作者:东软安全服务小组 选自<<东软安全培训课程教材>>
加密文件系统 (EFS) 提供一种核心文件加密技术,该技术用于在 NTFS 文件系统卷上存储已加密的文件。加密了文件或文件夹之后,您还可以像使用其他文件和文件夹一样使用它们。加密对加密该文件的用户是透明的。这表明不必在使用前手动解密已加密的文件,您就可以正常打开和更改文件。使用 EFS 类似于使用文件和文件夹上的权限。两种方法都可用于限制数据的访问。然而,未经许可对加密文件和文件夹进行物理访问的入侵者将无法阅读这些文件和文件夹中的内容。如果入侵者试图打开或复制已加密文件或文件夹,入侵者将收到拒绝访问消息。文件和文件夹上的权限不能防止未授权的物理攻击。正如设置其他任何属性(如只读、压缩或隐藏)一样,通过为文件夹和文件设置加密属性,可以对文件夹或文件进行加密和解密。如果加密一个文件夹,则在加密文件夹中创建的所有文件和子文件夹都自动加密。推荐在文件夹级别上加密。下面就介绍一种在WINDOWS环境中的利用EFS系统加密重要文件夹的实际应用例子:
选中一个文件或者是文件夹选择文件夹属性选择。
在高级属性中选中加密内容以便保护数据的选择框,然后确定。
系统会自动的把加密属性应用到此文件夹下的所有文件。
下一步非常重要的步骤是备份我们在系统中生成的密钥证书,在开始执行的命令菜单中执行certmgr.msc,可以看到个人证书下面多了一份当前管理员的个人证书,我们选中证书用右键选择证书导出。
选择导出证书包含私钥信息。
和PGP软件类似的是都要给私钥设置一个保护的访问口令
然后选择在证书管理器中删除这份证书,必须要注销一次系统当前的登陆状态后证书才会实际消失作用。
重新登陆系统后再访问刚才设置加密的文件夹访问里面的文件的时候就会显示访问错误,文件都无法打开,但是需要注意的是这时候管理员仍然有删除文件的权限,重新把保存好的证书安装回本地系统,再去访问刚才无法访问的文件的时候就发现已经可以正常访问了,以后管理员为了防止自己不在的时候重要文件被其他人获取到的话就可以利用这种方式把自己的密钥文件随身放在一个U盘中很小才几K而已,需要访问重要文件的时候把密钥文件导入到系统中去,访问结束后把密钥文件在证书管理器中删除然后注销系统当前登陆,这样以后其他人即使用管理员的身份登陆只要他没有管理员的密钥文件就无法查看哪些重要的保密文件了,需要注意的是对于加密的文件如果当前密钥文件被导入状态的时候加密解密都是自动透明完成的,如果用邮件或者拷备的方式到其他计算机加密的属性就自动解密了,EFS技术虽好但是只能用于文件的本地保护。
在使用加密文件和文件夹时,请记住下列信息:
. 只有 NTFS 卷上的文件或文件夹才能被加密。
. 不能加密压缩的文件或文件夹。如果用户加密某个压缩文件或文件夹,则该文件或文件夹将会被解压。
. 如果将加密的文件复制或移动到非 NTFS 格式的卷上,该文件将会被解密。
. 如果将非加密文件移动到加密文件夹中,则这些文件将在新文件夹中自动加密。然而,反向操作则不能自动解密文件。文件必须明确解密。
. 无法加密标记为“系统”属性的文件,并且位于 systemroot 目录结构中的文件也无法加密。
. 加密文件夹或文件不能防止删除或列出文件或目录。具有合适权限的人员可以删除或列出已加密文件夹或文件。因此,建议结合 NTFS 权限使用 EFS。
. 在允许进行远程加密的远程计算机上可以加密或解密文件及文件夹。然而,如果通过网络打开已加密文件,通过此过程在网络上传输的数据并未加密。必须使用诸如 SSL/TLS(安全套接字层/传输层安全性)或 Internet 协议安全性 (IPSec) 等其他协议通过有线加密数据。
东软网络安全 微信号:Neusoft_NetEye
