Windows 10 Encryption File System (加密檔案系統)

2021-07-26

說明如何使用 Windows 10 Encryption File System (加密檔案系統),並比較與 Bitlocker 的差別,以及說明 EFS 是否能夠作為 Windows 作業系統在傳輸資料上加密的解決方案。

logo

說明

發現 EFS 是來自於尋找 Windows 作業系統上是否預設資料傳輸的解決方案。例如想要將檔案傳輸給同事,但想要先將檔案進行加密,再讓同事自行解密取得資料內容。原本是想到使用 Zip、RAR 或 7z 的方式來進行。但發現 Windows 10 不支援使用 Zip 加密搭配 Password 的方式,此外個人電腦上也沒有 RAR 或者 7z 可以使用。於是就可以尋找其他的替代解決方案,過程中意外的發現了 EFS。

EFS

根據維基百科,早從 Windows 2000 就開始支援的功能,但一直是專業版、企業版的作業系統才能使用的功能,所以對於這個功能很陌生也不意外。而 EFS 就是利用產生加密檔案憑證的方式,對檔案進行加密,如果不具有憑證檔案就無法存取。

EFS 使用上的限制除必須是 Windows Professional (專業版)、Enterprise (企業版)外,檔案所屬磁碟的檔案格式必須為 NTFS 才能夠使用 EFS。

EFS 使用步驟

加密檔案

完成加密後,檔案圖示右上方會出現金色鎖頭的圖案。

加密的第一步為對檔案右鍵並點選內容後,依序選擇進階加密內容,保護資料


最後在加密警告的部分,要注意如果檔案是在桌面上使用「加密檔案及其上層資料夾」會導致日後所有新增在桌面的檔案都被自動加密,很不方便。

恢復桌面預設加密

而要恢復方法是另外建立一個桌面資料夾,並調整快速存取中桌面的位置來處理。

加密檔案憑證

第一次使用加密檔案系統,會自動產生一張檔案加密憑證並儲存於 個人\憑證 當中。

如果不具有權限的使用者嘗試存取檔案,會出現下列錯誤訊息:

檢視加密檔案憑證

可以使用 使用者帳戶 來檢視目前用於加密檔案的加密檔案憑證,如果個人\憑證中有多張憑證,可以從這裡切換選擇。而如果是要解密檔案,作業系統會自動從多張的加密檔案憑證中自動選擇適合的檔案。

快速打開使用者帳戶的方式:執行 control userpasswords

匯入加密檔案憑證

如果作業系統有異動,並且有保留當初的加密檔案憑證,匯入之後就可以恢復存取加密的檔案。


EFS VS Bitlocker

EFS 是檔案層級的加密方式,Bitlocker 則是磁碟層級的加密方式。但兩者都無法作為傳輸資料加密的解決方案,因為作為收到加密檔案的一方而言,沒有適合的解密的方式。

更多的比較可以參考 What’s the Difference Between BitLocker and EFS (Encrypting File System) on Windows?

EFS 的黑暗面

EFS 可能會被利用作為勒索軟體加密檔案的用途,詳見: Windows EFS可被用來實作勒索軟體,防毒軟體偵測不到

結論

關於作業系統的檔案加密,在 Pluralsight 的課程曾經有學習到,對於實體侵入的方式沒有加密的檔案基本上是任人任意存取,而課程中所推薦的是使用 Bitlocker 整個磁碟的加密方式。而 EFS 則是檔案層級的各別加密方式,使用的情境較限制。

而如果要做為資料傳輸的加密解決方案,則仍是得以 RAR、7z 等支援使用 Password 作為解密金鑰的加密方案,才能夠讓傳輸的雙方達成加密傳輸的效果。

參考資料

How to Encrypt Files, Folders and Drives on Windows 10