深入剖析EFS
出处:专门网论坛 作者:yansy 时间:2004-9-2 11:27:00
最近论坛老是有网友问EFS的问题,主要是数据恢复的问题,因此总结了一下EFS的相关问题及注意事项,给大家参考。
本文涉及大量图例,如有网友按照图例学习,实验,请使用“新建文件夹”和“新建文件”来实验,因为涉及数据加解密,有造成数据丢失的可能,小心。
一、名词解释
安全标识符(SID,“安全ID”):
是来识别用户、组和计算机帐户的标志符。在第一次创建一个帐户时,windows系统将给每一个帐户发布一个唯一的 SID。Windows 中的内部进程通过帐户的 SID 而不是帐户的名字来区别账户。相当于人的身份证号码,一些严肃的场合,我们通过身份证号码来区分不同的人而不是通过姓名来区分。要注意的是,如果一个账户被错误删除了,即使重建一个相同名字的账户,其SID也和被删除账户的SID不同,对计算机来说,这仍然是两个不同的账户。
加密:
通过某个函数或方法对正常数据进行运算,使其看起来没有意义的过程。其反过程称为解密。
NTFS 文件系统:
一种高级文件系统,提供了性能、安全、可靠性以及未在任何 FAT 版本中出现的高级功能。例如,NTFS 通过使用标准的事务处理记录和还原技术来保证卷的一致性。如果系统出现故障,NTFS 将使用其日志文件和检查点信息来恢复文件系统的一致性。NTFS 还可以提供诸如文件和文件夹权限、加密、磁盘配额和压缩之类的高级功能。
EFS(encrypting file system,文件加密系统):
加密文件系统 (EFS) 提供一种核心文件加密技术,该技术用于在 NTFS 文件系统卷上存储已加密的文件。加密了文件或文件夹之后,您还可以像使用其他文件和文件夹一样使用它们。
加密对加密该文件的用户是透明的。这表明不必在使用前手动解密已加密的文件,您就可以正常打开和更改文件。
使用 EFS 类似于使用文件和文件夹上的权限。两种方法都可用于限制数据的访问。然而,未经许可对加密文件和文件夹进行物理访问的入侵者将无法阅读这些文件和文件夹中的内容。如果入侵者试图打开或复制已加密文件或文件夹,入侵者将收到拒绝访问消息。文件和文件夹上的权限不能防止未授权的物理攻击。
正如设置其他任何属性(如只读、压缩或隐藏)一样,通过为文件夹和文件设置加密属性,可以对文件夹或文件进行加密和解密。如果加密一个文件夹,则在加密文件夹中创建的所有文件和子文件夹都自动加密。推荐在文件夹级别上加密。
公钥(public key):
EFS中公钥是一个运算函数,其作用就是用来加密数据,就相当于一把锁。这把锁可以放置在internet上,让别人使用这把锁来加密数据然后传给锁的主人。任何人都可以看到并使用这把锁来加密数据,但是如果没有锁的钥匙就打不开锁,因此看不到锁住以后的数据内容,所以公钥暴露在公共场所并没有安全性的问题。
私钥(private key):
对应公钥一对一对存在,其实就是用来开锁的钥匙。私钥不能随便泄露,如果私钥被盗或者被复制,那么别人使用你的公钥加密的数据如果传输时被拦截,就很容易被解密了。同理,如果我们自己的私钥损坏或者丢失了,那么我们同样不能打开这把锁,也即是不能对接收到的别人已经用我的公钥加密了的数据进行解密了,这种情况下,我们必须重新购买锁和对应的钥匙,也就是需要重新申请一对公钥和私钥。
恢复代理(recovery agent):
另外一个有私钥的用户。为了放置私钥损坏或丢失,我们把私钥存放在另外一个人那里,这人就是恢复代理。当然,存放我私钥的人必须是我信任的人。同样EFS中也是采用类似的解决方法,也就是我们常常说到的恢复代理和恢复代理的证书。
二、使用加密文件和文件夹时的注意事项:
只有 NTFS 卷上的文件或文件夹才能被加密。由于 WebDAV 使用 NTFS,当通过 WebDAV(Web 分布式创作和版本控制)加密文件时需用 NTFS。
不能加密压缩的文件或文件夹。如果用户加密某个压缩文件或文件夹,则该文件或文件夹将会被解压。换句话说,数据的压缩和加密只能选其一。
如果将加密的文件复制或移动到非 NTFS 格式的卷上,该文件将会被解密。(压缩也一样)
如果将非加密文件移动到加密文件夹中,则这些文件将在新文件夹中自动加密。然而,反向操作则不能自动解密文件。文件必须明确解密,除非移动到非NTFS的卷上。
无法加密标记为“系统”属性的文件,并且位于 %systemroot% 目录结构中的文件也无法加密。
加密文件夹或文件不能防止删除或列出文件或目录。具有合适权限的人员可以删除或列出已加密文件夹或文件。因此,建议结合 NTFS 权限使用 EFS。
在允许进行远程加密的远程计算机上可以加密或解密文件及文件夹。然而,如果通过网络打开已加密文件,通过此过程在网络上传输的数据并未加密。必须使用诸如 SSL/TLS(安全套接字层/传输层安全性)或 Internet 协议安全性 (IPSec) 等其他协议通过有线加密数据。但 WebDAV 可在本地加密文件并采用加密格式发送。
三、开始动手了
在NTFS分区上新建文件夹,在新建文件夹中新建一个文本文件,随便输入一些字符: 本贴包含图片附件:
启用EFS加密,如图 本贴包含图片附件:
按确定键,选择加密文件夹和子文件夹,如图 本贴包含图片附件:
现在文件夹变成了绿色,说明已经被EFS加密了。 本贴包含图片附件:
新建一个用户user1,logout,以user1登录系统。 本贴包含图片附件:
继续打开新建的文本文件,现在打不开了
本贴包含图片附件:
lougout user1,换回刚才的用户登录,试试打开新建的文本文件,没有问题,用户根本感觉不到该文件被加密了,这就是EFS的好处 本贴包含图片附件:
很显然,刚才的操作说明系统用私钥加密了该文本文件,换用户登录后,因为不同的用户私钥不一样,所以不能打开该文件了。
那么,用户EFS使用的私钥放置在硬盘的什么位置呢?而且这个私钥肯定是和用户的SID相对应的。是不是在注册表中?答案是否定的,因为刚才我们根本没有动过注册表。想起一些网友经常遇到的情况是有EFS加密的文件忘记了解密就重装了系统,有些网友还有重装系统前的注册表备份,但是即使导入前系统的注册表也是无法解密的,所以私钥肯定不在注册表中。
参考了微软官方的一些文档,包括EFS的白皮书(white paper),只有这个说明:“EFS文件使用前不需要解密。当向磁盘存储和从磁盘读取字节时,加密和解密透明地完成。EFS 自动检测加密文件,并从系统密钥存储区定位用户密钥。”,而密钥存放区在硬盘的什么位置,更本没有说明。
经过多次的实验,分析,相同的组里面不同的用户设置的EFS,相互之间也是不能解密的,而这些用户对系统的操作,只有一个地方不同,那就是用户配置文件,存放在Documents and Settings中各不同的用户名字下。将重点锁定这个目录,经过反复实验,比较,得出结论:密钥存放在C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA下,如图: 本贴包含图片附件:
而S-1-5-21-360507124-1982380022-347760104-500就是我加密EFS文件使用的账户对应的SID,我是用内置的管理员账户直接加密的,可以看到这个SID最后是500,这个标记方法类似于linux对账户的标记 本贴包含图片附件:
经过实验,发现一个很容易忽略的地方:这个文件夹不是安装系统的时候就生成的,也不是创建该账户时生成的,而是该账户第一次使用EFS的时候生成的,换句话说,如果没有使用EFS加密,该文件夹是没有的!这就会导致另外一个经常出现的问题: 网友经常安装调试好系统以后用ghost做个备份,以备以后恢复系统用。如果在ghost做完以后用EFS加密了文件,系统乱了的时候再从ghost文件恢复,记得一定要先导出证书,不然即使ghost回去的是一模一样的系统,该备份的系统中没有私钥,EFS仍然是打不开的!!!切记。所以ghost即使在同一台机器上使用,也并不是万能的,不同的机器使用差别就更大了。
笔者测试了和ghost功能类似的xp自带的系统还原,庆幸的是系统还原能避免这种现象。如果创建还原点以后用EFS加密了文件,回到还原点时,文件仍然是没有加密的,但是在撤销系统还原以后,该文件仍然是没有加密的!所以对于机密数据,在系统还原以后要慎用撤销系统还原功能!
接下来我们来寻找注册表中什么位置标记了用户账户的私钥放置位置呢?用刚才的SID在注册表中搜索,终于找到了,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-360507124-1982380022-347760104-500中标记了,如图:(图很大,放大到100%才看的清) 本贴包含图片附件:
四、恢复代理的设置和证书的备份
对于没有加入到域的机器,2000pro和2000server中默认的恢复代理就是内置的管理员账户,这样当管理员误删除了用户账号的时候,即使该用户有EFS加密的文件,管理员也可以打开(参见上面恢复代理的解释)。这样一来,管理员养成了非常不好的操作习惯,就是有员工辞职时,先删除该员工的账号,再来处理其留下的数据(因为即使有EFS加密的文件管理员也能打开的)。而在xp和2003中,内置的管理员账户不再是默认的恢复代理!不知道有多少管理员犯了经验主义错误,按照2000的方法来处理用户账户,导致很多EFS文件打不开了,强烈FT微软这种重大改动不在重要地方说明!
在xp和2003中以默认的管理员备份证书,运行secpol.msc时,提示先添加恢复代理,如图: 本贴包含图片附件:
接下来先添加恢复代理,这个比较简单了:
以管理员登录计算机,运行:cipher /r:c:\dra 本贴包含图片附件:
输入密码并在出现提示后重复输入一次,以保护生成的密钥。
这样就在C:分区下面生成了dra.cer和dra.pfx文件(.CER只是包含证书,而.PFX包含证书和密钥)。 本贴包含图片附件:
以想要的恢复代理登录,(建议用内置的管理员账户),右击pfx文件,选安装 本贴包含图片附件:
按照向导安装证书: 本贴包含图片附件:
输入cipher创建证书时的密码和相应的选项,安装到系统默认的地方 本贴包含图片附件:
运行gpedit.msc,选添加数据恢复代理,如图 本贴包含图片附件:
按照向导进行,中间要选择一下证书dra.cer的存储目录,添加成功以后如图: 本贴包含图片附件:
在设置了有效的恢复代理后,用恢复代理登录系统就可以直接解密用户用EFS加密的文件。
如果在设置恢复代理之前就加密过数据,那么这些数据恢复代理仍然是无法打开的。
最后一步,证书的备份
以内置的管理员(管理员组的其他成员不行)运行secpol.msc,如图,导出 本贴包含图片附件:
按照向导导出证书,copy到安全的地方,比如U盘上,锁好。
ok,现在你可以高枕无忧地使用EFS加密了。
另外要注意的是EFS最好和NTFS的权限一起使用,否则别人虽然看不到你加密的文件,但是可以删除,因此给EFS加密的对象设置一定的NTFS安全设置是必要的,关于NTFS的权限设置,在属性-安全里面设置,因为不属于本文的讨论对象,也比较简单,这里不多讨论了。
此文拖了几天才完成,主要是比较忙,希望对大家使用EFS有所帮助,也希望大家挑出文中的错误,共同提高.,
本文涉及大量图例,如有网友按照图例学习,实验,请使用“新建文件夹”和“新建文件”来实验,因为涉及数据加解密,有造成数据丢失的可能,小心。
一、名词解释
安全标识符(SID,“安全ID”):
是来识别用户、组和计算机帐户的标志符。在第一次创建一个帐户时,windows系统将给每一个帐户发布一个唯一的 SID。Windows 中的内部进程通过帐户的 SID 而不是帐户的名字来区别账户。相当于人的身份证号码,一些严肃的场合,我们通过身份证号码来区分不同的人而不是通过姓名来区分。要注意的是,如果一个账户被错误删除了,即使重建一个相同名字的账户,其SID也和被删除账户的SID不同,对计算机来说,这仍然是两个不同的账户。
加密:
通过某个函数或方法对正常数据进行运算,使其看起来没有意义的过程。其反过程称为解密。
NTFS 文件系统:
一种高级文件系统,提供了性能、安全、可靠性以及未在任何 FAT 版本中出现的高级功能。例如,NTFS 通过使用标准的事务处理记录和还原技术来保证卷的一致性。如果系统出现故障,NTFS 将使用其日志文件和检查点信息来恢复文件系统的一致性。NTFS 还可以提供诸如文件和文件夹权限、加密、磁盘配额和压缩之类的高级功能。
EFS(encrypting file system,文件加密系统):
加密文件系统 (EFS) 提供一种核心文件加密技术,该技术用于在 NTFS 文件系统卷上存储已加密的文件。加密了文件或文件夹之后,您还可以像使用其他文件和文件夹一样使用它们。
加密对加密该文件的用户是透明的。这表明不必在使用前手动解密已加密的文件,您就可以正常打开和更改文件。
使用 EFS 类似于使用文件和文件夹上的权限。两种方法都可用于限制数据的访问。然而,未经许可对加密文件和文件夹进行物理访问的入侵者将无法阅读这些文件和文件夹中的内容。如果入侵者试图打开或复制已加密文件或文件夹,入侵者将收到拒绝访问消息。文件和文件夹上的权限不能防止未授权的物理攻击。
正如设置其他任何属性(如只读、压缩或隐藏)一样,通过为文件夹和文件设置加密属性,可以对文件夹或文件进行加密和解密。如果加密一个文件夹,则在加密文件夹中创建的所有文件和子文件夹都自动加密。推荐在文件夹级别上加密。
公钥(public key):
EFS中公钥是一个运算函数,其作用就是用来加密数据,就相当于一把锁。这把锁可以放置在internet上,让别人使用这把锁来加密数据然后传给锁的主人。任何人都可以看到并使用这把锁来加密数据,但是如果没有锁的钥匙就打不开锁,因此看不到锁住以后的数据内容,所以公钥暴露在公共场所并没有安全性的问题。
私钥(private key):
对应公钥一对一对存在,其实就是用来开锁的钥匙。私钥不能随便泄露,如果私钥被盗或者被复制,那么别人使用你的公钥加密的数据如果传输时被拦截,就很容易被解密了。同理,如果我们自己的私钥损坏或者丢失了,那么我们同样不能打开这把锁,也即是不能对接收到的别人已经用我的公钥加密了的数据进行解密了,这种情况下,我们必须重新购买锁和对应的钥匙,也就是需要重新申请一对公钥和私钥。
恢复代理(recovery agent):
另外一个有私钥的用户。为了放置私钥损坏或丢失,我们把私钥存放在另外一个人那里,这人就是恢复代理。当然,存放我私钥的人必须是我信任的人。同样EFS中也是采用类似的解决方法,也就是我们常常说到的恢复代理和恢复代理的证书。
二、使用加密文件和文件夹时的注意事项:
只有 NTFS 卷上的文件或文件夹才能被加密。由于 WebDAV 使用 NTFS,当通过 WebDAV(Web 分布式创作和版本控制)加密文件时需用 NTFS。
不能加密压缩的文件或文件夹。如果用户加密某个压缩文件或文件夹,则该文件或文件夹将会被解压。换句话说,数据的压缩和加密只能选其一。
如果将加密的文件复制或移动到非 NTFS 格式的卷上,该文件将会被解密。(压缩也一样)
如果将非加密文件移动到加密文件夹中,则这些文件将在新文件夹中自动加密。然而,反向操作则不能自动解密文件。文件必须明确解密,除非移动到非NTFS的卷上。
无法加密标记为“系统”属性的文件,并且位于 %systemroot% 目录结构中的文件也无法加密。
加密文件夹或文件不能防止删除或列出文件或目录。具有合适权限的人员可以删除或列出已加密文件夹或文件。因此,建议结合 NTFS 权限使用 EFS。
在允许进行远程加密的远程计算机上可以加密或解密文件及文件夹。然而,如果通过网络打开已加密文件,通过此过程在网络上传输的数据并未加密。必须使用诸如 SSL/TLS(安全套接字层/传输层安全性)或 Internet 协议安全性 (IPSec) 等其他协议通过有线加密数据。但 WebDAV 可在本地加密文件并采用加密格式发送。
三、开始动手了
在NTFS分区上新建文件夹,在新建文件夹中新建一个文本文件,随便输入一些字符: 本贴包含图片附件:
启用EFS加密,如图 本贴包含图片附件:
按确定键,选择加密文件夹和子文件夹,如图 本贴包含图片附件:
现在文件夹变成了绿色,说明已经被EFS加密了。 本贴包含图片附件:
新建一个用户user1,logout,以user1登录系统。 本贴包含图片附件:
user1登陆以后打开 新建文件夹,什么?可以打开???? 本贴包含图片附件:  |
本贴包含图片附件: 
lougout user1,换回刚才的用户登录,试试打开新建的文本文件,没有问题,用户根本感觉不到该文件被加密了,这就是EFS的好处 本贴包含图片附件:
很显然,刚才的操作说明系统用私钥加密了该文本文件,换用户登录后,因为不同的用户私钥不一样,所以不能打开该文件了。
那么,用户EFS使用的私钥放置在硬盘的什么位置呢?而且这个私钥肯定是和用户的SID相对应的。是不是在注册表中?答案是否定的,因为刚才我们根本没有动过注册表。想起一些网友经常遇到的情况是有EFS加密的文件忘记了解密就重装了系统,有些网友还有重装系统前的注册表备份,但是即使导入前系统的注册表也是无法解密的,所以私钥肯定不在注册表中。
参考了微软官方的一些文档,包括EFS的白皮书(white paper),只有这个说明:“EFS文件使用前不需要解密。当向磁盘存储和从磁盘读取字节时,加密和解密透明地完成。EFS 自动检测加密文件,并从系统密钥存储区定位用户密钥。”,而密钥存放区在硬盘的什么位置,更本没有说明。
经过多次的实验,分析,相同的组里面不同的用户设置的EFS,相互之间也是不能解密的,而这些用户对系统的操作,只有一个地方不同,那就是用户配置文件,存放在Documents and Settings中各不同的用户名字下。将重点锁定这个目录,经过反复实验,比较,得出结论:密钥存放在C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA下,如图: 本贴包含图片附件:
而S-1-5-21-360507124-1982380022-347760104-500就是我加密EFS文件使用的账户对应的SID,我是用内置的管理员账户直接加密的,可以看到这个SID最后是500,这个标记方法类似于linux对账户的标记
本贴包含图片附件: 
经过实验,发现一个很容易忽略的地方:这个文件夹不是安装系统的时候就生成的,也不是创建该账户时生成的,而是该账户第一次使用EFS的时候生成的,换句话说,如果没有使用EFS加密,该文件夹是没有的!这就会导致另外一个经常出现的问题: 网友经常安装调试好系统以后用ghost做个备份,以备以后恢复系统用。如果在ghost做完以后用EFS加密了文件,系统乱了的时候再从ghost文件恢复,记得一定要先导出证书,不然即使ghost回去的是一模一样的系统,该备份的系统中没有私钥,EFS仍然是打不开的!!!切记。所以ghost即使在同一台机器上使用,也并不是万能的,不同的机器使用差别就更大了。
笔者测试了和ghost功能类似的xp自带的系统还原,庆幸的是系统还原能避免这种现象。如果创建还原点以后用EFS加密了文件,回到还原点时,文件仍然是没有加密的,但是在撤销系统还原以后,该文件仍然是没有加密的!所以对于机密数据,在系统还原以后要慎用撤销系统还原功能!
接下来我们来寻找注册表中什么位置标记了用户账户的私钥放置位置呢?用刚才的SID在注册表中搜索,终于找到了,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-360507124-1982380022-347760104-500中标记了,如图:(图很大,放大到100%才看的清) 本贴包含图片附件:
四、恢复代理的设置和证书的备份
对于没有加入到域的机器,2000pro和2000server中默认的恢复代理就是内置的管理员账户,这样当管理员误删除了用户账号的时候,即使该用户有EFS加密的文件,管理员也可以打开(参见上面恢复代理的解释)。这样一来,管理员养成了非常不好的操作习惯,就是有员工辞职时,先删除该员工的账号,再来处理其留下的数据(因为即使有EFS加密的文件管理员也能打开的)。而在xp和2003中,内置的管理员账户不再是默认的恢复代理!不知道有多少管理员犯了经验主义错误,按照2000的方法来处理用户账户,导致很多EFS文件打不开了,强烈FT微软这种重大改动不在重要地方说明!
在xp和2003中以默认的管理员备份证书,运行secpol.msc时,提示先添加恢复代理,如图: 本贴包含图片附件:
接下来先添加恢复代理,这个比较简单了:
以管理员登录计算机,运行:cipher /r:c:\dra 本贴包含图片附件:
输入密码并在出现提示后重复输入一次,以保护生成的密钥。
这样就在C:分区下面生成了dra.cer和dra.pfx文件(.CER只是包含证书,而.PFX包含证书和密钥)。 本贴包含图片附件:
以想要的恢复代理登录,(建议用内置的管理员账户),右击pfx文件,选安装 本贴包含图片附件:
按照向导安装证书: 本贴包含图片附件:
输入cipher创建证书时的密码和相应的选项,安装到系统默认的地方 本贴包含图片附件:
运行gpedit.msc,选添加数据恢复代理,如图 本贴包含图片附件:
按照向导进行,中间要选择一下证书dra.cer的存储目录,添加成功以后如图: 本贴包含图片附件:
在设置了有效的恢复代理后,用恢复代理登录系统就可以直接解密用户用EFS加密的文件。
如果在设置恢复代理之前就加密过数据,那么这些数据恢复代理仍然是无法打开的。
最后一步,证书的备份
以内置的管理员(管理员组的其他成员不行)运行secpol.msc,如图,导出 本贴包含图片附件:
按照向导导出证书,copy到安全的地方,比如U盘上,锁好。
ok,现在你可以高枕无忧地使用EFS加密了。
另外要注意的是EFS最好和NTFS的权限一起使用,否则别人虽然看不到你加密的文件,但是可以删除,因此给EFS加密的对象设置一定的NTFS安全设置是必要的,关于NTFS的权限设置,在属性-安全里面设置,因为不属于本文的讨论对象,也比较简单,这里不多讨论了。
此文拖了几天才完成,主要是比较忙,希望对大家使用EFS有所帮助,也希望大家挑出文中的错误,共同提高.,
| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |