|
淺談EFS加密文件系統(tǒng)
(作者未知) 2011/6/22
(接上頁)代理恢復文件的過程中����,同樣的進程產生����,除了在第一步中使用DRF而不是DDF。
此外還可以在命令行模式下用“cipher”命令完成對數據的加密和解密操作�����,至于“cipher”命令更詳細的使用方法則可以通過在命令符后輸入“cipher/?”并回車獲得。
注意事項:如果把未加密的文件復制到具有加密屬性的文件夾中�,這些文件將會被自動加密。若是將加密數據移出來�,如果移動到NTFS分區(qū)上,數據依舊保持加密屬性���;如果移動到FAT分區(qū)上����,這些數據將會被自動解密�����。被EFS加密過的數據不能在Windows中直接共享��。如果通過網絡傳輸經EFS加密過的數據����,這些數據在網絡上將會以明文的形式傳輸。NTFS分區(qū)上保存的數據還可以被壓縮����,不過一個文件不能同時被壓縮和加密���。Windows的系統(tǒng)文件和系統(tǒng)文件夾也無法被加密。
四�、EFS的局限性
安全性的增加伴隨著花費的增加,任何加密進程都將會增加處理量和降低某些方面的性能�,下面是關于在硬盤上加密文件的實行結果。
僅僅可以對存儲在磁盤上的文件進行加密�����,而不是對網絡上傳輸的數據加密�����。必須應用其它的加密方法�,例如IPSec�,去實現(xiàn)安全網絡傳輸。
自動病毒監(jiān)測不能掃描加密文件除非他們訪問到用戶的鑰匙���。
如果一個文件或硬盤被偷��,惡意的用戶將有可能用大量的時間破譯加密數據���,數據可能會被解密�����。
EFS僅僅工作在NTFS卷����,目前EFS在FAT卷上不支持���。
EFS目前使用DESX作為它的加密算法�����,而更強壯的加密得法已存在��,微軟許諾在將來的EFS版本提供支持����。
如果系統(tǒng)文件被加密��,系統(tǒng)將不能用�,EFS僅可以對數據文件加密。操作系統(tǒng)需要引導的文件不能被加密����,否則在開機的時候將不能訪問�����。
定義太多的恢復代理將影響性能��。對每一個恢復代理�,F(xiàn)EK發(fā)布被加密的同時創(chuàng)建一個DRF����,這將引起兩個問題:一是,為存儲多個DRF需要大量的磁盤空間��,二是����,創(chuàng)建多個DRF將花費更多的時間和處理器資源���。
EFS將增加系統(tǒng)管理員的管理���,而且管理加密鑰匙的區(qū)域是非常重要的。
在加密進程的第一步中創(chuàng)建的文本備份文件在進程中以未加密的格式存在��,惡意用戶可能在文件存在時訪問到這個文件��。
五、結論
對Windows操作系統(tǒng)EFS是一個受歡迎的附加功能���,它對用戶是透明的操作����,有助于減少物理安全的危險�,任何的安全技術,都有其局限性和問題��,不能預防所有的問題�����,但作為全面的安全策略的一部分�,EFS對阻止未授權的用戶查看敏感數據是一個非常有用的工具。
|
|
|