Tổng quan về Encrypting File System Những gì EFS Basic Làm thế nào-TOS Kế hoạch và Phục hồi các tập tin được mã hóa: Phục hồi chính sách Làm thế nào EFS Sự khác nhau giữa EFS trên Windows 2000, Windows XP, và Windows Server 2003 Lạm dụng và Lạm dụng EFS và Làm thế nào để tránh mất dữ liệu hoặc phơi sáng Lưu trữ từ xa của tập tin được mã hóa Sử dụng chia sẻ file SMB và WebDAV Thực tiễn tốt nhất cho SOHO và các doanh nghiệp nhỏ Doanh nghiệp Làm thế nào-TOS Xử lý sự cố EFS cấp tiến: Sử dụng EFS để mã hóa cơ sở dữ liệu và sử dụng EFS Các sản phẩm khác của Microsoft Phục hồi thiên tai Tổng quan và điều lớn hơn Tóm tắt thông tin

Tổng quan về Encrypting File System

Encrypting File System (EFS) là một thành phần của hệ thống tập tin NTFS trên Windows 2000, Windows XP Professional, và Windows Server 2003. (Windows XP Home không bao gồm EFS) EFS cho phép mã hóa minh bạch và giải mã các tập tin bằng cách sử dụng tiên tiến, các thuật toán mật mã tiêu chuẩn. Bất kỳ cá nhân hoặc chương trình mà không có chìa khóa mật mã thích hợp không thể đọc được dữ liệu mã hóa. Các tập tin được mã hóa có thể được bảo vệ thậm chí từ những người được sở hữu vật lý của máy tính mà các tập tin nằm trên. Ngay cả người được ủy quyền để truy cập vào máy tính và hệ thống tập tin của nó không thể xem dữ liệu. Trong khi chiến lược phòng thủ khác nên được sử dụng, và mã hóa là không đúng biện pháp đối phó mối đe dọa tất cả, mã hóa là một sự bổ sung mạnh mẽ cho bất kỳ chiến lược phòng thủ. EFS được xây dựng trong công cụ mã hóa tập tin cho các hệ thống tập tin Windows.

Tuy nhiên, tất cả các vũ khí phòng thủ, nếu được sử dụng không đúng cách, thực hiện tiềm năng gây hại. EFS phải được hiểu, thực hiện một cách thích hợp, và quản lý hiệu quả để đảm bảo rằng kinh nghiệm của bạn, kinh nghiệm của những người mà bạn cung cấp hỗ trợ, và các dữ liệu bạn muốn bảo vệ không bị tổn hại. Tài liệu này sẽ

Cung cấp một cái nhìn tổng quan và liên kết đến các nguồn lực trên EFS. Điểm đến chiến lược thực hiện và thực hành tốt nhất.

Đặt tên nguy hiểm và giảm nhẹ phòng tư vấn và từ tác hại.

Nhiều nguồn tài nguyên trực tuyến và xuất bản trên EFS tồn tại. Các nguồn thông tin chính của các bộ dụng cụ tài nguyên Microsoft, tài liệu sản phẩm, giấy trắng, và các kiến thức cơ sở. Bài viết này cung cấp một cái nhìn tổng quan ngắn gọn về các vấn đề EFS lớn. Bất cứ nơi nào có thể, nó không phải làm lại hiện có tài liệu, thay vào đó, nó cung cấp các liên kết đến các nguồn lực tốt nhất. Tóm lại, bản đồ các danh sách các kiến thức mong muốn và hướng dẫn các tài liệu thực tế mà họ có thể được tìm thấy. Ngoài ra, danh mục sản phẩm giấy các yếu tố chính của các tài liệu lớn do đó bạn sẽ có thể tìm thấy thông tin bạn cần mà không phải

làm việc theo cách của bạn thông qua hàng trăm trang thông tin mỗi khi bạn có một câu hỏi mới.

Bài viết thảo luận về các phím EFS lĩnh vực kiến thức sau đây:

Những gì EFS Cơ bản như thế nào-tos, chẳng hạn như làm thế nào để mã hóa và giải mã các tập tin,

phục hồi các tập tin được mã hóa, các phím lưu trữ, quản lý giấy chứng nhận, và sao lưu các tập tin, và làm thế nào để vô hiệu hóa EFS

Làm thế nào công trình và kiến trúc EFS EFS và các thuật toán

Chính sự khác biệt giữa các EFS trên Windows 2000, Windows XP, và Windows Server 2003

Lạm dụng và lạm dụng EFS và làm thế nào để tránh mất dữ liệu hoặc tiếp xúc

Lưu trữ từ xa các tập tin được mã hóa bằng cách sử dụng chia sẻ file SMB, WebDAV

Thực hành tốt nhất cho SOHO và các doanh nghiệp nhỏ

Doanh nghiệp làm thế nào-TOS: làm thế nào để thực hiện các chiến lược phục hồi dữ liệu với PKI và làm thế nào để thực hiện khôi phục khóa với PKI

Xử lý sự cố

EFS triệt để sử dụng EFS để mã hóa cơ sở dữ liệu và sử dụng EFS với các sản phẩm của Microsoft

Khôi phục thảm họa

Nơi để tải về công cụ EFS-cụ thể

Sử dụng EFS chỉ đòi hỏi một bit đơn giản của kiến thức. Tuy nhiên, bằng cách sử dụng EFS mà không có kiến thức thực hành tốt nhất và không có sự hiểu biết quá trình phục hồi có thể cung cấp cho bạn một cảm giác sai lầm về an ninh, như các tập tin của bạn có thể không được mã hóa khi bạn nghĩ rằng họ đang có, hoặc bạn có thể cho phép truy cập trái phép bằng cách có một mật khẩu yếu hoặc có thực hiện mật khẩu có sẵn cho những người khác. Nó cũng có thể dẫn đến mất dữ liệu, nếu không được thực hiện các bước phục hồi thích hợp. Vì vậy, trước khi sử dụng EFS, bạn nên đọc các liên kết thông tin trong phần "lạm dụng và lạm dụng EFS và Làm thế nào để tránh mất dữ liệu hoặc phơi sáng." Các kiến thức trong phần này cảnh báo bạn thiếu các hoạt động phục hồi thích hợp hoặc sự hiểu lầm có thể gây ra dữ liệu của bạn được tiếp xúc không cần thiết. Để thực hiện một chính sách an toàn và thu hồi EFS, bạn nên có một sự hiểu biết toàn diện hơn về EFS.

Đầu trang

Những gì EFS

Bạn có thể sử dụng EFS để mã hóa các tập tin được lưu trữ trong hệ thống tập tin của Windows 2000, Windows XP Professional, và Windows Server 2003 máy tính. EFS không được thiết kế để bảo vệ dữ liệu trong khi nó chuyển từ một hệ thống khác. EFS sử dụng đối xứng (phím được sử dụng để mã hóa các tập tin) và không đối xứng (hai phím được sử dụng

để bảo vệ khóa mã hóa) mật mã. Một mồi tuyệt vời trên mật mã có sẵn trong Windows 2000 Resource Kit như là một giới thiệu dịch vụ Giấy chứng nhận . Sự hiểu biết cả hai của các chủ đề này sẽ giúp bạn hiểu biết về EFS.

Một tổng quan về rắn của EFS và một bộ sưu tập toàn diện thông tin về EFS trong Windows 2000 được công bố trong Hướng dẫn hệ thống phân phối của Windows 2000 Server Resource Kit. Thông tin này, hầu hết trong số đó nằm trong Chương 15 của tài liệu hướng dẫn đó được công bố trực tuyến tại http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx . (Trên trang này trang web, sử dụng an ninh, mục lục để đi đến Hướng dẫn hệ thống phân phối phân phối, Encrypting File System.)

Có sự khác biệt giữa EFS trong Windows 2000, Windows XP Professional, và Windows Server 2003. Windows XP Professional Resource Kit giải thích sự khác nhau giữa Windows 2000 và thực hiện Windows XP Professional của EFS, và tài liệu "Encrypting File System trong Windows XP và Windows Server 2003" ( http://www.microsoft.com/technet/prodtechnol/ winxppro / triển khai / cryptfs.mspx ) chi tiết Windows XP và Windows Server 2003 sửa đổi. Phần dưới đây, "Sự khác biệt chính giữa các EFS trên Windows 2000, Windows XP, và Windows Server 2003", tóm tắt những khác biệt này.

Sau đây là những sự kiện quan trọng cơ bản về EFS:

EFS mã hóa không xảy ra ở cấp độ ứng dụng mà là ở cấp độ tập tin hệ thống, do đó, quá trình mã hóa và giải mã trong suốt đối với người sử dụng và các ứng dụng. Nếu một thư mục được đánh dấu để mã hóa, mỗi tập tin được tạo ra hoặc di chuyển đến thư mục sẽ được mã hóa. Các ứng dụng không cần phải hiểu EFS hoặc quản lý EFS mã hóa các tập tin bất kỳ khác nhau hơn so với file không mã hóa. Nếu người dùng cố gắng mở một tập tin và sở hữu chìa khóa để làm như vậy, tập tin sẽ mở ra mà không cần nỗ lực bổ sung trên một phần của người sử dụng. Nếu người dùng không có chìa khóa, họ nhận được một thông báo lỗi "Truy cập bị từ chối".

Tập tin mã hóa sử dụng một chìa khóa đối xứng, mà sau đó được mã hóa với khóa công khai của một cặp mã hóa khóa công khai. Các tin quan trọng liên quan đến phải có sẵn để cho các tập tin được giải mã. Cặp khoá này được ràng buộc với một danh tính người dùng và có sẵn cho người dùng có sở hữu của ID người dùng và mật khẩu. Nếu khóa riêng bị hư hỏng hoặc mất tích, ngay cả những người sử dụng mã hóa các tập tin không thể giải mã nó. Nếu một tác nhân phục hồi tồn tại, sau đó các tập tin có thể được thu hồi. Nếu quan trọng lưu trữ đã được thực hiện, sau đó bấm phím có thể được phục hồi, và các tập tin giải mã. Nếu không, tập tin có thể bị mất. EFS là một tập tin hệ thống có mã hóa tuyệt vời là không có "cửa trở lại."

Các khóa mã hóa tập tin có thể được lưu trữ (ví dụ như xuất khẩu sang một đĩa mềm) và giữ trong một nơi an toàn để đảm bảo phục hồi nên các phím trở nên hư hỏng.

Phím EFS được bảo vệ bởi mật khẩu của người dùng. Bất kỳ người dùng có thể có được ID người dùng và mật khẩu có thể đăng nhập như là người dùng và giải mã mà người sử dụng tập tin. Vì vậy, một chính sách mật khẩu mạnh cũng như giáo dục người dùng mạnh mẽ phải là một thành phần của thực tiễn bảo mật của mỗi tổ chức để đảm bảo việc bảo vệ các tập tin được mã hóa EFS.

EFS mã hóa các tập tin không được mã hóa trong quá trình vận chuyển nếu lưu hoặc mở từ một thư mục trên một máy chủ từ xa. Các tập tin được giải mã, đi qua mạng trong thô, và, nếu lưu vào một thư mục trên ổ đĩa cục bộ đánh dấu cho việc mã hóa, được mã hóa tại địa phương. EFS mã hóa tập tin có thể vẫn được mã hóa trong khi đi qua mạng nếu họ đang được lưu vào một thư mục web bằng cách sử dụng WebDAV. Phương pháp lưu trữ từ xa không có sẵn cho Windows 2000.

EFS sử dụng FIPS 140 đánh giá nhà cung cấp dịch vụ mật mã của Microsoft (CSP-thành phần có chứa các thuật toán mã hóa cho các sản phẩm của Microsoft).

Đầu trang

Basic Làm thế nào-TOS

Làm thế nào để mã hóa và giải mã tập tin, phục hồi tập tin được mã hóa, Keys Lưu trữ, quản lý Giấy chứng nhận, Back Up Files, và Vô hiệu hóa EFS

EFS chức năng là đơn giản, và bạn có thể tìm thấy các bước theo các bước hướng dẫn trong các tài liệu trực tuyến nhiều người. Liên kết đến bài viết cụ thể cho mỗi chức năng EFS có thể, cũng như một số tài liệu trong đó tóm tắt các chức năng khác nhau, theo. Nếu tài liệu là một cơ sở kiến thức bài viết, số lượng kiến thức cơ sở xuất hiện trong ngoặc đơn sau tiêu đề bài viết.

Mã hóa và Giải mã

Quá trình mã hóa và giải mã các tập tin là rất đơn giản, nhưng quan trọng để quyết định những gì để mã hóa và lưu ý sự khác biệt trong EFS dựa trên hệ điều hành.

" Mã hóa tập tin trong Windows 2000 "(222054) giải thích thiết lập mã hóa thư mục. Hãy nhớ rằng, khi một thư mục được đánh dấu để mã hóa, nó là không cần thiết bằng tay đánh dấu cho việc mã hóa các tập tin được đặt bên trong nó.

" : Mã hóa một file trong Windows XP "(307877) bao gồm các thông báo lỗi và cảnh báo rằng người dùng có thể nhận được khi cố gắng để mở các tập tin được mã hóa bởi một người khác.

Thư mục không được mã hóa, tuy nhiên, thiết lập thuộc tính thư mục để "mã hóa" không có nghĩa là tất cả các tập tin nằm trong thư mục sẽ được tự động mã hóa "LÀM THẾ NÀO ĐỂ: Mã hóa một thư mục trong Windows XP "(308.989) cho biết làm thế nào để thiết lập thuộc tính .

" : Hủy bỏ mã hóa tập tin trong Windows XP "(308993) cho biết làm thế nào để giải mã một tập tin bằng cách loại bỏ các tài sản mã hóa tập tin.

Chia sẻ mã hóa tập tin

Giao diện để chia sẻ tập tin mã hóa chỉ có sẵn trong Windows XP và Windows Server 2003.

" LÀM THẾ NÀO ĐỂ: Chia sẻ truy cập một tập tin được mã hóa trong Windows XP "(308991) giới thiệu các phương pháp mà theo đó các tập tin được mã hóa có thể được chia sẻ. Bạn có thể tìm thấy một mô tả ngắn gọn, bao gồm cả ảnh chụp màn hình, trong " 5-Minute Cố vấn An ninh-Sử dụng Encrypting File System . " Ghi nhớ:

chia sẻ các tập tin được mã hóa là một cơ sở mà chỉ có Windows XP và Windows Server 2003.

Đầu trang

Kế hoạch và Phục hồi các tập tin được mã hóa: Phục hồi chính sách

Một chính sách phục hồi có thể được chính sách bảo mật của một tổ chức lập kế hoạch cho việc phục hồi thích hợp của các tập tin được mã hóa. Đó cũng là chính sách được thực thi bởi địa phương Chính sách Chính sách bảo mật khóa công khai Group Policy chính Chính sách Công. Sau này, chính sách phục hồi xác định các tập tin được mã hóa có thể được phục hồi chính người sử dụng tư nhân nên bị hư hỏng hoặc bị mất và các tập tin được mã hóa không hề hấn gì. Phục hồi giấy chứng nhận (s) được quy định cụ thể trong chính sách. Phục hồi có thể được, hoặc phục hồi dữ liệu (Windows 2000, Windows XP Professional, và Windows Server 2003) hoặc khôi phục khóa (Windows Server 2003 với các dịch vụ Giấy chứng nhận). EFS Windows 2000 đòi hỏi sự hiện diện của một đại lý phục hồi (không có đại lý phục hồi, không có mã hóa tập tin), nhưng Windows XP và Windows Server 2003 không. Theo mặc định, Windows 2000 và Windows Server 2003 mặc định các đại lý phục hồi được phân công. Windows XP Professional không.

Quá trình phục hồi dữ liệu rất đơn giản. Các tài khoản người dùng bị ràng buộc vào giấy chứng nhận đại lý phục hồi được sử dụng để giải mã các tập tin. Các tập tin sau đó được chuyển giao một cách an toàn cho chủ sở hữu tập tin, sau đó có thể mã hóa các file. Phục hồi thông qua các phím sẽ tự động lưu trữ được chỉ có sẵn với Windows Server 2003 Certificate Services. Các cấu hình vượt ra ngoài cài đặt dịch vụ Giấy chứng nhận được yêu cầu. Trong cả hai trường hợp, điều quan trọng nhất mà một chính sách bằng văn bản và thủ tục thu hồi được đưa ra. Những thủ tục này, nếu tốt bằng văn bản và sau đó, có thể đảm bảo rằng các khóa khôi phục và các đại lý có sẵn để sử dụng và phục hồi đó là an toàn thực hiện. Hãy nhớ rằng có hai định nghĩa cho "chính sách phục hồi." Định nghĩa đầu tiên đề cập đến một chính sách phục hồi bằng văn bản và thủ tục mô tả ai, cái gì, ở đâu, và khi hồi phục, cũng như những bước cần được thực hiện để đảm bảo các thành phần phục hồi có sẵn. Định nghĩa thứ hai, mà thường được gọi trong các tài liệu dưới đây, là chính sách khóa công khai đó là một phần của Local Security Policy trên hệ thống độc lập, hoặc Group Policy trong phạm vi một. Nó có thể xác định các chứng chỉ được sử dụng để phục hồi, cũng như các khía cạnh khác của Chính sách Công cộng chính trong phạm vi. Bạn có thể tìm thêm thông tin trong các tài liệu sau đây:

Windows XP và Server tài liệu Windows 2003 bao gồm các bước "Thêm một đại lý phục hồi cho một tên miền ".

Một " Five-Minute Cố vấn An ninh-Phục hồi dữ liệu được mã hóa Sử dụng EFS "giải thích tầm quan trọng của sao lưu các tập tin được mã hóa và EFS phím cũng như các vấn đề cơ bản của phục hồi.

" LÀM THẾ NÀO ĐỂ: Back Up File Recovery Agent Mã hoá Hệ thống khởi tư nhân trong Windows 2000 "(241201) giải thích làm thế nào lưu trữ các khóa riêng của các đại lý phục hồi đảm bảo rằng nó sẽ có sẵn để phục hồi các tập tin EFS được bảo vệ bởi nó.

Người sử dụng và phục hồi phím đại lý tư nhân nên được lưu trữ.

Nếu khóa khôi phục tin bị hỏng hoặc bị mất, bạn có thể tạo ra một chính sách phục hồi dữ liệu doanh nghiệp mới trong Windows 2000. Sử dụng bài báo "như thế nào: Reinitialize EDRP trên một máy tính Workgroup Chạy Windows 2000 "(257.705) để làm như vậy . Tuy nhiên, bạn nên nhận ra rằng điều này sẽ không cho phép bạn phục hồi các tập tin được mã hóa trước đây. Nếu một bản sao lưu của Giấy chứng nhận đại lý phục hồi trước và khóa riêng có sẵn, những phím được sử dụng. Nếu một chính sách mới được thực hiện, các tập tin hiện được mã hóa nên được giải mã và mã hóa lại để phục hồi Giấy chứng nhận đại lý có thể được sử dụng và do đó các tập tin sẽ được thu hồi.

Thông tin về sự tồn tại của một đại lý phục hồi dưới sự kiểm soát của một quản trị viên được đề cập trong "Phương pháp Phục hồi dữ liệu được mã hóa tập tin "(255742) .

Hướng dẫn về việc sử dụng Ntbackup để sao lưu các tập tin mã hóa, cũng như thông tin về cấu hình hệ thống và làm thế nào để sử dụng Ntbackup để khôi phục lại những tập tin này sẽ được thảo luận trong "LÀM THẾ NÀO ĐỂ: Sử dụng Ntbackup để phục hồi một tập tin hoặc thư mục được mã hóa trong Windows 2000 "( 313277) .

Bước đầu tiên trong phục hồi là xác định các đại lý phục hồi. " Sử dụng Efsinfo.exe Xác định thông tin về các tập tin được mã hóa "(243026) mô tả làm thế nào để làm điều này bằng cách sử dụng các công cụ Windows 2000 Bộ Tài nguyên, esfinfo.exe. Các thuộc tính tập tin nâng cao của các tập tin được mã hóa trong Windows XP và Windows Server 2003 tự động hiển thị thông tin này.

" Quản trị địa phương là không phải lúc nào cũng mặc định Encrypting File System Recovery Agent "(255026) giải thích lý do tại sao các tài khoản đầu tiên được xác định trong quá trình cài đặt trong một máy tính Windows 2000 Professional trở thành đại lý phục hồi.

Vô hiệu hóa hoặc Ngăn chặn Encryption

Bạn có thể quyết định rằng bạn không muốn người sử dụng có khả năng để mã hóa các tập tin. Theo mặc định, họ làm. Bạn có thể quyết định rằng các thư mục cụ thể không nên chứa các tập tin được mã hóa. Bạn cũng có thể quyết định vô hiệu hóa EFS cho đến khi bạn có thể thực hiện một chính sách EFS âm thanh và người sử dụng xe lửa đúng thủ tục. Có nhiều cách khác nhau của việc vô hiệu hóa EFS tùy thuộc vào hệ điều hành và hiệu quả mong muốn:

Các thư mục hệ thống không thể được đánh dấu để mã hóa. EFS phím không có sẵn trong quá trình khởi động, do đó, nếu các tập tin hệ thống được mã hóa, các tập tin hệ thống không thể khởi động. Để ngăn chặn các thư mục khác đang được đánh dấu để mã hóa, bạn có thể đánh dấu chúng như là thư mục hệ thống. Nếu điều này là không thể, sau đó là một phương pháp để ngăn chặn mã hóa trong một thư mục được định nghĩa trong "Encrypting File System. "

NT 4.0 không có khả năng sử dụng EFS. Nếu bạn cần phải vô hiệu hóa EFS đối với Windows 2000 máy tính tham gia vào một miền Windows NT 4.0, hãy xem "Cần Turn Off EFS trên Windows 2000-dựa trên máy tính trong Windows NT 4.0 dựa trên Domain "( 288579). Chìa khóa registry đã đề cập cũng có thể được sử dụng để vô hiệu hóa EFS trong Window XP Professional và Windows Server 2003.

EFS vô hiệu hóa cho Windows XP Professional cũng có thể được thực hiện bằng cách xóa hộp kiểm cho các trang tài sản của chính sách bảo mật Chính sách chính địa phương công cộng. EFS có thể được vô hiệu hóa trong XP và Windows Server 2003 máy tính tham gia vào một miền Windows Server 2003 bằng cách xóa hộp kiểm cho các trang tài sản của các miền, đơn vị tổ chức (OU) Group Policy Chính sách Public Key.

" Vô hiệu hóa / Kích hoạt tính năng EFS trên Windows Stand-Alone 2000 dựa trên máy tính "(243035) chi tiết làm thế nào để tiết kiệm giấy chứng nhận và các phím của các đại lý phục hồi khi vô hiệu hóa EFS để bạn có thể kích hoạt EFS tại một ngày trong tương lai.

" LÀM THẾ NÀO ĐỂ: Vô hiệu hóa EFS đối với tất cả các máy tính trong Windows 2000 dựa trên Domain "(222022) cung cấp những hướng dẫn tốt nhất và xác định rõ sự khác biệt giữa chính sách tên miền bị xóa (một chính sách dựa trên OU hoặc Local Security Policy có thể tồn tại) so với khởi tạo rỗng chính sách (không có Windows 2000 EFS mã hóa có thể xuyên suốt miền).

Đặc biệt hoạt động

Hãy cho đủ người nhìn vào bất cứ điều gì, và bạn sẽ thấy có những câu hỏi mà chỉ là không được trả lời theo các tài liệu hiện có hoặc các tùy chọn. Một số những vấn đề này, xem xét của bên thứ ba, và các vấn đề giới thiệu bài viết có thể được giải quyết bằng cách xem lại các bài viết sau đây.

Thông số kỹ thuật cho việc sử dụng của một bên thứ ba chứng nhận Authority (CA) có thể được tìm thấy tại "bên thứ ba chứng nhận Cơ quan Hỗ trợ Encrypting File System "( 273856). Nếu bạn muốn sử dụng các giấy chứng nhận CA của bên thứ ba cho EFS, bạn cũng nên điều tra xử lý thu hồi giấy chứng nhận. Windows 2000 giấy chứng nhận EFS không được kiểm tra thu hồi. Windows XP và Windows Server 2003 EFS giấy chứng nhận kiểm tra thu hồi trong một số trường hợp, giấy chứng nhận của bên thứ ba có thể bị từ chối. Thông tin về xử lý thu hồi Giấy chứng nhận EFS có thể được tìm thấy trong giấy trắng "Encrypting File System trong Windows XP và Windows Server 2003 " .

Khi một tập tin thô hiện tại được đánh dấu để mã hóa, đó là lần đầu tiên sao chép vào một tập tin tạm thời. Khi quá trình hoàn tất, các tập tin tạm thời được đánh dấu để xóa, có nghĩa là các phần của tập tin gốc có thể vẫn còn trên đĩa và có khả năng có thể được truy cập thông qua một trình soạn thảo đĩa. Các bit dữ liệu, được gọi là dữ liệu sợi hoặc remanence, có thể được loại bỏ vĩnh viễn bằng cách sử dụng một phiên bản sửa đổi của công cụ cipher.exe. Công cụ này là một phần của Service Pack 3 (SP3) cho Windows 2000 và được bao gồm trong Windows Server 2003. Hướng dẫn sử dụng công cụ, cùng với vị trí của một phiên bản tải về, có thể được tìm thấy trong " : Sử dụng Cipher.exe Ghi đè lên dữ liệu bị xóa trong Windows "(315.672) và" Công cụ an ninh Cipher.exe Encrypting File System "(298.009).

Làm thế nào để làm cho mã hóa tập tin hiển thị trong màu xanh lá cây trong Windows Explorer được giải thích trong ": Xác định các tập tin được mã hóa trong Windows XP "(320166).

" Làm thế nào để Kích hoạt các lệnh mã hóa trên Menu Shortcut "(241121) cung cấp một chìa khóa registry để sửa đổi cho mục đích này.

Bạn có thể để bảo vệ máy in spool các tập tin hoặc bản sao cứng các tập tin mã hóa trong khi họ đang in. Mật mã là trong suốt quá trình in ấn. Nếu bạn có quyền (có chìa khóa) để giải mã các tập tin và một phương pháp tồn tại cho các tập tin in ấn, tập tin sẽ được in. Tuy nhiên, hai vấn đề cần quan tâm đến bạn. Đầu tiên, nếu tập tin nhạy cảm đủ để mã hóa, làm thế nào bạn sẽ bảo vệ các bản sao in? Thứ hai, các tập tin spool cư trú trong root> <system thư mục Printers \ system32 \ spool \. Làm thế nào bạn có thể bảo vệ nó trong khi có của nó? Bạn có thể mã hóa thư mục đó, nhưng điều đó sẽ làm chậm in ấn vô cùng. Windows 2000 Resource Kit đề xuất một máy in riêng biệt cho việc in ấn của những tập tin này và làm thế nào để tốt nhất bảo đảm rằng máy in trong hệ thống phân phối, phân phối an ninh, Mã hoá tập tin hệ thống, in tập tin EFS phần.

Đầu trang

Làm thế nào EFS

EFS Kiến trúc và thuật toán

Để hiểu EFS, và do đó dự đoán các vấn đề, hình dung các cuộc tấn công tiềm năng, và khắc phục sự cố và bảo vệ các tập tin EFS mã hóa, bạn nên hiểu kiến trúc của EFS mã hóa cơ bản, giải mã, và các thuật toán phục hồi. Phần lớn thông tin này là Kit của Windows 2000 Resource phân phối hệ thống Hướng dẫn , Resource Kit Windows XP Professional, và giấy trắng, "Encrypting File System trong Windows XP và Windows Server 2003. " Nhiều người trong số các thuật toán cũng được mô tả trong tài liệu sản phẩm. Các ví dụ sau đây được từ Windows XP Professional Resource Kit:

Một cuộc thảo luận thẳng thắn của các thành phần của EFS, bao gồm cả dịch vụ EFS, lái xe EFS, và hệ thống tập tin thời gian chạy Thư viện, được tìm thấy trong thành phần của EFS ", một tiểu mục của Chương 17," Encrypting File System "trong Windows XP Professional Resource Kit.

Một mô tả của mã hóa, giải mã, và các thuật toán phục hồi EFS sử dụng trong phần Resource Kit "Làm thế nào file đã mã hóa. " Phần này bao gồm một cuộc thảo luận của các khóa mã hóa tập tin (FEKs) và phục hồi tập tin dữ liệu Fields và Fields Giải mã dữ liệu sử dụng để giữ FEKs mã hóa bởi người sử dụng và đại lý công cộng phục hồi phím.

" Làm việc với mã hóa "bao gồm làm thế nào để bước để xác định hiệu lực của quyết định về việc thay đổi các thuộc tính mã hóa các thư mục. Bảng này định nghĩa những gì xảy ra cho mỗi tập tin (hiện nay, thêm vào sau này, hoặc sao chép vào thư mục) cho sự lựa chọn "Thư mục này chỉ" hay lựa chọn "thư mục, thư mục con và các tập tin."

" EFS hoạt động từ xa trên cổ phiếu tập tin và thư mục web "xác định những gì sẽ xảy ra với các tập tin được mã hóa và làm thế nào để cho phép lưu trữ từ xa.

Đầu trang

Key Differences Between EFS on Windows 2000, Windows XP, and Windows Server 2003

EFS was introduced in Windows 2000. However, there are differences when compared with Windows XP Professional EFS and Windows Server 2003 EFS, including the following:

You can authorize additional users to access encrypted files (see the section "Sharing Encrypted Files", above). In Windows 2000, you can implement a programmatic solution for the sharing of encrypted files; however, no interface is available. Windows XP and Windows Server 2003 have this interface.

Offline files can be encrypted. See " HOW TO: Encrypt Offline Files to Secure Data in Windows XP ."

Data recovery agents are recommended but optional. XP doesn't automatically include a default recovery agent. XP will take advantage of an existing Windows 2000 domain-level recovery agent if one is present, but the lack of a domain recovery agent won't prevent encryption of files on an XP system. A self-signed recovery agent certificate can be requested by using the cipher /R: filename command, where filename is the name that will be used to create a *.cer file to hold the certificate and a *.pfx file to hold the certificate and private key.

The Triple DES (3DES) encryption algorithm can be used to replace Data Encryption Standard X (DESX), and after XP SP1, Advanced Encryption Standard (AES) becomes the default encryption algorithm for EFS.

For Windows XP and Windows Server 2003 local accounts, a password reset disk can be used to safely reset a user's password. (Domain passwords cannot be reset using the disk.) If an administrator uses the "reset password" option from the user's account in the Computer Management console users container, EFS files won't be accessible. If users change the password back to the previous password, they can regain access to encrypted files. To create a password reset disk and for instructions about how to use a password reset disk , see product documentation and/or the article " HOW TO: Create and Use a Password Reset Disk for a Computer That Is Not a Domain Member in Windows XP " (305478).

Các tập tin được mã hóa có thể được lưu trữ trong các thư mục Web. Windows XP Professional Resource Kit phần EFS hoạt động từ xa trong một môi trường thư mục Web "giải thích như thế nào .

Windows Server 2003 kết hợp các thay đổi được giới thiệu trong Windows XP Professional và cho biết thêm những điều sau đây:

Một tên miền Public Key mặc định chính sách phục hồi được tạo ra, và một đại lý phục hồi giấy chứng nhận được cấp cho tài khoản Administrator.

Dịch vụ Giấy chứng nhận bao gồm khả năng tuỳ biến của các mẫu chứng chỉ và chìa khóa lưu trữ. Với cấu hình thích hợp, lưu trữ của người sử dụng các phím EFS có thể được thiết lập và phục hồi của các tập tin được mã hóa EFS-có thể được thực hiện bằng cách khôi phục các khóa mã hóa của người dùng thay vì giải mã thông qua một đại lý phục hồi tập tin. Một đi bộ thông qua việc cung cấp một cấu hình bước theo bước của dịch vụ Giấy chứng nhận quan trọng lưu trữ có sẵn trong " Giấy chứng nhận thực hiện dịch vụ Ví dụ: Lưu trữ và phục hồi chính . "

Windows Server 2003 cho phép người dùng sao lưu EFS quan trọng của họ (s) trực tiếp từ dòng lệnh và từ trang chi tiết tài sản bằng cách nhấn vào nút "Backup Keys".

Đầu trang

Lạm dụng và Lạm dụng EFS và Làm thế nào để tránh mất dữ liệu hoặc phơi sáng

Người trái phép có thể cố gắng để có được những thông tin được mã hóa bằng EFS. Dữ liệu nhạy cảm cũng có thể tình cờ tiếp xúc. Hai nguyên nhân có thể mất dữ liệu hoặc tiếp xúc là lạm dụng (sử dụng không đúng EFS) hoặc lạm dụng (gắn kết các cuộc tấn công chống lại mã hóa các tập tin hoặc các hệ thống EFS EFS-mã hóa các tập tin).

Vô ý vấn đề Do lạm dụng

Một số vấn đề có thể gây ra vấn đề khi sử dụng EFS. Đầu tiên, khi sử dụng sai, tập tin nhạy cảm có thể vô tình tiếp xúc. Trong nhiều trường hợp điều này là do các chính sách an ninh không đúng hoặc yếu kém và thất bại để hiểu EFS. Vấn đề là làm cho tồi tệ hơn bởi vì người dùng nghĩ rằng dữ liệu của họ là an toàn và do đó có thể không làm theo phương pháp phòng ngừa thông thường. Điều này có thể xảy ra trong một số kịch bản:

Nếu, ví dụ, người dùng sao chép các tập tin được mã hóa với khối lượng FAT, các file sẽ được giải mã và do đó không còn được bảo vệ. Bởi vì người dùng có quyền giải mã các tập tin rằng họ được mã hóa, tập tin được giải mã và được lưu trữ trong bản rõ về khối lượng FAT. Windows 2000 không đưa ra cảnh báo khi điều này xảy ra, nhưng Windows XP và Windows Server 2003 cung cấp một cảnh báo.

Nếu người dùng cung cấp cho những người khác với mật khẩu của mình, những người này có thể đăng nhập vào bằng cách sử dụng những thông tin và giải mã mã hóa file của người dùng. (Khi một người dùng đã đăng nhập thành công, họ có thể giải mã bất kỳ tập tin tài khoản người dùng có quyền để giải mã.)

Nếu khóa riêng các đại lý phục hồi là không lưu trữ và lấy ra từ hồ sơ cá nhân đại lý phục hồi, bất kỳ người dùng biết các thông tin đại lý phục hồi có thể đăng nhập và minh bạch giải mã bất kỳ tập tin được mã hóa.

Bởi đến nay, vấn đề thường gặp nhất với EFS xảy ra khi EFS phím mã hóa và / hoặc các phím phục hồi không được lưu trữ. Nếu phím không được sao lưu, họ không thể được thay thế khi bị mất. Nếu các phím có thể không được sử dụng hoặc thay thế, dữ liệu có thể bị mất. Nếu Windows được cài đặt lại (có lẽ là kết quả của một vụ tai nạn đĩa) các phím bị phá hủy. Nếu hồ sơ cá nhân của người sử dụng bị hư hỏng, sau đó các phím bị phá hủy. Trong số này, hoặc trong bất kỳ trường hợp khác các phím bị hư hỏng hoặc bị mất và phím sao lưu là không có sẵn, sau đó mã hóa các tập tin không thể được giải mã. Các phím mã hóa đang bị ràng buộc vào tài khoản người dùng, và một lần lặp mới của hệ điều hành có nghĩa là tài khoản người dùng mới. Một hồ sơ người dùng mới có nghĩa là các phím người dùng mới. Nếu phím được lưu trữ, xuất khẩu, chúng có thể được nhập khẩu vào một tài khoản mới. Nếu một đại lý thu hồi cho các tập tin tồn tại, sau đó tài khoản đó có thể được sử dụng để phục hồi các tập tin. Tuy nhiên, trong nhiều trường hợp các phím bị phá hủy, cả hai người dùng và các phím thu hồi vắng mặt và không có dự phòng, kết quả là dữ liệu bị mất.

Ngoài ra, nhiều điều khác nhỏ hơn có thể làm cho tập tin mã hóa không sử dụng được hoặc tiếp xúc với một số dữ liệu nhạy cảm, chẳng hạn như sau:

" EFS tập tin Xuất hiện hỏng Khi bạn mở chúng "(329741) giải thích rằng AES được sử dụng để mã hóa các tập tin sau khi XP SP1 đã được cài đặt. Điều này có nghĩa rằng những tập tin không thể được giải mã nếu chúng chuyển đến một máy tính trước XP SP1 hoặc một máy tính Windows 2000 từ các thuật toán AES sẽ không có sẵn.

EFS, Credentials, và các phím riêng từ Giấy chứng nhận là Không có sẵn Sau khi Password Reset "( 290.260).

" Người dùng không thể tăng truy cập vào tập tin được mã hóa EFS Sau khi Thay đổi mật khẩu hoặc sử dụng một hồ sơ chuyển vùng .

Bạn có thể tìm thấy hướng dẫn sử dụng cipher.exe tại " LÀM THẾ NÀO ĐỂ: Sử dụng Cipher.exe Ghi đè lên dữ liệu bị xóa trong Windows "(315.672), trong đó giới thiệu công cụ mới này .

" Truy cập bị từ chối Thông báo lỗi Mã hóa hoặc Giải mã các tập tin hoặc thư mục "(264.064) có thể là kết quả khi mã hóa hoặc cố gắng để mã hóa các thư mục hệ thống.

Không mã hóa các tập tin hệ thống. " Quy trình Logon treo cứng Sau khi Mã hoá tập tin trên Windows 2000 "(269397) ví dụ, giải thích rằng nếu bạn đã mã hóa một hệ thống tập tin như autoexec.bat, tập tin không thể được giải mã bởi vì nó xử lý trước khi đăng nhập.

Cuối cùng, giữ dữ liệu an toàn có nhiều hơn chỉ đơn giản là mã hóa các tập tin. Một cách tiếp cận hệ thống toàn đối với an ninh là cần thiết. Bạn có thể tìm thấy một số điều mà thực hành địa chỉ tốt nhất cho các hệ thống bảo mật trên trang TechNet Thực tiễn tốt nhất tại http://www.microsoft.com/technet/archive/security/bestprac/bpent/sec2/secentbb.mspx . Các bài viết bao gồm

" An ninh cân nhắc cho các hệ thống End " " Xem xét bảo mật cho Cơ quan hành chính "thảo luận về an ninh trong doanh nghiệp

" An ninh Đối tượng Xây dựng Kiến trúc khối "

Cuộc tấn công và biện pháp đối phó: Cơ chế bảo vệ bổ sung cho các tập tin được mã hóa

Bất kỳ người sử dụng các tập tin được mã hóa nên nhận ra điểm yếu tiềm năng và con đường của cuộc tấn công. Cũng như nó không đủ để khóa cửa trước của một ngôi nhà mà không xem xét lại các cửa ra vào và cửa sổ như con đường cho một tên trộm, mã hóa các tập tin một mình không đủ để đảm bảo bí mật.

Sử dụng quốc phòng vào chiều sâu và tập tin cho phép sử dụng. Việc sử dụng của EFS không phòng ngừa sự cần thiết phải sử dụng quyền truy cập tập tin để giới hạn truy cập vào các tập tin. Cho phép tập tin nên được sử dụng để EFS. Nếu người dùng đã có được khóa mã hóa, họ có thể nhập vào tài khoản của họ và giải mã tập tin. Tuy nhiên, nếu các tài khoản người dùng bị từ chối truy cập đến tập tin, người dùng sẽ được phá vỡ trong nỗ lực của họ để đạt được thông tin nhạy cảm này.

Sử dụng quyền truy cập tập tin để từ chối xóa. Các tập tin được mã hóa có thể bị xóa. Nếu kẻ tấn công không thể giải mã các tập tin, họ có thể chọn để chỉ đơn giản là xóa nó. Trong khi họ không có các thông tin nhạy cảm, bạn không có tập tin của bạn.

Bảo vệ thông tin người dùng. Nếu một kẻ tấn công có thể khám phá bản sắc và mật khẩu của người sử dụng có thể giải mã một tập tin, kẻ tấn công có thể đăng nhập là người dùng đó và xem các tập tin. Bảo vệ những thông tin là tối quan trọng. Một chính sách mật khẩu mạnh, đào tạo người dùng đặt ra các mật khẩu mạnh mẽ, và thực hành tốt nhất về bảo vệ các thông tin sẽ hỗ trợ trong việc ngăn chặn kiểu tấn công này. Một thực hành xuất sắc nhất cách tiếp cận chính sách mật khẩu có thể được tìm thấy trong tài liệu sản phẩm Windows Server 2003 . Nếu mật khẩu tài khoản được thỏa hiệp, bất cứ ai cũng có thể đăng nhập vào bằng cách sử dụng ID người dùng và mật khẩu. Một khi người dùng đã đăng nhập thành công, họ có thể giải mã bất kỳ tập tin tài khoản người dùng có quyền để giải mã. Quốc phòng tốt nhất là một chính sách mật khẩu mạnh, giáo dục người dùng, và việc sử dụng các thực hành bảo mật âm thanh.

Bảo vệ thông tin đại lý phục hồi. Tương tự như vậy, nếu một kẻ tấn công có thể đăng nhập vào như một tác nhân phục hồi, và các khóa khôi phục đại lý tư nhân đã không được gỡ bỏ, kẻ tấn công có thể đọc các tập tin. Thực hành tốt nhất ra lệnh loại bỏ các phím đại lý phục hồi, những hạn chế của việc sử dụng của tài khoản này để làm việc phục hồi chỉ, và bảo vệ cẩn thận các thông tin, trong số các chính sách phục hồi khác. Các phần về phục hồi và tốt nhất chi tiết thực hành các bước sau.

Tìm kiếm và quản lý lĩnh vực mà bản rõ bản sao của các tập tin đã được mã hóa hoặc các bộ phận của tập tin được mã hóa có thể tồn tại. Nếu kẻ tấn công có sở hữu, hoặc truy cập vào máy tính mà trên đó các tập tin được mã hóa cư trú, họ có thể phục hồi dữ liệu nhạy cảm từ các khu vực này, bao gồm những điều sau đây:

o Dữ liệu sợi (remanence) tồn tại sau khi mã hóa một tập tin trước đó không được mã hóa (xem các "hoạt động đặc biệt" của bài báo này thông tin về sử dụng cipher.exe để loại bỏ chúng)

o Các tập tin phân trang (xem " Tăng cường an ninh cho các tập tin được mã hóa Mở, "một bài báo trong Windows XP Professional Resource Kit, để được hướng dẫn và thông tin bổ sung về việc làm thế nào để xóa các tập tin phân trang trên tắt máy)

o Các tập tin ngủ đông (xem "An ninh ngày càng tăng cho các tập tin mở được mật mã" tại http://technet.microsoft.com/library/bb457116.aspx )

o Các file tạm thời (để xác định nơi các ứng dụng lưu trữ các tập tin tạm thời và mã hóa các thư mục này cũng như để giải quyết vấn đề này

o Các tập tin spool in (xem phần "Hoạt động đặc biệt")

Cung cấp bảo vệ bổ sung bằng cách sử dụng chính hệ thống. Sử dụng Syskey cung cấp bảo vệ bổ sung cho các giá trị mật khẩu và các giá trị bảo vệ an ninh địa phương (LSA) bí mật (như chìa khóa được sử dụng để bảo vệ các khóa mật mã của người sử dụng). Đọc bài viết " Sử dụng chính hệ thống "trong Windows 2000 chương Encrypting Resource Kit của hệ thống tập tin. Một cuộc thảo luận về việc sử dụng của Syskey, và các cuộc tấn công có thể chống lại một Syskey bảo vệ máy tính Windows 2000 và các biện pháp đối phó, có thể được tìm thấy trong bài viết "Phân tích tính dễ tổn thương bị cáo buộc trong Windows 2000 Syskey và hệ thống Mã hóa File . "

Đầu trang

Lưu trữ từ xa của tập tin được mã hóa Sử dụng chia sẻ file SMB và WebDAV

Nếu chính sách của bạn là yêu cầu dữ liệu được lưu trữ trên các máy chủ tập tin, chứ không phải trên các hệ thống máy tính để bàn, bạn sẽ cần phải chọn một chiến lược để làm như vậy. Hai khả năng tồn tại, hoặc lưu trữ trong các thư mục bình thường chia sẻ trên các máy chủ tập tin hoặc sử dụng các thư mục web. Cả hai phương pháp đòi hỏi cấu hình, và bạn nên hiểu rõ lợi ích và rủi ro của họ.

If encrypted files are going to be stored on a remote server, the server must be configured to do so, and an alternative method, such as IP Security (IPSec) or Secure Sockets Layer (SSL), should be used to protect the files during transport. Instructions for configuring the server are discussed in " Recovery of Encrypted Files on a Server " (283223) and " HOW TO: Encrypt Files and Folders on a Remote Windows 2000 Server " (320044). However, the latter doesn't mention a critical step, which is that the remote server must be trusted for delegation in Active Directory. Quite a number of articles can be found, in fact, that leave out this step. If the server isn't trusted for delegation in Active Directory, and a user attempts to save the file to the remote server, an "Access Denied" error message will be the result.

If you need to store encrypted files on a remote server in plaintext (local copies are kept encrypted), you can. The server must, however, be configured to make this happen. You should also realize that once the server is so configured, no encrypted files can be stored on it. See the article " HOW TO: Prevent Files from Being Encrypted When Copied to a Server " (302093).

You can store encrypted files in Web folders when using Windows XP or Windows Server 2003. The Windows XP Professional Resource Kit section " Remote EFS Operations in a Web Folder Environment " explains how.

If your Web applications need to require authentication to access EFS files stored in a Web folder, the code for using a Web folder to store EFS files and require authentication to access them is detailed in " HOW TO: Use Encrypting File System (EFS) with Internet Information Services " (243756).

Đầu trang

Best Practices for SOHO and Small Businesses

Once you know the facts about EFS and have decided how you are going to use it, you should use these documents as a checklist to determine that you have designed the best solution.

" Best Practices for Encrypting File System " (223316) lists several best practices. Best Practices: Windows 2000 Resource Kit, " Administrative Procedures ", an article

in the EFS chapter of the Windows 2000 Resource Kit, provides insight into the management procedures that should or can be done, including ensuring recovery, disabling EFS, recovery, configuring the agent policy, and viewing recovery agent information. These are best practices from the administrative perspective.

" Best Practices for Encrypting File System " is included in the Windows 2000 Server product documentation.

The white paper " Encrypting File System in Windows XP and Windows Server 2003 " provides much information about the pluses and minuses of different EFS techniques and many sound practices for managing encryption.

Đầu trang

Enterprise How-tos

How to Implement Data Recovery Strategies with PKI and How to Implement Key Recovery with PKI

By default, EFS certificates are self-signed; that is, they don't need to obtain certificates from a CA. When a user first encrypts a file, EFS looks for the existence of an EFS certificate. If one isn't found, it looks for the existence of a Microsoft Enterprise CA in the domain. If a CA is found, a certificate is requested from the CA; if it isn't, a self-signed certificate is created and used. However, more granular control of EFS, including EFS certificates and EFS recovery, can be established if a CA is present. You can use Windows 2000 or Windows Server 2003 Certificate Services. The following articles explain how.

" Using a Certificate Authority for the Encrypting File Service " (223338) provides three reasons for using a CA.

" Using the Cipher.exe Utility to Migrate Self-Signed Certificates to Certification Authority – Issued Certificates " (295680) explains that using cipher /k will archive the self-signed certificate and request a new EFS certificate from the CA.

User, EFS, and Administrator certificates support EFS use; recovery agent certificates are required for recovery operation.

Implementation of certificate services for public key infrastructure (PKI) is detailed in the article " Step-by-Step Guide to Encrypting File System (EFS) " and in " Certificate Services Example Implementation: Key Archival and Recovery ".

Đầu trang

Xử lý sự cố

Troubleshooting EFS is easier if you understand how EFS works. There are also well known causes for many of the common problems that arise. Here are a few common problems and their solutions:

You changed your user ID and password and can no longer decrypt your files. There are two possible approaches to this problem, depending on what you did. First, if the user account was simply renamed and the password reset, the problem may be that you're using XP and this response is expected. When an administrator resets an XP user's account password, the account's association with the EFS certificate and keys is removed. Changing the password to the previous password can reestablish your ability to decrypt your files. For more information, see " User Cannot Gain Access to EFS Encrypted Files After Password Change or When Using a Roaming Profile " (331333), which explains how XP Professional encrypted files cannot be decrypted, even by the original account, if an administrator has changed the password. Second, if

you truly have a completely different account (your account was damaged or accidentally deleted), then you must either import your keys (if you've exported them) or ask an administrator to use recovery agent keys (if implemented) to recover the files. Restoring keys is detailed in " HOW TO: Restore an Encrypting File System Private Key for Encrypted Data Recovery in Windows 2000 " (242296). How to use a recovery agent to recover files is covered in " Five-Minute Security Advisor—Recovering Encrypted Data Using EFS ."

You've formatted your hard disk and reinstalled the operating system and cannot decrypt your encrypted files. Unless you've exported your EFS keys, or a recovery agent existed and those keys are available, you may not be able to decrypt your files. If your keys, or those of the recovery agent, are available, then it should be possible to either import your keys and decrypt the file or import the recovery agent keys (if necessary) and recover the file. You can determine who the recovery agent of a file is by using esfinfo.exe in Windows 2000 or by looking at the Advanced file properties in XP Professional or Windows Server 2003.

There is no Advanced button on the file properties page of your Windows XP Home computer, so you cannot mark the file for encryption. No solution is necessary because Windows XP Home doesn't have EFS.

Many other common issues have to do with why users get "Access Denied" messages. (The reason is that they're attempting to access files encrypted by someone else.) By far, however, the largest issue is the recovery of EFS files after a disk crash. See the following articles for troubleshooting other EFS issues:

The Troubleshooting EFS section of the Windows 2000 Resource Kit includes information explaining that virus checkers can check only files encrypted by the current users.

" FIX: Incorrect Text 'There Are No EFS Keys' in Sqlstp.log for Error 6006 During Upgrade " (299494) explains an error message during a SQL Server upgrade that has nothing to do with EFS.

"Users with Roaming Profiles Cannot Use EFS on Domain Controllers " (311513) explains a fix resolved with Windows 2000 SP3.

" EFS Files Appear Corrupted When You Open Them " (329741) explains the different encryption algorithms used by Windows XP Professional after SP1 and how data might appear corrupted or even be lost if the files are opened with an earlier version of the OS. It also details how to use an XP registry entry to control which algorithm is used.

When a profile gets overwritten, the private key of the EFS key pair may no longer be accessible. This may be why the " EFS Recovery Agent Cannot Export Private Keys " (259732).

Sysprep shouldn't be used on a production machine. Two articles that cover EFS-related problems are " Sysprep.exe May Re-Enable the Encrypting File System " (294844) and " Unable to Access Encrypted Files After Using Sysprep.exe " (288348), which details how Sysprep changes the SIDs on the Administrator and User accounts.

" HOW TO: Encrypt a File in Windows XP " (307877) includes error messages and warnings that a user may get when attempting to open files encrypted by another user.

" 'Access Is Denied' Error Message When Encrypting or Decrypting Files or Folders " (264064) explains how to remove the system attribute if this is what's blocking file encrypting and what's really desired. (Remember, however, that system files shouldn't be encrypted. The process defined here is for folders that may have inadvertently had the system attribute checked.)

Encrypted files can be backed up by using Ntbackup, and they remain encrypted. They cannot be restored to a FAT or FAT32 volume. An attempt to do so results in the error message " 'Warning: The Restore Destination Device . . . ' Error Message During Restore " (245044).

" Logon Process Hangs After Encrypting Files on Windows 2000 " (269397) explains that if you've encrypted a system file such as Autoexec.bat, the file cannot be decrypted because its processed before logon.

" Cannot Open Encrypted Files on a Computer with Multiple Windows 2000 Installations " (256168) explains that booting a different operating system means the user is a different user, and thus the encrypted files cannot be decrypted.

When encrypting many files at once by marking a folder that contains files and/or folder for encryption, or using the Cipher command, you may receive an " Error Message When Attempting to Encrypt Files or Folders " (227465).

An " Error Message 'Access Denied' When Starting a Recently Installed Program " (272412) may be the result when the temporary folder is encrypted.

" Recovery of Encrypted Files on Server " (283223) explains how if there is no roaming profile for an account used to remotely encrypt files on a server, a profile is created and a new key pair and certificate are created. This means the keys are different than those used on the local computer.

" Cannot Gain Access to Microsoft Encrypted File Systems " (243850) explains that a mandatory profile cannot store keys.

" You Cannot Access Protected Data After You Change Your Password " (322346) explains how changing the password while not connected to the domain can remove access to the original password that was present when the file was encrypted.

Đầu trang

Radical EFS: Using EFS to Encrypt Databases and Using EFS with Other Microsoft Products

" XGEN: Using Windows 2000 Encrypted File System to Encrypt Mdbdata Folder and Contents " (233400) provides information about using EFS to encrypt the Exchange Server 5.5 database.

Đầu trang

Phục hồi thiên tai

You should plan for EFS disaster recovery as part of your Business Continuity Plan. There are three areas of concern:

In Windows 2000 networks, use a recovery agent and archive user and recovery agent keys.

Backup of encrypted files should be part of any best practice. Backup of system state is also important, as it provides possible recovery via restoration of the user profile wherein keys lie.

In Windows 2000 networks that use Certificate Services to provide EFS certificates, and in Windows Server 2003 networks where EFS certificates are used and key archival is exercised, disaster recovery planning should also have plans for the recovery of Certificate Services. The Windows 2000 Resource Kit article " Disaster Recovery Practices " provides some details.

Đầu trang

Overviews and Larger Articles

EFS documentation is primarily located in product Help files, resource kits, and Knowledge Base articles. In addition, some specific columns exist, such as the 5-minute security pieces mentioned earlier and a few white papers.

The following are some recommended white papers, along with other useful references:

" Encrypting File System in Windows XP and Windows Server 2003 " is a large white paper which thoroughly documents how EFS works in these operating systems and is must reading for the IT manager or others responsible for designing and deploying formal EFS policy in organizations which use or will use EFS in these operating systems. There are a large number of step-by-step instructions including screen shots that can be helpful to those new to using and administering EFS. However, the paper presumes knowledge of EFS in Windows 2000 and rarely comments on the differences. Key pieces of this document that are essential reading for all are the following:

"Importing and Exporting Data Recovery Agent Keys." "Data Recovery—Best Practices," which discusses the use of a central recovery

workstation. The section also covers the use of EFS and CAs and the use of auto enrollment.

"Encrypting Offline Files."

"Clearing Page File at Shutdown."

"Default Encryption Algorithms."

"Resetting Local Passwords on Windows XP."

"EFS with WebDAV Folders."

"EFS and System Restore," which discusses the effect of the use of XP's System Restore on encrypted files.

"Data Recovery Versus Key Recovery."

" Data Protection and Recovery in Windows XP " was published prior to "Encrypting File Systems in Windows XP and Windows Server 2003" and includes nothing that's not in the latter.

"Encrypting Files System for Windows 2000" was published pre-release of Windows 2000 and is very outdated. Some misinformation is in this guide; therefore, I recommend reading product documentation, Resource Kit material, and Knowledge Base articles instead.

" Step-by-Step Guide to the Encrypting File System " provides a walk-through for implementing EFS in a Windows 2000 domain and includes instructions about restoring EFS-encrypted files and EFS credentials to another computer and setting up Certificate Services for use with EFS.

" Troubleshooting Certificate Status and Revocation " explains how the certificate revocation list (CRL) is checked to determine whether a certificate has been revoked. It also documents that Windows 2000 EFS does no certificate revocation checking, while Windows XP checks the status of certificates added to a file.

The Windows 2000 Resource Kit includes an entire chapter (Chapter 15) about EFS, as well as many references to EFS. The following are a few of the key, or interesting, gems of information in this document:

The section "Choosing Security Solutions That Use Public Key Technology" documents that EFS uses the base CSP and CryptoAPI and gives a step-by-step explanation about how EFS works.

"How Encryption Keys Are Protected" explains the five levels of protection for EFS keys.

"Certificates" lists the requirements for third-party certificates for interoperability with Windows 2000 EFS.

"Troubleshooting EFS" lists several issues users may encounter when first attempting to use EFS.

The Windows XP Professional Resource Kit includes a chapter about EFS that gives a solid overview of EFS and details XP-specific EFS functions:

The section "Remote EFS Operations on File Shares and Web Folder" gives the most comprehensive information about using EFS on remote servers.

"Considerations for Shared Files" raises issues that should be taken into consideration when sharing encrypted files.

"Data Recovery Implementation Considerations" discusses data recovery in XP and in Windows 2000 domains. Security considerations of different strategies are described.

"Configuring Recovery Policy in a Standalone Environment" describes how to use the cipher /R: filename command to create a self-signed recovery agent certificate for XP systems that aren't joined in a domain.

"Strengthening Key and File Security" describes how the Data Protection API generates a master key to protect the users private key and to protect the master key.

Where to Download EFS-specific Tools

You can download the following EFS-specific tools by clicking the appropriate link:

Cipher.exe: http://support.microsoft.com/default.aspx?scid=kb;en-us;298009

Đầu trang

Tóm tắt thông tin

EFS is a valuable addition to your information security tool chest. But it must be properly managed and correctly used. You will have to invest time in training users and planning for recovery.