当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 给NTFS文件加密的技巧

安全基础
揭开DDoS攻防的神秘面纱
用端口截听实现隐藏嗅探与攻击
教你穿透ADSL路由入侵内网
防范非法用户侵入系统七绝招
警惕黑客4种手段攻击无线局域网
Foxmail账户入侵原理及防范方法
怀疑PC安装木马?学学网络安全小命令
解除安全隐患—让“命令提示符”不再危险
菜鸟必读之邮箱及IE安全技巧全精通
冲浪安全更安全 禁用Cookie功能的几种方法
网上保障隐私十大秘技
顺藤摸瓜 利用IIS日志追查网站入侵者
如何有效防范自己的IP地址泄漏
用Windows自带工具打造“免检”木马
隐藏IP就这么简单
新人快速上手指南 电脑木马查杀大全
触目惊心!小心index.dat泄露你上网痕迹
当心软件泄密 彻底清理应用软件的运行痕迹
网管宝典 终端入侵防护系统七大纪律
巧妙解救被“绑架”的浏览器

安全基础 中的 给NTFS文件加密的技巧


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-19   浏览: 135 ::
收藏到网摘: n/a

  随着计算机、网络的普及,数据的安全性变得越来越重要。一个普通的电脑使用者所具备的知识,是很难保证自己的数据做到真正意义上的安全的。本文结合笔者从事网管工作的实践经验,尽可能全面地介绍了保证数据安全的技巧。

  在Windows 95/98/Me等的早期版本里,我们通常创建的数据文件,别人可以很轻松地得到,或者说当别人得到物理文件后可以很轻松地得到文件里面存储的数据。尤其是当多人共用一台电脑或者在一个网络环境里的时候,人们能做的只是在BIOS里设置一个开机密码,或者对Word等文件设置一个保护密码。

  Windows NT/2000操作系统支持的NTFS文件系统相对于FAT和FAT32文件系统提供了一个文件、文件夹级别的安全控制。在NTFS文件系统上可以对文件、文件夹设置安全性,只有经过授权的用户才能访问文件、文件夹,而不管这个用户是通过网络来访问,还是通过本地交互式登录来访问。

  但是一旦出现下面情况,数据就会变得很危险:

  1.假如别人得到了您的Windows 95/98/ME系统的硬盘,那么他们只要把这块硬盘随便接到哪台计算机上,就可以得到我们的数据文件了。对于加了密码的文件,只要找到相应的破解工具破解即可。

  2.如果是NTFS文件系统的硬盘,需要把它接到另外一台Windows NT/2000的计算机上,用具有管理员权限的用户登录,通过使用“取得所有权”的功能,就可以打开有权限设置的文件、文件夹。另外,如果不拆硬盘,只要在原计算机上再装一套并行系统一样可以拿到数据。

  3.如果是笔记本移动用户,一旦笔记本电脑丢失或者被盗,里面的数据必丢无疑。

  针对以上情况,我们可以采取下面的办法。利用NTFS文件系统的加密功能来实现对文件、文件夹的加密。如果您的计算机里面没有NTFS文件系统,可以通过下面两种方式得到。

  第一种,将磁盘分区格式化,在格式化时选择“NTFS”文件系统。注意格式化以后,分区内的数据将全部消失。

  第二种,利用Windows自带的命令,可以将一个FAT或者FAT32的文件系统转换为NTFS文件系统。此命令可以在不丢失数据的情况下转换,并且是单向转换,不能从NTFS文件系统转换回FAT或者FAT32。

  Windows转换命令格式为“convert 盘符 /fs:ntfs”。例如准备将E盘转换为NTFS文件系统,则在命令提示符下输入“convert e: /fs:ntfs”回车,然后输入E盘分区的卷标,然后再回车。

  在转换的时候有三个方面要特别注意:一是磁盘必须有适量的自由空间;二是转换人应该具有管理员权限;三是如果要转换的分区是正在使用的分区,像系统所在分区或者页面文件所在的分区,系统会提示不能马上转换,是否同意在下次重新启动的时候转换,如果同意按Y重启即可。

  注意这里所提到的加密功能只有Windows 2000/XP/2003下的NTFS文件系统才支持。

  找到您想加密的文件或者文件夹,单击鼠标右键“属性”→“常规”→“高级”→“加密内容以便保护数据”→“确定”。如果是对文件夹加密,会出现“仅将更改应用于该文件夹”和“将更改应用于该文件夹、子文件夹和文件”:如果选择前者则文件夹内部的文件不会被加密,以后所有新建或者复制移动来的文件和文件夹会被加密;如果选择后者则所有文件和文件夹立即被加密,将来新建的或者是复制移动来的文件、文件夹也会被加密。

  在Windows 2000里加密的文件在外观上没有任何区别,只有当选中文件、文件夹以后在左侧的说明信息里会显示“加密”两个字。而在Windows XP/2003系统中加密文件会显示为绿色。

  当然,设置文或者文件夹加密需要相应的权限。

  这里建议尽量加密文件夹而不是加密一个文件。可以把“我的文档”加密,这样所有存储在“我的文档”里的文件都会被自动加密。

  加密完的文件只有加密人和另外一个特殊的用户(后面介绍)可以访问,而且在访问的时候不需要密码。当其他用户试图访问时,会出现拒绝访问的提示,而且只要拥有足够的权限才可以将任何加密的文件删除。

  这样,我们的数据就真的安全了。但另一方面,我们有时会因为有些意外情况,连自己也无法把数据恢复过来了,所以大家有必要了解一下加密文件的恢复办法。

  如果加密文件的用户账号被删除,此用户账号加密过的所有文件将不能被其他用户访问。微软在设计操作系统的时候就考虑到了这个问题,当一个用户账号在加密文件的时候,肯定有另外一个可以解密此文件的用户账号存在,此账号叫做加密恢复代理账号,就是前面提到的另外一个特殊的用户。默认情况下此账号就是系统内置的管理员用户账号Administrator,也就是说,内置的管理员账号可以访问所有其他用户加密的文件。注意这个账号专指Administrator,而不是Administrators组的所有成员。

  如果操作系统彻底崩溃,或者安装了新的操作系统,旧的操作系统已经删除,而又没有相应的备份,则所有加密数据将无法恢复。

  为了防止这种情况的发生,我们需要事先把加密用户账号或者加密恢复代理用户账号的密钥备份下来,然后将备份的密钥导入到相应的用户账号,就可以打开加密文件。

  例如当我们要备份billwang用户账号的密钥时,可以参照这样的过程:

  以billwang用户登录,然后单击“开始”→“运行”,输入MMC后确定,在控制台中点击“菜单”→“添加/删除管理单元”→“添加”→选中“证书”→“添加”→“关闭”→“确定”→打开“证书”→打开“个人”(如果此用户账号从来没有加密过文件,个人里面将会是空的)→打开“证书”,里面会有“加密文件系统”证书→鼠标右键“所有任务”→选择“导出”,然后会出现密钥导出向导,根据提示一路点击“下一步”即可。中间会提示输入保护密钥的密码,最后将密钥保存到一个扩展名为PFX的文件里。此密钥一定要存储到一个非常安全的地方,如软盘上或者压缩并设置密码放到安全的邮箱里。

  当旧的操作系统被意外删除后,我们可以把billwang账号的密钥导入到tom账号里。

  用tom账号登录,找到扩展名为PFX的密钥文件,点击鼠标右键,选择安装PFX。出现导入密钥向导,输入密钥保护密码,注意存储区域必须选择“个人”,否则即使导入成功也不能打开文件,然后系统提示导入成功。这时tom账号就能打开billwang用户账号加密的所有文件了。这样,tom账号就有了两个密钥,一个是billwang账号的,一个是自己的。