Windows XP操作系統(tǒng)在數(shù)據(jù)保護(hù)方面提供了眾多增強(qiáng)特性--特別是Encrypting File System（加密文件系統(tǒng)，EFS）。本文詳細(xì)描述了針對(duì)脫機(jī)文件執(zhí)行加密操作的具體方法，并力求幫助系統(tǒng)設(shè)計(jì)師和管理人員開發(fā)出借助Windows XP創(chuàng)制數(shù)據(jù)恢復(fù)與數(shù)據(jù)保護(hù)策略的最佳實(shí)現(xiàn)方式。

針對(duì)脫機(jī)文件執(zhí)行加密操作

Windows 2000操作系統(tǒng)引入了針對(duì)脫機(jī)文件執(zhí)行緩存處理的功能（也可被稱為客戶端緩存技術(shù)[CSC]）。這種IntelliMirror管理技術(shù)將允許網(wǎng)絡(luò)用戶針對(duì)基于網(wǎng)絡(luò)共享的文件資源實(shí)施訪問(wèn)調(diào)用，即使在客戶端計(jì)算機(jī)與網(wǎng)絡(luò)系統(tǒng)連接被斷開的情況下，也不會(huì)受到影響。

舉例來(lái)說(shuō)，當(dāng)某一移動(dòng)用戶在脫機(jī)狀態(tài)下查看共享資源時(shí)，他（她）仍可針對(duì)目標(biāo)文件執(zhí)行瀏覽、讀取和編輯操作，這主要是因?yàn)椋嚓P(guān)文件已被讀入客戶端計(jì)算機(jī)的緩沖內(nèi)存。而當(dāng)該用戶稍后連接至服務(wù)器時(shí)，系統(tǒng)便會(huì)就相關(guān)修改與服務(wù)器協(xié)調(diào)一致。

Windows XP客戶端可借助加密文件系統(tǒng)將脫機(jī)文件及文件夾設(shè)置為可接受加密處理的狀態(tài)。某些專業(yè)人士經(jīng)常外出旅行，并且需要在確保數(shù)據(jù)資料安全的前提下定期以脫機(jī)方式進(jìn)行工作。該特性對(duì)于此類用戶尤其具有吸引力。

通用數(shù)據(jù)庫(kù)

基于本地計(jì)算機(jī)的通用數(shù)據(jù)庫(kù)可供用來(lái)針對(duì)全部用戶文件執(zhí)行存儲(chǔ)操作，并通過(guò)精確的訪問(wèn)控制列表（ACL）將訪問(wèn)調(diào)用對(duì)象限定在上述文件范圍內(nèi)。該數(shù)據(jù)庫(kù)能夠以一種特殊方式就相關(guān)文件加以顯示--將數(shù)據(jù)庫(kù)結(jié)構(gòu)與格式隱藏起來(lái)，并以普通文件夾的面貌示人。而其它用戶文件及文件夾則既不會(huì)被顯示出來(lái)，也無(wú)法供其它用戶訪問(wèn)調(diào)用。當(dāng)脫機(jī)文件接受加密處理后，整個(gè)數(shù)據(jù)庫(kù)還將借助EFS計(jì)算機(jī)證書接受加密處理。單個(gè)文件及文件夾將無(wú)法被選取執(zhí)行解密操作。這樣一來(lái)，整個(gè)脫機(jī)文件數(shù)據(jù)庫(kù)便會(huì)在缺省狀態(tài)下避免遭受利用已被激活的本地EFS特性所實(shí)施的惡意攻擊。

一個(gè)限定性因素

加密脫機(jī)文件數(shù)據(jù)庫(kù)所固有的限定性因素體現(xiàn)為，文件和文件夾將無(wú)法在脫機(jī)工作狀態(tài)下以其它替代顏色呈現(xiàn)給用戶。遠(yuǎn)程服務(wù)器還可能在聯(lián)機(jī)狀態(tài)下有選擇地針對(duì)文件及文件夾加密特性加以應(yīng)用，因此，當(dāng)以聯(lián)機(jī)和脫機(jī)方式顯示加密文件時(shí)，用戶所看到的效果將不盡相同。

重要提示：CSC通常作為一個(gè)SYSTEM（系統(tǒng)）進(jìn)程運(yùn)行，并因此可供任何用戶實(shí)施訪問(wèn)調(diào)用。不僅如此，同樣以SYSTEM（系統(tǒng)）進(jìn)程方式運(yùn)行或暫時(shí)充當(dāng)SYSTEM（系統(tǒng)）進(jìn)程的其它進(jìn)程也能夠?qū)SC實(shí)施訪問(wèn)調(diào)用。而這其中便包括基于本地計(jì)算機(jī)的管理員。有鑒于此，每當(dāng)敏感數(shù)據(jù)被存儲(chǔ)至脫機(jī)文件夾時(shí)，管理訪問(wèn)權(quán)限均應(yīng)被限制在特定用戶范圍內(nèi)，而SYSKEY則應(yīng)被用來(lái)針對(duì)脫機(jī)攻擊進(jìn)行防范。

針對(duì)脫機(jī)文件執(zhí)行加密操作 用戶可在Windows資源管理器中選擇 Tools（工具） 菜單上的 Folder Options（文件夾選項(xiàng)） 命令，并在隨后出現(xiàn)的對(duì)話框內(nèi)針對(duì)文件夾選項(xiàng)進(jìn)行相關(guān)設(shè)置，以便將加密脫機(jī)文件特性設(shè)定為激活狀態(tài)。

說(shuō)明： 該選項(xiàng)僅供在Windows XP Professional中使用。 請(qǐng)按下圖所示選取 Offline Files（脫機(jī)文件） 選項(xiàng)卡。 選取 Offline Files（脫機(jī)文件） 選項(xiàng)卡 同時(shí)選中 Enable Offline Files（啟用脫機(jī)文件） 和 Encrypt offline files to secure data（為保護(hù)數(shù)據(jù)安全而對(duì)脫機(jī)文件進(jìn)行加密） 復(fù)選框。 單擊 OK（確定） 。

脫機(jī)文件將在被讀入本地緩存的同時(shí)借助針對(duì)客戶端計(jì)算機(jī)用戶提供的專用密鑰和證書接受加密處理。

重要提示：切勿針對(duì)已被存儲(chǔ)在漫游用戶配置中的文件進(jìn)行加密處理，這主要是因?yàn)椋撐募坏┰诘卿涍^(guò)程中被加載，系統(tǒng)便無(wú)法將配置中的文件打開。