下面是小编帮大家整理的教你加密Root文件系统(图)(共含6篇),希望对大家带来帮助,欢迎大家分享。同时,但愿您也能像本文投稿人“谷爱凌”一样,积极向本站投稿分享好文章。
当你不能依靠物理安全来保证你文件的安全时,是时候采取额外的步骤加密文件系统了,虽然本文涉及到的是基于PowerPC的系统,但原则上来说也适用于其他架构的系统, 在另一篇文章“实现加密的home目录”中,我描写了如何透明地加密home目录,本文叙述另一个技术实现--
当你不能依靠物理安全来保证你文件的安全时,是时候采取额外的步骤加密文件系统了,虽然本文涉及到的是基于PowerPC的系统,但原则上来说也适用于其他架构的系统。在另一篇文章“实现加密的home目录”中,我描写了如何透明地加密home目录,本文叙述另一个技术实现--加密的root文件系统,我论述了GNU/Linux启动过程和软件需求,并提供了一些指令,对Open Firmware做了一下介绍,以及其他一些有关的考虑事项。我用于教学的系统是一台基于PowerPC架构的新世界苹果iBOOK电脑,运行Fedora Core 3预览版,不考虑细节,本文涉及到的概念和程序可以应用到任何设备、架构或操作系统。我提供的指令假设你有一个多余的USB闪存盘并且你系统的支持从USB设备启动。
同时,我还假设读者能轻松应用源代码补丁并编译程序,对于Fedora Core 3 Test 3版本,mkinitrd和启动脚本软件包需要打补丁以支持加密的root文件系统,需要掌握基本的分区管理和创建文件系统的知识,执行一个基本的Linux发行版安装超出了本文要求的范畴。
在呈现有关的技术步骤之前,一个高层概念必须先讨论:信任。信任与加密技术和认证总是纠缠在一起的,对任何有电子密钥的设备都可以假设它是可信任的。例如:当自动提款机(ATM)与我的银行账号共用个人识别号(PIN)时,我会信任ATM不会将我的PIN与不适当的第三方进行共享。同样,当我给我的计算机提供一个加密密钥时,我假设这个密钥不会与任何其他人进行共享,我会信任这台计算机在我们之间保守秘密。
那么,你能信任你的计算机吗?除非你无论到哪里都带着它,否则你真的不能信任它,即使磁盘已经经过加密处理也不行。设想这样一个情景:在你睡觉时,有人偷走了你的计算机,小偷将计算机中加密的内容做了一份拷贝,虽然没有加密密钥而对他来说毫无意义,但是他可以用更恶魔的内容替换笔记本电脑加密的内容,然后再将电脑放回去,当你第二天醒来时,计算机提示你输入加密密码,但是这时你提供的密钥会传输给小偷,他得到密钥后就有一份数据和密钥的拷贝了,他就可以读取你的文件了。
这个情景可能显得比较牵强,但是它说明了一点,你不能信任你的笔记本电脑,始终保持你的眼睛你离开它很重要,因此,无论如何优秀地实现你的加密系统,要建立在信任的基础前提条件下才行。
网络确保我们可以信任计算机的启动过程,我们需要将其从计算机中分隔出来,考虑这个问题:你携带你的汽车钥匙而不是携带你的汽车。你的密钥自身概念上与你的汽车钥匙一样。你可以更容易地保护你的密钥,因此你不用随时随地都携带上你的计算机,我们将用这个密钥提供启动计算机需要的软件,闪存盘将充当密钥的角色,通过保护启动系统最初的软件,除加密密钥外,我们可以有效地降低启动过程被劫持的风险。
你需要连接你的计算机是如何启动的,因为解锁一个加密的root文件系统是对整体的引导过程有影响,目前稳定的内核版本是2.6,可选择使用initramfs来帮助启动,在lwn.net上有一篇文档“initramfs来了”, initramfs是一个cipo归档,内核知道如何解压到基于RAM的磁盘上,这个解压的文件系统包括一个传统的载入内核挂载root文件系统的模块的脚本,在我们的样例中,这个脚本也用于解锁加密的root文件系统,关于这个主题更多的信息可以在文件buffer-format.txt和initrd.txt中找到,这两个文件都在Linux内核源代码发布包中。
对Linux有若干个文件系统加密接口是可用的,Jari Ruusu的Loop-AES就是这样一个项目,有多个cryptoloop变种提供一个加密的loopback设备,本文集中讲述最近2.6Linux内核提供的dm-crypt接口,这个接口目前已经被Fedora项目吸收,dm-crypt模块由Fedora内核包提供,还需要一个静态链接cryptsetup,这个实用程序简化了dm-crypt设备的管理,最后,还需要parted和hfsutils来管理启动文件系统,
不幸的是,Fedora Core的anaconda安装程序还不支持在盒子外安装加密文件系统,网络绕过这个限制,你必须保留一个空闲分区安装Fedora,格式化空闲分区为一个加密文件系统,然后拷贝原始安装数据到新的加密文件系统上,网络简化,我们假设Fedora已经安装到两个分区上:/dev/hda4,挂载到/home和/dev/hda5,挂载到/,因为/home下还没有用户目录,直到Fedora安装完毕,我们可以使用/dev/hda4作为我们的备用分区,/dev/hda3作为swap分区。
安装Fedroa Core 3,挂载/dev/hda4到/home,/dev/hda5挂载到/,不要添加非root用户,因为/home稍后将被清除干净,至此,你应该拥有一个全功能的Linux系统了。
在设置加密文件系统之前,你应该随意分区,这样排除一个潜在关于磁盘内容的信息漏洞,图1示范了一个抽象的半满磁盘,它没有恰当进行随机排列,图2示范了一个恰当随机排列的磁盘,在格式化之前包含一个加密的文件系统,注意,从图1中可以获取到一些关于它的内容的知识(如它们跨越了磁盘的二分之一),图2提供了一个没有那么豪华的对手,假如这样,磁盘可以很容易被清空,分区随机排列是通过用随机数据重写它的内容实现的:dd if=/dev/urandom f=/dev/hda4,这个过程可能要花很长的时间,因为创建随机数据有些困难的。
500)this.width=500“ title=”点击这里用新窗口浏览图片“ />
图1
500)this.width=500” title=“点击这里用新窗口浏览图片” />
图2随机排列的分区隐藏了使用量
要在/dev/hda4上创建一个加密的ext3文件系统,使用下面的步骤:
1)确认aes,dm-mod,dm-crypt模块已经载入内核
2)卸载将要托管加密root文件系统的分区/dev/hda4
#umount /dev/hda4
3)创建一个随机256位加密密钥并存储在/etc/root-key
#dd if =/dev/urandom f=/etc/root-key bs=1c count=32
这个密钥稍后将拷贝到闪存盘。
4)创建一个dm-crypt设备,使用前面创建的密钥加密
#cryptsetup -d /etc/root-key create /dev/hda4
现在访问/dev/mapper/root在/dev/hda4上提供了一个加密层,默认情况下,cryptsetup创建一个aes加密的dm-crypt设备并任务密钥大小为256位。
5)在/dev/mapper/root上创建一个ext3文件系统
#mkfs.ext3 /dev/mapper/root
6)挂载新文件系统
#mkdir /mnt/encroot
#mount /dev/mapper/root /mnt/encroot
7)现在你已经有一个加密文件系统了,你必须用/dev/hda5(原始的root文件系统)的内容来填充它
#cp -ax / /mnt/encroot
8)最后,在/mnt/encroot/crypttab中创建一个条目以便不同的实用程序知道文件系统是如何配置的:
root /dev/hda4 /etc/root-key cipher=aes
现在我们的加密文件系统已经准备好了,需要理解更多关于目标架构的启动过程,通常,计算机有一个固件程序来掌管系统启动的全过程,保护固件程序超出了本文的范畴,因此我们假设系统固件程序是可以信任的,大多数读者可能对BIOS比较熟悉,它是PC平台的启动固件程序,我主要讨论的是Open Firmware,它用于计算机制造厂商如苹果,sun和IBM启动系统。
上一页12 3 下一页
eCryptfs 是在 Linux 内核 2.6.19 版本中引入的一个功能强大的企业级加密文件系统,堆叠在其它文件系统之上(如 Ext2, Ext3, ReiserFS, JFS 等),为应用程序提供透明、动态、高效和安全的加密功能,
本 质上,eCryptfs 就像是一个内核版本的 Pretty Good Privacy(PGP)[3] 服务,插在 VFS(虚拟文件系统层)和 下层物理文件系统之间,充当一个“过滤器”的角色。用户应用程序对加密文件的写请求,经系统调用层到达 VFS 层,VFS 转给 eCryptfs 文件系统组件(后面会介绍)处理,处理完毕后,再转给下层物理文件系统;读请求(包括打开文件)流程则相反。
eCryptfs 的设计受到OpenPGP 规范的影响,使用了两种方法来加密单个文件:
eCryptfs 先使用一种对称密钥加密算法来加密文件的内容,推荐使用 AES-128 算法,密钥 FEK(File Encryption Key)随机产生。有些加密文件系统为多个加密文件或整个系统使用同一个 FEK(甚至不是随机产生的),这会损害系统安全性,因为:a. 如果 FEK 泄漏,多个或所有的加密文件将被轻松解密;b. 如果部分明文泄漏,攻击者可能推测出其它加密文件的内容;c. 攻击者可能从丰富的密文中推测 FEK,
显然 FEK 不能以明文的形式存放,因此 eCryptfs 使用用户提供的口令(Passphrase)、公开密钥算法(如 RSA 算法)或 TPM(Trusted Platform. Module)的公钥来加密保护刚才提及的 FEK。如果使用用户口令,则口令先被散列函数处理,然后再使用一种对称密钥算法加密 FEK。口令/公钥称为 FEFEK(File Encryption Key Encryption Key),加密后的 FEK 则称为 EFEK(Encrypted File Encryption Key)。由于允许多个授权用户访问同一个加密文件,因此 EFEK 可能有多份。
这种综合的方式既保证了加密解密文件数据的速度,又极大地提高了安全性。虽然文件名没有数据那么重要,但是入侵者可以通过文件名获得有用的信息或者确定攻击目标,因此,最新版的 eCryptfs 支持文件名的加密。
项目主页:www.open-open.com/lib/view/home/1339141332578
如果您的计算机安装了Win 2000操作系统,那么通过按F8键或当计算机不能启动时,计算机就会进入Win 2000启动的高级选项菜单,在这里您可以选择除正常启动外的8种不同的模式启动Win 2000,那么这些模式分别代表什么意思呢,我们一起来认识一下:
1、安全模式
选用安全模式启动Win 2000时,系统只使用一些最基本的文件和驱动程序(鼠标、监视器、键盘、大容量存储器、基本视频、默认系统服务并且无网络连接)启动。安全模式可以帮助您诊断问题,如果以安全模式启动时没有出现什么问题的话,您就可以将默认设置和最小设备驱动程序排除在导致问题的原因之外。如果新添加的设备或已更改的驱动程序产生了问题,您可以使用安全模式删除该设备或还原所做的更改。如果安全模式启动不能帮助您解决问题,则看来可能需要使用紧急修复磁盘 (ERD)的功能修复系统了。
2、网络安全模式
在启动过程中,只使用基本文件和驱动程序以及网络连接来启动Win 2000,其功能基本与安全模式一样。
3、命令提示符的安全模式
使用基本的文件和驱动程序启动Win 2000。登录后,屏幕出现命令提示符,而不是Windows桌面、开始菜单和任务栏。
4、启用启动日志
启动Win 2000,同时将由系统加载(或没有加载)的所有驱动程序和服务记录到文件中,
文件名为ntbtlog.txt,位于windir目录中。安全模式、网络安全模式和命令提示符的安全模式中,都会将一个加载所有驱动程序和服务的列表添加到启动日志。该日志对于确定系统启动问题的准确原因很有用。
5、启用VGA 模式
使用基本VGA驱动程序启动Win 2000。当安装了使Win 2000不能正常启动的新视频卡驱动程序时,这种模式十分有用。当您在安全模式(安全模式、网络安全模式或命令提示符安全模式)下启动Win 2000时,总是使用基本的视频驱动程序。
6、最近一次的正确配置
选择使用最后一次正确的配置启动 Win 2000是解决问题(如新添加的驱动程序与硬件不相符)的一种方法。但不能解决因损坏或丢失驱动程序或文件所导致的问题。用这种方式启动,Win 2000只恢复注册表项HklmSystemCurrentControlSet下的信息。任何在其他注册表项中所做的更改均保持不变。
7、目录服务恢复模式
不适用于Win 2000 Professional。这是针对Win 2000 Server操作系统的,并只用于还原域控制器上的Sysvol 目录和Active Directory目录服务。
8、调试模式
启动Win 2000,同时将调试信息通过串行电缆发送到其他计算机。如果正在或已经使用远程安装服务在您的计算机上安装Win 2000,您可以看到与使用远程安装服务恢复系统相关的附加选项。
与其它创建加密文件系统的方法相比,dm-crypt系统有着无可比拟的优越性:它的速度更快,易用性更强,除此之外,它的适用面也很广,能够运行在各种块设备上,即使这些设备使用了RAID和LVM也毫无障碍。dm-crypt系统之所以具有这些优点,主要得益于该技术是建立在2.6版本内核的device-mapper特性之上的。device-mapper是设计用来为在实际的块设备之上添加虚拟层提供一种通用灵活的方法,以方便开发人员实现镜像、快照、级联和加密等处理。此外,dm-crypt使用了内核密码应用编程接口实现了透明的加密,并且兼容cryptloop系统。
第一步:内核准备
dm -crypt利用内核的密码应用编程接口来完成密码操作。一般说来,内核通常将各种加密程序以模块的形式加载。对于AES来说,其安全强度已经非常之高,即便用来保护绝密级的数据也足够了。为了保证用户的内核已经加载AES密码模块,请根据如下命令进行检查:
#cat /proc/crypto
否则,可以使用modprobe来手工加载AES模块,命令如下所示:
#modprobe aes
接下来,用户安装dmsetup软件包,该软件包含有配置device-mapper所需的工具,如下命令所示:
#yum install dmsetup cryptsetup
为检查dmsetup软件包是否已经建立了设备映象程序,键入下列命令进行:
#ls -l /dev/mapper/control
然后,需要使用如下命令加载dm-crypt内核模块:
#modprobe dm-crypt
dm-crypt加载后,它会用evice-mapper自动注册。如果再次检验的话,device-mapper已能识别dm-crypt,并且把crypt 添加为可用的对象。执行完上述步骤后,用户应该可以根据如下命令看到crypt的下列输出:
#dmsetup targets
这说明系统已经为装载加密设备做好了准备。下面,我们先来建立一个加密设备。
第二步:创建加密设备
要创建作为加密设备装载的文件系统,有两种选择:一是建立一个磁盘映像,然后作为回送设备加载;二是使用物理设备。无论那种情况,除了在建立和捆绑回送设备外,其它操作过程都是相似的。
建立回送磁盘映象
如果用户没有用来加密的物理设备(比如存储棒或另外的磁盘分区),作为替换,你可以利用命令dd来建立一个空磁盘映象,然后将该映象作为回送设备来装载,照样能用。下面我们以实例来加以介绍:
#dd if=/dev/zero f=/virtual.img bs=1M count=100
这里我们新建了一个大小为100 MB的磁盘映象,该映象名字为virtual.img。要想改变其大小,可以改变count的值。
接下来,我们利用losetup命令将该映象和一个回送设备联系起来:
#losetup /dev/loop0 /virtual.img
现在,我们已经得到了一个虚拟的块设备,其位于/dev/loop0,并且我们能够如同使用其它设备那样来使用它,
设置块设备
准备好了物理块设备(例如/dev/hda1),或者是虚拟块设备(像前面那样建立了回送映象,并利用device-mapper将其作为加密的逻辑卷加载),我们就可以进行块设备配置了。
下面我们使用cryptsetup来建立逻辑卷,并将其与块设备捆绑:
#cryptsetup -y create ly_EFS device_name
其中,ly_EFS是新建的逻辑卷的名称。并且最后一个参数device_name必须是将用作加密卷的块设备。所以,如果要使用前面建立的回送映象作为虚拟块设备的话,应当运行以下命令:
#cryptsetup -y create ly_EFS /dev/loop0
无论是使用物理块设备还是虚拟块设备,程序都会要求输入逻辑卷的口令,-y的作用在于要你输入两次口令以确保无误。这一点很重要,因为一旦口令弄错,就会把自己的数据锁住, 为了确认逻辑卷是否已经建立,可以使用下列命令进行检查一下: www.2cto.com
#dmsetup ls
只要该命令列出了逻辑卷,就说明已经成功建立了逻辑卷。不过根据机器的不同,设备号可能有所不同。device-mapper会把它的虚拟设备装载到/dev/mapper下面,所以,你的虚拟块设备应该是/dev/mapper/ly_EFS ,尽管用起来它和其它块设备没什么不同,实际上它却是经过透明加密的。
如同物理设备一样,用户也可以在虚拟设备上创建文件系统:
#mkfs.ext3 /dev/mapper/ly_EFS
现在为新的虚拟块设备建立一个装载点,然后将其装载。命令如下所示:
#mkdir /mnt/ly_EFS
#mount /dev/mapper/ly_EFS /mnt/ly_EFS
用户能够利用下面的命令查看其装载后的情况:
#df -h /mnt/ly_EFS
通过上述的步骤后,用户看到装载的文件系统,尽管看起来与其它文件系统无异,但实际上写到/mnt/ly_EFS/下的所有数据,在数据写入之前都是经过透明的加密处理后才写入磁盘的,因此,从该处读取的数据都是些密文。
卸载加密设备
要卸载加密文件系统,和平常的方法没什么两样:
#umount /mnt/ly_EFS
即便已经卸载了块设备,在dm-crypt中仍然视为一个虚拟设备。如若不信,用户可以再次运行命令dmsetup ls来验证一下,将会看到该设备依然会被列出。因为dm-crypt缓存了口令,所以机器上的其它用户不需要知道口令就能重新装载该设备。为了避免这种情况发生,用户必须在卸载设备后从dm-crypt中显式的删除该设备。命令具体如下所示:
#cryptsetup remove ly_EFS
此后,它将彻底清除,要想再次装载的话,用户必须再次输入口令。
重新装载加密设备
在卸载加密设备后,用户很可能还需作为普通用户来装载它们。为了简化该工作,需要在/etc/fstab文件中添加下列内容:
/dev/mapper/ly_EFS /mnt/ly_EFS ext3 noauto,noatime 0 0
此外,用户也可以通过建立脚本来替我们完成dm-crypt设备的创建和卷的装载工作,方法是用实际设备的名称或文件路径来替 换/dev/DEVICENAME:
WEP加密是最早在无线加密中使用的技术,新的升级程序在设置上和以前有点不同,功能当然比之前丰富一些,下面让我们来看看如何使用WEP,
当在无线“基本设置”里面“安全认证类型”选择“自动选择”、“开放系统”、“共享密钥”这三项的时,使用的就是WEP加密技术,“自动选择”是无线路由器可以和客户端自动协商成“开放系统”或者“共享密钥”。
下面我们就以TP-LINK公司的无线宽带路由器TL-WR641G 和无线网卡TL-WN620G为例讲解无线网络WEP加密应用 ;
一、无线路由器配置
1、启用WEP加密。
打开路由器管理界面,“无线设置”->“基本设置”:
图1
如上图所示:“安全认证类型”选择“自动选择”,因为“自动选择”就是在“开放系统”和“共享密钥”之中自动协商一种,而这两种的认证方法的安全性没有什么区别。
“密钥格式选择”选择“16进制”,还有可选的是“ASCII码”,这里的设置对安全性没有任何影响,因为设置“单独密钥”的时候需要“16进制”,所以这里推荐使用“16进制”。
“密钥选择”必须填入“密钥2”的位置,这里一定要这样设置,因为新的升级程序下,密钥1必须为空,目的是为了配合单独密钥的使用(单独密钥会在下面的MAC地址过滤中介绍),不这样设置的话可能会连接不上。密钥类型选择64/128/152位,选择了对应的位数以后“密钥类型”的长度会变更,本例中我们填入了26位参数11111111111111111111111111 。因为“密钥格式选择”为“16进制”,所以“密钥内容”可以填入字符是0、1、2、3、4、5、6、7、8、9、a、b、c、d、e、f,设置完记得保存。
如果不需要使用“单独密钥”功能,网卡只需要简单配置成加密模式,密钥格式,密钥内容要和路由器一样,密钥设置也要设置为“WEP密钥2”的位置(和路由器对应),这时候就可以连接上路由器了。
2、单独密钥的使用。
这里的MAC地址过滤可以指定某些MAC地址可以访问本无线网络而其他的不可以,“单独密钥”功能可以为单个MAC指定一个单独的密钥,这个密钥就只有带这个MAC地址的网卡可以用,其他网卡不能用,增加了一定的安全性,
打开“无线设置”->“MAC地址过滤”,在“MAC地址过滤”页面“添加新条目”,如下界面是填入参数的界面:
图2
如上图所示:“MAC地址”参数我们填入的是本例中TL-WN620G的MAC地址00-0A-EB-88-65-06 ,
“类型”可以选择“允许”/“禁止”/“64位密钥”/“128位密钥”/“152位密钥” ,本例中选择了64位密钥。“允许”和“禁止”只是简单允许或禁止某一个MAC地址的通过,这和之前的MAC地址功能是一样的,这里不作为重点。
“密钥”填入了10位AAAAAAAAAA ,这里没有“密钥格式选择”,只支持“16进制”的输入。
“状态”选择生效。
最后点击保存即可,保存后会返回上一级界面,结果如下图:
图3
注意到上面的“MAC地址过滤功能”的状态是“已开启”,如果是“已关闭”,右边的按钮会变成“开启过滤”,点击这个按钮来开启这一功能。至此,无线路由器这一端配置完成!顺便说一下怎样获取网卡MAC地址?可以参考我司网站“网络教室” 文档《路由器配置指南》相关内容,通过电脑DOS界面运行ipconfig/all这个命令会弹出如下类似信息,红线勾勒部分“Physical Address”对应的就是处于连接状态的网卡的MAC地址;
图4
二、网卡TL-WN620G的配置打开TL-WN620G客户端应用程序主界面——“用户文件管理”—>“修改”,会弹出用户配置文件管理对话框。首先是“常规”页填入和无线路由器端相同的SSID —— 本例为“TP-LINK” ,如下图所示:
图5
然后点击“高级”页,红线勾勒部分注意选择认证模式,可以保持和无线路由器端相同,由于我们的路由器上选择了“自动选择”模式,所以这里无论选择什么模式都是可以连接的。如果这个选项是灰色,就请先配置“安全”页面的参数,回过头再来这里配置;
图6
接下来我们进入“安全”页,如下图所示:图7
从系统 安全 角度来看,为需要保护的文件或文件夹对象设置用户访问权限和许可,基本上可以有效地保护数据,但经常出现的安全问题是:未被授权的用户可以使用 Windows 2000之外的操作系统或忽略NTFS权限的程序来入侵文件或文件夹对象,此时,入侵者甚至可以获
从系统安全角度来看,为需要保护的文件或文件夹对象设置用户访问权限和许可,基本上可以有效地保护数据,但经常出现的安全问题是:未被授权的用户可以使用Windows2000之外的操作系统或忽略NTFS权限的程序来入侵文件或文件夹对象。此时,入侵者甚至可以获得文件或文件夹对象所在物理驱动器的访问和控制权,在其上安装其他的操作系统,并以管理员的身份访问该驱动器上的任何数据。为了防止上述安全问题,Windows 2000提供了内置的加密文件系统(EncryptingFiles System,简称EFS)。EFS文件系统不仅可以阻止入侵者对文件或文件夹对象的访问,而且还保持了操作的简捷性。
加密与解密操作
加密文件系统通过为指定NTFS文件与文件夹加密数据,从而确保用户在本地计算机中安全存储重要数据。由于EFS与文件集成,因此对计算机中重要数据的安全保护十分有益。
1、加密操作
(1)利用Windows 2000资源管理器选中待设置加密属性的文件或文件夹(如文件夹为“Windows2000”)。
(2)单击鼠标右键,选择“属性”,启动“Windows2000属性”对话框窗口。
(3)单击“常规”选项卡中的[高级]按钮,启动“高级属性”对话框。
(4)选择“压缩或加密属性”框中的“加密内容以便保护数据”复选框(如附图所示),单击[确定]按钮,即可完成文件或文件夹的加密,
2、解密操作
(1)利用Windows 2000资源管理器选中待设置加密属性的文件或文件夹(如文件夹为“Windows2000”)。
(2)单击鼠标右键,选择“属性”,启动“Windows2000属性”对话框窗口。
(3)单击“常规”选项卡中的[高级]按钮,启动“高级属性”对话框。
(4)清除“高级属性”对话框“压缩或加密属性”框中的“加密内容以便保护数据”复选框中的“√”。
注意:
1、不能加密或解密FAT文件系统中的文件与文件夹。
2、加密数据只有存储在本地磁盘中才会被加密,而当其在网络上传输时,则不会加密。
加密文件或文件夹的操作
加密文件与普通文件相同,也可以进行复制、移动以及重命名等操作,但是其操作方式可能会影响加密文件的加密状态。
1、复制加密文件
(1)在Windows2000资源管理器中选中待复制的加密文件(如Windows2000)。
(2)用鼠标右键单击加密文件,选择“复制”。
(3)切换到加密文件复制的目标位置,单击鼠标右键,选择“粘贴”,即可完成。
2、移动加密文件
(1)在Windows2000资源管理器中选中待复制的加密文件(如Windows2000)。
(2)用鼠标右键单击加密文件,选择“剪切”。
(3)切换到加密文件待移动的目标位置,单击鼠标右键,选择“粘贴”,即可完成。
注意:对加密文件进行复制或移动时,加密文件有可能被解密,尤其要注意的是,加密文件复制或移动到FAT文件系统中时,文件自动解密,所以建议对加密文件进行复制或移动后应重新进行加密。
原文转自:www.ltesting.net
★ 教育的根本作文The Root of Education
★ 辞职报告图
