数量构成了限制。一般情况下,可被添加至某一加密文件的用户数量上限平均为800个。
如需查看证书所含信息,则请依次执行下列操作步骤:
您可选取某一用户证书,并为制定管理决策而对其所含信息进行查看。如需查看某一证书内容,则请按图6所示执行下列操作步骤:
- 先将对话框内的证书设置为高亮度,再单击 View Certificate(查看证书) 按钮。
- 查看完毕后,单击 OK(确定) 以关闭对话框。系统将返回先前对话框,而您则可在该对话框内选取可供添加到加密文件的适当用户。
- 将准备加以应用的选定用户证书设置为高亮度,并单击 OK(确定) 。