Windows XP系統(tǒng)中如何對脫機文件加密

2010-08-28 10:47:45來源:西部e網(wǎng)作者:

    Windows XP操作系統(tǒng)在數(shù)據(jù)保護方面提供了眾多增強特性--特別是Encrypting File System(加密文件系統(tǒng),EFS)。本文詳細描述了針對脫機文件執(zhí)行加密操作的具體方法,并力求幫助系統(tǒng)設計師和管理人員開發(fā)出借助Windows XP創(chuàng)制數(shù)據(jù)恢復與數(shù)據(jù)保護策略的最佳實現(xiàn)方式。

  針對脫機文件執(zhí)行加密操作

  Windows 2000操作系統(tǒng)引入了針對脫機文件執(zhí)行緩存處理的功能(也可被稱為客戶端緩存技術(shù)[CSC])。這種IntelliMirror管理技術(shù)將允許網(wǎng)絡用戶針對基于網(wǎng)絡共享的文件資源實施訪問調(diào)用,即使在客戶端計算機與網(wǎng)絡系統(tǒng)連接被斷開的情況下,也不會受到影響。

  舉例來說,當某一移動用戶在脫機狀態(tài)下查看共享資源時,他(她)仍可針對目標文件執(zhí)行瀏覽、讀取和編輯操作,這主要是因為,相關(guān)文件已被讀入客戶端計算機的緩沖內(nèi)存。而當該用戶稍后連接至服務器時,系統(tǒng)便會就相關(guān)修改與服務器協(xié)調(diào)一致。

  Windows XP客戶端可借助加密文件系統(tǒng)將脫機文件及文件夾設置為可接受加密處理的狀態(tài)。某些專業(yè)人士經(jīng)常外出旅行,并且需要在確保數(shù)據(jù)資料安全的前提下定期以脫機方式進行工作。該特性對于此類用戶尤其具有吸引力。

  通用數(shù)據(jù)庫

  基于本地計算機的通用數(shù)據(jù)庫可供用來針對全部用戶文件執(zhí)行存儲操作,并通過精確的訪問控制列表(ACL)將訪問調(diào)用對象限定在上述文件范圍內(nèi)。該數(shù)據(jù)庫能夠以一種特殊方式就相關(guān)文件加以顯示--將數(shù)據(jù)庫結(jié)構(gòu)與格式隱藏起來,并以普通文件夾的面貌示人。而其它用戶文件及文件夾則既不會被顯示出來,也無法供其它用戶訪問調(diào)用。當脫機文件接受加密處理后,整個數(shù)據(jù)庫還將借助EFS計算機證書接受加密處理。單個文件及文件夾將無法被選取執(zhí)行解密操作。這樣一來,整個脫機文件數(shù)據(jù)庫便會在缺省狀態(tài)下避免遭受利用已被激活的本地EFS特性所實施的惡意攻擊。

  一個限定性因素

  加密脫機文件數(shù)據(jù)庫所固有的限定性因素體現(xiàn)為,文件和文件夾將無法在脫機工作狀態(tài)下以其它替代顏色呈現(xiàn)給用戶。遠程服務器還可能在聯(lián)機狀態(tài)下有選擇地針對文件及文件夾加密特性加以應用,因此,當以聯(lián)機和脫機方式顯示加密文件時,用戶所看到的效果將不盡相同。

  重要提示:

  CSC通常作為一個SYSTEM(系統(tǒng))進程運行,并因此可供任何用戶實施訪問調(diào)用。不僅如此,同樣以SYSTEM(系統(tǒng))進程方式運行或暫時充當SYSTEM(系統(tǒng))進程的其它進程也能夠?qū)SC實施訪問調(diào)用。而這其中便包括基于本地計算機的管理員。有鑒于此,每當敏感數(shù)據(jù)被存儲至脫機文件夾時,管理訪問權(quán)限均應被限制在特定用戶范圍內(nèi),而SYSKEY則應被用來針對脫機攻擊進行防范。

  針對脫機文件執(zhí)行加密操作

  用戶可在Windows資源管理器中選擇 Tools(工具) 菜單上的 Folder Options(文件夾選項) 命令,并在隨后出現(xiàn)的對話框內(nèi)針對文件夾選項進行相關(guān)設置,以便將加密脫機文件特性設定為激活狀態(tài)。

  說明: 該選項僅供在Windows XP Professional中使用。

  1. 請按下圖所示選取 Offline Files(脫機文件) 選項卡。


    選取 Offline Files(脫機文件) 選項卡
  2. 同時選中 Enable Offline Files(啟用脫機文件) Encrypt offline files to secure data(為保護數(shù)據(jù)安全而對脫機文件進行加密) 復選框。
  3. 單擊 OK(確定) 。

  脫機文件將在被讀入本地緩存的同時借助針對客戶端計算機用戶提供的專用密鑰和證書接受加密處理。

  重要提示:切勿針對已被存儲在漫游用戶配置中的文件進行加密處理,這主要是因為,該文件一旦在登錄過程中被加載,系統(tǒng)便無法將配置中的文件打開。