使用 Windows Server 2003 中的加密文件系统 EFS

关于加密文件系统使用的逐步式指南

本文提供的示例过程向最终用户和管理员说明 Windows Server 2003 操作系统所包含的加密文件系统 (EFS) 的功能。 本页内容

简介

概述

用户方案

管理方案

其他资源

简介

逐步式指南

Windows Server 2003 部署逐步式指南提供了很多常见操作系统配置的实际操作经验。本指南首先介绍通过以下过程来建立通用网络结构：安装 Windows Server 2003；配置 Active Directory?；安装 Windows XP Professional 工作站并最后将此工作站添加到域中。后续逐步式指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构，则需要在使用这些指南时进行适当的修改。 通用网络结构要求完成以下指南。

? 第一部分：将 Windows Server 2003 安装为域控制器

? 第二部分：安装 Windows XP Professional 工作站并将其连接到域上

在配置通用网络结构后，可以使用任何其他的逐步式指南。注意，某些逐步式指南除具备通用网络结构要求外，可能还需要满足额外的先决条件。任何额外的要求都将列在特定的逐步式指南中。

Microsoft Virtual PC

可以在物理实验室环境中或通过虚拟化技术（如 Microsoft Virtual PC 2004 或 Microsoft Virtual Server 2005）来实施 Windows Server 2003 部署逐步式指南。借助于虚拟机技术，客户可以同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和 Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高工作效率而设计的。

Windows Server 2003 部署逐步式指南假定所有配置都是在物理实验室环境中完成的，但大多数配置不经修改就可以应用于虚拟环境。

将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范围。

重要说明

此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构，决不意指，也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。

此通用基础结构是为在专用网络上使用而设计的。此通用结构中使用的虚拟公司名称和域名系统 (DNS) 名称并未注册以便在 Internet 上使用。您不应在公共网络或 Internet 上使用此名称。

此通用结构的 Active Directory 服务结构用于说明“Windows Server 2003 更改和配置管理”如何与 Active Directory 配合使用。不能将其作为任何组织进行 Active Directory 配置的模型。 返回页首

概述

Windows Server 2003 操作系统中包含的加密文件系统 (EFS) 以公钥加密为基础，并利用了 Windows Server 2003 中的 CryptoAPI 体系结构。每个文件都是使用随机生成的文件加密密钥进行加密的，此密钥独立于用户的公钥/私钥对。

文件加密可使用任何对称加密算法。此 EFS 版本使用数据加密标准 X 或 DESX（北美地区为 128 位，北美地区以外为 40 位）作为加密算法。今后的版本中将提供替代的加密方案。无论是本地驱动器中存储的文件还是远程文件服务器中存储的文件，都可以使用 EFS 进行加密和解密。

用户交互

使用 EFS 默认配置，用户无需任何管理工作即可开始加密文件。用户第一次加密文件时，EFS 会生成一个公钥对和一个文件加密证书。

EFS 支持对单个文件或整个文件夹（包括子文件夹）进行文件加密和解密。文件夹加密是透明强制实施的。在标记为加密的文件夹内创建的所有对象都是自动加密的。每个文件都有一个唯一的文件加密密钥，因此，可以安全地重命名该文件。如果重命名经过加密的文件夹中的文件，并将其保存到同一卷上未加密的文件夹中，该文件仍保持加密状态。但是，如果将一个未加密的文件复制到加密的文件夹中，该文件的状态将会发生变化。此时，该文件将变为加密文件。EFS 为高级用户和恢复代理提供了命令行工具和管理界面。

数据恢复

EFS 提供内置的数据恢复支持。Windows Server 2003 安全结构强制对数据恢复密钥进行配置。只有在系统配置了一个或多个恢复密钥时，才能使用文件加密。EFS 允许恢复代理对公钥进行配置，以便在用户离开公司时使用这些公钥来恢复加密的数据。只能使用恢复密钥来处理文件加密密钥，而不能处理用户私钥。这可确保不会向恢复代理泄露任何其他私人信息。数据恢复适用于需要恢复雇员所加密数据的组织。

可通过 Windows Server 2003 域中的组策略来定义恢复策略。策略是在所有域计算机中强制实施的，并且受域管理员的控制；管理员通常会将控制权委派给指定的数据安全管理员帐户。这既可以提供强有力的控制，又可

以灵活地选择授权哪些用户来恢复加密数据。EFS 允许使用多种数据恢复配置，因此可以支持多种恢复代理。这些功能为组织在实施其恢复过程方面提供了很高的冗余性和灵活性。

先决条件

? 第一部分：将 Windows Server 2003 安装为域控制器

? 第二部分：安装 Windows XP Professional 工作站并将其连接到域上? Active Directory 管理逐步式指南? 了解组策略功能集的逐步式指南

返回页首

用户方案

加密文件夹或文件

在加密文件夹或文件时，您可以使用 Windows 资源管理器或命令行工具 Cipher.exe。本节将对这两种过程进行说明。本指南假定您是在运行 Windows XP Professional 的计算机上完成“用户方案”练习的。 要使用 Windows 资源管理器加密文件夹或文件，请按照以下步骤操作：

1. 在“HQ-CON-WRK-01”上，以“mike@contoso.com”身份登录。如果出现提示，请将 Mike 的密码更改

为“pass#word2”。

2. 单击“开始”按钮，指向“程序”，指向“附件”，然后单击“Windows 资源管理器”。

3. 右键单击要使用的文件夹或文件名（在本例中，使用在“我的文档”中创建的名为“Encrypted Files”的文件

夹），然后选择“属性”。

4. 在“Encrypted Files 属性”对话框的“常规”选项卡上，单击“高级”。

5. 在“高级属性”对话框中，选择“加密内容以便保护数据”复选框（如图 1 所示），然后单击“确定”。

图 1. 高级属性

6. 在“Encrypted Files 属性”对话框中，单击“确定”。

7. 系统可能会要求您选择是加密文件夹及其所有内容，还是只加密文件夹本身。如果文件夹是空的，则不会出

现提示。如果文件夹中包含对象，则选择加密文件夹及其内容，然后单击“确定”。 8. 此时将出现一个对话框，显示加密文件夹或文件的状态。单击“确定”。 要使用命令行加密文件夹或文件，请按照以下步骤操作：

1. 要加密文件夹，请单击“开始”按钮，单击“运行”，键入“cmd”，然后单击“确定”。例如，在命令提示符下键

入：

cipher /e /s:\ 2. 按“Enter”键。结果应该与图 2 中显示的内容相似。

图 2. 从命令行中加密 查看大图

解密文件夹或文件

与加密一样，您可以使用 Windows 资源管理器或命令行工具来解密文件夹或文件。本节对这两种过程进行了说明。注意，要打开并编辑文件，您并不需要对文件进行解密。只需解密供他人访问的文件。 要使用 Windows 资源管理器解密文件夹或文件，请按照以下步骤操作：

1. 单击“开始”按钮，指向“程序”，指向“附件”，然后选择“Windows 资源管理器”。 2. 右键单击文件夹或文件的名称，然后选择“属性”。 3. 在“属性”对话框的“常规”选项卡上，单击“高级”。

4. 在“高级属性”对话框中，清除“加密内容以便保护数据”复选框，然后单击“确定”。 5. 在“Encrypted Files 属性”对话框中，单击“确定”。

6. 系统会要求您选择是解密文件夹及其所有内容，还是只解密文件夹本身。选中“将更改应用于此文件夹、子

文件夹和文件”复选框，然后单击“确定”。

注意：建议您加密文件夹，而不是加密各个文件。这是由于很多现有应用程序不支持加密，因此可能会以明

文形式显示该文件。

要使用命令行解密文件夹或文件，请按照以下步骤操作：

1. 要解密文件夹，请单击“开始”按钮，单击“运行”，键入“cmd”，然后单击“确定”。例如，在命令提示符下键

入：

cipher /d /s:\ 2. 按“Enter”键。

3. 关闭“命令提示符”窗口。

复制加密的文件夹或文件

下一节讲述在同一卷中复制加密的文件夹或文件以及将其从一个卷复制到另一个卷的步骤和限制。

? 在同一台计算机内，将文件或文件夹从 Windows Server 2003 位置中的一个 NT 文件系统 (FS) 分

区复制到 Windows Server 2003 位置中的另一个 NTFS 分区。就像复制未加密的文件一样复制文件或文件夹。使用 Windows 资源管理器或命令提示符。该副本已加密。

? 在同一台计算机内，将文件或文件夹从 Windows Server 2003 卷中的一个 NTFS 分区复制到文件分

配表 (FAT) 分区。就像复制未加密的文件一样复制文件或文件夹。使用 Windows 资源管理器或命令提示符。由于目标文件系统不支持加密，因此副本为明文形式。

? 将文件或文件夹复制到另一台计算机上，且两台计算机都使用 Windows Server 2003 中的 NTFS 分

区。就像复制未加密的文件一样复制文件或文件夹。使用 Windows 资源管理器或命令提示符。如果远程计算机允许您对文件进行加密，则副本就已加密；否则，副本为明文形式。注意，必须信任远程计算机的委派；在域环境中，默认情况下不启用远程加密。

? 将文件或文件夹从 Windows Server 2003 位置中的 NTFS 分区复制到另一台计算机上 Microsoft

Windows NT? 4.0 位置中的 FAT 或 NTFS 分区。就像复制未加密的文件一样复制文件或文件夹。使用 Windows 资源管理器或命令提示符。由于目标文件系统不支持加密，因此副本为明文形式。

移动或重命名加密的文件夹或文件

下一节讲述在同一卷中移动加密的文件夹或文件以及将其从一个卷移到另一个卷的步骤和限制。

就像移动未加密的文件一样移动文件。使用 Windows 资源管理器、

? 在同一卷内移动或重命名文件或文件夹。

上下文菜单或命令提示符。目标文件或文件夹仍保持加密状态。

? 在不同卷之间移动文件或文件夹。这其实是一个复制操作。复习前一节“复制加密的文件夹或文件”。

删除加密的文件夹或文件

如果您有删除文件或文件夹的权限，则可以将其像未加密的文件一样删除。删除加密的文件夹或文件并不限于最初加密该文件的用户。

备份加密的文件夹或文件