WINDOWS加密文件系统的简介和使用.docVIP

WINDOWS加密文件系统的简介和使用 注释: ?? ?你今天加密了吗？公司的商业秘密文件安全吗？想杜绝艳照门事件吗？估计99%的人在自己机器上的文件(不管这些文件是多么的机密)都是没有加密的。是WINDOWS系统没有加密功能吗？NO！是大家不知道或者不会使用而已！在WINDOWS 2000以上、NTFS V5版本格式分区上的WINDOWS操作系统提供了一个叫做Encrypting File System(简称EFS)加密文件系统的新功能。该功能是一种安全的本地信息加密服务，使用核心的文件加密技术在NTFS卷上存储加密的文件，可以防止那些未经允许的对敏感数据进行物理访问的入侵者(偷取笔记本电脑，硬盘等) ?? ?一、EFS是如何工作的？?? ?当一个用户使用EFS去加密文件时，必须存在一个公钥和一个私钥，如果用户没有，EFS服务自动产生一对。EFS加密系统对用户是透明的，对于用户来说，即使他完全不懂加密，也能加密文件，可以对单个文件进行加密，也可以对一个文件夹进行加密，所有写入该文件夹的文件都将自动被加密。?? ?一旦用户发布命令加密文件或试图添加一个文件到一个已加密的文件夹中，EFS将进行以下几步：?? ?1、NTFS首先在这个文件所在卷(分区)的卷(分区)信息目录下(目录名为：System Volume Information，隐藏在根目录下面)创建一个叫做efs0.log的日志文件，当拷贝过程中发生错误时利用此文件进行恢复；?? ?2、然后EFS服务调用系统API产生一个FEK密匙(File Encryption Key，文件加密密匙)，长度一般为128位，对文件进行DES X加密算法加密；(默认的加密算法为128位的DES X算法，可选更为强大的168位3DES算法)?? ?3、虽然FEK是在每次写文件时随机产生，但如果明文保存该密匙也会导致有泄密的漏洞，因此FEK密匙同样要进行不可逆的、非对称的加密后才能保存下来。所以此时EFS服务会根据用户的SID产生对应的、唯一性的公有/私有密匙对；?? ?4、然后EFS服务创建一个数据解密块Data Decryptong Field(DDF)，并利用公有/私有密匙对中的公有密匙对FEK进行1024位的RSA算法加密，保存在DDF中；?? ?5、如果系统设置了恢复代理，EFS服务还会同时创建一个数据恢复块Data Recovery Field(DRF)，然后把使用恢复代理密匙(通常为另一个用户的公有密匙)加密过的FEK放在DRF。每定义一个恢复代理，EFS将会创建一个Data Recovery Agent(DRA)。恢复代理其实就是为了防止用户的密匙丢失、损坏等导致不能解密文件时可以有其他的密匙来进行解密；恢复代理可以有多个，每设置一个就会存在一个DRF；?? ?6、最后把包含加密数据、DDF及所有DRF的加密文件写入磁盘，并删除加密过程中产生的所有临时文件；?? ?解密的过程和加密的过程是相反的：首先，系统检测用户是否具有被EFS服务使用的私有密匙。如果有的话，系统将会在读取用户EFS属性的同时在DDF和DRF中寻找属于当前用户的DDF或DRF数据块。如果找到的话，用户私有密匙将会解密出FEK；使用解密出来的FEK，EFS服务对加密的文件数据进行解密。 ?? ?二、EFS的应用?? ?EFS可以被认为是NTFS卷(分区)文件权限外的第二层防护，为了访问一个被EFS加密的文件，用户必须具有访问文件的NTFS权限，而且同时还必须具有解密文件所需的密匙，缺少其中任何一样都会导致无法正常访问。对于NTFS权限，其实质只是操作系统通过一系列的文件属性来控制访问的权限，因为文件内容还是原样地保存在磁盘上，因此可以通过很多办法来跳过这类限制进行未授权访问，如把硬盘移到其他机器上直接读取、使用调试工具跳过权限控制判断部分、使用口令破解程序等等。然而EFS加密则是采用不可逆的、非对称的密匙对文件进行加密后保存，所以从根本上限制了非法访问。EFS是本质上对文件内容进行加密后保存，所以十分适合应对突发性事件而产生的安全和泄密情况，其他如硬盘格式化、物理性损坏等保护措施都需要一段时间去实施，而且不能保证被部分恢复的风险。 ?? ?三、EFS的设置和使用?? ?1、选择需要加密的文件夹或文件，点击鼠标右键，选属性；?? ? ?? ?2、点击高级，进入高级属性；?? ? ?? ?3、选择加密内容以便保护数据，点确认即可。?? ? ?? ?4、加密后的文件夹或文件，在资源管理器里会显示为浅绿色；?? ? ?? ?此外，在加密文件的过程中，系统将把原来的文件存储到缓冲区，然后在加密后将原文件删除。这些被删除掉的文件在系统上并不是不可能恢复的，通过磁盘文件恢复工具很