如何讓你的Win2000文件更安全？

對于每個人來講，一份機密的文件被入侵者或是別有用心的人非法獲取都是很危險的，其帶來的損失也許是不可估量的！然而我們常用的 Win95/98操作系統卻沒有提供任何的安全保障。有時甚至連NT這樣的安全系統都會出現問題，比如我們可以用Ntfsdos這樣的軟件來得到被NT保護的數據。
　　Unix和Win NT的安全依賴于一個稱之為DAC的系統，擁有DAC的系統可以用來保護你的敏感數據。 DAC適用于多人共用一臺機器的情況，它可以區分每個用戶的文件，以用來分開不同用戶的數據。然而，這并不是萬無一失的。破解的方法很簡單，只要重新安裝一下系統，那我們的所有數據就沒有任何安全可言了。為了更大程度地保護用戶的數據安全，我們需要對數據進行加密。在進一步介紹Win2000的文件加密系統之前，先要介紹一下通常我們采用的加密方法。了解了通常的加密方法后，大家才能更了解Win2000的文件加密系統的好處。

　　一、加密技術

　　現在，我們經常用的加密方法有以下幾種:加密文件、磁盤加密、文件加密系統（EFS）。

　　加密文件很好理解，也很常用，比如我們常用的Word等這樣的程序就能夠對產生的文檔進行加密。這種加密方法很容易實現，但它很容易破解，另外，被加密的文件在解密的時候會產生一個解密的副本在臨時文件夾，有時又沒有將其刪除，其結果是非常危險的。另外，Win NT在用戶模式下使用加密文件的方法，操作系統將把密碼保存在一個記錄文件中。如果能夠進入這個記錄文件，那么就會進
入用這個密碼加密過的數據，所以，這也是不安全的。

　　磁盤加密用一個密碼來對整個磁盤進行加密，就像是用戶輸入一個密碼來鎖住磁盤。但這樣做并不方便，需要對整個磁盤進行加密，加解密時間較長。

　　文件加密系統（EFS）與上面幾種加密方法相比有很多的優點。由于EFS 加密技術被集成到操作系統中，所以使用者如果不能通過操作系統的檢查，那么就不能對磁盤進行操作。Win2000的EFS驅動程序運行在內核模式中，所以它的保障是更多的。EFS對于使用者來說是透明的，用戶可以用操作系統產生的隨機密碼來加密文件，并可以無條件地進入自己加密過的文件，而不需在使用前先解密。但另外的用戶卻無法進入被加密過的文件。

　　EFS使用公用密碼技術，用一個隨機的文件加密密碼（FEK）來加密數據。用密碼加密的共用系統有兩個密碼: 公用密碼和私人密碼。公用密碼是公開的，私人密碼則只有用戶自己知道。用戶用公用密碼來加密數據，用私人密碼解密數據。NTFS用具有所謂的數據解密域（DDF）和數據恢復域（DRF）屬性的加密文件存放加密后的 FEK清單。

　　EFS的密碼存放機制建立在Win2000 Crypto API結構上，它把用戶的公用密碼、私人密碼和隨機產生的密碼分開存放。這樣就提高了安全屬性。

　　二、EFS的實現

　　Win2000把EFS作為一個文件屬性來供用戶選擇，在任何一個文件或文件夾上點擊右鍵，選擇“屬性”，在選擇“高級”時（前提是你的硬盤格式必須是NTFS），在新出現的窗口里我們就可以直接加密文件了（這時要注意，加密選項與壓縮選項并不能同時進行，我們不能對NTFS壓縮的文件進行加密）。加密后的文件只有本人才能夠打開，另外的用戶就不會看到被加密過的文件的內容了。而我們本人使用加密的文件時是透明的，就像我們用普通的文件一樣，不需要進行解密等操作。

　　還有一個很重要的問題是，如果我們重新安裝了操作系統，那么被加密過的文件怎么辦呢？這時我們就需要把密碼備份了。請看下面的操作。

　　在“控制面板”里面點擊“用戶和密碼”，在彈出的窗口里點“高級”→ “證書”按鈕，就會出現“證書”窗口。選中我們的密碼，點擊“導出”，就會出現“證書導出向導”。在里面我們可以選擇導出私人密碼或者不導出私人密碼。如果我們要備份密碼，以便在重裝系統時能夠解開我們加密過的文件，那么就選擇導出私匙。如果我們想讓一位朋友把一份很重要的文件加密后給自己，那么就不導出私人密碼，然后把導出的公用密碼給他，讓他用這個公用密碼加密文件，然后把文件給自己，就可以自己來解開了，是很安全的。如果選擇“導出私人密碼”，那么在下面出現的窗口會要求我們為這個私人密碼輸入一個密碼來保證它的安全（下次在導入這個私人密碼的時候會要求我們來進行密碼確認的）。再點擊下一步，選擇導出的格式和一些相關調整，根據個人需要來進行選擇。然后選擇導出的位置，最后結束。將導出的文件進行保存，以便于重裝系統后用其來進行解密。

　　在重裝系統后，我們同樣要進行證書的導入工作。方法是:點擊“控制面板”里的“用戶和密碼”，再點擊“高級”，點擊“證書”，在證書窗口中點擊 “導入”就會出現“證書”導入向導窗口，點擊“下一步”。在彈出的窗口中選擇我們保存好的證書文件，選好后點擊下一步，在出現的窗口里面輸入我們為了保證證書的安全所設定的密碼，并進行相應的個人選擇。再點擊下一步，在新出現的窗口里，這時我們要先按照默認值自動選擇存儲區，然后再進行一次導入工作，和前幾步做的一樣。但我們不在使用默認設置，而是選擇“將所有證書放入下列存儲區”后點擊瀏覽按鈕，在出現的窗口里選擇“個人”。這時我們 就可以解開以前加密過的文件了。

　　在安裝完Win2000后，系統默認的加密級別是56位，我們可以在微軟的網站上下載一個文件增加我們的加密級別，可以升級到128位，這會極大地提高加密的安全性。

　　總的來說，Win2000的EFS是非常大的一個進步，的確可以在給我們帶來方便的同時，也能夠帶來極高的安全性。

原文轉自：http://www.kjueaiud.com