恢复用EFS加密的文件或文件夹
实训目的………………………………………………………………………页数
实训主要内容…………………………………………………………………页数
原理概述………………………………………………………………………页数
操作过程………………………………………………………………………页数
操作过程中遇到的主要问题…………………………………………………页数
解决问题的方法………………………………………………………………页数
得出的结论……………………………………………………………………页数
实训目的:
了解EFS的特征,掌握恢复EFS加密的文件或文件夹的方法。
实训主要内容:
用EFS加密一个文件或者文件夹,通过“添加授权用户”、“设置恢复代理”、“导入、导出证书”三种方式使得另外一个账户也可以同时访问这个文件或文件夹。
原理概述:
EFS使用对称密匙加密算法和公用密匙加密算法结合起来保护文件.文件数据使用对称加密算法(DESX)加密.在对称加密算法中使用的密匙叫做文件加密密匙.英文是File Encryption Key (FEK).EFS使用公有/私有密匙算法加密FEK,同时把它和文件存储在一起.同时使用对称密匙加密算法和公有密匙加密算法是为了增加加密的速度.非对称加密算法加密数量很大的数据时要花费很多的时间,但使用对称的加密算法将是它的1000倍.当加密一个文件的时候,NTFS首先在这个文件所在卷的卷信息目录下(这个目录隐藏在根目录下面)创建一个叫做fs0.log的日志文件.然后EFS用CryptoAPI设备环境.设备环境使用Microsoft Base CryptographicProvider 1.0 产生密匙,当打开这个设备环境后,EFS产生文件加密密匙(FEK).下一步是获取公有/私有密匙对;如果这个密匙还没有的话(当EFS第一次被调用时),EFS产生一对新的密匙.EFS使用1024位的RSA算法去加密FEK.然后,EFS为当前用户创建一个数据解密快Data Decryptong Field(DDF),在这里存放FEK然后用公有密匙加密FEK.如果系统设置了加密的代理,EFS同时会创建一个数据恢复快Data Recovery Field(DRF),然后把使用恢复代理密匙加密过的FEK放在DRF.每定义一个恢复代理,EFS将会创建一个Data Recovery gent(DRA).Winxp没有恢复代理这个功能,所以没有这一步.这时,在加密文件所在的文件夹下将会创建一个叫做Efs0.tmp的临时文件.要加密的内容被拷贝到这个临时文件,然后原来的文件被加密后的数据覆盖.在默认的情况下,EFS使用128位的DESX算法加密文件数据,但是Windows还允许使用更强大的的168位的3DES算法加密文件,这是FIPS算法必须打开,因为在默认的情况下它是关闭的,EFS通过注册表去判断是使用DESX还是3DES.如果毕业论文www.751com.cn HKLM\SYSTEM\CurrentControlSet\Control\LSA\FipsAlgorith-mPolicy = 1 的话将会使用3DES.否则,EFS检查HKLM\Software\Microsoft\WindowsNT\CurrentVersion\EFS\A-lgorithmID (这个值可能不存在);如果存在的话,它将会是CALG_3DES or CALG_DESX,否则,使用DESX.加密完成后,临时文件和日志文件被删除.文件被加密后,只有可以从DDF或是DRF中解密出FEK的用户才可以访问文件.这种机制和一般的安全机制不同并意味着要想访问文件,除了要有访问这个文件的权力外还必须拥有被用户的公有密匙加密过的FEK.只有使用私有密匙解密文件的用户才可以访问文件.这样的话会有一个问题:就是一个可以访问文件的用户可把文件加密之后,文件真正的拥有者却不能访问文件.解决这个问题的办法:用户加密文件的时候只创建一个文件解密快Data Decryp-tion Field(DDF),但是只后他可以增加附加用户到密匙队列.这种情况下,EFS简单地把FEK用想给其他用户访问权的用户的私有密匙加密.然后用这些用户的公有密匙加密FEK,新增加的DDF和第一个DDF放在一起(这些新增加的用户对文件只有访问的权力).解密过程和加密过程是相反的。
操作过程:
加密文件:
在NTFS格式的磁盘上选择要加密的文件,右击选择“属性”,在“属性”对话框中的“常规”选项卡下选择“高级”选项,在弹出的对话框中选则“加密以便保护数据”,然后确定。如下图:
加密成功后,可以看到文件名变为绿色字体。同样的方法可以设置文件夹加密。
解密时按上述方法将“加密文件以保护数据”前的勾去掉即可。
1、添加授权用户使另一个用户也能访问这个文件
(1)、右击已加密的文件,选择“属性”,在“属性”对话框中的“常规”选项卡下选择“高级”选项,单击“高级”选项中的“加密内容以便保护数据”选项后面有一个选项“详细信息”,单击进入。
(2)、在弹出的对话框中“可透明访问这个文件的用户”列表中选择“添加”按钮,在弹出的对话框中的用户列表中选择要添加的用户。如下图:
(4)、单击“确定”即可添加到可透明访问这个文件的列表中。如下图:
、导入、导出证书使另一个用户也能访问这个文件
导出证书:
(1)、打开“开始”菜单,单击“运行”,打开“运行”对话框,输入“certmgr.msc”并回车,打开证书控制台。
(2)、在“证书控制台”窗口左侧的树形图中依次展开到“证书当前用户” “个人” “证书”,随后在右侧窗格中会看到当前用户所有的个人证书。
(3)、找到要备份的证书后,在该证书上单击鼠标右键,指向“所有任务”,选择“导出”,这将打开“证书导出”向导。
(4)、在向导的第一个界面上单击“下一步”,随后向导会询问是否导出私钥。因为我们需要备份该证书,方便日后恢复系统时解密文件,因此这里一定要选择“是,导出私钥”,然后单击“下一步”。
(5)、随后可以看到“导出文件格式”对话框。
因为是用于加密文件系统的证书,因此证书的格式不可选择,使用默认选项即可。这里可以另外一个选项“如果导出成功,删除密钥”。选中该选项后,系统会在成功导出证书后自动将当前系统里的密钥删除,这样加密的文件就无法被任何人访问了。对于安全性要求较高的文件,我们可以把导出的证书利用U盘等移动设备保存并随身携带,只在需要的时候才导入到系统中,平时系统中不保留证书,这样可以进一步防止他人在未经授权的前提下访问机密数据。我们在里不选择该项。采用默认选项单击 “下一步”。
(6)、 单击“浏览”按钮,为导出的证书选择一个保存路径和名称,这里选择“桌面\lisuchao”,单击“下一步”。
(7)、复查所有设置,如果觉得一切无误,就可以单击“完成”按钮,完成导出操作。如下图所示:
导入证书:
选择相应的证书文件,双击安装,根据提示单击“下一步”,在此过程中要输入密码,因为这里我们导出是未设置,因此不必输入,可直接单击“下一步”,直到完成。如下图:
3、设置恢复代理使另一个用户也能访问这个文件
(1)、用要设为恢复代理的账户登录本地计算机。
(2)、在NTFS磁盘选择一个要设置恢复代理的文件或文件夹。例如在C盘根目录下的一个lisuchao.txt文本文件。
(3)、在“开始”—“运行”中输入“CMD”然后回车,打开命令提示行窗口,在命令提示符后输入“cipher /r:c:\lisuchao.txt”,回车后系统还会询问你是否用密码把证书保护起来,输入密码后回车,如果不需要密码保护就直接按回车。
完成后在C盘上设置显示所有文件的扩展名,可以在C盘的根目录下发现新增了lischao.txt.cer和lisuchao.txt.pfx两个文件,如下图:
(4)、开始设置恢复代理。
双击lisuchao.txt.pfx文件,按提示导入安装,直到完成,完成后会提示“导入成功”,如图:
安装lisuchao.txt.cer时,在“开始”—“运行”中用“gpedit.msc”命令打开组策略编辑器。在左侧树形结构中依次打开“计算机配置-Windows设置-安全设置-公钥策略-正在加密文件系统”菜单下,在右侧窗口的空白处点击鼠标右键,并选择“添加数据恢复代理”,然后会出现“添加故障恢复代理向导”按照这个向导打开lisuchao.txt.cer,如果一切无误就可以看见如下界面,这说明我们已经把本机的lisuchao设置为故障恢复代理。1049