Windows的EFS加密.ppt

Windows中的文件加密EFS
EFS (Encrypting File System)
操作系统用来加密NTFS格式卷上的文件和数据,提高了数据的安全性。

EFS工作原理-对称与非对称结合
EFS的优点
EFS是操作系统自带;
对用户是透明的;如果你加密了一些数据,那么你对这些数据的访问将是完全允许的,并不会受到任何限制;而其他非授权用户试图访问加密过的数据时-“访问拒绝”
EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。
SID(security identifier )
是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的 SID。
在通常的情况下SID是唯一的,他由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。
公钥、私钥对产生
公钥、私钥对并不是在创建用户的时候生成;
而是第一次用EFS加密文件的时候,操作系统就会根据加密者的SID生成该用户的公钥、私钥对。
加强EFS的安全-
删除私钥以后,攻击者就没有办法访问EFS加密文件了,
而我们需要访问时,只需导入先前备份的证书和私钥即可。
EFS应用问题
如果把未加密的文件复制到具有加密属性的文件夹中,这些文件将会被自动加密。
若是将加密数据移出来,如果移动到NTFS分区上,数据依旧保持加密属性;如果移动到FAT分区上,这些数据将会被自动解密。
被EFS加密过的数据不能在Windows中直接共享。如果通过网络传输经EFS加密过的数据,这些数据在网络上将会以明文的形式传输。
NTFS分区上保存的数据还可以被压缩,不过一个文件不能同时被压缩和加密。
Windows的系统文件和系统文件夹无法被加密。
EFS结合NTFS的权限
备份密钥的重要性
加密数据后重装操作系统,现在加密数据不能打开了。如果使用跟以前一个系统相同的用户名和密码可以打开?
安装操作系统后Ghost做了备份,然后才使用EFS加密,几个月后,用Ghost恢复了一下系统,用户账户和相应的SID都没有变,以前的加密文件可以打开吗?
用户被删除或者系统重装后,还能可能够恢复EFS加密的数据吗?