最近论坛老是有网友问EFS的问题,主要是数据恢复的问题,因此总结了一下EFS的相关问题及注意事项,给大家参考。
本文涉及大量图例,如有网友按照图例学习,实验,请使用“新建文件夹”和“新建文件”来实验,因为涉及数据加解密,有造成数据丢失的可能,小心。一、名词解释
安全标识符(SID,“安全ID”):是来识别用户、组和计算机帐户的标志符。在第一次创建一个帐户时,windows系统将给每一个帐户发布一个唯一的 SID。Windows 中的内部进程通过帐户的 SID 而不是帐户的名字来区别账户。相当于人的身份证号码,一些严肃的场合,我们通过身份证号码来区分不同的人而不是通过姓名来区分。要注意的是,如果一个账户被错误删除了,即使重建一个相同名字的账户,其SID也和被删除账户的SID不同,对计算机来说,这仍然是两个不同的账户。
加密:通过某个函数或方法对正常数据进行运算,使其看起来没有意义的过程。其反过程称为解密。
NTFS 文件系统:一种高级文件系统,提供了性能、安全、可靠性以及未在任何 FAT 版本中出现的高级功能。例如,NTFS 通过使用标准的事务处理记录和还原技术来保证卷的一致性。如果系统出现故障,NTFS 将使用其日志文件和检查点信息来恢复文件系统的一致性。NTFS 还可以提供诸如文件和文件夹
权限、加密、磁盘配额和压缩之类的高级功能。
EFS(encrypting file system,文件加密系统):加密文件系统 (EFS) 提供一种核心文件加密技术,该技术用于在 NTFS 文件系统卷上存储已加密的文件。加密了文件或文件夹之后,您还可以像使用其他文件和文件夹一样使用它们。
加密对加密该文件的用户是透明的。这表明不必在使用前手动解密已加密的文件,您就可以正常打开和更改文件。使用 EFS 类似于使用文件和文件夹上的权限。两种方法都可用于限制数据的访问。然而,未经许可对加密文件和文件夹进行物理访问的入侵者将无法阅读这些文件和文件夹中的内容。如果入侵者试图打开或复制已加密文件或文件夹,入侵者将收到拒绝访问消息。文件和文件夹上的权限不能防止未授权的物理攻击。
正如设置其他任何属性(如只读、压缩或隐藏)一样,通过为文件夹和文件设置加密属性,可以对文件夹或文件进行加密和解密。如果加密一个文件夹,则在加密文件夹中创建的所有文件和子文件夹都自动加密。推荐在文件夹级别上加密。
公钥(public key):EFS中公钥是一个运算函数,其作用就是用来加密数据,就相当于一把锁。这把锁可以放置在internet上,让别人使用这把锁来加密数据然后传给锁的主人。任何人都可以看到并使用这把锁来加密数据,但是如果没有锁的钥匙就打不开锁,因此看不到锁住以后的数据内容,所以公钥暴露在公共场所并没有安全性的问题。
私钥(private key):对应公钥一对一对存在,其实就是用来开锁的钥匙。私钥不能随便泄露,如果私钥被盗或者被复制,那么别人使用你的公钥加密的数据如果传输时被拦截,就很容易被解密了。同理,如果我们自己的私钥损坏或者丢失了,那么我们同样不能打开这把锁,也即是不能对接收到的别人已经用我的公钥加密了的数据进行解密了,这种情况下,我们必须重新购买锁和对应的钥匙,也就是需要重新申请一对公钥和私钥。
恢复代理(recovery agent):另外一个有私钥的用户。为了放置私钥损坏或丢失,我们把私钥存放在另外一个人那里,这人就是恢复代理。当然,存放我私钥的人必须是我信任的人。同样EFS中也是采用类似的解决方法,也就是我们常常说到的恢复代理和恢复代理的证书。
二、使用加密文件和文件夹时的注意事项:
只有 NTFS 卷上的文件或文件夹才能被加密。由于 WebDAV 使用 NTFS,当通过 WebDAV(Web 分布式创作和版本控制)加密文件时需用 NTFS。
不能加密压缩的文件或文件夹。如果用户加密某个压缩文件或文件夹,则该文件或文件夹将会被解压。换句话说,数据的压缩和加密只能选其一。
如果将加密的文件复制或移动到非 NTFS 格式的卷上,该文件将会被解密。(压缩也一样)
如果将非加密文件移动到加密文件夹中,则这些文件将在新文件夹中自动加密。然而,反向操作则不能自动解密文件。文件必须明确解密,除非移动到非NTFS的卷上。
无法加密标记为“系统”属性的文件,并且位于 %systemroot% 目录结构中的文件也无法加密。
加密文件夹或文件不能防止删除或列出文件或目录。具有合适权限的人员可以删除或列出已加密文件夹或文件。因此,
建议结合 NTFS 权限使用 EFS。 在允许进行远程加密的远程计算机上可以加密或解密文件及文件夹。然而,如果通过网络打开已加密文件,
通过此过程在网络上传输的数据并未加密。必须使用诸如 SSL/TLS(安全套接字层/传输层安全性)或 Internet 协议安全性 (IPSec) 等其他协议通过有线加密数据。但 WebDAV 可在本地加密文件并采用加密格式发送。
三、开始动手了
在NTFS分区上新建文件夹,在新建文件夹中新建一个文本文件,随便输入一些字符: 本贴包含图片附件:
(续。。。。。。。。)
本文于2005-05-10 11:46:07.521被grathene第2次修改。