针对脱机文件执行加密操作
Windows 2000操作系统引入了针对脱机文件执行缓存处理的功能(也可被称为客户端缓存技术[CSC])。这种IntelliMirror管理技术将允许网络用户针对基于网络共享的文件资源实施访问调用,即使在客户端计算机与网络系统连接被断开的情况下,也不会受到影响。
举例来说,当某一移动用户在脱机状态下查看共享资源时,他(她)仍可针对目标文件执行浏览、读取和编辑操作,这主要是因为,相关文件已被读入客户端计算机的缓冲内存。而当该用户稍后连接至服务器时,系统便会就相关修改与服务器协调一致。
Windows XP客户端可借助加密文件系统将脱机文件及文件夹设置为可接受加密处理的状态。某些专业人士经常外出旅行,并且需要在确保数据资料安全的前提下定期以脱机方式进行工作。该特性对于此类用户尤其具有吸引力。
通用数据库
基于本地计算机的通用数据库可供用来针对全部用户文件执行存储操作,并通过精确的访问控制列表(ACL)将访问调用对象限定在上述文件范围内。该数据库能够以一种特殊方式就相关文件加以显示--将数据库结构与格式隐藏起来,并以普通文件夹的面貌示人。而其它用户文件及文件夹则既不会被显示出来,也无法供其它用户访问调用。当脱机文件接受加密处理后,整个数据库还将借助EFS计算机证书接受加密处理。单个文件及文件夹将无法被选取执行解密操作。这样一来,整个脱机文件数据库便会在缺省状态下避免遭受利用已被激活的本地EFS特性所实施的恶意攻击。
一个限定性因素
加密脱机文件数据库所固有的限定性因素体现为,文件和文件夹将无法在脱机工作状态下以其它替代颜色呈现给用户。远程服务器还可能在联机状态下有选择地针对文件及文件夹加密特性加以应用,因此,当以联机和脱机方式显示加密文件时,用户所看到的效果将不尽相同。
重要提示:
CSC通常作为一个SYSTEM(系统)进程运行,并因此可供任何用户实施访问调用。不仅如此,同样以SYSTEM(系统)进程方式运行或暂时充当SYSTEM(系统)进程的其它进程也能够对CSC实施访问调用。而这其中便包括基于本地计算机的管理员。有鉴于此,每当敏感数据被存储至脱机文件夹时,管理访问权限均应被限制在特定用户范围内,而SYSKEY则应被用来针对脱机攻击进行防范。
针对脱机文件执行加密操作
用户可在Windows资源管理器中选择 Tools(工具) 菜单上的 Folder Options(文件夹选项) 命令,并在随后出现的对话框内针对文件夹选项进行相关设置,以便将加密脱机文件特性设定为激活状态。
说明: 该选项仅供在Windows XP Professional中使用。
请按下图所示选取 Offline Files(脱机文件) 选项卡。
同时选中 Enable Offline Files(启用脱机文件) 和 Encrypt offline files to secure data(为保护数据安全而对脱机文件进行加密) 复选框。
单击 OK(确定) 。
脱机文件将在被读入本地缓存的同时借助针对客户端计算机用户提供的专用密钥和证书接受加密处理。
重要提示:切勿针对已被存储在漫游用户配置中的文件进行加密处理,这主要是因为,该文件一旦在登录过程中被加载,系统便无法将配置中的文件打开。