著作權所有 © 旗標出版股份有限公司

本著作含書附光碟之內容 (不含 GPL 軟體 )，僅授權合法持有本書之讀者（包含個人及法人）非商業用途之使用，切勿置放在網路上播放或供人下載，除此之外，未經授權不得將全部或局部內容以任何形式重製、轉載、散佈或以其他任何形式、基於任何目的加以利用。

第 16 章 資料加密與壓縮

2

16 - 1 資料加密 16 - 2 允許他人解密 16 - 3 資料加密修復代理 16 - 4 資料壓縮

本章重點

3

資料加密與壓縮 Windows Server 2008 對於 NTFS 的資料夾與檔案 , 提供了加密和壓縮功能 , 前者能保護機密資料；後者則可節省硬碟的儲存空間 , 都是相當實用的功能。

本章將介紹它們的使用時機、工作原理和注意事項。

4

16 - 1 資料加密 Windows Server 2008 對資料夾與檔案的加密功能稱為 EFS （ Encrypting File System, 加密檔案系統）。

啟用此功能後 , EFS 在存檔時會先將資料加密後再寫入；而讀取加密過的檔案時 , 也會自動先解密。

換言之 , 加密與解密動作都是由系統在幕後自動執行 , 使用者在操作上毋須做任何改變。

5

EFS 的使用時機 一般而言 , 加密大多是應用在透過公開媒體傳遞訊息的情況 , 例如：透過網際網路傳遞重要的信件、進行電子商務交易等等。

既然如此 , 為何需要對儲存在硬碟的資料夾與檔案加密呢？

只要設定適當的存取權限 , 限制未獲授權的使用者不得存取檔案 , 不就可以保障個人資料的隱私嗎？

6

EFS 的使用時機 透過存取權限來保護資料夾與檔案 , 雖然在大多數的情況下都很安全 , 但仍有其無法避免的漏洞。

舉例而言 , 若有人偷走整部主機或整部硬碟 , 然後將硬碟安裝到其它的 Windows Server 2008 系統 , 此時原先所設定的存取權限保護就會失去作用 , 對方就能存取該硬碟裡的資料。

然而若事先將檔案加密 , 那麼他便無法看到真正的內容。

7

EFS 的使用時機 雖然在理論上 , 對方仍可用破解的方式將加密的資料還原 , 但實際上此種作法需擁有運算能力強大的電腦 , 再加上足夠長的運算時間 , 這樣高的門檻已經不是一般駭客族所能跨越。

所以 EFS 已經可以為多數人的資料提供足夠的保護能力。

8

對稱式加密與非對稱式加密 所謂的加密 (Encrypt), 是將『有意義』的內容經過特定的處理後變成『沒有意義』的內容。

加密前的內容稱為明文文字 (Plain text), 加密後的內容則稱為加密文字 (Cipher 或 Cipher text) 。

加密過程需要一組字串參與運算 , 這組字串稱為秘鑰 (Secret Key) 。

秘鑰的長度愈長、加密時愈花費時間 , 但是也愈不容易被破解。

9

對稱式加密與非對稱式加密

加密的方式可區分為對稱式 (Symmetric) 與非對稱式 (Asymmetric) 兩種。

對稱式加密法又稱『秘鑰加密法』 (Secret-key Cryptography), 是在加密和解密時 , 使用同一把秘鑰參與運算 , 如下圖。

10

對稱式加密與非對稱式加密

非對稱式加密又稱為『公開金鑰加密法』 (Public-key Cryptography), 在加密和解密時使用不同的一把秘鑰。

11

對稱式加密與非對稱式加密通常會公開其中一把秘鑰 , 因此將該秘鑰稱為公開金鑰 (Public key), 另一把則妥善保管 , 稱為私密金鑰 (Private key) 。

凡是以私密金鑰加密者 , 必須以公開金鑰解密。反之 , 以公開金鑰加密者 , 必須以私密金鑰解密 , 這便是非對稱式加密法的最大特點 , 如下圖。

12

對稱式加密

13

非對稱式加密

14

EFS 的工作原理 使用者首次啟用加密功能時 , EFS 會自動為其產生一把公開金鑰和一把私密金鑰 , 並執行以下的工作 ( 以檔案加密為例 ) ：1. 對於每一個要加密的檔案 , 隨機產生一把用來加密的金鑰 , 該金鑰稱為 FEK (File Encryption Key) 。

2. 使用 FEK 以對稱式加密法將檔案內容加密。3. 以加密者的公開金鑰 , 將這把 FEK 以非對稱式加密法加密。

15

EFS 的工作原理4. 將加密後的 FEK 與加密後的檔案一同存放。

簡而言之 , EFS 先用 FEK 保護檔案 , 再用加密者的公開金鑰保護 FEK, 同時用到了對稱式加密法和非對稱式加密法 , 不但享有前者處理速度快的優點 , 同時也擁有後者安全性較佳的長處。

16

EFS 的工作原理 當加密者讀取檔案時 , EFS 則會執行以下動作：

1. 以加密者的私密金鑰解開加密的 FEK 。2. 以 FEK 將檔案解密。

若非加密者嘗試讀取檔案 , 會因為私密金鑰不同而無法解開加密的 FEK, 沒有 FEK 自然就不能將檔案解密了。

17

EFS 的工作原理

18

使用 EFS 時的注意事項 使用加密功能時要注意以下 3 點：

1. 不能對於具有『系統』屬性的檔案加密 , 也不能對 %systemroot% （預設是 C:\Windows ）資料夾加密。

2. 對於同一檔案或資料夾 , 不能既加密又壓縮 , 只能擇一使用。

3. 不能對整部磁碟機加密。

19

啟用資料夾加密 使用加密功能時 , 比較好的作法是對資料夾設定加密。日後在此資料夾中建立新的檔案或複製檔案到此資料夾時 , 檔案就會自動被加密。

將資料夾設為加密的步驟如下：

20

啟用資料夾加密

21

啟用資料夾加密

22

啟用資料夾加密

23

啟用資料夾加密 如果要加密的資料量很大 , 加密的時間會久一點。

完成後 , 在右下角的通知區域會出現以下的訊息：

24

啟用資料夾加密 在後文會介紹備份加密金鑰的方式 , 所以目前暫時不必理會該訊息。若開啟檔案總管視窗 , 便可以看出加密之後的差異：

25

啟用資料夾加密 如前所述 , 加密和解密作業都是由系統在幕後執行 , 所以在加密之後 , 存取檔案時並沒有什麼差異。

但是對於非加密者來說 , 即使有讀取檔案的權限 , 實際開啟時會看到以下的交談窗：

26

啟用資料夾加密 此外 , 資料夾加密有一個特殊限制－－不能對根目錄（ Root Directory ）加密！

因為對根目錄的檔案及其子資料夾都加密 , 就等於對整部磁碟機加密－－這就違反了前述的第 3 點注意事項。

27

啟用檔案加密 檔案加密與資料夾加密的設定方式類似 , 請參考以下步驟：

28

啟用檔案加密

29

啟用檔案加密按兩次確定鈕

30

啟用檔案加密倘若複選多個檔案一次加密 , 而且在上圖未曾勾選永遠只加密檔案多選鈕 , 則上述的加密警告交談窗會針對每個檔案逐一詢問。

利用上述方式 , 便可以在未加密的資料夾中 , 將特定的檔案加密。

不過還是建議系統管理員避免對個別的檔案加密 , 以方便管理。

31

備份加密金鑰 當我們初次啟用加密功能時 , 系統會提醒要備份加密金鑰。

其主要的目的是考慮到自己的帳戶被誤刪或帳戶資料庫損毀 , 都會導致再也無法將加密檔予以解密 , 這些加密檔案便成為『孤兒檔案』－－因為無人能解讀其內容！

即使系統管理員重建一個相同名稱的帳戶 , 由於會重新產生公開金鑰與私密金鑰 , 必定與先前加密時所用的不同 , 因此仍無法對原先的加密檔解密。

32

備份加密金鑰 要解決這個問題 , 有以下三種方案：

1. 加密者自行備份加密金鑰。2. 由加密者設定讓其它人也能解密。3. 由系統管理員設定『資料加密修復代理人』。

其中以第一個方案最單純 , 因為不涉及他人 , 完全由自己掌控 , 所以先介紹 , 後兩個方案則留在後文。

33

備份加密金鑰 先前曾提到 , 初次加密後會出現備份您的檔案加密金鑰訊息 , 之後縮小為通知區域的圖示 , 若要備份加密金鑰時請點選該圖示：

34

備份加密金鑰接著連按兩次下一步鈕 , 會看到以下的交談窗：

按下一步鈕

35

備份加密金鑰

按下一步鈕

36

備份加密金鑰

爾後萬一遇到解不開自己加密的檔案時 , 請參考 16-22 頁 , 匯入當初所備份的金鑰 , 便能解決問題。

37

搬移或複製對加密資料的影響 由於『加密』是存在於 NTFS 檔案系統的一種屬性 , 所以若將加密的檔案搬移到非 NTFS 檔案系統的儲存媒體 , 該檔案就會自動被解密。

例如：磁碟片、光碟、磁帶和 USB 隨身碟等等。

同理 , 複製到 FAT / FAT32 檔案系統的硬磁時 , 複製過去的檔案也是未加密。

當檔案要以非加密狀態儲存時 , 系統會顯示以下的交談窗提醒使用者。

38

搬移或複製對加密資料的影響

至於複製或搬移到其它 NTFS 資料夾 , 檔案仍保持加密屬性。

39

16 - 2 允許他人解密 如果檔案需要加密 , 卻又得提供給非加密者讀取 , 該怎麼辦呢？

以企業來說 , 兩位副總經理互為職務代理人 , 因此必須能互相讀取對方加密過的檔案。

此時加密者本人即可指定讓誰也能解開特定的檔案 , 換言之 , 等於是設定誰能與自己『共享加密檔案』。

40

允許他人解密請加密者對自己加密的檔案按右鈕 , 執行『內容』命令：

41

允許他人解密

42

允許他人解密

43

允許他人解密

44

允許他人解密

45

允許他人解密接著再按 2 次確定鈕完成設定。爾後 Brave 帳戶登入網域後 , 就會發現也可以對 CH14.txt 這個檔案解密 , 讀到正確的內容。

不過以上的方式只能針對個別的檔案來設定 , 不能對於資料夾來設定。

46

允許他人解密 而且在選擇誰也能解密時 , 可能會遇到除了加密者本人外 , 無其它帳戶可選的情形 , 如下圖：

47

允許他人解密這是因為若要有解密能力 , 必須擁有公開金鑰和私密金鑰－可是 EFS 只會對於『曾使用過』加密功能的使用者產生這對金鑰。

因此 , 必須先請使用者登入並加密任意一個檔案 , EFS 便會產生他的一對金鑰 , 之後他的帳戶名稱就會出現在加密檔案系統交談窗以供選取。

48

16 - 3 資料加密修復代理 雖然 EFS 提高了檔案的保密性 , 但是卻可能衍生出問題 , 例如：刪除了某個離職員工的帳戶後 , 才發現還有重要的文件是以該帳戶加密。

或者因為硬碟損壞 , 導致遺失某些帳戶的私密金鑰 , 這些情形都會產生無人能解開的『孤兒檔案』。

所幸 EFS 還有留一扇『後門』 , 這扇後門便是修復代理 (Recovery Agent) 機制。

49

資料加密修復代理 利用此機制 , 系統管理員可指定以特定帳戶為修復代理人 , 而修復代理人可將任何使用者加密的檔案解密 , 如此就能避免因刪除帳戶 , 而無法解密的情形了。

50

修復代理的原理 先前說過 EFS 會將 FEK 以檔案加密者的公開金鑰加密後 , 與檔案一起存放。

其實這只是說了一半 , 另一半則是：『如果指定了修復代理人 , EFS 也會將 FEK 以修復代理人的公開金鑰加密後 , 與檔案一起存放』！

換言之 , 每個檔案伴隨著兩把加密過的 FEK, 一把以加密者的公開金鑰加密；另一把以修復代理人的公開金鑰加密。

51

修復代理的原理 如下圖：

52

指定修復代理人坊間大多數的書籍 , 甚至微軟的文件 , 都告訴大家：指定修復代理人時 , 必須向某一個憑證發放單位（ CA, Certificate Authority ）申請憑證 , 然後再匯出與匯入憑證。

可是大多數的中小企業並未建立 CA, 因此還得先學如何建立 CA 、申請憑證和核發憑證。

這一整個流程做下來 , 涉及安裝 IIS 、安裝 Certificate Service 、透過 IE 申請憑證及利用新增嵌入式管理單元匯出憑證等等操作 , 實在有夠累人。

53

指定修復代理人 當然 , 上述的作法沒有錯 , 而且是完全正統的作法。

但是 , 若僅僅為了指定修復代理人而使用此法 , 那可說是殺雞用到了大關刀 , 太勞師動眾了！

經過多次的測試與驗證 , 我們終於找出一個獨門秘技 , 可以簡單而快速地指定修復代理人 , 以減少讀者學習的辛苦。

以下假設系統管理員欲將大雄 (bear@xdom.com) 設定為網域的修復代理人 , 其流程如下圖。

54

指定修復代理人

55

產生 .Cer 檔與 .Pfx 檔 當我們以 Administrator 帳戶登入 DC 後 , 在命令提示字元執行 Cipher /r:RA_KEY, 便會在 Cipher.exe 所在的資料夾（ %systemroot%/system32 ）產生 RA_KEY.Cer 和 RA_KEY.Pfx 兩個檔案。

這兩個檔案便是 Administrator 的憑證檔 , .Cer 檔只包含公開金鑰； .Pfx 檔則包含公開金鑰與私密金鑰。

56

產生 .Cer 檔與 .Pfx 檔『 RA_KEY』是自訂的檔名 , 亦可以指定路徑 , 例如：『 Cipher /r:C:\Key\Key_File』 , 則在 C:\Key 資料夾產生 Key_File.Cer 和 Key_File.Pfx 兩個檔案。

不過我們現在需要的不是 Administrator 的憑證 , 而是大雄的憑證。

57

產生 .Cer 檔與 .Pfx 檔問題是 Administrators 群組以外的成員預設不能登入 DC, 於是我們必須先將大雄加入 Administrators 群組 , 再利用 Runas 命令 , 讓 Administrator 不必登出 , 就可以用大雄的身份執行 Cipher.exe, 以產生大雄的憑證檔。

請以系統管理員身分開啟命令提示字元視窗：

58

產生 .Cer 檔與 .Pfx 檔

之後關閉命令提示字元視窗即可。

59

產生 .Cer 檔與 .Pfx 檔 可是以上的步驟存在一個問題－－ Administrat

or 怎麼知道大雄的密碼呢？的確 , 除非大雄事先告知 , 否則 Administrator 應該不知道他的密碼。

因此 Administrator 可以先自行為大雄設定密碼 , 而且勾選使用者必須在下次登入時變更密碼 , 等到將大雄設為修復代理人後 , 再通知他立即用該密碼登入網域、並變更密碼。

最後 , 別忘了將大雄自 Administrators 群組移除 , 恢復他原有的權限。

60

將 .Cer 檔匯入群組原則 一旦有了大雄的 .Cer 檔 , 將該檔案匯入網域群組原則（ Default Domain Policy / 電腦設定 / 原則 / Windows 設定 / 安全性設定 / 公開金鑰原則 / 加密檔案系統）中 , 就等於指定大雄為修復代理人。

請開啟『群組原則物件編輯器』視窗。

61

將 .Cer 檔匯入群組原則

62

將 .Cer 檔匯入群組原則按下一步鈕

63

將 .Cer 檔匯入群組原則

64

將 .Cer 檔匯入群組原則

65

將 .Cer 檔匯入群組原則按下一步鈕

66

將 .Cer 檔匯入群組原則

67

將 .Cer 檔匯入群組原則請再度開啟命令提示字元視窗 , 執行 Gpupd

ate.exe, 使這個修改過的群組原則立即生效 , 便完成了將大雄指定為修復代理人的程序。

爾後無論任何人的 EFS 加密檔 , 都一定會伴隨兩把加密過的 FEK, 一把以加密者的公開金鑰加密；一把以大雄的公開金鑰加密。

68

以修復代理人身份解密按照上述方式使大雄成為修復代理人之後 , 理論上他可以解開任何使用者加密的檔案。可是 , 實際上卻不然。

因為 EFS 需要大雄的私密金鑰才能解開被加密的 FEK, 而大雄的私密金鑰在哪裡？答案是：在 .Pfx 檔案裡！

因此 , 還必須匯入大雄的私密金鑰（ .Pfx 檔） , 才能使大雄真正有解密的能力。

69

以修復代理人身份解密首先請再次將大雄加入 Administrators 群組 , 並以大雄身份登入 DC, 然後將存有 .Pfx 檔的儲存媒體 ( 例如： USB 隨身碟 ) 連接到 DC, 雙按該媒體上的 .Pfx 檔：

70

以修復代理人身份解密

按下一步鈕

71

以修復代理人身份解密

按下一步鈕

72

以修復代理人身份解密

按下一步鈕

73

以修復代理人身份解密

74

以修復代理人身份解密

75

以修復代理人身份解密

按下一步鈕

76

以修復代理人身份解密

77

以修復代理人身份解密最後別忘了將大雄自 Administrators 群組移除 , 恢復他原有的權限。爾後大雄登入網域後 , 便能解讀他人加密的檔案了。

然而檔案若是在大雄成為修復代理人之前便加密 , 則大雄仍舊無法解密。

78

刪除修復代理人 若要刪除加密檔案系統的修復代理人 , 請開啟群組原則物件編輯器視窗：

79

刪除修復代理人

80

保障機密資料的具體作法 為了避免修復代理人濫權 , 隨意讀取他人的加密檔案 , 所以平常不要匯入修復代理人的 .Pfx 檔 , 只在必要時才匯入。

而且最好將存放 .Pfx 檔的儲存媒體集中管理 , 例如：鎖在檔案櫃或保險箱 , 由資訊部門主管或高階主管掌管鑰匙 , 以避免不肖的系統管理員私自匯入。

81

16 - 4 資料壓縮 Windows Server 2008 可以針對 NTFS 檔案系統的磁碟機、資料夾或檔案啟用壓縮功能 , 一旦啟用後 , 存檔時系統會先將資料壓縮後再寫入；而讀取壓縮過的檔案時 , 系統也會自動先解壓縮。

由於壓縮和解壓縮的動作都是由系統在幕後處理 , 因此使用者在操作上會覺得和一般檔案無異。

82

壓縮磁碟機想要使磁碟機能存放更多的資料 , 最方便的作法就是對整部磁碟機啟用壓縮功能。

其實在建立磁碟區過程的格式化步驟時 , 便可指定是否要啟用磁碟機壓縮功能：

83

壓縮磁碟機 若要壓縮既有的磁碟機 ( 以 F 磁碟機為例 ), 請開啟電腦視窗 , 在 F 磁碟機上按滑鼠右鈕 , 執行『內容』命令：

84

壓縮磁碟機

85

壓縮磁碟機 上圖兩個選項的差異如下：

只將變更套用到磁碟 F:\不壓縮已存在磁碟機上的檔案與資料夾 , 只會壓縮後續存入 F:\ (F 磁碟機的根目錄 ) 的檔案與資料夾。

將變更套用到磁碟 F:\ 、子資料夾及檔案壓縮已存在磁碟機上所有的檔案與資料夾 , 並會壓縮後續存入 F 磁碟機的檔案與資料夾。

選取所要的選項後 , 按確定鈕即完成壓縮磁碟機的設定。

86

壓縮資料夾 若要壓縮磁碟中的某個資料夾 , 請在該資料夾按滑鼠右鈕 , 執行『內容』命令：

87

壓縮資料夾

88

壓縮資料夾接著連續按兩次進階鈕 , 便會看到以下的交談窗：

89

壓縮資料夾 上圖兩個選項的差異如下：

僅將變更套用到此資料夾不影響已存在資料夾內的檔案與子資料夾 , 只會壓縮後續存入資料夾的檔案與子資料夾。

將變更套用到這個資料夾、子資料夾和檔案壓縮已存在資料夾內的所有檔案與子資料夾 , 並會壓縮後續存入資料夾的檔案與子資料夾。

選取所要的選項後 , 按確定鈕即完成壓縮資料夾的設定。

90

壓縮檔案 如果只要壓縮個別的檔案 , 同樣是在該檔案圖示上按滑鼠右鈕 , 執行『內容』命令 ( 可一次選取多個檔案 ) ：

91

壓縮檔案

再按一次確定鈕之後便開始壓縮檔案。

92

取消壓縮 若要取消壓縮 , 只要取消先前的勾選狀態即可 ,

以下僅示範『取消資料夾壓縮』 , 請在該壓縮的資料夾上按滑鼠右鈕 , 執行『內容』命令 , 然後按進階鈕：

93

取消壓縮按兩次確定鈕

94

取消壓縮必須要注意的是：若將既有的壓縮檔解壓縮 , 會使檔案膨脹為原本的大小 , 所以若取消許多檔案的壓縮（例如：將包含數百個檔案的磁碟機解壓縮 ), 請先確認該磁碟機有足夠的剩餘空間。

95

搬移或複製對壓縮資料的影響 基本上 , 『壓縮』是存在於 NTFS 檔案系統的一種屬性 , 所以若將壓縮的檔案搬移到非 NTFS 檔案系統的儲存媒體。

例如：磁碟片、光碟、磁帶和 USB 隨身碟等等 , 該檔案就會自動被解壓縮。

同理 , 複製到 FAT / FAT32 檔案系統的硬磁時 , 複製過去的檔案也是未壓縮。

96

搬移或複製對壓縮資料的影響 此外 , 『複製』或『搬移』到 NTFS 資料夾也會影響該檔案能否保有壓縮屬性 , 下表列出不同動作與目的地的所造成的結果：