评估加密文件系统
(EFS) 加密文件系统是 Windows 中的另一项加密功能。 与加密整个卷的 BitLocker 不同,EFS 基于用户帐户加密单个文件。
BitLocker 是 Windows 的一项较新功能,建议用于加密,因为它更易于实现和管理。 但是,EFS 提供 BitLocker 没有的一些优势。 想要实现 EFS 的 IT 专业人员应在使用 EFS 之前对其进行彻底研究。 需要全面了解 EFS 才能实现安全且可恢复的 EFS 策略。 管理员或最终用户对) 或实现不当 (缺乏了解可能会不必要地公开数据,或者使数据处于无法恢复的状态。 本课程简要概述了 EFS。
什么是 EFS?
EFS 是适用于基于 Windows 的系统的内置文件加密工具。 EFS 是 NTFS 文件系统的一个组件,它使用高级标准加密算法来允许透明文件加密和解密。 通过 Windows 的 Windows 信息保护功能,还可在使用 FAT32 文件系统的卷上模拟 EFS 功能。 无权访问持有适当加密密钥的证书存储的任何个人或应用都无法读取加密数据。 即使拥有存储文件的计算机的物理所有权,也可保护加密文件。 即使有权访问计算机及其文件系统的用户也无法查看加密的数据。
EFS 的常见方案
利用 EFS 确实为保护数据免受未经授权的访问提供了优势。
- 保护共享计算机上的文件。 EFS 允许共享计算机的用户保护文件,以便这些计算机的其他用户无法访问这些文件。 虽然可以使用 NTFS 权限定义文件访问权限,但可以将 EFS 与文件和文件夹权限一起使用,作为深层防御策略的一部分。
- 保护文件免受特权用户的阻止。 EFS 允许阻止特权用户访问某些文件。 许多数据泄露是由攻击者访问特权帐户并使用该特权帐户替代文件和文件夹权限引起的。 虽然默认管理员帐户也是受 EFS 保护的文件的数据恢复代理,但可以对此进行更改,以便特权帐户无法访问这些文件。
- 与特定用户共享加密的文件。 使用 BitLocker 时,如果文件被移动或复制到另一个也不提供加密的系统,则文件不会保持加密状态。 使用 EFS,用户可以与文件共享和 Web 文件夹中的其他用户共享加密文件。 这允许你向单个用户授予访问加密文件的权限。 加密文件后,可以通过用户界面启用文件共享。 必须先加密文件,然后在添加更多用户之前保存该文件。 如果用户具有 EFS 的有效证书,则可以从本地计算机或 Active Directory 域服务 (AD DS) 添加用户。 EFS 证书可以位于漫游配置文件中、存储在文件的计算机上的用户配置文件中,也可以位于 AD DS 中。 警告用户仅与受信任的帐户共享文件,因为有权解密文件的任何用户都可以授权其他用户访问该文件。 它不仅限于文件所有者。 从用户或用户组中删除写入权限可以防止此问题,但也会阻止用户或组修改文件。 跨网络时(例如,在共享文件夹上处理文件时),EFS 加密文件不会保持加密状态。 该文件已解密,然后在未加密状态下遍历网络。 如果将 EFS 保存到配置为加密的本地驱动器上的文件夹,则 EFS 会在本地对其进行加密。 WebDAV 或 IPSec 等解决方案可用于在遍历网络时保持文件加密。
比较 BitLocker 和 EFS
下表比较了 BitLocker 和 EFS 加密功能。
BitLocker 功能
EFS 功能
加密卷(整个操作系统卷,包括 Windows 系统文件和休眠文件)。
加密文件。
不需要用户证书。
需要用户证书。
无法防止未经授权的特权帐户。
帮助防止未经授权的特权帐户。
在具有 TPM) 的设备上防止作系统 (修改。
无法保护作系统不受修改。
更易于实现。
实现更为复杂。
组织可以选择单独使用 EFS 或 BitLocker,也可以一起使用作为深层防御策略的一部分。 管理员应仔细考虑实施 EFS 的好处和风险。 虽然 EFS 可以解决某些方案,但如果未正确实现和使用,数据丢失或未经授权的访问的可能性也更大。