Windows Server 2003 加密文件系统
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
用户读取自己加密的文件时,EFS会执行以下动作:
以用户的私有密钥解开加密的FEK。 用FEK将文件解密。
注意事项
加密功能可应用在文件夹或单独的文件上。 具有“系统”属性的文件不能加密,也不能对 %systemroot%文件夹加密。%systemroot%默认 是C:\Windows。 加密和压缩不能同时使用。 不能对整个磁盘驱动器加密。
加密数据修复代理
利用修复代理(Recovery Agent),系统管理员可 指定特定帐户为修复代理人,而修复代理人可 将任何用户加密的文件解密。 Windows Server 2003默认的修复代理人便是 Administrator。
修复代理的原理
EFS在加密时,会将FEK以文件加密者的公开 密钥加密后,与文件一起存放;同时EFS也会 将FEK以修复代理人的公开密钥加密后,与文 件一起存放。 修复代理是不能向前进行的。如果某些文件是 在user成为修复代理人之前,就已经加密,则 user成为修复代理后,并不会回头将这些文件 加上以自己公开密钥加密的FEK,自然也解不 开这些加密文件。
指定修复代理人
假设要指定用户test为修复代理,步骤如下:
将test临时加入Administrators组; 通过runas命令以test的身份运行cipher.exe; 将test的.cer 文件(包含公开密钥)导入组策略; 执行gpupdate.exe 更新组策略; 将test用户自Administrators组删除,恢复其原有权限; 将test用户的.pfx文件(包含私有密钥)导入; test用户登录后便能够解读所有人加密的文件。
EFS同时采用两种加密方式,不但具有对称式 加密处理速度快的长处,也保留了非对称式加 密较好的安全性。
EFS的运行方式
当用户将文件设为加密时,EFS会自动为用户产生一把 公开密钥和一把私有密钥,并执行以下动作:
对于每一个需要加密的文件,随机产生一把用来加密的密钥, 该密钥称为FEK(File Encryption Key)。 使用FEK以对称式加密法将文件加密。 FEK 以用户的公开密钥,将这把FEK以非对称式加密法加密。 将加密后的FEK与加密后的文件一同存放。
文件夹加密(1)
文件夹加密(2)
文件夹加密(3)
文件夹加密(4)
文件加密(1)
文件加密(2)
文件加密(3)
文件加密(4)
文件加密(5)
若将加密的文件移动到FAT/FAT32文件系统的磁盘,该文件就 会自动被解密。 若将加密的文件移动/复制到NTFS文件系统的磁盘,则无论目 的文件夹是否设置加密或压缩,移动/复制过去的文件仍然保 持加密。
导入.pfx文件(2)
导入.pfx文件(3)
导入.pfx文件(4)
导入.pfx文件(5)
导入.pfx文件(6)
导入.pfx文件(7)
导入.pfx文件(8)
导入.pfx文件(9)
导入成功后,以修复代理的帐户登录,即可解读加密文件。 导入成功后,以修复代理的帐户登录,即可解读加密文件。
允许他人将文件解密(1)
允许他人将文件解密(2)
允许他人将文件解密(3)
如果选择用户对话框只有加密者一个用户,通常是因为要加入的用 户先前未做过加密动作。此时必须请该用户先登录,并加密任意文 件,EFS便会产生该用户的证书。有了证书之后,他的帐户名称才 会出现在上面的对话框中。
允许他人将文件解密(4)
数据加密
Windows Server 2003的数据加密功能称为 EFS(Encrypting File System)。 一旦启用此功能,系统在存盘时会先将数据加密后再 写入;而读取加密过的文件时,系统也会自动先解密。 加密前的内容称为明文文字(Plain text),加密后无法 辩读的内容则称为加密文字(Cipher或Cipher text)。加 密过程中需利用一组特殊的字符串参与加密时的运算, 这个字符串称为密钥(Secret key)。
生成.cer和.pfx文件(1)
Runas /user:test “cipher /r:c:\test_key”
生成.cer和.pfx文件(2)
生成.cer和.pfx文件(3)
生成.cer和.pfx文件(4)
导入.cer文件(1)
导入.cer文件(2)
导入.cer文件(3)
导入.cer文件(4)
EFS所使用的加密方式
对称式加密(Symmetric)
在加密和解密时使用同一把密钥进行运算。
非对称式加密(Asymmetric)
加密和解密时使用两把不同的密钥,一把称为公开 密钥(Public kபைடு நூலகம்y),另一把称为私有密钥(Private key)。 在多数场合,都是以公开密钥加密,而以私有密钥 解密。
导入.cer文件(5)
导入.cer文件(6)
导入.cer文件(7)
导入.cer文件(8)
导入成功后运行gpupdate.exe 更新组策略,然后 更新组策略, 导入成功后运行 用户自Administrators组删除。 组删除。 将test用户自 用户自 组删除
导入.pfx文件(1)
只有需要修复代理解密时才导入.pfx文件。 文件。 只有需要修复代理解密时才导入 文件