加密文件系统概述 (EFS)
文件服务器加密-EFS
⽂件服务器加密-EFS⽂件服务器之EFS⽂件加密⽬标通过EFS⽂件加密系统,各⽤户对上传之⽂件服务器中的数据加密。
从⽽拒绝所有未授权⽤户试图打开、复制、移动或重新命名已加密⽂件或⽂件夹。
⽂件加密系统简介⽂件加密系统(EFS) 可以使⽤户对⽂件进⾏加密和解密。
使⽤EFS 可以保证⽂件的安全,以防那些未经许可的⼊侵者访问存储的敏感数据(例如,通过盗窃笔记本电脑或外挂式硬盘驱动器来偷取数据)。
⽤户可以像使⽤普通⽂件和⽂件夹那样使⽤已加密的⽂件和⽂件夹。
加密过程是透明的。
EFS ⽤户如果是加密者本⼈,系统会在⽤户访问这些⽂件和⽂件夹时将其⾃动解密,但是不允许⼊侵者访问任何已加密的⽂件或⽂件夹。
EFS实际应⽤介绍1.只有NTFS 卷上的⽂件和⽂件夹才能被加密。
2.不能加密压缩⽂件或⽂件夹。
3.只有对⽂件实施加密的⽤户才能打开它。
4.不能共享加密⽂件。
EFS 不能⽤于发布私⼈数据。
5.如果将加密的⽂件复制或移动到⾮NTFS 格式的卷上,该⽂件将会被解密。
6.将⽂件移动到已加密的⽂件夹,它们在新⽂件夹中⾃动加密。
7.⽆法加密系统⽂件。
8.加密的⽂件夹或⽂件不能防⽌被删除。
任何拥有删除权限的⼈均可以删除加密的⽂件夹或⽂件。
9.对于编辑⽂档时某些程序创建的临时⽂件,只要这些⽂件在NTFS 卷上⽽且放在已加密⽂件夹中,则它们也会被加密。
为此建议加密硬盘上的Temp ⽂件夹。
加密Temp ⽂件夹可以确保在编辑过程中的⽂档也处于保密状态。
如果在Outlook 中创建⼀个新⽂档或打开附件,该⽂件将在Temp ⽂件夹中创建为加密⽂档。
如果选择将加密的⽂档保存到NTFS 卷的其他位置,则它在新位置仍被加密。
10. 加密后的⽂件只有加密者可以访问。
如需要将加密后的⽂件共享,那么还需要额外的设置。
在添加的⽤户时并不是添加⽤户的名称,⽽是添加⽤户的公钥11. EFS加密系统的密钥是根据每个⽤户的SID⽣成的,⽂件的加密和解密都需要密钥的参与(公钥和私钥)。
4:EFS文件加密
EFS是如何工作的
当一个用户使用EFS去加密文件时,必须存在一个公钥和一 个私钥,如果用户没有,EFS服务自动产生一对。对于初级用 户来说,即使他完全不懂加密,也能加密文件,可以对单个文 件进行加密,也可以对一个文件夹进行加密,这样所有写入文 件夹的文件将自动被加密。 一旦用户发布命令加密文件或试图添加一个文件到一个已 加密的文件夹中,EFS将进行以下几步: 第一步:NTFS首先在这个文件所在卷的卷信息目录下(这 个目录隐藏在根目录下面)创建一个叫做efs0.log的日志文件, 当拷贝过程中发生错误时利用此文件进行恢复。 第二步:然后EFS调用CryptoAPI设备环境。设备环境使用 Microsoft Base Cryptographic Provider 1.0 产生密匙,当打开这个 设备环境后,EFS产生FEK(File Encryption Key,文件加密密 匙)。FEK的长度为128位(仅US和Canada),这个文件使用 DESX加密算法进行加密。
EFS是Encrypting File System,加密文件系统的 缩写,他可以被应用在windows 2000以上的操作系统 且为NTFS5格式的分区上(windows xp home不支持)。 EFS 只能对存储在磁盘上的数据进行加密,是 一种安全的本地信息加密服务。EFS使用核心的的文 件加密技术在NTFS卷上存储加密文件。 它可以防止那些未经允许的对敏感数据进行物理 访问的入侵者(偷取笔记本电脑、硬盘等)。
EFS和NTFS如何共存
EFS可以被认为除NTFS外的第二层防护,为访 问一个被加密的文件,用户必须有访问到文件的 NTFS权限。在相关NTFS权限的用户能看到文件夹 中的文件,但不能打开文件除非有相应的解密钥匙。 同样,一个用户有相应的钥匙但没有相应的NTFS权 限也不能访问到文件。所以一个用户要能打开加密 的文件,同时需要NTFS权限和解密钥匙。 然而,NTFS权限可能被大量的方法穿越,包括 口令破解程序、用户在离开前没有退出系统或系统 内部的NTFSDOS。在NT4.0下,游戏结束了――硬 盘上所有的数据都可以访问了。在Windows 2000下, 当一个文件用EFS加密后,一个未授权的用户,即 使访问到磁盘上的文件,但也不能访问文件上数据, 因为没有授权用户的私钥。
EFS文件夹加密的优点和缺点
EFS文件夹加密的优点和缺点平时你是怎么给文件夹加密的?有没有什么诀窍?如果你的磁盘格式是NTFS的,那你就可以使用EFS加密文件夹,来保护您的资料。
EFS加密:EFS(Encrypting File System,加密文件系统)是Windows 2000/XP/VISTA/7所特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接作加密保存,在很大程度上提高了数据的安全性。
EFS加密的优点:首先,EFS加密机制和操作系统紧密结合,因此我们不必为了加密数据安装额外的加密软件,这节约了我们的使用成本。
其次,EFS加密系统对用户是透明的。
如果你用EFS加密了一些数据,那么你对这些数据的访问将是完全允许的,并不会受到任何限制。
而其他非授权用户试图访问EFS加密过的数据时,就会收到"访问拒绝"的错误提示。
EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。
所以这就是为什么EFS加密后的文件夹或文件您看不到加密效果的原因。
EFS加密的注意事项:1、只有NTFS分区才能使用EFS加密;2、我的电脑——工具——文件夹选项——查看——取消简单文件共享;3、右键点击要加密的文件或文件夹——属性——高级——加密内容以保护数据。
4、单击"确定"按钮,回到文件属性再单击"应用"按钮,会弹出"确认属性更改"窗口,在"将该应用用于该文件夹、子文件夹和文件"打上"√",最后单击"确定"按钮即开始加密文件。
这样这个文件夹里的原来有的以及新建的所有文件和子文件夹都被自动加密了。
5、如果想取消EFS加密,只需要文件夹的高级属性窗口,取消"加密内容以便保护数据"的勾选,确定即可。
此文件夹加密方法虽然比较的简单。
文件加密系统EFS
文件加密系统EFS实验说明:数据加密可以增加数据安全性,加密过程将数据变成不易访问的代码,数据加密之后,要用密码或密钥解密数据,解密的数据成为明文,加密的数据称为密文。
加密过程和压缩过程全过程透明化,由微软在系统后台进行处理。
用户创建文件加密系统只有用户本人可以查看加密的数据,任何用户无法访问。
实验步骤:我们先创建一个user账户和一个test用户我们先使用user账户创建一个加密文件,现在登录test账户看能否打开。
Test账户无法访问。
为了加密者希望自己的加密文件另一个用户也能一起分享。
需要先将一个用户登录系统任意加密一个文件,这样会获得一个自签名的加密证书。
首先需要登录test账户在系统中建立账户、这样test用户就获得了自签名加密证书。
证书获得后,无法将其加入证书组中,所以需要登录user账户,将test用户添加进去。
在访问文件就可以一起访问了,我们先看看能不能访问,先登录test账户成功访问文件。
如果用户离职,加密的数据有很重要,我们需要将管理员提升为数据恢复代理。
我们先使用普通user账户创建一个加密文件。
管理员仍无法访问,我们需要将管理员提升为数据恢复代理、在命令提示行中输入cipher /r:admin根据提示输入密钥导出密码。
按回车生成两个文件,分别为cer和pfx。
然后我们需要在组策略打开本地安全策略加入公钥证书。
点击加密文件系统,右键打开。
添加数据恢复向导。
数据向导添加完成、我们需要打开mmc证书控制台,导入私钥证书pfx。
在个人中右击所有任务,然后导入。
导入证书向导。
文件类型中选择pfx格式。
在运行中创建的私钥密码再次输入,下方有一个标志此证书密钥为可导出的。
需要打钩,否则下次无法导入。
文件导入成功。
现在我们重启一下管理员账户就成了数据恢复代理。
我们发现成为数据恢复代理的管理员仍然无法打开加密的文件,因为在管理员没有成为数据恢复代理前加密的数据是不能解密的,除非该文件再次被加密或者手动添加恢复代理。
efs加密解密原理
efs加密解密原理
EFS(加密文件系统)是Windows操作系统中的一种加密技术,用于将文件和文件夹在存储设备上加密和解密。
以下是EFS加密解密的原理:
1. 生成密钥对:EFS首先生成一对非对称密钥,包括一个公钥和一个私钥。
公钥用于加密文件,私钥用于解密文件。
2. 加密文件:当用户选择对文件或文件夹进行加密时,EFS会使用文件所有者的公钥来加密文件。
该公钥是从文件所有者的用户帐户或证书中提取出来的。
3. 生成文件加密密钥:EFS生成一个随机的文件加密密钥,用于对文件内容进行加密。
该密钥也被称为加密文件的FEK (文件加密密钥)。
4. 用文件加密密钥加密文件内容:EFS使用生成的文件加密密钥对文件的内容进行加密。
这个过程使用对称密钥加密算法,如AES(高级加密标准)。
5. 用文件所有者的公钥加密文件加密密钥:EFS使用文件所有者的公钥对生成的文件加密密钥进行加密,以确保只有文件所有者的私钥才能解密文件加密密钥。
6. 存储加密后的文件:加密后的文件内容和加密后的文件加密密钥都会存储在存储设备上,但是它们都是加密的,只能被拥有正确私钥的用户解密。
7. 解密文件:当文件所有者想要访问加密的文件时,EFS将使用私钥对加密文件的文件加密密钥进行解密。
然后使用解密后的文件加密密钥对文件内容进行解密,以还原原始文件。
总的来说,EFS通过使用非对称密钥加密文件加密密钥和对称密钥加密文件内容的方式,实现了文件的加密和解密。
这种方法有效地保护了敏感数据的机密性,只有拥有正确私钥的用户才能访问和解密加密的文件。
详解EFS加密技术
详解EFS加密技术在windows vista下,有两⼤加密技术:EFS和Bitlocker。
其实,EFS加密从windows 2000开始就有了。
如何⽤好EFS加密技术保护⾃⼰数据呢?这⾥进⾏详细说明。
什么是EFS加密加密⽂件系统 (EFS) 是 Windows 的⼀项功能,它允许您将信息以加密的形式存储在硬盘上。
EFS原理:EFS所⽤的加密技术是基于公钥的。
它易于管理,不易受到攻击,并且对⽤户是透明的。
如果⽤户想要访问⼀个加密的NTFS⽂件,并且有这个⽂件的私钥,那么就能像打开普通⽂档那样打开这个⽂件,⽽没有该⽂件的私钥拥护将被拒绝访问。
这是在另⼀个账户下访问加密的⽂件时失败的信息。
其实从设计上来看,EFS加密是相当安全的⼀种公钥加密⽅式,只要别⼈⽆从获得你的私钥,那么以⽬前的技术⽔平来看是完全⽆法破解的。
和其他加密软件相⽐,EFS最⼤的优势在于和系统紧密集成,同时对于⽤户来说,整个过程是透明的。
例如,⽤户A加密了⼀个⽂件,那么就只有⽤户A可以打开这个⽂件。
当⽤户A登录到Windows的时候,系统已经验证了⽤户A的合法性,这种情况下,⽤户A在Windows资源管理器中可以直接打开⾃⼰加密的⽂件,并进⾏编辑,在保存的时候,编辑后的内容会被⾃动加密并合并到⽂件中。
在这个过程中,该⽤户并不需要重复输⼊⾃⼰的密码,或者⼿⼯进⾏解密和重新加密的操作,因此EFS在使⽤时⾮常便捷。
EFS 的⼀些重要功能:加密⽅法⼗分简单;仅须选中⽂件或⽂件夹属性中的复选框即可启⽤加密。
您可以控制哪些⼈能够读取这些⽂件。
在关闭⽂件时⽂件即被加密,但是当打开这些⽂件时,⽂件将会⾃动处于备⽤状态。
如果不再希望对某个已加密的⽂件实施加密,清除该⽂件的属性中的复选框即可。
完全⽀持EFS加密和解密的操作系统包括:Windows Vista Business/Enterprise/Ultimate。
Windows Vista Home Basic/Home Premium只能在有密钥的情况下打开被EFS加密的⽂件,但⽆法加密新的⽂件。
Windows系统的加密文件系统
Windows系统的加密文件系统(EFS)介绍:EFS(Encrypting File System,加密文件系统)是Windows 2000及以上Windows版本中,磁盘格式为NTFS的文件加密。
一、加密:1、使用Administrator用户,在D盘下新建一个文本文档,并在该文本文档内输入一些内容。
2、打开文本文档的属性对话框,点击“高级”按钮。
3、在弹出的“高级属性”对话框中,勾选“加密内容以便保护数据”,再点“确定”。
4、这样加密就成功了。
二、验证加密加密成功后,要使用其他用户去访问刚才加密的文件,看看是否加密成功,现在我们先创建一个用户。
1、在“我的电脑”右击,点“管理”。
2、在“计算机管理”面板上,进入“本地用户和组”,右击“用户”,点“新用户”,新建一个用户。
3、新建一个名为“zsyzx”的用户,密码为空。
4、这时就多了一个用户。
5、注销当前用户,切换zsyzx用户登陆。
6、再回到D盘,访问14网络1班文件,发现出现“拒绝访问”的警告。
这就证明该文件加密成功,只能由创建它的Administrator用户访问,其他用户要访问都被拒绝。
三、解密(efs加密的证书导出和导入)1、回到Administrator用户进行操作。
2、在“运行”中,输入“mmc”进入控制台。
3、点击菜单栏中的“控制台”,选择“添加/删除管理单元”。
4、在弹出的“添加/删除管理单元”对话框中,点击“添加”按钮。
5、在弹出的“添加独立管理单元”对话框中,选择“证书”,再点“添加”。
6、回到控制台界面,进入“证书-当前用户”——“个人”——“证书”,在右边的Administrator 用户中右击,选择“所有任务”,点“导出”。
7、在“证书导出向导”中点“下一步”。
8、选择“是,导出私钥”,点“下一步”。
9、按照默认选项,点“下一步”。
10、输入密码,这里输入的密码是“123456”,点“下一步”。
11、选择证书导出的位置,这里导出到D盘根目录下,名字是“证书.pfx”,点“下一步”。
efs破解方法
efs破解方法摘要:1.EFS加密文件概述2.破解EFS加密文件的方法3.方法实践与可行性分析4.注意事项与建议正文:一、EFS加密文件概述EFS(Encrypting File System)加密文件系统是微软在Windows操作系统中引入的一种文件加密技术。
它允许用户对文件和文件夹进行加密,以保护数据隐私。
在加密过程中,EFS会使用用户的私钥对文件进行加密,只有拥有相应公钥的用户才能解密文件。
然而,在某些情况下,我们可能需要破解EFS 加密文件,例如忘记密码或需要恢复加密的文件。
本文将介绍一种破解EFS加密文件的方法。
二、破解EFS加密文件的方法1.启用系统中的guest账户:首先,我们需要启用系统中的guest账户,因为guest账户可以访问加密文件。
2.终止explorer.exe进程:打开命令提示符,终止资源管理器进程(explorer.exe),以便我们能够访问加密文件。
3.创建一个新的管理员账户:在原有管理员账户下创建一个新的管理员账户,例如test。
并以新账户登录。
4.运行psexec工具:使用psexec工具尝试以system账户登录,以便我们能对加密文件进行操作。
5.复制加密文件:在成功以system账户登录后,复制需要破解的加密文件到另一个位置。
6.破解加密文件:使用破解工具(如Privacy)对复制后的加密文件进行破解。
破解过程中,工具会尝试使用用户的公钥解密加密的文件。
7.恢复加密文件:在破解成功后,将解密后的文件恢复到原始位置。
三、方法实践与可行性分析本文所介绍的方法在实际操作中具有一定的可行性。
然而,需要注意的是,这种方法可能无法破解采用高强度加密的文件。
此外,在破解过程中,务必确保自己的操作合法,避免侵犯他人隐私。
四、注意事项与建议1.确保操作合法:在破解他人加密文件时,请确保具有相应的权限。
2.备份重要数据:在破解加密文件前,建议先备份重要数据,以防意外损坏。
3.选择合适的破解工具:根据实际情况选择合适的破解工具,如Privacy。
关于EFS加密文件系统
EFS加密文件系统一、什么是EFS加密EFS(Encrypting File System,加密文件系统)是Windows 2000/XP/VISTA所特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接被操作系统加密保存。
如果硬盘上的文件已经使用EFS进行了加密,即使一个攻击者能访问到硬盘上,由于没有解密的密钥,文件也是不可用的,在很大程度上提高了数据的安全性。
这种特性对于移动用户、通过宽带连接的用户、对敏感数据有更高安全要求的机构的益处是显而易见的。
EFS可以被认为除NTFS外的第二层防护,为访问一个被加密的文件,用户必须有访问到文件的NTFS权限。
在相关NTFS权限的用户能看到文件夹中的文件,但不能打开文件除非有相应的解密密钥。
同样,一个用户有相应的密钥但没有相应的NTFS权限也不能访问到文件。
所以一个用户要能打开加密的文件,同时需要NTFS权限和解密密钥。
EFS加密是基于公钥策略的。
在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK (File Encryption Key,文件加密钥匙),然后将利用FEK 和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。
随后系统利用用户的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。
而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。
二、使用EFS的好处EFS加密机制和操作系统紧密结合,因此不必为了加密数据安装额外的软件,节约了使用成本。
访问一个加密的文件不需要用户任何的操作,而先前的第三方的文件加密工具需要用户每次访问文件时键入口令,它们并没有与文件系统或操作系统进行无缝地集成。
EFS集成进文件系统,因此一个恶意的用户不能绕过文件系统访问到硬盘,而且,所有运行在内核模式的EFS驱动程序不能由用户直接访问。
EFS加密系统对用户是透明的。
EFS加密
(本文仅限于单机操作)(XPSP2专业版、Windows Vista Ultimatez、Windows Vista Business 平台测试)加密文件系统 (EFS) 是 Windows 的一项功能,它允许您将文件夹和文件以加密的形式存储在硬盘上。
加密是 Windows 所提供的保护信息安全的最强的保护措施。
在首次加密计算机上的文件夹或文件时,Windows 将会颁发一个证书,该证书关联一个加密密钥,EFS 使用该密钥来加密和解密数据。
在您加密文件夹或文件后,Windows 会在后台为您处理所有的加密和解密工作。
您可以按照通常的方式使用文件。
在关闭文件时,该文件将被加密;在重新打开该文件时,它将会被解密,以便您能够使用。
一、怎么样加密:将文件存储倒磁盘时,用户可对其加密。
加密过程就象在文件的“属性”对话框中选中复选框那么简单。
右击文件或者文件夹选择“属性”、然后选择“高级”、选中“加密内容以便保护数据”确认即可,加密成功后文件显示绿色。
二、怎么样访问加密数据:数据的加密是自动完成的,对用户完全透明,如果是加密用户或者获得加密用户证书的用户访问就和没有加密过一样访问,但如果是其他用户访问则无法访问,包括系统管理员,并且提示:三、怎么样进行解密:以加密者身份或者获得加密者证书的用户登陆,把文件或者文件夹“属性”、里“高级”、取消“加密内容以便保护数据”确认即可。
四、如果出现用户帐号密码丢失或者密码被管理员重置,或者系统重新安装,而没有做此用户的证书备份,则此文件就无法访问(除非设置好了故障恢复代理)。
只要有该用户证书的备份就可以导入正常访问。
证书备份和恢复如下:1、如何备份用户证书:证书备份可以先以此文件加密者身份登陆,在运行里输入“MMC”,然后添加管理单元选择“证书”,然后选择“我的用户账户”确定后,然后选择“证书\个人\证书\\”右击此证书(如果有多个证书选择加密文件系统密钥,证书名称一般以用户帐号名称命名)选择“所有任务”里的“导出”,然后选择导出私钥,并且键入证书保护密码(此密码在证书导入时需要)。
35.efs加密文件系统
2.文件夹加密后,保存在其中的文件将自动被加密。
3.加密文件移动到同一磁盘分区的未加密文件夹中仍保持加密特性
4.加密文件不可共享
四、授权其它用户,使用其它用户也能查看加密文件
步骤一:导出授权证书
步骤二:将授权证书的ntfs权限授予b1用户
二、ntfs加密系统
1.加密文件系统(efs:encrypt file system)内置于ntfs文件系统中。它提供文件级的加密。
2. efs易于管理,用户加密文件后,该文件即一直以加密格式存储在磁盘上,从而保证文件的机密性。
3.只有被授权的用户才能访问加密的文件,efs在用户读写加密文件的过程中自动完成文件的解密和加密操作。
4.当加密文件的用户不可用时,efs恢复代理(一般是一个管理员)利用efs恢复代理证书来解密文件。
三、加密文件夹或文件
1.操步步骤演示
步骤一:使用administrator登录系统,对文件夹x,进行加密操作
步骤二:x文件夹中的文件2.txt,查看加密信息
步骤三:设置b1对文件夹x的ntfs权限(能读取文件)
课题
efs加密系统
教学目标
efs加密、efs解密、efs授权
教学重点
efs加密、efs解密、efs授权
教学难点
efs加密、efs解密、efs授权
教学资源
投影仪、电脑
课型
新课
授课时数
2
教学方法
多媒体展示
教学内容
efs加密、efs解密、efs授权
商业机密、专利技术资料等等)的安全性倍受用户关注,作为管理员除了通过设置权限来实现访问控制外,还需要运用加密技术来保障这类数据的安全访问
通过 加密文件系统 EFS 保护信息安全
单击下一步,将自动创建一个有私钥 的证书。
设置文件加密证书
备钥,这 样可以帮助您避免在丢失或损坏原始 证书和密钥时无法访问加密的文件。
请将证书备份保存到可靠的位置,建 议稍后将证书备份复制到多个存储介 质,以避免因意外丢失证书而永久丢 失对加密文件的访问权限。注:如果 备份失败,您还可以在 certmgr中进 行操作,这些内容将在下面介绍。
参考资料:Encrypting File SYSTEM (EFS)
Vista系统常用英文专业词语
感谢观看
通过 加密文件系统(EFS) 保 护信息安全
名词解释:加密文件系统
加密文件系统 (EFS)提供一种核心文件加密技术,该技术用于在 NTFS文件系统卷上存储已加密 的文件。一旦加密了文件或文件夹,您就可以像使用其他文件和文件夹一样使用它们。
内容介绍
加密文件系统(EFS, Encrypting File System)是 Windows的一项功能,是一种基于 NTFS磁盘 技术的加密技术,用于将信息以加密格式存储在介质上,它是 Windows所提供的保护信息安全 的最强的保护措施。 EFS将对称加密算法和非对称加密算法结合起来保护文件:文件数据使用对称加密算法(默认128 位的DESX,也可用168位的3DES)加密,在该过程中使用的密匙叫做文件加密密匙(File Encryption Key, FEK),由系统生成;FEK又使用非对称加密算法(1024位的RSA)加密,这需要 一个有私钥的证书,由用户提供;加密后的数据和FEK将一起存储在介质上。同时使用两种加密 是为了在提高安全性的同时加快加密的速度。任何拥有证书的用户都可以解密文件,但证书丢失 将导致永久失去对加密文件的访问权限。
Windows 2000的加密文件系统
Windows 2000的加密文件系统白皮书摘要本文对加密文件系统(EFS) 及技术进行了概述。
该系统包含在Microsoft®Windows®2000操作系统中。
EFS提供的核心文件加密技术可将加密的NTFS文件存储到磁盘上。
EFS特别考虑了其他操作系统上的现有工具引起的安全性问题,这些工具允许用户不经过访问检查就可以从NTFS 卷访问文件。
使用EFS,NTFS文件中的数据在磁盘上进行了加密。
所用的加密技术是基于公钥的,并作为一个集成系统服务运行;它易于管理,不易受到攻击,并且对用户是透明的。
如果用户要访问一个加密的NTFS文件,并且有这个文件的私钥,那么用户能够打开这个文件,并透明地将该文件作为普通文档使用。
没有该文件私钥的用户被拒绝对文件的访问。
概述个人计算机系统采取的一个标准安全措施就是,在试图从硬盘引导前,尝试从软盘引导。
这可以保护用户避开硬盘驱动器故障以及被破坏的引导分区。
不幸的是,它方便了启动不同的操作系统。
这意味着可以物理访问系统的人可以使用可读取Windows NTFS盘上结构的工具,绕过Microsoft®Windows®NT文件系统访问控制的内置安全功能。
很多硬件配置提供了类似引导口令的功能来限制此类访问。
但此类功能并没有得到广泛使用。
在典型环境中,多用户共享一个工作站,这些功能没有很好地发挥作用。
即使这些功能获得了普遍使用,口令提供的保护也不是很强大。
未经授权的数据访问已成为一个严重问题,比较典型的有:●失窃的膝上型计算机—要拿走无人看管的膝上型计算机只需一会儿的功夫。
如果窃贼偷计算机并不是为了卖掉它来获利,而是对存储在硬盘上的敏感信息感兴趣,那么会产生什么样的后果?●不受限制的访问—办公室桌面系统无人看管时,任何人都可进来从无人看管的计算机中很快地将信息窃走。
这种安全性问题的根源就是敏感信息,通常这些信息以未加保护的文件形式存储在磁盘上。
加密文件系统
为EFS(加密文件系统)配置数据恢复代理在基于Windows 2000/XP/2003的计算机中,如果系统中磁盘分区的文件系统格式采用了NTFS5.0,那么我们就可以利用文件加密系统(EFS)特性来保护用户保存在计算机中的个人文件和敏感信息。
EFS采用了工业标准的数据加密算法和公钥加密系统对文件的内容进行加密,加密过程十分复杂,加密强度很大,安全性极高。
用户首次执行为文件设置加密属性的操作后,就会自动启用EFS,这时系统会产生一个针对该用户的公钥/私钥对。
其中公钥保存在该用户的加密文件系统证书中,通过在系统控制台(MMC)中添加证书管理单元可以进行查看;私钥通过用户的登录系统口令派生一个主密钥并保存在该用户的个人配置文件中。
同时,EFS针对每个要加密的文件会随机产生一个文件加密密钥,对文件的内容进行加密,同时在每个文件中自动生成一个数据加密字段,用来保存经过公钥加密的文件加密密钥。
当用户访问加密文件时,首先会对保存在个人配置文件中的私钥进行解密,然后使用私钥对保存在文件中数据加密字段的文件加密密钥进行解密,进而以明文的形式对文件进行访问;访问结束关闭文件后,文件会自动恢复到密文状态。
对于用户来讲,上述的文件加密和解密过程都是EFS自动完成的,只要用户能够以正确的账户名称和密码登录到系统中,就可以完全透明的访问加密的文件。
但是,对于其他用户加密的文件,由于不能对其他用户的私钥进行解密,因而也就不能访问这些文件。
由于EFS的加密和解密与用户的账户信息和个人配置文件密切相连,如果用户忘记了自己的登录口令或是登录口令被系统管理员更改、个人配置文件损坏或丢失,都会造成文件永远处于加密状态不允许任何人进行访问,由于EFS的加密强度极高,因此恢复的可能性很小。
为了预防这些情况的发生,用户在启用EFS 后,要配置数据恢复代理为自己留一条后路。
数据恢复代理可以访问其他用户加密的文件,并通过执行解密操作对文件进行恢复,它是加密文件系统策略的一个重要部分。
文件加密和压缩
用户账号的创建与管理 组账号的创建于管理 设置本地账户安全策略
用户账号
根据用户账户的位置和使用范围不同,可分为:
本地用户
只能在所创建的计算机上登录,并访问该计算机的资源,使用范围 仅限于所创建的计算机
域用户
域用户创建于域控制器,可以在网络中任何计算机上登陆,并获得 访问该计算机的权限,使用范围是整个域。
开始/管理工具/本地安全策略
密码安全设置
密码使用期限:默认密码最长有限期为42天,账户密码必须在42天后修改
强制密码历史:旧密码不能使用。防止用户重复使用相同的字 符来组成密码。
账户锁定策略
来确定账户被锁定的情况和事件长短。
账户锁定阈值
该安全设置确定造成用户账户被锁定的登录失败尝试的次数。登录尝试 失败的范围在0~999。若设定为0,则无法锁定账户。
“账户以禁用 账户以禁用”: 账户以禁用
其他注意事项
要利用“计算机管理”窗口创建本地用户账户,此时计算机必须是非域控制器 不能为当前登录的账户重命名 需要删除一个用户账户的时候,先禁用,不能恢复已删除账户 重命名账户包面其安全标示符。
组账户的创建于管理
根据创建组的位置和适用范围不同,组可分为:
本地组:创建于非域控制器计算机,控制对本机资源的访问。 本地组
内置用户账户
是Windows Server2003系统自带的用户账户,用于执行管理任务 或是用户能够访问网络资源。 Administrator 和Guest
1.管理员账户Administrator 1.管理员账户Administrator 管理员账户
永远不能从Adninistrator组中删除该账户,但可以重命名或禁用该账户 需要注意的是:即使禁用,也可在安全模式下使用该账户。
EFS基本概念
EFS基本概念EFS概述何谓EFS EFS是一个由Windows2000系列、Windows XP 专业版以及提供的透明的文件加密服务,它是以公共密钥加密为基础,使用了Windows中的CryptoAPI架构。
EFS可以使文件具有机密性但不提供完整保护。
EFS提供可选的数据恢复能力,系统管理员可以恢复另一用户加密的数据。
EFS也可以实现多用户(当然是被许可的用户)共享存取一个已经加密的数据。
EFS加密的优点用户加密或解密文件或文件夹非常方便。
访问加密的文件快且容易。
如果用户持有一个已加密的 NTFS 文件的私钥,那么用户能够打开这个文件,并透明地将该文件作为普通文档使用,反之,用户会被拒绝对文件的访问。
而并不像第三方加密软件一样在每次存取时都要求输入密码。
加密后的数据无论怎样移动都保持加密状态(前提要在NTFS分区下移动,在Windows 2000/XP以及系统中,如果试图把一个EFS加密文件移动或复制到FAT/FAT32分区会遭到拒绝)。
EFS 与 NTFS 紧密地集成在一起。
当创建临时文件时,只要所有文件在 NTFS 卷上,原始文件的属性就会被复制到临时文件中。
如果加密了一个文件,EFS 也会将其临时文件进行加密。
EFS 驻留在操作系统内核中,并且使用不分页的池存储文件加密密钥,保证了密钥不会出现在分页文件中。
这防止了一些应用程序在创建临时文件时泄密。
通过EFS加密敏感性文件,会增加更多层级的安全性防护。
在加密文件时,即使黑客已完全存取电脑的文件储存体,其文件仍然受到保护。
在Windows XP/ 中,EFS可处理脱机文件和文件夹。
EFS的技术结构与原理密钥和证书 EFS采用基于公钥的方案实现数据加密或解密,它使用标准x509证书,每一个受保护的文件都是被一个使用带有一定长度的文件加密密钥(FEK)的快速对称加密算法加密的(FEK的长度由算法或法则决定)。
一个用户要访问一个已加密的文件,他必须拥有与公钥相适应的私钥。
Windows系统自带的EFS文件加密系统简单介绍
Windows系统自带的EFS文件加密系统简单介绍indows系统自带的EFS文件加密系统简单介绍是系统天下xp系统盘下载站为方便大家遇到此问题能及时解决此问题而整合收集而来。
本站收集了各种[操作系统]优化教程,如xp系统优化教程,win7系统优化教程,xp系统工具的使用方法,操作系统入门教程等方便网友及时找到需要的教程。
Windows系统为用户提供了加密文件系统(EFS)和BitLocker驱动器加密功能,用于保障计算机中的数据安全。
其中,加密文件系统可以加密NTFS文件系统格式磁盘中的文件或文件夹。
BitLocker驱动器加密功能用于加密整个驱动器中的文件和文件夹,可以更好地保护计算机中的数据。
除此之外,还可以借助第三方工具来加密计算机中的信息,以便用户放心存储和管理自己的文件。
加密文件系统( Encrypting File System)简称EFS,它是Windows系统中的一项实用功能,可以将计算机中使用NTFS文件系统格式磁盘中的文件或文件夹以加密格式进行存储,提高所存储数据的安全性。
如果要保护文件或文件夹中的内容,进行加密是一个不错的选择。
在加密文件或文件夹时,注意备份加密证书和加密密钥,确保将其存储到一个比较安全的位置。
如果丢失或损坏了加密证书和加密密钥,将不能继续使用已经加密的文件或文件夹。
在加密的文件夹窗口中,使用彩色文字显示加密或压缩的NTFS 文件。
只有具有正确密钥的用户才可以查看加密的文件或文件夹。
如果使用其他用户账户登录Windows.在打开的加密文件夹窗口中不会再显示图片的缩略图,双击加密文件夹窗口中的图片文件,Windows照片查看器将无法打开该图片文件,因为没有访问该文件的正确权限。
提示:如果将加密的文件或文件夹移动到不使用NTFS文件系统的计算机或驱动器中,则该文件或文件夹将被解密。
为了防止计算机中的文件或文件夹被未经许可的用户访问,可以对该文件或文件夹进行加密操作。
加密文件系统概述 (EFS)
加密文件系统概述 (EFS)
1、概念: 加密文件系统 (EFS) 提供一种核心文件加密技术,该技术用于在 NTFS 文件系统卷上存储已加密的文件。 一旦加密了文件或文件夹,您就可以象使用其他文件和文件夹一样使用它们。 对加密该文件的用户,加密是透明的。这表明不必在使用前手动解密已加密的文件。您可以正常打开和更 改文件。 注:文件和文件夹上的权限不能防止未授权的物理攻击。 2、EFS的几个注意事项: 只有 NTFS 卷上的文件或文件夹才能被加密。 被压缩的文件或文件夹不可以加密。如果用户标记加密一个压缩文件或文件夹,则该文件或文件夹将会 被解压。 如果将加密的文件复制或移动到非 NTFS 格式的卷上,该文件将会被解密。 如果将非加密文件移动到加密文件夹中,则这些文件将在新文件夹中自动加密。然而,反向操作不能自 动解密文件。文件必须明确解密。 无法加密标记为“系统”属性的文件,并且位于 systemroot 目录结构中的文件也无法加密。 加密文件夹或文件不能防止删除或列出文件或文件夹表。具有合适权限的人员可以删除或列出已加密文 件或文件夹表。因此,建议结合 NTFS 权限使用 EFS。 在允许进行远程加密的远程计算机上可以加密或解密文件及文件夹。然而,如果通过网络打开已加密文 件,通过此过程在网络上传输的数据并未加密。必须使用诸如单套接字层/传输层安全 (SSL/TLS) 或 Internet 协议安全 (IPSec) 等其它协议通过有线加密数据。
加密文件系统概述 (EFS)
3、使用
加密文件或文件夹 • 打开 Windows 资源管理器。 • 右键单击要加密的文件或文件夹,然后单击“属性”。 • 在“常规”选项卡上
EFS文件加密系统知识详解
/D 将指定的目录解密。会标记目录,这样随后添加的文件就不会被加密。
/E 将指定的目录加密。会标记目录,这样随后添加的文件就会被加密。
/F 强制在所有指定的对象上进行加密操作,即使这些对象已经被加密。默认地会跳过已经加密的对象。
EFS(Encrypting File System,加密文件系统)是Windows 2000及以上Windows版本中,磁盘格式为NTFS的文件加密。
(1)什么是EFS加密
EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK(File Encryption Key,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。随后系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据。如果你登录到了域环境中,密钥的生成依赖于域控制器,否则依赖于本地机器。
STEP4:在“开始→运行”输入“gpedit.msc”,打开组策略编辑器,在“计算机配置→Windows设置→安全设置→公钥策略→正在加密文件系统”下,右击弹出右键菜单,选择“添加数据恢复代理”,打开“添加故障恢复代理向导”打开magic.cer,然后按几次下一步就完成了恢复代理的设置。最后,就可以用magic这个用户名解密加密的文件了。
(4)禁止EFS加密
如果你想设置禁止加密某个文件夹,可以在这个文件夹中创建一个名为“Desktop.ini”的文件,然后用记事本打开,并添加如下内容: [Encryption] Disable=1 之后保存并关闭这个文件。这样,以后要加密这个文件夹的时候就会收到错误信息,除非这个文件被删除。 而如果你想在本机上彻底禁用EFS加密,则可以通过修改注册表实现。在运行中输入“Regedit”并回车,打开注册表编辑器,定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS,在“编辑”菜单上点击“新建-Dword值”,输入“EfsConfiguration”作为键名,并设置键值为“1”,这样本机的EFS加密就被禁用了。而以后如果又想使用时只需把键值改为“0”。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
加密文件系统概述 (EFS)
1、概念: 加密文件系统 (EFS) 提供一种核心文件加密技术,该技术用于在 NTFS 文件系统卷上存储已加密的文件。 一旦加密了文件或文件夹,您就可以象使用其他文件和文件夹一样使用它们。 对加密该文件的用户,加密是透明的。这表明不必在使用前手动解密已加密的文件。您可以正常打开和更 改文件。 注:文件和文件夹上的权限不能防止未授权的物理攻击。 2、EFS的几个注意事项: 只有 NTFS 卷上的文件或文件夹才能被加密。 被压缩的文件或文件夹不可以加密。如果用户标记加密一个压缩文件或文件夹,则该文件或文件夹将会 被解压。 如果将加密的文件复制或移动到非 NTFS 格式的卷上,该文件将会被解密。 如果将非加密文件移动到加密文件夹中,则这些文件将在新文件夹中自动加密。然而,反向操作不能自 动解密文件。文件必须明确解密。 无法加密标记为“系统”属性的文件,并且位于 systemroot 目录结构中的文件也无法加密。 加密文件夹或文件不能防止删除或列出文件或文件夹表。具有合适权限的人员可以删除或列出已加密文 件或文件夹表。因此பைடு நூலகம்建议结合 NTFS 权限使用 EFS。 在允许进行远程加密的远程计算机上可以加密或解密文件及文件夹。然而,如果通过网络打开已加密文 件,通过此过程在网络上传输的数据并未加密。必须使用诸如单套接字层/传输层安全 (SSL/TLS) 或 Internet 协议安全 (IPSec) 等其它协议通过有线加密数据。
加密文件系统概述 (EFS)
3、使用
加密文件或文件夹 • 打开 Windows 资源管理器。 • 右键单击要加密的文件或文件夹,然后单击“属性”。 • 在“常规”选项卡上,单击“高级”。 • 选中“加密内容以便保护数据”复选框。 注意 在加密单个文件时,系统将询问是否要同时加密包含它的文件夹。如果选择这么做,所有将来添 加进文件夹中的文件和子文件夹都将在添加时自动加密。 在加密文件夹时,系统将询问是否要同时加密文件夹内的所有文件和子文件夹。如果选择这么做, 那么文件夹中当前的和将来要添加的所有文件或子文件夹都将被加密。如果选择仅加密文件 夹,则文件夹中当前所有文件和子文件夹将不加密。然而,任何将来被加入文件夹的文件和 子文件夹在加入时均被加密。 命令行:cipher