Windows的EF的S加密.ppt

Windows的EFS加密 Windows中的文件加密EFS EFS (Encrypting File System) 操作系统用来加密NTFS格式卷上的文件和数据，提高了数据的安全性。 EFS工作原理-对称与非对称结合 EFS的优点 EFS是操作系统自带； 对用户是透明的；如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制；而其他非授权用户试图访问加密过的数据时-“访问拒绝” EFS加密的用户验证过程是在登录Windows时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。 NTFS在System Volume Information 目录创建日志文件efs0.log。 EFS调用CryptoAPI设备环境. Microsoft Base Cryptographic Provider 1.0 ，EFS产生密钥(File Encryption Key FEK). 使用公/私密钥对; 当EFS第一次被调用时,EFS产生一对新的密钥.EFS使用1024位的RSA算法去加密FEK. EFS为当前用户创建一个数据解密块Data Decryptong Field(DDF), 存放公钥加密的FEK. 创建Efs0.tmp，要加密的内容被拷贝到这个临时文件,用FEK加密的密文将原始文件覆盖。(EFS使用DESX算法或者3DES算法，打开FIPS compliant algorithms )? 临时文件被删除 EFS工作过程 $ EFS 属性  当NTFS加密文件的时候,它首先会为文件设置加密标志,然后在存储DDF的地方为文件创建一个$EFS属性. 帐户SID 私钥GUID信息 Microsoft Base Cryptographic Provider v.1.0 公钥的指纹信息 加密的FEK 系统在扫描加密文件$EFS属性中的DDF字段时， 根据用户配置文件里的公钥中所包含的公钥指纹和私钥GUID信息， 当然还有帐户的SID，来判断该帐户是否具有对应的DDF字段， 从而判断该用户是否属于合法的EFS文件拥有者。 SID(security identifier ) 是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时，将给网络上的每一个帐户发布一个唯一的 SID。而非用户名？？ 在通常的情况下SID是唯一的，他由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。  公钥、私钥对产生 公钥、私钥对并不是在创建用户的时候生成； 而是第一次用EFS加密文件的时候，操作系统就会根据加密者的SID生成该用户的公钥、私钥对。 Windows会用64字节的主密钥(Master Key)对私钥进行加密，保存在以下文件夹： %UserProfile%\Application Data\Microsoft\Crypto\RSA\SID 为了保护主密钥，系统会对主密钥进行加密(使用的密钥由帐户密码派生而来)， 加密后的主密钥保存在以下文件夹： %UserProfile%\Application Data\Microsoft\Protect\SID %UserProfile%\Application Data\Microsoft\SystemCertificates\My\Certificates 加强EFS的安全-备份密钥certmgr.msc 删除私钥以后，攻击者就没有办法访问EFS加密文件了， 而我们需要访问时，只需导入先前备份的证书和私钥即可。 EFS应用问题 如果把未加密的文件复制到具有加密属性的文件夹中，这些文件将会被自动加密。 若是将加密数据移出来，如果移动到NTFS分区上，数据依旧保持加密属性；如果移动到FAT分区上，这些数据将会被自动解密。 被EFS加密过的数据不能在Windows中直接共享。如果通过网络传输经EFS加密过的数据，这些数据在网络上将会以明文的形式传输。 NTFS分区上保存的数据还可以被压缩，不过一个文件不能同时被压缩和加密。 Windows的系统文件和系统文件夹无法被加密。 EFS结合NTFS的权限 备份密钥的重要性 加密数据后重装操作系统，现在加密数据不能打开了。如果使用跟以前一个系统相同的用户名和密码可以打开？ 安装操作系统后Ghost做了备份，然后才使用EFS加密，几个月后，用Ghost恢复了一下系统，用户账户和相应的SID都没有变，以前的加密文件可以打开吗？ 用户被删除或者系统重装后，还能可能够恢复EFS加密的数据吗？ Windows的EFS加密