时，系统首先会生成一个伪随机数组成的FEK（filee
crypti
gkey，文件加密秘钥），然后利用EFK和数据扩展标准X算法创建加密后的文件，并把它存储在磁盘上，同时删除未加密的原始文件。随后系统利用用户公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密文件。在首次使用FEK时，如果用户还没有公钥私钥对，则会首先生成秘钥，然后加密数据。如果用户登录到了域环境中，秘钥的生成依赖于域控制器，否则他就依赖于本地机器。
EFS和加密机制和操作系统的紧密结合，用户不必为了加密数据而安装额外的软件，从而节省了用户的使用成本。EFS加密系统对用户是透明的。如果用户加密了一些数据，那么用户对这些数据的访问将是完全允许的，并不会受到任何限制。而其他非授权用户试图访问加密后的数据时，就会收到“拒绝访问”的错误提示。EFS加密的用户验证过程是在登录wi
dows系统进行的，只要登录到wi
dows系统，就可以打开任何一个被授权的加密文件。4审核与日志
Wi
dows系统从安全的角度提供了审核与日志功能，让用户便于检测当前的系统运行状况。审核与日志是wi
dows系统中最基本的入侵检测方法，当有攻击者尝试对系统进行某些方式的攻击时，都会被安全审核功能记录下来并写到日志文件中。一些wi
dows系统下的应用程序也有相似的功能。5安全模板
Wi
dows系统中的安全项目设置繁多，包括账户策略，本地策略，事件日志，受
2
f……………………………………………………………精品资料推荐…………………………………………………
限制的组，系统服务，注册表和文件系统。每个项目都进行设置是相当复杂的，为了提高系统安全性设置的简易性，微软在wi
dows系统中提供了不同安全级别的安全模板，不同安全级别的模板包含了不同安全性要求的配置。用户只要简单地根据需要选择启用相应的安全模板，即可自动按照模板配置各项安全属性。对部分的模板的意义做如下的说明：
Setupsecurityi
f全新安装系统的默认安全设置Basicwsi
f基本的安全级别Compatwsi
f将系统的NTFS和ACL设置成安全层次较低的NT40设置Securewsi
f：提供较高安全性的安全级别Hisecwsi
f：提供高度安全性的安全级别除了以上系统的默认的安全模板，wi
dows操作系统还支持用户自己构建安全模板。6MBSA（Microsoftbaseli
esecuritya
alyzer）要检查当前系统是否符合一定的安全标准，手动逐项检查的过程是非常繁杂的。微软提供了自动检查wi
r