使用 EFS 為硬碟加密保護資料
本頁內容
 | 簡介 |
| 開始之前 |
| 產生和備份修復金鑰 |
| 建立以網域為主的修復代理 |
| 建立本機修復代理 |
| 使用 EFS |
| 啟用 Windows 檔案總管功能表上的「加密/解密」選項 |
| 啟用 EFS 檔案共用權限設定 |
| 匯出和匯入資料修復金鑰 |
| 修復資料 |
| 最佳實務 |
| 相關主題 |
簡介
在許多企業中使用者會共用他們的桌上型電腦。有些使用者帶著筆記型電腦外出到用戶端、機場、旅館和家裡使用,此時就無法受到企業實體裝置的保護。這表示企業經常無法掌控有價值的資料。未經授權的使用者可能會企圖讀取桌上型電腦所儲存的資料。筆記型電腦有可能被偷。在上述情境中,惡意的一方都可以取得公司的機密性資料。
有一種解決方案有助於降低資料被竊的可能,那就是使用「加密檔案系統 (EFS)」為機密檔案加密增加您資料的安全性。加密就是應用數學演算法,讓資料在缺乏所需的金鑰時無法讀取。EFS 是 Microsoft 的技術,它讓您為電腦資料加密,並且控制誰可以加密或修復這些資料。檔案加密後即使攻擊者能存取電腦資料的儲存實體,也無法讀取使用者的資料。若要使用 EFS,全部的使用者必須擁有「加密檔案系統」憑證,允許擁有者使用 EFS 為資料加密和解密的數位文件。EFS 使用者也必須擁有 NTFS 權限,才可以修改檔案。
在 EFS 中有兩種憑證起作用:
| • | 加密檔案系統憑證。這種憑證允許使用者使用 EFS 為資料加密和解密,它經常被簡稱為 EFS 憑證。一般的 EFS 使用者取得這種憑證。這種憑證的 [增強式金鑰使用方法] 欄位 (可在 Microsoft 管理主控台的憑證嵌入式管理單元中見到) 內容是「加密檔案系統」(1.3.6.1.4.1.311.10.3.4)。 |
| • | 檔案修復憑證。這種憑證允許持證者在網域或其他範圍中修復任何人加密的檔案。只有被稱為資料修復代理的網域管理員或非常信任的指定人員,才會取得這種憑證。這種憑證的 [增強金鑰使用方法] 欄位 (可在 Microsoft管理主控台的憑證嵌入式管理單元中見到) 內容是「檔案修復」(1.3.6.1.4.1.311.10.3.4.1)。這種經常被稱為 EFS DRA 憑證。 |
為了要讓其他授權的人員讀取您的資料,可以將您的私密金鑰給他,或者讓他們成為資料修復代理。資料修復代理可以在他範圍內的網域或企業內,解開所有經 EFS 加密的檔案。本文件提供在中小型企業中主要 EFS 相關工作的逐步指示,同時列出幾項重要的 EFS 最佳用法。
本文件中的程序將引導您完成下列工作:
| • | 建立和保護修復金鑰,確保當原始使用者無法修復時加密資料可以被安全修復。 |
| • | 在原始使用者無法修復時,建立可修復加密檔案的修復代理。 |
| • | 在您企業內建立 EFS。 |
| • | 設定 Windows 檔案總管以便使用 EFS。 |
| • | 設定檔案共享來搭配 EFS 使用。 |
| • | 匯出和匯入資料修復金鑰,以便安全修復加密的檔案和資料夾。 |
| • | 在原始使用者無法修復資料時修復資料。 |
遵循本文件中的下列程序,您可以做下列有關系統方面的變更:
| • | 建立備份資料修復金鑰。 |
| • | 建立修復代理。 |
| • | 啟用 EFS 為電腦硬碟資料加密。 |
| • | 設定 Windows 檔案總管以便包含 EFS 選項。 |
這些程序也讓您可以執行下列變更或預防措施:
| • | 提供共用存取選取的機密資料。 |
| • | 管理用來修復加密資料的資料修復金鑰。 |
| • | 在必要時著手修復加密資料。 |
開始之前
本文件將協助您設定電腦使用 EFS,並且以圖例說明如何使用 EFS 保護您企業的電腦硬碟資料。開始進行這些步驟之前,您應該和法律顧問確定計劃的加密原則和程序,是否符合相關的法律和規章。特別是如果您企業有辦公室在美國境外,您應該要熟悉有關加密軟體的輸出管制法律。您也應該要熟悉有關使用 EFS 的基本需求和條件:
| • | 您只能為 NTFS 檔案系統磁碟區上的檔案和資料夾加密。所以您不能使用 EFS 來保護使用 FAT 或 FAT32 檔案系統的硬碟資料。除非有特定的理由繼續使用 FAT 檔案系統,否則建議您將這些磁碟區轉換成使用 NTFS。Windows 95、Windows 98 和 Windows Millennium Edition 等作業系統不支援 NTFS 或 EFS。Windows XP Home Edition 支援 NTFS,但是不支援 EFS。 | ||||||
| • | 經過壓縮的檔案或資料夾也無法加密。如果您為壓縮的檔案或資料夾加密,這些檔案或資料夾將被解壓縮。 | ||||||
| • | 標示系統屬性的檔案不得加密,您也不可以為放在 systemroot 資料夾的檔案加密。 | ||||||
| • | 在第一次為檔案或資料夾加密時,您在快顯對話方塊選取的選項將決定以後的加密方式:
|
除非另有指定,否則在本文件所述的程序中,伺服器電腦都是執行 Windows Server 2003 作業系統,而用戶端電腦則執行 Windows XP PROFESSIONAL。
在 Active Directory 環境中,則假設使用者漫游使用者的設定檔。 請注意本文件中螢幕擷取畫面所反映的測試環境和資訊,它可能和您電腦所顯示的資訊有差異。
本文件中全部的逐步指示,都是使用您在安裝作業系統時所預設的「開始」功能表來開發。如果您曾經修改過「開始」功能表,則實際步驟可能稍為不同。
產生和備份修復金鑰
沒有備份修復金鑰,可能會造成加密資料無法挽回的損失。備份修復金鑰有助於確保,在使用者所擁有的 EFS 加密憑證無法為資料解密時修復加密資料。
需求
| • | 認證:這項操作必須使用修復代理帳戶來進行,而此帳戶在它的私人存放區中,具有檔案修復憑證和私密金鑰。網域系統管理員是預設的修復代理;在家用或非網域環境中並沒有預設的修復代理,但是您可以建立一個本機修復代理供電腦上所有的帳戶使用。在家用環境設定中最常見的是,每一個 EFS 憑證擁有者各自備份他們的私密金鑰。 |
| • | 工具:Microsoft Management Console (MMC) 的憑證嵌入式管理單元。 |
警告:對預設的修復原則做任何變更之前,請確定先備份預設的修復金鑰。網域的預設修復金鑰,儲存在網域的第一個網域控制站上。
| • | 若要將預設的修復金鑰備份到磁片
|
建立以網域為主的修復代理
若要允許帳戶使用 EFS 讀取或修復資料,您必須讓這個帳戶成為修復代理。因此網域環境中,建議使用網域帳戶。您可以為任何在 Active Directory® 目錄服務樹系中的網站、網域或組織單位建立修復代理。網域的內建 Administrator 帳戶是預設的修復代理,此時您無須另建修復代理。
需求
| • | 認證:網域的系統管理員。 |
| • | 工具:MMC 上的 [Active Directory 使用者及電腦] 嵌入式管理單元。 |
| • | 若要建立以網域為主的修復代理
|
建立本機修復代理
在非網域的環境中,像是獨立電腦上或工作群組中,您可以建立本機修復代理。如果電腦被多重使用者共用,建立本機修復代理可能會有所幫助。在單一使用者的電腦上,使用者很容易將修復金鑰備份到抽取式媒體上。
需求
| • | 認證:本機電腦的系統管理員。 |
| • | 工具:群組原則物件編輯器。 |
| • | 建立本機修復代理
|
使用 EFS
一旦完成建立修復代理,並且產生和備份了修復金鑰,您就可以開始使用 EFS 來協助保護檔案和資料夾,防止未經授權的存取。本章節提供有關啟用 EFS 的指示。
需求
| • | 認證:您必須是擁有 EFS 憑證和 NTFS 權限的使用者,才能修改檔案或資料夾。 |
| • | 工具:Windows 檔案總管。 |
| • | 若要使用 EFS 為檔案或資料加密
|
啟用 Windows 檔案總管功能表上的「加密/解密」選項
有些企業可能發現到要執行 EFS 很容易,只要在使用者對檔案按一下滑鼠右鍵時,將 Windows 檔案總管設定成在快顯功能表上顯示「加密」和「解密」。若要啟用這項功能,您需要編輯 Windows 登錄,來新建立一個在預設上不會結束的登錄值。
警告:編輯登錄若不正確,可能會嚴重損毀您的系統。變更登錄之前,您應該備份電腦上所有有價值的資料。
需求
| • | 認證:具有編輯登錄經驗的系統管理員,並且了解編輯登錄的危險性。 |
| • | 工具:登錄編輯程式。 |
| • | 若要啟用 Windows 檔案總管功能表上的加密/解密選項
|
注意: 在 Windows Server 2003 中您也可以藉由建立具有下列資訊的登錄批次檔 (*.reg),並且針對每一個使用者執行登錄批次檔,將 [加密詳細資料] 按鈕新增到「檔案總管」功能表中:
[HKEY_CLASSES_ROOT\*\Shell\Encrypt To User...\Command]
@="rundll32 efsadu.dll,AddUserToObject %1"
啟用 EFS 檔案共用權限設定
企業常常想要利用加密來協助保護機密性資料,同時又要允許多重使用者存取這些資料。使用 EFS 時,可以讓一位使用者為檔案加密,然後賦予另一位使用者存取加密資料的能力。若要允許幾位使用者存取已加密的檔案,加密的使用者可以將檔案指定為共用,然後將其他使用者的 EFS 加密憑證加到加密檔案而啟用共用存取。企業依照這種方式做,既有助於改善安全性又不至於損及資料的可用性。
您應該注意到有關共用加密資料的某些需求和限制:
| • | 您不能將使用者群組新增到加密的檔案,也不能將使用者新增到加密的資料夾。 |
| • | 所有被新增到加密檔案的使用者,必須在檔案所在的電腦上擁有 EFS 加密憑證。典型的憑證授權,像是 Verisign 所發的憑證。同時,如果使用者已經登入到電腦並且為檔案加密,該名使用者就會擁有這個電腦的 EFS 加密憑證。若要匯入憑證,請參閱 Microsoft TechNet 網站的《To import a certificate (英文)>》,網址是 http://go.microsoft.com/fwlink/?LinkId=22846。 |
| • | 所有可以為檔案加密的使用者,也必須有權去讀取檔案。必須正確設定 NTFS 權限才能允許這種存取。如果使用者因為 NTFS 權限不足而被拒絕存取時,使用者無法讀取加密檔案也無法為資料解密。若要設定檔案上的權限,請參閱 Microsoft TechNet 網站上的《To set, view, change, or remove permissions on files and folders (英文)》,網址是 http://go.microsoft.com/fwlink/?LinkId=22847。 |
需求
| • | 認證:需要 EFS 認證和檔案的擁有權。 |
| • | 工具:Windows 檔案總管。 |
所有被新增到檔案的使用者必須在電腦上擁有憑證。
| • | 若要允許使用者加密或解密檔案
|
注意: 當使用者被新增到檔案而且匯入他的 EFS 加密憑證時,憑證會向信任的根憑證授權單位 (CA) 驗證。然後憑證會被儲存在該使用者的「其他人員」憑證存放區。
匯出和匯入資料修復金鑰
資料修復金鑰 (DRA 金鑰) 必須可供資料修復代理使用,以便在不可能正常修復時讓修復代理能夠修復加密的檔案。因此,重要的是保護修護金鑰。保護修復金鑰免於遺失的好辦法是,將資料修復憑證和資料修復代理的私密金鑰匯出到抽取式媒體上成為 .pfx 格式檔案。然後您可以藉由匯入它們來修復遺失的資料。
下列程序約略說明匯出和匯入 DRA 金鑰的程序。
需求
| • | 認證:您必須使用網域中第一個網域控制站上的系統管理員帳戶登入。 |
| • | 工具:MMC 的「憑證」嵌入式管理單元。 |
匯出資料修復金鑰
| • | 若要匯出憑證和預設網域資料修復代理的私密金鑰
|
匯入資料修復金鑰
萬一您需要使用匯出的資料修復金鑰來修復加密資料,您首先要匯入金鑰。匯入金鑰比匯出更簡單。若要將儲存成 PKCS #12 格式檔案的金鑰 (.pfx 檔案) 匯入,只要按兩下檔案開啟「憑證匯入精靈」,或者啟動精靈再完成下列步驟匯入金鑰:
需求
| • | 認證:電腦上的 Doman Amin 帳戶。 |
| • | 工具:MMC 的「憑證」嵌入式管理單元。 |
| • | 若要匯入資料修復金鑰
|
重要:以網域為主的帳戶應該都要有關聯的資料修復代理可使用,因為本機帳戶可能易遭受實體的離線攻擊。
修復資料
萬一加密資料無法被原來的使用者修復,比如說因為使用者離開公司,此時您需要用一種方式來修復資料並讓它可被全企業存取。本節在告訴您如何修復已加密的檔案或資料夾。若要如此做,您先要使用「備份」或其他備份工具,將使用者已加密的檔案或資料夾,修復到檔案修復憑證和資料修復代理的修復金鑰所存放的電腦上。
您必須是經指定的修復代理,才可以執行這項程序。換句話說,您必須在待修復的檔案或資料夾上,擁有識別為 DRA 的私密金鑰和憑證。
需求
| • | 認證:資料修復代理。 |
| • | 工具:Windows 檔案總管。 |
| • | 若要修復已加密的檔案或資料夾
|
最佳實務
下列的最佳實務有助於公司有效使用和管理加密的檔案和資料夾。
| • | 修復代理需要將它們的修復憑證,備份到安全地點。 |
| • | 使用預設的網域設定。 |
| • | 請立即更新遺失或過期的 DRA 私密金鑰。 Cipher.exe /U C:\Temp\test.txt: Encryption updated. C:\My Documents\wordpad.doc: Encryption updated. 注意:當網域中沒有憑證授權而使用預設的自我簽章憑證時,憑證的使用時間是 99 年。 |
下列的最佳實務可以協助企業保護資料免遭偷竊或遺失:
| • | 電腦的實體保護最重要。技術上無法取代採行每項預防措施確保電腦被偷或者實際遭到入侵。 |
| • | 永遠使用行動電腦作為 Active Directory 網域的一部份。 |
| • | 在行動電腦以外的位置儲存使用者的私密金鑰,在需要時才匯入使用。 |
| • | 對於常用的儲存資料夾,像是「我的文件」和暫存資料夾,則將資料夾加密,讓所有新增和暫存檔案在建立時都會被加密。 |
| • | 當資料極為機密時,永遠將新檔案建立在加密資料夾,或者將純文字檔案複製進去。這樣可以確保全部的檔案在電腦上都不會以純文字形式存在,而且暫存資料檔案無法使用精密的磁碟分析攻擊來修復。 |
| • | 已加密的資料夾可以藉由使用「群組原則」、登入指令碼和安全性範本的組合,確保類似「我的文件」這種標準資料夾會被設定成為加密資料夾。 |
| • | Windows XP 作業系統支援離線檔案的加密。在本機快取的離線檔案和資料夾,在使用用戶端的快取原則時應該被加密。 |
| • | 在行動電腦上利用模式 2 或模式 3 (開機磁片或開機密碼) 使用系統機碼公用程式 SYSKEY,防止系統被惡意使用者開機。系統機碼公用程式和它選項的說明文件,是放在您的 Windows 版本上當作線上說明使用。 |
| • | 針對被信任為委派並且用來儲存加密檔案的伺服器,啟用「群組原則」中簽章的「伺服器訊息區塊 (SMB)」。這項設定放在下列位置的「群組原則」內:GPO-名稱\電腦設定\Windows 設定\安全性設定\本機原則\安全性選項\Microsoft 網路伺服器:永遠在通訊上加上數位簽章。 |
| • | 請確保在檔案加密後,定期將未加密的資料從硬碟上移除。 |
相關主題
若需有關 EFS 的詳細資訊,請參閱下列文件:
| • | Microsoft TechNet 網站上的《¡mEncrypting File System (英文)》,網址是 http://go.microsoft.com/fwlink/?LinkID=22412 |
| • | Microsoft TechNet 網站上的《¡mEncrypting File System in Windows XP and Windows Server 2003 (英文)》,位於 http://go.microsoft.com/fwlink/?LinkID=22413 |