加密文件系统

 

本页主题

加密文件系统概述
概述和大量文档
摘要

作者：Roberta Bragg

加密文件系统概述

加密文件系统 (EFS) 是 Windows 2000、Windows XP Professional 和 Windows Server 2003 的 NTFS 文件系统的一个组件。（Windows XP Home 不包含 EFS。）EFS 采用高级的标准加密算法实现透明的文件加密和解密。任何不拥有合适密钥的个人或者程序都不能读取加密数据。即便是物理拥有驻留加密文件的计算机，加密文件仍然受到保护。甚至是有权访问计算机及其文件系统的用户，也无法读取这些数据。还应该采取其他防御策略，加密这种解决方法不是解决每种威胁的恰当对策，加密只是其他防御策略之外的又一种有力措施。EFS 是 Windows 文件系统的内置文件加密工具。

然而，任何一种防御工具，如果不能正确使用，也会带来潜在的危害。必须充分理解，妥善实施和有效管理 EFS，确保用户提供技术支持的经验和希望保护的数据不受到破坏。本文档将：

• 提供 EFS 的概述和资源指南。
• 实施策略和最佳实践的指南。
• 命名危险以及减轻和预防破坏的建议。

关于 EFS 具有很多在线资源和出版资料可供参考。主要信息源为 Microsoft 资源工具包、产品文档、白皮书和知识库文章。本文档简要介绍了 EFS 的主要问题。只要有可能，不再复述已有文档的内容，只是提供最佳资源的链接。总之，本文档与可以查找到的实际文档的指南以及所需求的知识的列表相符合。此外，本文档对大量文档的关键点进行了编录，这样用户每次碰到新问题时，不用查阅成百上千页的文档，就可找到需要的信息。

本文档讨论了 EFS 的下列关键知识领域：

• 什么是 EFS
• 基本知识，如文件的加密和解密方法、已加密文件的恢复方法、密钥存档、证书管理、文件备份以及 EFS 的禁用方法。
• EFS 是如何工作的、EFS 结构和算法
• Windows 2000、Windows XP 和 Windows Server 2003的 EFS 之间存在的主要差异
• EFS 的误用和滥用，以及如何防止数据丢失或者曝光
• 使用 SMB 文件共享和 WebDAV 进行加密文件的远程存储
• 适用于 SOHO 和小型公司的最佳实践
• 企业知识：如何使用 PKI 实施数据恢复策略，如何使用 PKI 进行密钥恢复
• 疑难解答
• EFS 基本知识：使用 EFS 加密数据库，且配合 Microsoft 其他产品使用 EFS。
• 故障恢复
• 何处下载具体的 EFS 工具

使用 EFS 只要求很少的知识基础。然而，使用 EFS 时，如果不具备 EFS 的最佳实践知识，没有理解其恢复过程，用户就会产生错误的安全观，比如用户文件其实没有加密，但用户却认为已经加密，或者用户可能通过使用弱密码或者将密码公开给其他人，从而启用未经授权的访问。如果没有采取适当的恢复步骤，也可能引起数据丢失。因此，在使用 EFS 之前，应该阅读“EFS 的误用和滥用，以及如何防止数据丢失或者曝光？”一节中的链接信息。这一节中的内容提示用户，恢复操作不当或者理解不当，如何导致数据不必要的曝光。要实施安全的可恢复的 EFS 策略，应该更全面的理解 EFS。

什么是 EFS

用户可以使用 EFS 对存储在 Windows 2000、Windows XP Professional 和 Windows Server 2003 计算机文件系统中的文件进行加密。 EFS 并没有设计成可以保护从一个系统传送到另一个系统的数据。EFS 采用对称（使用一个密钥来加密文件）和非对称（使用两个密钥来保护加密密钥）加密。关于加密 的最佳入门知识，请参阅 Windows 2000 资源工具包，它介绍了证书服务。了解这些内容有助于理解 EFS。

EFS 的本质概述和 Windows 2000 中有关 EFS 的全部信息都发布在 Windows 2000 Server 资源工具包的分布式系统指南中。这些信息，多数见诸于上述指南的第十五章，在线发布在http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp。（本网站的网页中，使用 TOC 可以转至分布式系统指南、分布式安全、加密文件系统。）

Windows 2000、Windows XP Professional 和 Windows Server 2003 的 EFS 之间存在一些差异。Windows XP Professional 资源工具包说明了 Windows 2000 和 Windows XP Professional 的 EFS 实施之间的差别，并且文档“Windows XP 和 Windows Server 2003 的加密文件系统”(http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/CryptFS.asp) 对 Windows XP 和 Windows Server 2003 的修改进行了详细说明。下面的这一节，“Windows 2000、Windows XP 和 Windows Server 2003 之间的 EFS 存在的主要差异”，对这些差异性进行了总结。

下面是有关 EFS 的重要基本事实：

• EFS 加密不是发生在应用层，而是位于文件-系统层，因此对于用户和应用程序来说，加密和解密过程都是透明的。如果某个文件夹标记为加密，则创建自或者移入到该文件夹的每个文件都将进行加密。应用程序不必理解 EFS 或者管理 EFS 加密文件，看起来和未加密文件没有什么不同。如果用户要打开文件且拥有相应的操作密钥，打开该文件不要求用户方进行任何额外的操作。如果用户没有密钥，就会收到“拒绝访问”的出错信息。
• 文件加密使用对称密钥，该密钥本身使用公钥加密对的公钥进行加密。要想对文件进行解密，必须具备有关的私钥。该密钥对绑定用户标识，只有拥有该用户标识和密码的用户才具备这个密钥对。如果私钥被破坏或者丢失，即使是加密文件的用户也无法对它进行解密。如果具有恢复代理，则可以恢复文件。如果采用了密钥存档，那么密钥可以恢复，且可以解密文件。如果没有密钥存档，文件就可能丢失。EFS 是最佳的文件加密系统——不存在“后门”问题/li>
• 文件加密密钥可以存档（例如，导出到软盘中），并放置在安全位置，确保密钥一旦损坏时能够进行恢复。
• EFS 密钥依靠用户的密码来保护。任何用户，只要获得该用户的标识和密码，就可以像该用户一样登录进去，且能够对该用户的文件进行解密。因此，每个单位在实施安全的过程中，都必须采取强密码策略，加强用户教育，确保保护 EFS 加密文件。
• EFS 加密文件，如果在远程服务器的文件夹中保存或者打开过，则传输时就不再为加密状态。该文件被解密，以明文方式在网络中传送，并且，如果保存到标记为加密的本地驱动器的文件夹中，该文件就在本地进行加密。EFS 加密文件，如果使用 WebDAV 保存到 Web 文件夹中，则在网络中传送时仍然为加密状态。Windows 2000 不具备这种远程存储的方法。
• EFS 采用FIPS 140–评估 Microsoft 加密服务提供程序（CSP—包含有 Microsoft 产品加密算法的部件）。

基本知识：如何进行文件的加密和解密、恢复已加密文件、存档密钥、管理证书、备份文件以及禁用 EFS

EFS 功能很简单，而且用户可以在多个在线文档中查找到循序渐进指南。每种可能的 EFS 功能都可以在后面找到具体的链接文档，对多个功能进行总结的文档链接也可以找到。如果该文档是知识库中的文章，它的知识库序号将显示在文章标题后的括号中。

加密和解密

文件加密和解密的过程非常简单，但是确定哪些内容要加密，留意不同操作系统的上 EFS 的差异，尤为重要。

• 如何使用 Windows 2000 中的 EFS 来加密数据 Q(230520) 包括可以采用 GUI 和命令行方法。（可以在命令行中使用 cipher 工具进行单个文件或者文件组的加密和解密。）
• 在 Windows 2000 中加密文件Q(222054) 说明了如何设置文件夹加密。请注意，一旦文件夹标记为加密，放入文件时没有必要将文件手工标记为加密。
• 如何在 Windows 2000 中为安全访问文件服务器或者 Intranet 中的数据而设置 EFSQ(301395) 没有具体解释如何实现，但是提供了文件加密和解密的指南。
• 如何在 Windows XP 中加密文件Q(307877) 包含有用户在打开其他用户加密过的文件时会碰到的出错信息和警告信息。
• 然而，文件夹并不加密，设置文件夹属性为“加密”只是说明放置到该文件夹的所有文件都将自动加密 如何在 Windows XP 中加密文件夹Q(308989) 说明了这个属性的设置方法。
• 如何在 Windows XP 中取消文件加密Q(308993) 说明了如何通过取消文件加密属性来解密文件。
• 如何在 Windows Server 2003 企业级服务器中管理加密文件系统 Q(324897) 是所有 EFS 基本功能的完美概述。文档尽管简短，但是切中要害，涵盖加密、解密和恢复等内容。

共享加密文件

只在 Windows XP 和 Windows Server 2003 中才带有共享加密文件的 GUI。

• 如何在 Windows XP 中共享加密文件的访问Q(308991) 介绍了共享加密文件的方法。用户可以查看简短的说明，包括屏幕照像，参见五分钟安全指南——使用加密文件系统。请记住：只有 Windows XP 和 Windows Server 2003 才带有共享加密文件的功能。

规划和恢复加密文件：恢复策略

恢复策略是单位的安全策略之一，旨在规划妥善恢复加密文件。本地安全策略的公钥策略或者组策略的公钥策略，也强制采用该策略。如果是组策略的公钥策略，恢复策略说明了用户私钥破坏或者丢失而加密文件未被破坏的情况下，加密文件是如何被恢复的。恢复证书在策略中具体指定。恢复既可以是数据恢复（Windows 2000、Windows XP Professional 和 Windows Server 2003），也可以是密钥恢复（带有证书服务的 Windows Server 2003）Windows 2000 EFS 要求有恢复代理（没有恢复代理，就无法加密文件），但是 Windows XP 和 Windows Server 2003 却不是这样。默认地，Windows 2000 和 Windows Server 2003 分配有默认的恢复代理。Windows XP Professional 却不是这样。

数据恢复过程很简单。与恢复代理证书进行绑定的用户帐户用来解密该文件。随后，该文件以安全的方式传送给文件所有者，该所有者可以加密文件。通过自动存档密钥进行恢复只能使用 Windows Server 2003 证书服务来完成。在安装好证书服务之后还需要完成其他配置。在任何情况下，恢复的书面策略和流程就位非常重要。这些流程，如果设计完善且充分遵守，可以确保恢复密钥和代理及时可用，安全地进行恢复。一定要记住“恢复策略.? 有两个定义第一个定义就是指书面的恢复策略和流程，它说明了有关恢复的何人、何事、何处、何时，以及确保恢复组件可用应该采取的操作步骤内容。第二个定义，常指下面文档所述内容，为公钥策略，它是独立系统的本地安全策略或者域的组策略的一部分。它也规定了哪些证书用来恢复，以及域的公钥策略的其他内容。在下列文档中可以找到更多信息：

• Windows XP 和 Windows Server 2003 文档包含有添加域的恢复代理的操作步骤
• 五分钟安全顾问——使用 EFS 恢复加密数据说明了备份加密文件、EFS 密钥以及其他恢复基本工作的重要性。
• 如何备份 Windows 2000 中的恢复代理加密文件系统私钥 Q(241201) 说明了如何存档恢复代理的私钥，确保恢复其所保护的 EFS 文件时可用。
• 用户和恢复代理私钥应该进行存档。如何导出 Windows 2000 中的证书 Q(310114) 说明了操作过程。
• 如果恢复私钥被破坏或者丢失，用户可以在 Windows 2000 中创建新的企业数据恢复策略 。参考该文章如何在运行 Windows 2000 的工作组计算机上重新初始化 EDRP Q(257705) 可以达到此目的。然而，用户应该认识到这并不允许用户能够恢复过去的加密文件。如果备份有过去的恢复代理证书或者私钥的话，应该使用这些密钥。如果执行新策略，现有的加密文件应该进行解密且重新加密，以便可以使用新的恢复代理证书，从而能够恢复文件。
• 受管理员控制的恢复代理的存在信息，参见 加密数据文件的恢复方法 Q(255742).
• 使用 Ntbackup 备份加密文件的说明，以及系统配置和如何使用 Ntbackup 恢复文件的有关信息，参见如何在 Windows 2000 中使用 Ntbackup 来恢复加密文件或者文件夹 Q(313277)。
• 如何 在 Windows 2000 中配置域 EFS 恢复策略 Q(313365) 说明了如果删除默认策略，如何创建新策略。
• 加密文件系统的加密数据恢复策略Q(230490) 说明了添加恢复策略的位置。
• 恢复存档私钥的循序渐进指南，详见如何在 Windows 2000 中为加密数据恢复恢复加密文件系统的私钥 Q(242296)
• 恢复的第一步就是确定恢复代理。使用 Efsinfo.exe 来确定加密文件的有关信息 Q(243026) 说明了如何使用 Windows 2000 资源工具包工具 esfinfo.exe 来达到此目的。Windows XP 和 Windows Server 2003 中加密文件的高级文件属性会自动显示该信息。
• 本地管理员并不经常成为默认的加密文件系统恢复代理 Q(255026) 说明了 Windows 2000 Professional 计算机中定义（安装期间）的首个帐户为什么会用作恢复代理。

禁用或者阻止加密

您可能不希望用户有加密文件的能力。默认就是如此。用户可以指定特定文件夹不应包含加密文件。用户也可以决定禁用 EFS，直到用户以合适的流程来实施全面的 EFS 策略且培训用户时为止。禁用 EFS 的有多种不同的方法，具体取决于操作系统和所期望的效果。

• 系统文件夹不能标记为加密。启动过程不能使用 EFS 密钥，因此如果加密了系统文件，系统文件就无法启动。要阻止其他文件夹标记为加密，用户可以将它们标记为系统文件夹。如果不可能的话，则阻止文件夹中进行加密的方法，参见加密文件系统.?/li>
• NT 4.0 不具有使用 EFS 的功能。如果需要给加入到 Windows NT 4.0 域中的 Windows 2000 计算机禁用 EFS，参见需要为基于 Windows NT 4.0 域中的基于 Windows 2000 计算机关闭 EFS Q(288579).所提及的注册表项也可用来禁用 Window XP Professional 和 Windows Server 2003 的 EFS。
• 禁用 Windows XP Professional 的 EFS 也可通过清除本地安全策略公钥策略的属性页中的复选框来实现。通过清除域或者组织单位 (OU) 组策略公钥策略的属性页中的复选框，可以禁用加入到 Windows Server 2003 域中的XP 和 Windows Server 2003 计算机中的 EFS。
• 如何禁用/启用独立的基于 Windows 2000 的计算机的 EFS Q(243035) 详述了禁用 EFS 时，如何保存恢复代理证书和密钥，以便在将来可以启用 EFS。
• 如何禁用基于 Windows 2000 域中全部计算机的EFS Q(222022) 提供了最佳指南集，清晰地说明了删除域策略（存在基于组织单位的策略或者本地安全策略）和初始化空策略（整个域中不可能 Windows 2000 EFS 加密）两者之间的差异。这些内容也包含在 Windows 2000 Professional 产品文档加密文件系统和数据恢复。

特别操作

广为传阅本文，您将会发现还有一些问题，现有的文档或者其他资料并没有解决。这些问题中的大多数、第三方事项以及公开说明的问题都可以通过查阅下列文章得以解决。

• 第三方证书颁发机构 (CA) 的使用规范可以参见第三方证书颁发机构对加密文件系统的支持 Q(273856)。如果用户希望在 EFS 中使用第三方 CA 证书，用户还应该了解证书吊销的流程。不用检查 Windows 2000 EFS 证书的吊销情况。有时，需要检查 Windows XP 和 Windows Server 2003 的 EFS 证书的吊销情况，且有可能拒绝使用第三方证书。EFS 中证书吊销操作的有关信息，参见文章不对加密文件系统恢复代理的证书检查其吊销状态 Q(281251) 和白皮书Windows XP 和 Windows Server 2003 的加密文件系统。
• 现有的明文文件标记为加密时，首先将它复制到临时文件中。操作完成时，临时文件标记为删除，它表示原始文件的部分内容仍然保留在磁盘上，有可能通过磁盘编辑器来潜在地访问。这些数据字节，称作 数据碎片 或者 数据残余， 可以使用工具 cipher.exe 的修订版进行永久删除。该工具是 Windows 2000 Service Pack 3 (SP3) 的一部分，包含在 Windows Server 2003 中。该工具的使用指南以及可下载版本的位置，参见“如何使用 Cipher.exe 覆盖 Windows 中的已删数据 Q(315672) 和加密文件系统的安全工具 Cipher.exe Q(298009)。
• 有关如何在 Windows 资源浏览器中将加密文件显示为绿色的说明，详见如何在 Windows XP 中标识加密文件 Q(320166)。
• 如何在快捷方式菜单中启用加密命令 Q(241121) 提供一个用作此目的的注册表项进行更改。
• 用户可能希望在打印时能够保护打印机后台打印程序文件或者加密文件的物理副本。打印过程中，加密是透明的。如果用户有权（拥有该密钥）解密文件，并且具备打印文件的方法，将打印该文件。然而，有两个问题值得注意。首先，如果文件对加密非常敏感，用户如何保护打印副本？其次，后台打印程序文件驻留在 < 系统根目录 >\system32\Spool\Printers 文件夹中。此时，用户如何进行保护？用户可以加密该文件夹，但是将严重影响打印速度。Windows 2000 资源工具包中建议打印这些文件时采用不同的打印机，也就如何最大程度地保证分布式系统、分布式安全、加密文件系统中的打印机的安全给出了建议，详见打印 EFS 文件一节。

EFS 的工作原理。EFS 的结构和算法

为了认识 EFS，从而估计各种问题，预测潜在的攻击，解决 EFS 加密文件中的问题且保护文件，用户应该了解 EFS 结构和基本的加密、解密和恢复算法。有关这方面的信息大都在 Windows 2000 资源工具包的分布式系统指南，Windows XP Professional 资源工具包，以及白皮书，Windows XP 和 Windows Server 2003 中加密文件系统产品文档中也对大多数算法进行了说明。下面的示例摘自 Windows XP Professional 资源工具包：

• EFS 部件（包括 EFS 服务、EFS 驱动程序和文件系统运行时库）的简洁说明位于EFS部件，第十七章“加密文件系统” Windows XP Professional 资源工具包中的一小节中。
• EFS 所用的加密、解密和恢复算法的有关说明，位于资源工具包一节如何加密文件。这一节讨论了文件加密密钥 (FEK)、文件数据恢复内容、数据解密内容，它们用来存放用户加密过的 FEK 以及恢复代理公钥。
• 加密工作逐步地说明了用户决定变更文件夹的加密属性后的影响。该表说明了如果选择“仅仅该文件夹”或选项“该文件夹、子文件夹以及文件”，每个文件（已有的、后来添加的或者复制到文件夹的）所受的影响。
• 文件共享和 Web 文件夹上远程 EFS 操作说明了加密文件所受的影响以及如何启用远程存储。

Windows 2000、Windows XP 和 Windows Server 2003 之间的 EFS 存在的主要差异

Windows 2000 中采用了 EFS。然而，和 Windows XP Professional EFS 以及 Windows Server 2003 中 EFS 相比，存在下列差别：

• 用户可以授权其他用户访问加密文件（参阅上面的“共享加密文件”一节）。Windows 2000 中，用户可以采用共享加密文件的编程式解决方案，然而，不提供界面。Windows XP 和 Windows Server 2003 提供界面。
• 可以加密脱机文件。请参阅“如何加密脱机文件以保证 Windows XP 中的数据安全”
• 建议使用数据恢复代理，但只是可选项。XP 并不自动包含默认的恢复代理。如果存在的话，XP 将利用现有的 Windows 2000 域级恢复代理，但是没有域恢复代理也不阻止 XP 系统进行文件加密。要请求自签名恢复代理证书，需使用cipher /R:filename 命令，其中filename 就是将用来生成包含证书的 *.cer 文件和包含证书以及私钥的 *.pfx 文件的文件名。请参阅“如何：管理 Windows Server 2003 Enterprise Server 中的加密文件系统Q(324897)
• “三重 DES” (3DES) 加密算法可用来替换“数据加密标准 X” (DESX)，且在 XP SP1 的后续版本，高级加密标准 (AES) 就作为 EFS 的默认加密算法。
• 对于 Windows XP 和 Windows Server 2003 的本地帐户，密码重设磁盘可以用来安全地重设用户的密码。（不能使用该磁盘重设域密码。）如果管理员使用“重设密码?计算机管理控制台用户工具箱中的用户帐户选项，EFS 文件就无法访问。如果用户将密码变回以前的密码，就可重新访问加密文件。为了创建密码重设磁盘 ，了解使用密码重设磁盘的指南内容，请参阅产品文档和/或文章如何创建和使用计算机的密码重置磁盘，它不是 Windows XP 中的域成员 Q(305478)。
• 加密文件也可以存储在 Web 文件夹中。Windows XP Professional 资源工具包中有一节Web 文件夹环境中的远程 EFS 操作对此进行了说明。

Windows Server 2003 吸收了 Windows XP Professional 中所作的改进，并且增加了下列内容：

• 创建默认的域公钥恢复策略，给管理员帐户发行恢复代理证书。
• 证书服务提供自定义证书模板和密钥存档的功能。完成合适的配置之后，可以进行用户 EFS 密钥的存档，通过恢复用户的加密密钥，而不是通过文件恢复代理来解密，就可完成 EFS 加密文件的恢复。用来为密钥存档的证书服务循序渐进式配置提供指导的快速参考指南，可以参见证书服务实施示例：密钥存档和恢复。
• Windows Server 2003 允许用户备份自己的 EFS 密钥，可以直接使用命令行，也可通过单击“备份密钥”按钮从详细属性页进行操作。

EFS 的误用和滥用，以及如何防止数据丢失或者曝光

未授权者可能试图获得经 EFS 加密过的信息。也可能无意中公开敏感数据。数据丢失或者曝光的两种可能的原因是误用（不恰当地使用 EFS）或者滥用（针对EFS 加密文件或者带有 EFS 加密文件的系统进行攻击 ）。

无意中误用引起的问题

使用 EFS 时，有些事项可能诱发问题。首先，使用不当时，可能无意中公开敏感文件。多数情况下，这是由于不恰当或者脆弱的安全策略以及错误理解EFS 造成的。由于用户认为 他们的数据 是安全的，因而可以不必采用通常的预防措施，该问题就会导致一切变得更加糟糕。在下列几种情形中也会发生这种情况：

• 例如，如果用户将加密文件复制到 FAT 卷中，文件将被解密，因而不被保护。由于用户有权解密他们的加密文件，该文件就被解密且以明文方式存储到 FAT 卷中。发生这种情况，Windows 2000 并不给出提示信息，但是 Windows XP 和 Windows Server 2003 提供提示信息。
• 如果用户将自己的密码提供给其他人，这些人就可以使用这些凭据进行登录，且解密该用户的加密文件。(一旦用户登录成功，他们就可以对该用户帐户有权解密的任何文件进行解密。）
• 如果恢复代理的私钥没有存档，且从恢复代理配置文件中加以删除，知道这个恢复代理凭据的任何用户都可以进行登录，并且透明地解密任何加密文件。

到目前为止，EFS 遇到的最常见问题，发生在 EFS 加密密钥和/或恢复密钥没有存档的时候。如果这些密钥没有备份，丢失时就无法进行替换。如果不能使用或者替换这些密钥，数据就会丢失。如果重装 Windows （也许是磁盘破坏所至），则这些密钥会损坏。如果用户配置文件被破坏，则这些密钥会损坏。在这些情况或者任何其他情况中，密钥被破坏或者丢失且备份密钥不可用，那么，加密文件就无法解密。加密密钥绑定用户帐户，而且操作系统的重复更新意味着新的用户帐户。新用户配置文件意味着新用户密钥。如果密钥存档，它们可以导入到新帐户中。如果文件的吊销代理存在，则可以使用该帐户来恢复文件。然而，在密钥破坏的大多数情况中，用户和吊销密钥两者都不可用，且没有备份，从而导致数据丢失。

此外，其他更小的事情也有可能导致加密文件无法使用或者公开一些敏感数据，例如下列情况：

• 打开 EFS 文件时，该文件看起来已经破坏 Q(329741) 说明了在安装 XP SP1 之后，用 AES 来加密文件。它意味着这些文件如果移到 XP SP1 之前版本计算机或者 Windows 2000 计算机中，由于它们不具备 AES 算法，因此无法解密。
• 在密码重置后，EFS、凭据、证书私钥就会失效 Q(290260)
• 用户在修改密码或者使用漫游配置文件之后无法访问 EFS 加密文件。
• 不对加密文件系统恢复代理的证书检查其吊销状态 Q(281251) （Windows 2000 中不进行吊销检查）
• 加密文件的明文版本可能存在于磁盘中 Q(288183) 解释了它的发生原因，但是没有详述如何使用 cipher.exe。cipher.exe 的使用指南，可以参见如何在 Windows 中使用 Cipher.exe 来改写已删数据 Q(315672)，介绍了这个新工具。
• “拒绝访问”加密或者解密文件或者文件夹时遇到的出错信息 Q(264064) 可能是加密或者试图加密系统文件夹时造成的结果。
• 不能加密系统文件。Windows 2000 中登录过程在开始加密文件之后暂停 Q(269397) 比如说明了，如果用户对 Autoexec.bat 之类的系统文件进行加密，由于在该文件要在登录之前进行处理，因此无法解密。

最后，保证数据安全与仅仅加密文件相比，花费更多。必须从系统范围内采取方法来保证安全。可以在 TechNet 最佳实践网页 http://www.microsoft.com/technet/security/bestprac/bpent/sec2/secentbb.asp上找到多篇文章，这些文章介绍了系统安全的最佳实践。这些文章包括：

• 终端系统的安全事项
• 管理员权限的安全事项 对企业中的安全进行讨论
• 创建块状结构的安全实体

攻击和应对措施：加密文件的其他保护机制

加密文件的任何用户应该认识到潜在的脆弱性和各种攻击方法。就像仅仅锁住房屋前门而没有考虑到后门和窗户也会成为窃贼的通路一样，确保保密性单靠文件加密也不够。

• 使用深度防御且使用文件许可。使用 EFS 并不排斥使用文件权限来限制文件访问。除了 EFS 之外，还应该使用文件权限。如果用户获得加密密钥，就可将它们导入到自己的帐户中，然后解密文件。然而，如果拒绝该用户帐户访问这个文件，用户试图获取其中的敏感信息时就会失败。
• 使用文件权限来拒绝删除。可以删除加密文件。如果攻击者无法解密文件，则有可能选择删除该文件。攻击者不能得到其中的敏感信息，也让用户无法拥有该文件。
• 保护用户凭据。如果攻击者找到了可以进行文件解密的用户的标识和密码，攻击者就可像用户那样登录进来，读取文件。因此，保护这些凭据尤为重要。为了保护这些凭据，可以采用强密码策略，训练用户使用强密码，采用最佳实践保护这些凭据，这些都有助于防止此类攻击的发生。有关密码策略的最佳实践方法，参阅 Windows Server 2003 的 产品文档。如果帐户密码被破坏，任何人都可以使用该用户标识和密码登录进来。一旦用户登录成功，他们就可以对该用户帐户有权解密的任何文件进行解密。最佳防御方法就是采用强密码策略、用户教育以及进行全面的安全实践。
• 保护恢复代理凭据。类似地，如果攻击者可以作为恢复代理进行登录，并且恢复代理私钥没有删除掉，攻击者就可以读取文件。最佳实践就是在恢复策略中，要指示删除恢复代理密钥，将该帐户限制于只许进行恢复工作，小心保护凭据。这一节是关于恢复操作和最佳实践的，详见下列步骤。
• 找出有可能存在加密文件的明文副本或者加密文件的部分明文副本的那些区域，并进行严格管理。如果攻击者拥有或者可以访问驻留加密文件的计算机，他们就有可能从这些区域中恢复敏感数据，包括下列内容：
  • 数据碎片（数据残余），在加密以前未加密过的文件之后依然存在（参见“特别操作”本文内容中有关使用 cipher.exe 进行删除的一节）
  • 分页文件（参见增强打开加密文件的安全）Windows XP Professional 资源工具包中的文章，也可作为如何清除关机时的分页文件的指南和附加信息）
  • 休眠文件（参见“增强打开加密文件的安全” http://www.microsoft.com/technet/prodtechnol/winxppro/reskit/prnb_efs_qyxz.asp）
  • 临时文件（用来确定应用程序存放临时文件且加密这些文件夹的位置，且解决此问题
  • 打印机后台打印程序文件（参见“特别操作?一节）
• 使用系统密钥提供额外的保护。使用 Syskey 可以为密码值和在本地安全机构 (LSA) 所保护的数值（如用来保护用户的主密钥加密密钥）提供额外的保护。请参阅文章使用系统密钥，即 Windows 2000 资源工具包的加密文件系统一节。Syskey 的用法、受 Syskey 保护的 Windows 2000 计算机可能遭受的攻击以及应对措施，这些内容位于文章Windows 2000 Syskey 和加密文件系统中所谓的脆弱性的分析

使用 SMB 文件共享和 WebDAV 进行加密文件的远程存储

如果用户策略要求将数据存储在文件服务器，而不是台式机系统中，用户则需要选择策略。有两种可能性可选——要么存储在文件服务器的常规共享文件夹中，要么使用 Web 文件夹。这两种方法都需要进行配置，且用户应该认识到它们各自的利弊。

• 如果将加密文件存储到远程服务器中，服务器必须按照这个目标去配置，且应该采用其他方法，如 IP 安全 (IPSec) 或者安全套接字层 (SSL)，保护文件传输。有关服务器配置方面的说明，请参阅 恢复服务器中的加密文件 Q(283223) 和“如何加密远程 Windows 2000 Server 上的文件和文件夹” Q(320044).然而，后者没有提及一个重要步骤，即 Active Directory 中必须信任远程服务器，以便进行委派。事实上，可以发现许多文章都省略了这一步。如果 Active Directory 中不信任远程服务器，不进行委派，而用户希望将文件保存到远程服务器中，则结果为显示“拒绝访问”出错信息。
• 如果用户需要以明文方式将加密文件存储到远程服务器中（本地副本为密文），用户就可以实现。然而，服务器必须按照这个目标去配置。用户也应该认识到，服务器如果这样配置的话，该服务器就不可保存加密文件。请参阅文档“如何防止文件复制到服务器时被加密 Q(302093).
• 在 Windows XP 或者 Windows Server 2003中，可以在Web 文件夹中存储加密文件。Windows XP Professional 资源工具包中有一节“ Web 文件夹环境中的远程 EFS 操作”对此进行了说明。
• 如果用户的 Web 应用程序需要身份验证才能访问 Web 文件夹存储的 EFS 文件，使用 Web 文件夹存储 EFS 文件以及需要身份验证才能进行访问的这些规则详见“如何在 Internet 信息服务中使用加密文件系统 (EFS)” Q(243756)。

适用于SOHO 和小型公司的最佳实践

一旦用户了解了 EFS 的基本内容，且确定了如何使用 EFS，用户应该利用这些文档，将它们作为测定设计最佳解决方案的清单。

• 加密文件系统的最佳实践 Q(223316) 列出了多个最佳实践。
• 最佳实践：Windows 2000 资源工具包，管理流程 Windows 2000 资源工具包中 “EFS” 一节中的文章，充分阐述了必选或者可选的管理流程，包括启用恢复、禁用 EFS、恢复、配置代理策略以及查看恢复代理信息。这些都是有关管理员的最佳实践。
• 加密文件系统的最佳实践包含在 Windows 2000 Server 产品文档中。
• 本白皮书Windows XP 和 Windows Server 2003 中的加密文件系统提供许多有关不同 EFS 技术方方面面的说明，以及管理加密的有效实践。

企业须知：如何使用 PKI 实施数据恢复策略，如何使用 PKI 进行密钥恢复

默认地，EFS 证书都是自签名的，也就是说，这些证书不需要从 CA 获得证书。用户第一次加密文件时，EFS 搜索一个已存在的 EFS 证书。如没有发现，它就到域中搜索 Microsoft 企业级 CA。如果找到一个 CA，就向该 CA 发出证书请求；如果没有找到 CA，就创建自签名证书，并使用该证书。然而，如果有 CA 的话，就可对 EFS（包括 EFS 证书和 EFS 恢复）进行更加详细的控制。用户可以使用 Windows 2000 或者 Windows Server 2003 的证书服务。下列文章说明了：

• 在加密文件服务中如何使用证书颁发机构 Q(223338) 列出了使用 CA 的三个理由。
• 如何使用 Cipher.exe 使用工具，将自签名证书迁移为证书颁发机构颁发的证书 Q(295680) 说明了使用 cipher /k 命令将存档自签名证书，且向 CA 请求新的 EFS 证书。
• 用户、EFS和管理员证书 支持使用 EFS；恢复代理证书是恢复操作的必选项。
• 公钥体系 (PKI) 证书服务的实施方法，详见文章加密文件系统 (EFS) 的循序渐进指南和证书服务实施示例：密钥存档和恢复。

疑难解答

如果理解 EFS 的工作原理，EFS 的疑难解答就会变得非常简单。多个常见问题，都是由众所周知的原因引起的。下面就是几个常见问题及其解决方案：

• 用户更改用户标识和密码后，就无法再解密文件。针对这个问题有两种可行的方法，具体取决于用户。首先，如果用户帐户简单改名且密码重新设置，问题就在于用户是在使用 XP，这种反应是预期中的。当管理员重新设置 XP 用户帐户密码时，就会删除帐户和 EFS 证书以及密钥的关联信息。将密码改回为原来的密码，就可以恢复解密文件的功能。更多的信息，请参阅用户在修改密码后或者使用漫游配置文件时无法访问 EFS 加密文件 Q(331333)，它解释了如果管理员修改了密码，XP Professional 加密文件为何不能解密，即使是用原来的帐户。该主题也包含在密码重置后，EFS、凭据、证书私钥就会失效 Q(290260).其次，如果帐户确实完全不同（帐户被破坏或者无意中删除），则用户要么导入用户密钥（如果以前导出过），要么请求管理员使用恢复代理密钥（如果采用的话）来恢复这些文件。恢复密钥的有关信息，详见如何在 Windows 2000 中为加密数据恢复恢复加密文件系统的私钥 Q(242296)。如何使用恢复代理来恢复文件，包含在五分钟安全顾问——使用 EFS 恢复加密数据
• 用户格式化硬盘，重装操作系统，并不能解密用户的加密文件。除非用户导出了 EFS 密钥，或者存在恢复代理并且这些密钥可用，否则，用户不能解密文件。如果拥有用户密钥或者它们的恢复代理，那么应该可以导入用户密钥，进行文件解密，或者导入恢复代理密钥（如果必需的话），恢复文件。导入密钥的方法，请参见如何在 Windows 2000 中为加密数据恢复恢复加密文件系统的私钥 Q(242296)。用户可以在 Windows 2000 中使用 esfinfo.exe 或通过查看 XP Professional 或者 Windows Server 2003 的高级文件属性确定文件的恢复代理是谁。
• Windows XP Home 计算机中没有文件属性页的高级按钮，因此，用户不能将文件标记为加密。由于 Windows XP Home 没有 EFS，因此，它不需要解决方案。

其他一些常见问题必须解决用户为什么会遇到“拒绝访问”出错信息这类情形。（原因在于用户试图访问其他人加密的文件。）然而，到目前为止，用户遇到的最大问题就是磁盘破坏之后如何恢复 EFS 文件。EFS 的其他问题参见下列文章：

• Windows 2000 资源工具包的 EFS 疑难解答 一节中，包含有病毒检测程序为何只能检测当前用户加密的文件的说明。
• 修复：错误文本“升级期间没有 EFS 密钥” Sqlstp.log中错误号6006 Q(299494) 解释了 SQL Server 升级时与 EFS 无关的出错信息。
• 使用漫游配置文件的用户不能在域控制器中使用 EFS Q(311513) 解释了 Windows 2000 SP3 中的修复方法。
• 打开 EFS 文件时，该文件看起来已经破坏 Q(329741) 解释了 SP1 之后的 Windows XP Professional 所用的不同加密算法，以及如果采用早期版本的操作系统来打开文件为何会出现数据看起来已经破坏或者丢失。也详述了如何使用 XP 的注册表项来控制采用哪个算法。
• 当改写配置文件时，EFS 密钥对的私钥有可能不再可用。这就是EFS 恢复代理不能导出私钥 Q(259732)的原因。
• 在生产计算机中不应该使用 Sysprep。包含EFS 有关问题的两篇文档为，Sysprep.exe 可以重新启用加密文件系统 Q(294844) 和 使用Sysprep.exe之后无法访问加密文件 Q(288348)，这两篇文档详述了 Sysprep 是如何更改管理员和用户帐户的 SID 的。
• 如何在 Windows XP 中加密文件 Q(307877) 包含有用户在打开其他用户加密过的文件时会碰到的出错信息和警告信息。
• “拒绝访问”加密或者解密文件夹时遇到的出错信息 Q(264064) 解释了如果系统属性是阻止文件解密的原因且系统属性就是问题的关键时如何删除系统属性。（请注意，无论怎样，不应该加密系统文件。此处所述的流程是针对无意中选中了系统属性的文件夹而言。）
• 加密文件可以使用 Ntbackup 来备份，且仍然为加密状态。这些文件不能还原为 FAT 或者 FAT32 卷格式。照此操作就会导致出错信息“警告：恢复目标设备。. . 恢复阶段出错信息” Q(245044)。
• Windows 2000 中开始加密文件之后暂停登录过程 Q(269397) 说明了，如果用户对 Autoexec.bat 之类的系统文件进行加密，由于在该文件要在登录之前进行处理，因此无法解密。
• 不能在安装有多个 Windows 2000 的计算机上打开加密文件 Q(256168) 说明了，从不同的操作系统启动意味着用户是不同的用户，因此无法解密加密文件。
• 当通过标记含有多个文件和/或文件夹的文件夹为加密，或者使用 Cipher 命令来同时加密多个文件时，用户会收到 试图加密多个文件或者文件夹时的出错信息 Q(227465)。
• 出错信息“拒绝访问”当启动最近安装的应用程序时 Q(272412) 可能是临时性文件夹被加密的结果。
• 恢复服务器上的加密文件 Q(283223) 解释了，如果用来远程加密服务器上的文件的帐户没有漫游配置文件，将会生成配置文件，且创建新密钥对和证书。它意味着，这些密钥不同于本地计算机上所用的密钥。
• 无法访问 Microsoft 加密文件系统 Q(243850) 说明了强制性配置文件不能存储密钥。
• 用户更改密码之后无法访问受保护的数据 Q(322346) 说明了，当文件加密时更改密码尽管没有连接到域也会无法访问现存的原始密码。

EFS 基本知识：使用 EFS 加密数据库，且配合 Microsoft 其他产品使用 EFS

“XGEN：使用 Windows 2000 加密文件系统加密 Mdbdata 文件夹和内容 Q(233400) 说明了如何使用 EFS 来加密 Exchange Server 5.5 数据库。

保证 SQL Server 2000 的安全 说明了如何使用 EFS 来加密 SQL 数据库，只是作为一项可能的安全配置，但是没有提供具体方法也没有进行讨论。

故障恢复

用户应该规划 EFS 故障恢复，将它列为业务持续运行规划的一部分。有三个问题需要注意：

• 在 Windows 2000 网络中，使用恢复代理和存档用户以及恢复代理密钥。
• 备份加密文件应该是最佳实践的部分内容。备份系统状态也非常重要，因为它通过恢复用户配置文件（其中含有密钥），从而有可能进行恢复。
• 在使用证书服务提供 EFS 证书的 Windows 2000 网络中，以及在采用 EFS 证书和进行密钥存档的 Windows Server 2003 网络中，故障恢复规划也应该包含有证书服务的恢复规划。Windows 2000 资源工具包文章故障恢复操作提供了一些详细信息。

概述和大量文档

EFS 文档主要位于产品帮助文件、资源工具包和知识库文章中。此外，也位于某些特别专栏中，如上面提到的五分钟安全小提示和一些白皮书。

下面是一些建议阅读的白皮书和一些有用的参考资料：

Windows XP 和 Windows Server 2003的加密文件系统是一个内容丰富的白皮书，它全面说明了 EFS 在这些操作系统中是如何工作的，单位中的 IT 经理和设计以及部署正式 EFS 策略的其他负责人员必须仔细阅读（这些单位在这些操作系统中使用或者将使用 EFS）。还有大量的循序渐进指南，包括屏幕照像，这些对那些使用和管理 EFS 的新手非常有用。然而，这些文档假定读者已经具备 Windows 2000 中的EFS 知识，并且对这些差异很少进行注释。对于所有读者而言，该文档中需要重点阅读的要点为：

• 导入和导出数据恢复代理密钥。
• 数据恢复——最佳实践，它介绍了集中恢复工作站的用法。这一节也介绍了 EFS 和 CA 的用法以及自动登录的用法。
• 加密离线文件。
• 关机时清除页面文件。
• 默认加密算法。
• 在 Windows XP 上重置本地密码。
• EFS 使用 WebDAV 文件夹。
• EFS 和系统恢复”，它介绍了使用 XP 的系统恢复功能对加密文件的影响。
• 数据恢复与密钥恢复进行对比。

Windows XP 中的数据保护和恢复在“Windows XP 和 Windows Server 2003的加密文件系统”之前发布，包含的内容都在后者里面。

“Windows 2000 的加密文件系统发布于 Windows 2000 的预发布阶段，已经完全过时。因此，这个文档中会有一些错误的信息，建议阅读产品文档、资源工具包资料和知识库文章。

加密文件系统的循序渐进指南为Windows 2000 域中实施 EFS 提供快速参考指南，包含有如何将 EFS 加密文件和 EFS 凭据恢复到另一台计算机上，以及如何设置证书服务以便使用 EFS。

证书状态和证书吊销的疑难解答说明了如何检查证书吊销列表(CRL) 以确定是否取消证书。也说明了 Windows 2000 EFS 并不进行证书吊销检查，然而 Windows XP 检查文件附加证书的状态。

Windows 2000 资源工具包包含有 EFS 的一个完整章节（第十五章），以及 EFS 许多参考资料。下面就是本文档中的一些关键内容、兴趣点和信息精华：

• 这一节“选择使用公钥技术的安全解决方案”说明了 EFS 如何使用基本 CSP 和 CryptoAPI，循序渐进地说明了 EFS 是如何工作的。
• “如何保护加密密钥”解释了 EFS 密钥的五个保护等级。
• “证书”说明了为了和 Windows 2000 EFS进行交互操作需要有第三方证书。
• “EFS 疑难解答”说明了用户首次使用 EFS 时可能遇到的一些问题。

Windows XP Professional 资源工具包包含有 EFS 相关的一章，它包括 EFS 的本质概述，详述了 XP 的 EFS 具体功能：

• “文件共享和 Web 文件夹上远程 EFS 操作”节提供了有关远程服务器上 EFS 使用用法的最详尽信息。
• “共享文件的有关事项”指出了共享加密文件时应该考虑的一些问题。
• “数据恢复实施的有关事项”讨论了 XP 和 Windows 2000 域中的数据恢复。也描述了不同策略的安全事项。
• “在独立环境中配置恢复策略”说明了如何使用 cipher /R:filename 命令，以为不在域中的 XP 系统创建自签名恢复代理证书。
• “增强密钥和文件安全”说明了数据保护 API 如何生成主密钥，以便保护用户的私钥和主密钥。

何处下载具体的 EFS 工具

可以通过单击合适的链接来下载下列具体的 EFS 工具：

Esfinfo.exe:http://www.microsoft.com/windows 2000/techinfo/reskit/tools/existing/efsinfo-o.asp.Cipher.exe:http://support.microsoft.com/default.aspx?scid=kb;zh-cn;298009

摘要

EFS 是除了用户的信息安全工具柜的有益扩充。但是必须妥善管理和恰当应用。必须花费一些时间来培训用户和规划恢复。