网络安全系列之二十六 EFS加密
2014-11-06 10:15
579 查看
[b]1.1EFS加密原理[/b]EFS是Windows系统中所特有的一个实用功能,对于NTFS分区上的文件和数据,都可以直接使用EFS加密保存,很大程度上提高了数据的安全性。
EFS加密基于公钥策略。在使用EFS加密一个文件或文件夹时,系统首先会生成一个对称密钥来加密文件或文件夹,随后系统再利用用户的公钥加密对称密钥。而在访问被加密的文件时,系统首先利用当前用户的私钥解密获得对称密钥,然后利用对称密钥解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥对,则会首先生成密钥对,然后加密数据。如果系统属于域环境,密钥对的生成依赖于域控制器,否则依赖于本地主机。
[b]1.2实施EFS加密[/b]下面我们以用户zhangsan的身份来对test.txt文件进行加密。
选中NTFS分区中的一个文件,点击右键,选择“属性”,在出现的对话框中点击“常规”选项卡,然后点击“高级”按钮,在出现的对话框中选中“加密内容以便保护数据”选项,点击“确定”即可。
此时可以发现加密文件的颜色变成了绿色,当其他用户登录系统后打开该文件时,就会出现“拒绝访问”的提示,这表示EFS加密成功。而如果想取消该文件的加密,只需将“加密内容以便保护数据”选项去除即可。
[b]1.3 导出EFS证书[/b]当zhangsan成功进行了EFS加密之后,系统会自动为其生成一个密钥对。密钥对在Windows系统中是以证书的形式存在的,打开IE浏览器,选择“Internet选项\内容\证书”,从中可以查看到系统已经颁发给zhangsan的证书。
证书是EFS加密的唯一凭据,如果没有将证书备份,那么当账号zhangsan被删除或是系统重装之后,就无法再打开EFS加密的数据。而且由于EFS加密的安全级别很高,目前也没有解密的方法。
因而在使用EFS加密之后,一定要将相应用户的证书进行备份。
在“证书”界面中点击“导出”,打开导出证书向导,选择将私钥一并导出,并设置密码保护私钥。
为证书设置文件名和保存位置后,证书导出成功。
证书导出之后,其他用户只要能够获得zhangsan的证书,那么就可以打开zhagnsan加密的文件。
比如管理员administrator默认也无法打开zhagnsan加密的文件,但是如果administrator导入了zhangsan的证书,那么就可以打开加密文件了。
[b]1.4 重设密码对EFS加密的影响[/b]公钥和私钥是EFS加密的基础,而私钥则又是利用用户的密码来加密的,因而如果重设了用户密码,那么必然也会对EFS加密产生影响。
例如在“计算机管理”的“本地用户和组”界面中为zhangsan重设密码,此时系统会出现警告,提示如果重设密码可能会导致数据丢失。
点击“继续”,完成密码重设之后,那么zhangsan也无法打开加密的文件了。此时必须将zhangsan的密码再改回原先的,那么才可以打开加密文件。
因而在使用了EFS加密之后,如果需要更改相应用户的密码,建议按“Ctrl+Alt+Delete”打开“Windows安全”界面,然后使用其中的“更改密码”功能来修改密码。
EFS加密基于公钥策略。在使用EFS加密一个文件或文件夹时,系统首先会生成一个对称密钥来加密文件或文件夹,随后系统再利用用户的公钥加密对称密钥。而在访问被加密的文件时,系统首先利用当前用户的私钥解密获得对称密钥,然后利用对称密钥解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥对,则会首先生成密钥对,然后加密数据。如果系统属于域环境,密钥对的生成依赖于域控制器,否则依赖于本地主机。
[b]1.2实施EFS加密[/b]下面我们以用户zhangsan的身份来对test.txt文件进行加密。
选中NTFS分区中的一个文件,点击右键,选择“属性”,在出现的对话框中点击“常规”选项卡,然后点击“高级”按钮,在出现的对话框中选中“加密内容以便保护数据”选项,点击“确定”即可。
此时可以发现加密文件的颜色变成了绿色,当其他用户登录系统后打开该文件时,就会出现“拒绝访问”的提示,这表示EFS加密成功。而如果想取消该文件的加密,只需将“加密内容以便保护数据”选项去除即可。
[b]1.3 导出EFS证书[/b]当zhangsan成功进行了EFS加密之后,系统会自动为其生成一个密钥对。密钥对在Windows系统中是以证书的形式存在的,打开IE浏览器,选择“Internet选项\内容\证书”,从中可以查看到系统已经颁发给zhangsan的证书。
证书是EFS加密的唯一凭据,如果没有将证书备份,那么当账号zhangsan被删除或是系统重装之后,就无法再打开EFS加密的数据。而且由于EFS加密的安全级别很高,目前也没有解密的方法。
因而在使用EFS加密之后,一定要将相应用户的证书进行备份。
在“证书”界面中点击“导出”,打开导出证书向导,选择将私钥一并导出,并设置密码保护私钥。
为证书设置文件名和保存位置后,证书导出成功。
证书导出之后,其他用户只要能够获得zhangsan的证书,那么就可以打开zhagnsan加密的文件。
比如管理员administrator默认也无法打开zhagnsan加密的文件,但是如果administrator导入了zhangsan的证书,那么就可以打开加密文件了。
[b]1.4 重设密码对EFS加密的影响[/b]公钥和私钥是EFS加密的基础,而私钥则又是利用用户的密码来加密的,因而如果重设了用户密码,那么必然也会对EFS加密产生影响。
例如在“计算机管理”的“本地用户和组”界面中为zhangsan重设密码,此时系统会出现警告,提示如果重设密码可能会导致数据丢失。
点击“继续”,完成密码重设之后,那么zhangsan也无法打开加密的文件了。此时必须将zhangsan的密码再改回原先的,那么才可以打开加密文件。
因而在使用了EFS加密之后,如果需要更改相应用户的密码,建议按“Ctrl+Alt+Delete”打开“Windows安全”界面,然后使用其中的“更改密码”功能来修改密码。
相关文章推荐
- 交换网络安全防范系列三之ARP欺骗攻击防范
- 交换网络安全防范系列五之802.1x-基于端口的网络访问控制技术
- 网络安全系列之五 破解MD5密文
- 网络安全系列之十 万能密码登录网站后台 推荐
- 网络安全系列之九 WAF的基本配置
- 交换网络安全防范系列一之MAC/CAM攻击防范
- 网络安全系列之十四 在Linux中设置UMASK值
- 网络安全系列之三 搭建Web渗透平台(ASP)
- 网络安全系列之二 lcx端口转发实现内网突破
- 网络安全系列之十二 Linux用户账号安全设置 推荐
- 安全系列之五:使用IPSec和组策略实现网络隔离(上) 推荐
- 网络安全系列连载(5)利用数字证书进行代码签名
- 交换网络安全防范系列二之DHCP攻击的防范
- 网络安全系列之四 手工SQL注入(ASP)
- Web服务器管理系列:6、网络和共享中心的安全配置
- 交换网络安全防范系列四之IP/MAC欺骗防范
- 网络安全系列连载(3)电子邮件与数字证书
- 推荐下载资料:网络与操作系统设备安全功能和配置系列规范
- 网络安全系列之七 网站提权 推荐
- 网络安全系列之十三 Linux中su与sudo的安全设置