EFS加密
efs加密和证书导出的基本流程
efs加密和证书导出的基本流程EFS加密和证书导出的基本流程:
EFS(Encrypting File System)加密是Windows操作系统中一种用于保护文件和文件夹的加密技术。
它能够加密存储在NTFS文件系统中的文件和文件夹,以提供额外的安全性保护。
以下是EFS加密和证书导出的基本流程:
1. 启用EFS加密:首先,确保计算机上的操作系统是Windows Professional、Enterprise或Ultimate版本。
通过右键单击要加密的文件或文件夹,在属性菜单中选择"高级"选项。
勾选"加密内容以保护数据"选项,然后点击"确定"进行加密。
2. 创建文件加密证书:EFS使用公钥加密和私钥解密的方式进行加密和解密。
系统会自动生成文件加密证书用于保护加密文件的私钥。
这个证书会存储在用户的个人证书存储区域中。
3. 导出文件加密证书:如果您需要在其他计算机上使用同样的文件解密,您可以导出文件加密证书。
打开"证书"管理器,找到位于"当前用户"下的"个人"证书存储区域。
右键单击文件加密证书,选择"导出"。
按照向导的指引,选择导出文件的位置和格式。
请注意,导出的文件加密证书应妥善保管,确保不会意外丢失或泄露,以免他人能够解密您的加密文件。
综上所述,EFS加密和证书导出的基本流程包括启用EFS加密、创建文件加密证书以及导出文件加密证书。
通过遵循这些步骤,您可以有效地保护文件和文件夹的安全性。
文件服务器加密-EFS
⽂件服务器加密-EFS⽂件服务器之EFS⽂件加密⽬标通过EFS⽂件加密系统,各⽤户对上传之⽂件服务器中的数据加密。
从⽽拒绝所有未授权⽤户试图打开、复制、移动或重新命名已加密⽂件或⽂件夹。
⽂件加密系统简介⽂件加密系统(EFS) 可以使⽤户对⽂件进⾏加密和解密。
使⽤EFS 可以保证⽂件的安全,以防那些未经许可的⼊侵者访问存储的敏感数据(例如,通过盗窃笔记本电脑或外挂式硬盘驱动器来偷取数据)。
⽤户可以像使⽤普通⽂件和⽂件夹那样使⽤已加密的⽂件和⽂件夹。
加密过程是透明的。
EFS ⽤户如果是加密者本⼈,系统会在⽤户访问这些⽂件和⽂件夹时将其⾃动解密,但是不允许⼊侵者访问任何已加密的⽂件或⽂件夹。
EFS实际应⽤介绍1.只有NTFS 卷上的⽂件和⽂件夹才能被加密。
2.不能加密压缩⽂件或⽂件夹。
3.只有对⽂件实施加密的⽤户才能打开它。
4.不能共享加密⽂件。
EFS 不能⽤于发布私⼈数据。
5.如果将加密的⽂件复制或移动到⾮NTFS 格式的卷上,该⽂件将会被解密。
6.将⽂件移动到已加密的⽂件夹,它们在新⽂件夹中⾃动加密。
7.⽆法加密系统⽂件。
8.加密的⽂件夹或⽂件不能防⽌被删除。
任何拥有删除权限的⼈均可以删除加密的⽂件夹或⽂件。
9.对于编辑⽂档时某些程序创建的临时⽂件,只要这些⽂件在NTFS 卷上⽽且放在已加密⽂件夹中,则它们也会被加密。
为此建议加密硬盘上的Temp ⽂件夹。
加密Temp ⽂件夹可以确保在编辑过程中的⽂档也处于保密状态。
如果在Outlook 中创建⼀个新⽂档或打开附件,该⽂件将在Temp ⽂件夹中创建为加密⽂档。
如果选择将加密的⽂档保存到NTFS 卷的其他位置,则它在新位置仍被加密。
10. 加密后的⽂件只有加密者可以访问。
如需要将加密后的⽂件共享,那么还需要额外的设置。
在添加的⽤户时并不是添加⽤户的名称,⽽是添加⽤户的公钥11. EFS加密系统的密钥是根据每个⽤户的SID⽣成的,⽂件的加密和解密都需要密钥的参与(公钥和私钥)。
EFS加密
EFS(Encrypting File System,加密文件系统)是Windows 2000及以上Windows版本中,磁盘格式为NTFS的文件加密。
(1)什么是EFS加密EFS加密是基于公钥策略的。
在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK(File Encryption Key,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。
随后系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。
而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。
在首次使用EFS 时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据。
如果你登录到了域环境中,密钥的生成依赖于域控制器,否则依赖于本地机器。
EFS加密系统对用户是透明的。
这也就是说,如果你加密了一些数据,那么你对这些数据的访问将是完全允许的,并不会受到任何限制。
而其他非授权用户试图访问加密过的数据时,就会收到“访问拒绝”的错误提示。
EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。
(2)EFS加密选中NTFS分区中的一个文件,点击鼠标右键,选择“属性”命令,在出现的对话框中点击“常规”选项卡,然后点击“高级”按钮,在出现的对话框中选中“加密内容以便保护数据”选项,点击“确定”即可。
也可使用cipher命令。
用法:显示或更改NTFS 分区上的目录[文件]的加密CIPHER [/E | /D] [/S:directory] [/A] [/F] [/Q] [/H] [pathname [...]]CIPHER /KCIPHER /R:filenameCIPHER /U [/N]CIPHER /W:directoryCIPHER /X[:efsfile] [filename]/A 在文件及目录上操作。
如何使用Windows系统进行文件加密和解密
如何使用Windows系统进行文件加密和解密Windows系统提供了许多功能强大的工具,可用于文件加密和解密。
本文将介绍如何使用Windows系统进行文件加密和解密的步骤和注意事项。
一、文件加密文件加密是保护文件安全性的重要手段,可以防止他人未经授权访问敏感文件。
Windows系统提供了BitLocker和EFS两种文件加密方式,下面将分别介绍它们的使用方法。
1. BitLocker加密BitLocker是Windows操作系统中的一种强大的加密工具,可用于加密整个硬盘分区或移动存储设备。
步骤一:打开BitLocker在Windows资源管理器中,右击需要加密的分区或设备,选择“属性”选项,在“属性”对话框中点击“BitLocker”选项卡。
步骤二:开启BitLocker在“BitLocker”选项卡中,点击“开启BitLocker”,系统将提示选择加密方式,可选择使用密码、智能卡或USB设备作为解锁方法。
步骤三:设置加密选项根据实际需求,选择相应的加密选项,如是否使用TPM芯片、是否保存恢复密钥等。
完成设置后,点击“下一步”。
步骤四:建立恢复密码为了防止丢失解密密钥导致无法解密文件,需要设置一个恢复密码。
按照提示,输入并确认恢复密码,点击“下一步”。
步骤五:加密过程点击“开始加密”按钮,系统将开始对分区或设备进行加密操作。
加密时间长度取决于文件大小和系统性能。
2. EFS加密EFS(Encrypting File System)是一种基于文件级的加密方式,适用于加密单个文件或文件夹。
步骤一:选择文件在Windows资源管理器中,右击需要加密的文件或文件夹,选择“属性”选项,在“属性”对话框中点击“高级”按钮。
步骤二:加密文件在“高级属性”对话框中,在“加密内容以保护数据”部分勾选“加密内容以在文件上存储”,点击“确定”。
步骤三:备份加密证书系统将提示备份加密证书,点击“是”并选择一个安全的存储位置进行保存,以便进行文件的解密。
EFS文件夹加密的优点和缺点
EFS文件夹加密的优点和缺点平时你是怎么给文件夹加密的?有没有什么诀窍?如果你的磁盘格式是NTFS的,那你就可以使用EFS加密文件夹,来保护您的资料。
EFS加密:EFS(Encrypting File System,加密文件系统)是Windows 2000/XP/VISTA/7所特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接作加密保存,在很大程度上提高了数据的安全性。
EFS加密的优点:首先,EFS加密机制和操作系统紧密结合,因此我们不必为了加密数据安装额外的加密软件,这节约了我们的使用成本。
其次,EFS加密系统对用户是透明的。
如果你用EFS加密了一些数据,那么你对这些数据的访问将是完全允许的,并不会受到任何限制。
而其他非授权用户试图访问EFS加密过的数据时,就会收到"访问拒绝"的错误提示。
EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。
所以这就是为什么EFS加密后的文件夹或文件您看不到加密效果的原因。
EFS加密的注意事项:1、只有NTFS分区才能使用EFS加密;2、我的电脑——工具——文件夹选项——查看——取消简单文件共享;3、右键点击要加密的文件或文件夹——属性——高级——加密内容以保护数据。
4、单击"确定"按钮,回到文件属性再单击"应用"按钮,会弹出"确认属性更改"窗口,在"将该应用用于该文件夹、子文件夹和文件"打上"√",最后单击"确定"按钮即开始加密文件。
这样这个文件夹里的原来有的以及新建的所有文件和子文件夹都被自动加密了。
5、如果想取消EFS加密,只需要文件夹的高级属性窗口,取消"加密内容以便保护数据"的勾选,确定即可。
此文件夹加密方法虽然比较的简单。
【加密】win7--文件(EFS)加密
EFS 是基于用户帐户的加密方案,(比喻用户账户【A】对文件进行加密,那么只有用户账户【A】才能访问该文件,切换到用户账户【B】就无法访问该文件)。
在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK (File Encryption Key,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。
一.文件系统转换EFS 必须在NTFS 分区才能使用,如果硬盘分区是FAT32 分区格式,请按照以下步骤转换为NTFS 分区格式:按下【Win + R】→输入【cmd 】并回车→启动命令提示符→输入以下命令:【convert X: /fs:ntfs 】其中X: 为你所要转换的分区盘符,输入完毕后按下回车键,等待完成后关闭窗口即可。
注意:不要在转换过程中关闭命令提示符窗口,以免造成数据丢失。
二.EFS 加密/解密加密右击所要加密的文件或文件夹→【属性】→【高级】→勾选【加密内容以便保护数据】如果将未加密的文件复制到EFS 加密的文件夹中,这些文件将会被自动加密。
如果将加密数据移动或复制到其他NTFS 分区时,数据依旧保持加密属性。
如果将其移动或复制到FAT32 分区时,Windows 会询问是否解密,确认之后Windows会将其解密后复制或移动。
加密之后的文件或文件夹在资源管理器中将以绿色文字显示,如果你使用加密时所用的用户账户登录,那么Windows 会在你访问这些加密数据时自动解密。
如果你使用其它用户账户登录,可进入加密文件夹,但打开加密文件时将提示【拒绝访问】解密如果需要将EFS 加密的数据解密,只要按照上述步骤取消【加密内容以便保护数据】选项即可。
三.EFS 数据导出密钥由于EFS 与用户帐户绑定,所以强烈推荐大家导出EFS 数据恢复密钥,以免Windows 出现问题导致加密数据无法访问。
1.按下【Win + R】→输入【certmgr.msc】→在证书管理器左栏中双击【个人】→【证书】→在右栏中,右击【预期目的为“加密文件系统”】的证书→【所有任务】→【导出】2.在证书导出向导中点击【下一步】→【是,导出私钥】→【下一步】3.选择【个人信息交换】→【下一步】4.【键入密码】→【下一步】→选择【文件的名称和位置】→【下一步】→【完成】Windows 在导出完成之后会弹出对话框提示【导出完成】。
efs加密解密原理
efs加密解密原理
EFS(加密文件系统)是Windows操作系统中的一种加密技术,用于将文件和文件夹在存储设备上加密和解密。
以下是EFS加密解密的原理:
1. 生成密钥对:EFS首先生成一对非对称密钥,包括一个公钥和一个私钥。
公钥用于加密文件,私钥用于解密文件。
2. 加密文件:当用户选择对文件或文件夹进行加密时,EFS会使用文件所有者的公钥来加密文件。
该公钥是从文件所有者的用户帐户或证书中提取出来的。
3. 生成文件加密密钥:EFS生成一个随机的文件加密密钥,用于对文件内容进行加密。
该密钥也被称为加密文件的FEK (文件加密密钥)。
4. 用文件加密密钥加密文件内容:EFS使用生成的文件加密密钥对文件的内容进行加密。
这个过程使用对称密钥加密算法,如AES(高级加密标准)。
5. 用文件所有者的公钥加密文件加密密钥:EFS使用文件所有者的公钥对生成的文件加密密钥进行加密,以确保只有文件所有者的私钥才能解密文件加密密钥。
6. 存储加密后的文件:加密后的文件内容和加密后的文件加密密钥都会存储在存储设备上,但是它们都是加密的,只能被拥有正确私钥的用户解密。
7. 解密文件:当文件所有者想要访问加密的文件时,EFS将使用私钥对加密文件的文件加密密钥进行解密。
然后使用解密后的文件加密密钥对文件内容进行解密,以还原原始文件。
总的来说,EFS通过使用非对称密钥加密文件加密密钥和对称密钥加密文件内容的方式,实现了文件的加密和解密。
这种方法有效地保护了敏感数据的机密性,只有拥有正确私钥的用户才能访问和解密加密的文件。
详解EFS加密技术
详解EFS加密技术在windows vista下,有两⼤加密技术:EFS和Bitlocker。
其实,EFS加密从windows 2000开始就有了。
如何⽤好EFS加密技术保护⾃⼰数据呢?这⾥进⾏详细说明。
什么是EFS加密加密⽂件系统 (EFS) 是 Windows 的⼀项功能,它允许您将信息以加密的形式存储在硬盘上。
EFS原理:EFS所⽤的加密技术是基于公钥的。
它易于管理,不易受到攻击,并且对⽤户是透明的。
如果⽤户想要访问⼀个加密的NTFS⽂件,并且有这个⽂件的私钥,那么就能像打开普通⽂档那样打开这个⽂件,⽽没有该⽂件的私钥拥护将被拒绝访问。
这是在另⼀个账户下访问加密的⽂件时失败的信息。
其实从设计上来看,EFS加密是相当安全的⼀种公钥加密⽅式,只要别⼈⽆从获得你的私钥,那么以⽬前的技术⽔平来看是完全⽆法破解的。
和其他加密软件相⽐,EFS最⼤的优势在于和系统紧密集成,同时对于⽤户来说,整个过程是透明的。
例如,⽤户A加密了⼀个⽂件,那么就只有⽤户A可以打开这个⽂件。
当⽤户A登录到Windows的时候,系统已经验证了⽤户A的合法性,这种情况下,⽤户A在Windows资源管理器中可以直接打开⾃⼰加密的⽂件,并进⾏编辑,在保存的时候,编辑后的内容会被⾃动加密并合并到⽂件中。
在这个过程中,该⽤户并不需要重复输⼊⾃⼰的密码,或者⼿⼯进⾏解密和重新加密的操作,因此EFS在使⽤时⾮常便捷。
EFS 的⼀些重要功能:加密⽅法⼗分简单;仅须选中⽂件或⽂件夹属性中的复选框即可启⽤加密。
您可以控制哪些⼈能够读取这些⽂件。
在关闭⽂件时⽂件即被加密,但是当打开这些⽂件时,⽂件将会⾃动处于备⽤状态。
如果不再希望对某个已加密的⽂件实施加密,清除该⽂件的属性中的复选框即可。
完全⽀持EFS加密和解密的操作系统包括:Windows Vista Business/Enterprise/Ultimate。
Windows Vista Home Basic/Home Premium只能在有密钥的情况下打开被EFS加密的⽂件,但⽆法加密新的⽂件。
efs破解方法
efs破解方法摘要:1.EFS加密文件概述2.破解EFS加密文件的方法3.方法实践与可行性分析4.注意事项与建议正文:一、EFS加密文件概述EFS(Encrypting File System)加密文件系统是微软在Windows操作系统中引入的一种文件加密技术。
它允许用户对文件和文件夹进行加密,以保护数据隐私。
在加密过程中,EFS会使用用户的私钥对文件进行加密,只有拥有相应公钥的用户才能解密文件。
然而,在某些情况下,我们可能需要破解EFS 加密文件,例如忘记密码或需要恢复加密的文件。
本文将介绍一种破解EFS加密文件的方法。
二、破解EFS加密文件的方法1.启用系统中的guest账户:首先,我们需要启用系统中的guest账户,因为guest账户可以访问加密文件。
2.终止explorer.exe进程:打开命令提示符,终止资源管理器进程(explorer.exe),以便我们能够访问加密文件。
3.创建一个新的管理员账户:在原有管理员账户下创建一个新的管理员账户,例如test。
并以新账户登录。
4.运行psexec工具:使用psexec工具尝试以system账户登录,以便我们能对加密文件进行操作。
5.复制加密文件:在成功以system账户登录后,复制需要破解的加密文件到另一个位置。
6.破解加密文件:使用破解工具(如Privacy)对复制后的加密文件进行破解。
破解过程中,工具会尝试使用用户的公钥解密加密的文件。
7.恢复加密文件:在破解成功后,将解密后的文件恢复到原始位置。
三、方法实践与可行性分析本文所介绍的方法在实际操作中具有一定的可行性。
然而,需要注意的是,这种方法可能无法破解采用高强度加密的文件。
此外,在破解过程中,务必确保自己的操作合法,避免侵犯他人隐私。
四、注意事项与建议1.确保操作合法:在破解他人加密文件时,请确保具有相应的权限。
2.备份重要数据:在破解加密文件前,建议先备份重要数据,以防意外损坏。
3.选择合适的破解工具:根据实际情况选择合适的破解工具,如Privacy。
WINDOWS7旗舰版如何关闭使用EFS加密
WINDOWS7旗舰版如何关闭使用EFS加密要关闭在Windows 7旗舰版上使用的EFS(加密文件系统),可以按照以下步骤进行操作:1.确认是否需要关闭EFS:在关闭EFS之前,需要先明确是否真的需要关闭它。
EFS是一种常用的加密技术,可以保护您的敏感文件和文件夹。
如果您不确定是否真的需要关闭它,建议先仔细评估。
2.备份加密文件:在关闭EFS之前,务必先备份所有已经使用EFS加密的文件。
关闭EFS可能导致您无法再访问这些文件,因此为了避免数据丢失,请务必提前备份。
3.停止EFS服务:关闭EFS之前,需要先停止EFS服务。
可以通过以下步骤来停止EFS服务:- 打开“开始”菜单,并在栏中输入“services.msc”,然后按下回车键。
-在“服务”窗口中,找到“加密文件系统(EFS)”服务。
-右键单击该服务,并选择“属性”。
-在“常规”选项卡中,将“启动类型”设置为“禁用”,然后点击“应用”和“确定”按钮。
4.解密已加密的文件:关闭EFS之前,需要先解密所有已加密的文件。
可以使用以下步骤来解密文件:-找到要解密的文件,右键单击文件,并选择“属性”。
-在“常规”选项卡中,将“高级”按钮下的“加密内容以保护数据”复选框取消选中。
-在弹出的对话框中,选择“确定”按钮。
-如果文件是文件夹中的子文件,会显示一个对话框,询问是否要应用选择的更改到文件夹中的所有子文件和文件夹。
选择“确定”按钮以应用更改。
5.禁用EFS加密策略:关闭EFS之前,还需要禁用EFS加密策略。
可以使用以下步骤来禁用EFS加密策略:- 打开“开始”菜单,并在栏中输入“secpol.msc”,然后按下回车键。
-在“本地安全策略”窗口中,展开“策略”文件夹,并选择“安全选项”。
-在右侧窗格中,找到并双击“对代码签名和加密文件的请求进行策略审核”。
-选择“已禁用”选项,并点击“确定”按钮。
6.清除EFS证书:关闭EFS之前,还需要清除EFS证书。
EFS加密
(本文仅限于单机操作)(XPSP2专业版、Windows Vista Ultimatez、Windows Vista Business 平台测试)加密文件系统 (EFS) 是 Windows 的一项功能,它允许您将文件夹和文件以加密的形式存储在硬盘上。
加密是 Windows 所提供的保护信息安全的最强的保护措施。
在首次加密计算机上的文件夹或文件时,Windows 将会颁发一个证书,该证书关联一个加密密钥,EFS 使用该密钥来加密和解密数据。
在您加密文件夹或文件后,Windows 会在后台为您处理所有的加密和解密工作。
您可以按照通常的方式使用文件。
在关闭文件时,该文件将被加密;在重新打开该文件时,它将会被解密,以便您能够使用。
一、怎么样加密:将文件存储倒磁盘时,用户可对其加密。
加密过程就象在文件的“属性”对话框中选中复选框那么简单。
右击文件或者文件夹选择“属性”、然后选择“高级”、选中“加密内容以便保护数据”确认即可,加密成功后文件显示绿色。
二、怎么样访问加密数据:数据的加密是自动完成的,对用户完全透明,如果是加密用户或者获得加密用户证书的用户访问就和没有加密过一样访问,但如果是其他用户访问则无法访问,包括系统管理员,并且提示:三、怎么样进行解密:以加密者身份或者获得加密者证书的用户登陆,把文件或者文件夹“属性”、里“高级”、取消“加密内容以便保护数据”确认即可。
四、如果出现用户帐号密码丢失或者密码被管理员重置,或者系统重新安装,而没有做此用户的证书备份,则此文件就无法访问(除非设置好了故障恢复代理)。
只要有该用户证书的备份就可以导入正常访问。
证书备份和恢复如下:1、如何备份用户证书:证书备份可以先以此文件加密者身份登陆,在运行里输入“MMC”,然后添加管理单元选择“证书”,然后选择“我的用户账户”确定后,然后选择“证书\个人\证书\\”右击此证书(如果有多个证书选择加密文件系统密钥,证书名称一般以用户帐号名称命名)选择“所有任务”里的“导出”,然后选择导出私钥,并且键入证书保护密码(此密码在证书导入时需要)。
35.efs加密文件系统
2.文件夹加密后,保存在其中的文件将自动被加密。
3.加密文件移动到同一磁盘分区的未加密文件夹中仍保持加密特性
4.加密文件不可共享
四、授权其它用户,使用其它用户也能查看加密文件
步骤一:导出授权证书
步骤二:将授权证书的ntfs权限授予b1用户
二、ntfs加密系统
1.加密文件系统(efs:encrypt file system)内置于ntfs文件系统中。它提供文件级的加密。
2. efs易于管理,用户加密文件后,该文件即一直以加密格式存储在磁盘上,从而保证文件的机密性。
3.只有被授权的用户才能访问加密的文件,efs在用户读写加密文件的过程中自动完成文件的解密和加密操作。
4.当加密文件的用户不可用时,efs恢复代理(一般是一个管理员)利用efs恢复代理证书来解密文件。
三、加密文件夹或文件
1.操步步骤演示
步骤一:使用administrator登录系统,对文件夹x,进行加密操作
步骤二:x文件夹中的文件2.txt,查看加密信息
步骤三:设置b1对文件夹x的ntfs权限(能读取文件)
课题
efs加密系统
教学目标
efs加密、efs解密、efs授权
教学重点
efs加密、efs解密、efs授权
教学难点
efs加密、efs解密、efs授权
教学资源
投影仪、电脑
课型
新课
授课时数
2
教学方法
多媒体展示
教学内容
efs加密、efs解密、efs授权
商业机密、专利技术资料等等)的安全性倍受用户关注,作为管理员除了通过设置权限来实现访问控制外,还需要运用加密技术来保障这类数据的安全访问
efs加密原理
efs加密原理
EFS (Encrypting File System) 是Windows操作系统提供的文件加密功能。
其加密原理如下:
1. 用户创建或打开一个由EFS加密的文件时,操作系统会生成一个对称加密密钥(称为File Encryption Key,FEK)。
这个密钥是一个随机生成的128位或256位的对称密钥。
2. 用户的登录密码被用作生成一个加密密钥(称为用户加密密钥,User Encryption Key,UEK),这个密钥用于加密FEK。
3. 操作系统会用用户的UEK加密FEK,并将加密的FEK存储在文件的头部或文件属性中。
4. 当用户要打开一个被EFS加密的文件时,操作系统会使用用户的登录密码来解密UEK,然后再使用UEK解密FEK。
5. 一旦FEK被解密,文件的内容就可以被用户正常地读取或写入。
6. 当用户关闭或保存文件后,FEK会再次被加密,并用UEK 加密后的FEK替换原来在文件头部或属性中的加密的FEK。
7. 如果用户使用不同的登录密码登录系统,EFS将无法使用之前的UEK来解密FEK,从而无法访问以前加密的文件。
同样地,如果用户的用户加密密钥遗失或被破坏,也无法解密FEK。
总的来说,EFS的加密原理是使用用户的登录密码和对称密钥来实现文件的加密和解密,保护文件的安全性。
加密文件系统概述 (EFS)
加密文件系统概述 (EFS)
1、概念: 加密文件系统 (EFS) 提供一种核心文件加密技术,该技术用于在 NTFS 文件系统卷上存储已加密的文件。 一旦加密了文件或文件夹,您就可以象使用其他文件和文件夹一样使用它们。 对加密该文件的用户,加密是透明的。这表明不必在使用前手动解密已加密的文件。您可以正常打开和更 改文件。 注:文件和文件夹上的权限不能防止未授权的物理攻击。 2、EFS的几个注意事项: 只有 NTFS 卷上的文件或文件夹才能被加密。 被压缩的文件或文件夹不可以加密。如果用户标记加密一个压缩文件或文件夹,则该文件或文件夹将会 被解压。 如果将加密的文件复制或移动到非 NTFS 格式的卷上,该文件将会被解密。 如果将非加密文件移动到加密文件夹中,则这些文件将在新文件夹中自动加密。然而,反向操作不能自 动解密文件。文件必须明确解密。 无法加密标记为“系统”属性的文件,并且位于 systemroot 目录结构中的文件也无法加密。 加密文件夹或文件不能防止删除或列出文件或文件夹表。具有合适权限的人员可以删除或列出已加密文 件或文件夹表。因此,建议结合 NTFS 权限使用 EFS。 在允许进行远程加密的远程计算机上可以加密或解密文件及文件夹。然而,如果通过网络打开已加密文 件,通过此过程在网络上传输的数据并未加密。必须使用诸如单套接字层/传输层安全 (SSL/TLS) 或 Internet 协议安全 (IPSec) 等其它协议通过有线加密数据。
Hale Waihona Puke 加密文件系统概述 (EFS)
3、使用
加密文件或文件夹 • 打开 Windows 资源管理器。 • 右键单击要加密的文件或文件夹,然后单击“属性”。 • 在“常规”选项卡上,单击“高级”。 • 选中“加密内容以便保护数据”复选框。 注意 在加密单个文件时,系统将询问是否要同时加密包含它的文件夹。如果选择这么做,所有将来添 加进文件夹中的文件和子文件夹都将在添加时自动加密。 在加密文件夹时,系统将询问是否要同时加密文件夹内的所有文件和子文件夹。如果选择这么做, 那么文件夹中当前的和将来要添加的所有文件或子文件夹都将被加密。如果选择仅加密文件 夹,则文件夹中当前所有文件和子文件夹将不加密。然而,任何将来被加入文件夹的文件和 子文件夹在加入时均被加密。 命令行:cipher
数据安全之EFS与bitlocker
数据安全之EFS与BITLOCKER现在信息数据容入我们的生活,当然它的安全也是不容质疑的了,费话不说了,让我们来看一下微软系统本身对于数据的安全性做了哪些准备.EFS:在我们身边,现在已经非常流行的一种文件系统格式,我想大家不可能不知道吧,那就是NTFS文件系统格式.首先来说第一种安全,EFS(Encrypting File System,加密文件系统)是一种作用于NTFS文件系统用来加解密数据,在很大程度上提高了数据的安全性,而这种方式更大程度是在同一物理主机不同用户之间来实现数据安全.EFS的加密原理:EFS加密是基于公钥加密策略的。
(什么是公钥加密?简单的来说,也就是两把钥匙,一把用于加密,一把用于解密,但这两把钥匙是不同的,也不存在任何关系,也就是无理由在一起的一对.这种高级的算法实在很牛,感觉有点背离数学理论,但是牛人们就是实现了.唉…)图解公钥加密技术:在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK(File Encryption Key,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。
随后系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。
而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。
在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据。
如果你登录到了域环境中,密钥的生成依赖于域控制器,否则依赖于本地机器。
EFS加密系统对用户是透明的,当你用一个账号登录系统时,也就是对EFS加密文件进行了安全认证,数据在执行时便会解密.我们知道,在EFS加密体系中,数据是靠FEK加密的,而FEK又会跟用户的公钥一起加密保存;解密的时候顺序刚好相反,首先用私钥解密出FEK,然后用FEK解密数据.可见,用户的密钥在EFS加密中起了很大作用,那么何来用户密钥?当然根据每个用户的唯一标识符SID 来生成了,呵呵.在第一次加密数据的时候,操作系统就会根据加密者的SID生成该用户的密钥,并把公钥和私钥分开保存起来,供用户加密和解密数据。
EFS基本概念
EFS基本概念EFS概述何谓EFS EFS是一个由Windows2000系列、Windows XP 专业版以及提供的透明的文件加密服务,它是以公共密钥加密为基础,使用了Windows中的CryptoAPI架构。
EFS可以使文件具有机密性但不提供完整保护。
EFS提供可选的数据恢复能力,系统管理员可以恢复另一用户加密的数据。
EFS也可以实现多用户(当然是被许可的用户)共享存取一个已经加密的数据。
EFS加密的优点用户加密或解密文件或文件夹非常方便。
访问加密的文件快且容易。
如果用户持有一个已加密的 NTFS 文件的私钥,那么用户能够打开这个文件,并透明地将该文件作为普通文档使用,反之,用户会被拒绝对文件的访问。
而并不像第三方加密软件一样在每次存取时都要求输入密码。
加密后的数据无论怎样移动都保持加密状态(前提要在NTFS分区下移动,在Windows 2000/XP以及系统中,如果试图把一个EFS加密文件移动或复制到FAT/FAT32分区会遭到拒绝)。
EFS 与 NTFS 紧密地集成在一起。
当创建临时文件时,只要所有文件在 NTFS 卷上,原始文件的属性就会被复制到临时文件中。
如果加密了一个文件,EFS 也会将其临时文件进行加密。
EFS 驻留在操作系统内核中,并且使用不分页的池存储文件加密密钥,保证了密钥不会出现在分页文件中。
这防止了一些应用程序在创建临时文件时泄密。
通过EFS加密敏感性文件,会增加更多层级的安全性防护。
在加密文件时,即使黑客已完全存取电脑的文件储存体,其文件仍然受到保护。
在Windows XP/ 中,EFS可处理脱机文件和文件夹。
EFS的技术结构与原理密钥和证书 EFS采用基于公钥的方案实现数据加密或解密,它使用标准x509证书,每一个受保护的文件都是被一个使用带有一定长度的文件加密密钥(FEK)的快速对称加密算法加密的(FEK的长度由算法或法则决定)。
一个用户要访问一个已加密的文件,他必须拥有与公钥相适应的私钥。
EFS的加密方法和解密必知
EFS的加密方法和解密必知经常看到对文件和文件夹加密的文章,大多是安装各种软件来实现的,如果你的系统是WinXP/Win2003/2000,就没有必要如此兴师动众地加密了,既不需要你安装软件,也不需要繁琐的操作,因为Windows本身就集成了EFS(Encryption File System-EFS)加密功能,可以加密NTFS分区上的文件和文件夹!加密之后,就等于把你的文件和文件夹全部都锁进了保险柜,安全性当然不用担心啦,因为它采用了56位的数据加密标准,到目前为止还无人能破解的!一、ESF加密文件或文件夹为了提高文件的安全性,微软在WinXP/Win2003/2000中(注意WindowsXP家庭版不支持EFS加密文件系统),针对NTFS引入了EFS加密技术。
EFS加密操作非常简单,对加密文件的用户也是透明的,文件加密之后,不必在使用前手动解密,只有加密者才能打开加密文件,其他用户登陆系统后,将无法打开加密文件。
1、ESF加密操作例如要对NTFS分区上的test目录进行ESF加密,可以这样操作:在WinXP中,单击“开始”/程序/附件,点击打开“Windows资源管理器”,点击“我的电脑”,打开NTFS分区,右击要加密的文件或文件夹(例如test 目录);然后单击“属性”,在“常规”选项卡上,单击“高级”按钮;在弹出的窗口中,勾选“加密内容以便保护数据”复选框(如图1);点击“确定”退出。
图1如果加密的是文件夹,此时会弹出一个对话框(如图2),你可以根据需要,选择仅加密此文件夹、还是将此目录下的子文件夹和文件也一起加密;点击选择之后,点击“确定”按钮,最后再点击“应用”完成。
图2于是在默认情况下,你就会发现刚才EFS加密的文件(夹),在资源管理器中显示的颜色会变为彩色(如图3),例如图3中的文件/文件夹名字的颜色,不是常见的黑色、而是绿色的,这表示它们已经被EFS加密了。
图3对文件的EFS加密方法,与上面介绍的类似。
EFS文件加密系统知识详解
/D 将指定的目录解密。会标记目录,这样随后添加的文件就不会被加密。
/E 将指定的目录加密。会标记目录,这样随后添加的文件就会被加密。
/F 强制在所有指定的对象上进行加密操作,即使这些对象已经被加密。默认地会跳过已经加密的对象。
EFS(Encrypting File System,加密文件系统)是Windows 2000及以上Windows版本中,磁盘格式为NTFS的文件加密。
(1)什么是EFS加密
EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK(File Encryption Key,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。随后系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据。如果你登录到了域环境中,密钥的生成依赖于域控制器,否则依赖于本地机器。
STEP4:在“开始→运行”输入“gpedit.msc”,打开组策略编辑器,在“计算机配置→Windows设置→安全设置→公钥策略→正在加密文件系统”下,右击弹出右键菜单,选择“添加数据恢复代理”,打开“添加故障恢复代理向导”打开magic.cer,然后按几次下一步就完成了恢复代理的设置。最后,就可以用magic这个用户名解密加密的文件了。
(4)禁止EFS加密
如果你想设置禁止加密某个文件夹,可以在这个文件夹中创建一个名为“Desktop.ini”的文件,然后用记事本打开,并添加如下内容: [Encryption] Disable=1 之后保存并关闭这个文件。这样,以后要加密这个文件夹的时候就会收到错误信息,除非这个文件被删除。 而如果你想在本机上彻底禁用EFS加密,则可以通过修改注册表实现。在运行中输入“Regedit”并回车,打开注册表编辑器,定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS,在“编辑”菜单上点击“新建-Dword值”,输入“EfsConfiguration”作为键名,并设置键值为“1”,这样本机的EFS加密就被禁用了。而以后如果又想使用时只需把键值改为“0”。
EFS文件加密应用心得体会
EFS文件加密应用心得体会 - 经验交流 -EFS是微软操作系统提供的一个很好的文件加密机制。
若企业采用了EFS加密机制的话,则文件的加密、解密过程都是透明的。
当用户完成一个文件后,若觉得这个文件需要保密,则只需要把他存放在一个采用EFS加密过的文件夹内即可。
操作系统在文件保存后会自动对这个文件进行加密。
用户下次再次查看这个文件的时候,只有利用原来的帐户登陆进去才能够查看这个加密的文件。
为此,这就可以有效的避免有员工乘着文件所有人不注意的时候,把文件通过U盘等简便工具复制出去,从而给企业带来损失。
所以说,EFS是一种很好的加密手段。
在这里,我就谈谈自己采用EFS加密技术的一些心得与诀窍,或许能够给大家带来一点帮助。
心得一:只有NTFS格式的分区才能够使用EFS技术加密文件夹。
要应用EFS文件加密技术的话,则其有几个限制条件。
一是只有在NTFS格式的分区上,才能够采用EFS加密技术。
现在微软的操作系统支持两种分区格式,分别为FAT32与NTFS格式。
FAT格式是FAT32的前一个版本,主要用在小硬盘上面。
现在已经很少见FAT格式的磁盘分区。
若网络管理员准备使用EFS加密技术的话,则首先需要把磁盘分区转化为NTFS格式的。
否则的话,就无法采用EFS加密技术加密企业的。
一般来说,从FAT32格式转化为NTFS格式比较简单,只需要通过命令行的形式就可以转换,而且,原有分区中的数据不会丢失。
而若把分区格式从NTFS格式转换为FAT32的话,则需要重新格式化原来的分区。
也就是说,原由的数据会丢失。
为此,这个转换的话,还是要慎重。
二是EFS 加密技术的话,是对整个文件夹来说的,而不是对单个文件来说的。
也就是说,我们可以把一个文件夹设置”为“ 用EFS技术加密”,而不能够把一个文件设置为EFS加密。
当我们把文件存放在这个文件夹后,这个文件就会自动被加密。
这就是EFS技术的另一个限制,不能够对某个独立的文件采用EFS加密技术。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中铁(12306)CA问题EFS文件加密探索
中铁(12306)证书
平时在网上购票中,我们都会遇到浏览器提示“证书错误”。
这时我们只能迷茫的点击“继续访问”,https安全访问都会带有证书服务,系统通过校验CA机构来判断证书真假,二级、一
级机构等。
因此不合法(没注
册)的CA证书机构,无法再
Windows等操作系统内集成校
验。
因此12306的证书就会被
显示不合法,我们需要手动信任该证书,但是用户手动信任证书是得不到安全的保障,很容易造成用户隐私泄露。
如果的证书私钥丢失或被盗(曾经发生过一次用户信息大泄密),持有该证书的人想要伪造一个钓鱼网站,或者以铁道部的身份发布恶意软件,那真是轻而易举,并且铁道部对此会束手无策。
毕竟在线购买火车票的人全都安装了这个根证书,而该证书根本无法通过CRL吊销。
此外还有一个更重要的问题,如果盗取该证书的人继续使用“SRCA”的身份给其他人以其他身份颁发证书,例如以银行或支付中介的名义,结果会怎样?因为所有在线购买过火车票的人,由于根证书的关系,系统已经信任SRCA的根证书,因此这些伪造的证书也会直接被信任。
最坏的情况下,所有热门的SSL加密网站(购物、银行、股票….)要想被伪造都是轻而易举的。
中铁证书问题,我还是想不通,毕竟弊大于利。
但是目前使用又很少见出现一些普遍的安全问题,又可以说是成功之举,但往往受到侵害的都会是用户。
不建立合法CA机构,就会节省很多的成本,维护运营的人力物力,自行建立私人CA机构,用户只需要自行安装证书就不会跳出证书出错等提示。
要想保证安全,恐怕需要用户擦亮眼睛,辨识证书真假。
不过在支付的过程中中铁使用了VeriSign,这恐怕是很难去仿造和假冒的,所以即使中铁的信息被串改冒充,至少在支付这一块是安全的。
EFS文件加密(一)
微软在桌面系统实现加密的步骤是非常简单的,但是背后的算法是极其复杂的,因为有时候我们要谨慎加密文件,及时备份个人证书。
步骤一:
选中需要加密的文件或文件夹,例如加密“网络安全”文件夹。
选中文件夹并且右键,这是选中“高级”菜单。
步骤二:
选中“加密内容以便保护数据(E)”,如图1.1所示
图1.1
步骤三:
应用于文件夹所有文件,并选中“将更改应用于此文件夹、子文件夹和文件”。
也就是把“网络安全”文件夹内的所有子文件都统一进行加密。
如图1.2所示
图1.2
步骤四:
观察加密后的文件夹会发现所有的子文件都变换了绿色以标识进行了加密,如图1.3所示
图1.3
结论:文件的加密步骤非常简洁,但是背后却有加密算法进行支持,同时实验过程中还发现FAT分区上的文件和文件夹是不能被ESF加密的,另外,标记为“系统”属性的文件,位于Window系统目录中的文件也无法ESF加密。
EFS证书备份(二)
利用EFS备份好文件后,我们必须将个人证书保存好,不然就会出现打不开的现象,到时候就非常的棘手。
例如我在administrator账户下加密的文件夹在GUEST来宾账户下是无法打开的,如图所示:
步骤一:
打开MMC控制台并添加证书单元,然后选择“我的用户账户(M)”如图2.1所示
图2.1
步骤二:
出现证书控制台后,我们会看到“证书-当前用户”字样,将其展开并选中“个人”选项下的“证书”。
如图2.2所示
图2.2
步骤三:
这时候我们会看到许多相关证书(本地只有两个),我们需要备份的对应当前用户的证书,也就是administrator账户的个人证书,由上图可知,选中并导出如图2.3所示。
图2.3
步骤四:
经过步骤三,这是会跳出一个证书导出的向导,我们点击下一步支行并且勾选
“是,导出私钥”如图2.4。
这时在Windows 7系统下则会出现更多功能选项,但是我们只需要导出私钥即可。
导出私钥时要输入保护密码保护私钥,如图2.5所示,完成以上步骤选择需要保存的路径进行相应保存即可。
图2.4
图2.5
总结:导出证书后我们会得到一个私钥以PFX为尾缀的证书文件,这个就是我们需要的证书,在以后的加密文件中会起到关键性作用,因此需要妥善保存。
而证书的导入也是非常简单,无非是个逆过程。
EFS加密技术探索
恢复加密文件:
将加密的文件解密,跟加密的步骤差不多,在windows桌面系统环境下,采用了较为简洁的取消解密,只需要右键属性将勾选上的文件加密选项去勾并确定即可。
但是其实解密的过程也是要运用到正确的私钥证书,不然是无法取消解密的。
FAT分区上的文件和文件夹是不能被ESF加密的,另外,标记为“系统”属性的文件,位于Window系统目录中的文件也无法ESF加密。
恢复证书:
如果由于用户原因导致私钥证书丢失,我们也可以采用导入私钥证书的方式进行
对证书的恢复,我们可以直接双击证书文件,系统会自动判断证书文件的恢复位置并且进行导入,非常傻瓜化。
CA服务器应用:
证书服务在CA服务器还可以进行各种各样的认证,常见的又web即https和文件传输协议等认证,这些都保证了信息的安全性。
其中在网站搭建过程中我们可以在服务器应用CA来决定访问的认证过程,如server 2003环境下:
特别是安全通信弹窗的选项,我们可以根据需求来决定访问,例如我们选择的是“忽略客户端证书”,这时候即使客户端没有证书也是可以正常访问资源,如选择“要求客户端证书”,那么客户端必须要安装CA服务器指定的客户端证书,只有安装了证书才能访问资源,反之。
我们还可以利用CA服务器加密更多服务协议,如FTP、mail、以及通讯服务等等。