从Windows 2000开始,在NTFS文件系统的分区上,Windows就可以帮助你加密文件了。方法是,在你想加密的文件或文件夹上点击鼠标右键,点击“属性”,在属性的“常规”选项卡上点击“高级”按钮,会弹出一个窗口,选中窗口中的“加密内容以便保护数据”就可以实现在NTFS卷上对文件的加密。
这被称作为EFS(Encrypting File System,加密文件系统)。这种加密的好处是,加密的过程是完全透明的,也就是说,如果你加密了这些文件,你对这些文件的访问将完全允许(并不需要你输入密码,因为验证过程在你登录Windows的时候就进行了),而其它人则不能访问或者移动这些数据。
现在问题来了,昨天,你的Windows突然崩溃,在无计可施的情况下你只能选择重装系统,接下来一切进行的很顺利,可是你突然发现原来被加密过的数据已经打不开了。你可能想当然地认为,只要再建立一个跟原来加密时相同的用户名和密码,用那个新建的用户就可以打开。可是遗憾的是,你想错了。如果你的电脑是单机环境或者在工作组中,你的数据就已经永远打不开了。只有在域环境下,你才可以得到域管理员的帮助,解密这些文件。
SID(Security Identifier)安全标示符
原因是这样的,当你使用EFS加密后,系统会根据你的SID(Security Identifier,安全标示符)自动生成一个密钥,而你如果要解密这些文件就需要使用到这个密钥。对于系统而言,并不是根据用户名来区别不同的用户,而是根据SID,这个SID是唯一的。SID和用户名的关系跟人的姓名和身份证号码的关系是一样的。虽然有同名同姓的人,但是他们的身份证号码绝对不会相同;虽然有相同的用户名(指网络上的,因为本地用户不能有相同的用户名),但是他们的SID是绝对不同的。这也就解释了为什么重装系统后即使使用之前的用户名和密码登陆也不能打开以前的加密文件。
制作Ghost XP光盘,删除了“母机”上的驱动程序,还不能说已经马到成功。这是因为每一台计算机都有一个惟一的安全标识符(SID: security identifier),如果直接把磁盘映像复制到其他计算机上,那么其他计算机都有会具有同样的SID,所以需要用Sysprep工具去除“母机”的SID,从而强迫目标计算机产生新的SID。
EFS(Encrypting File System)加密文件解密问答
我的加密文件已经打不开了,我能够把NTFS分区转换成FAT32分区来挽救我的文件吗? 这当然是不可能的了。很多人尝试过各种方法,例如把NTFS分区转换成FAT32分区;用NTFS DOS之类的软件到DOS下去把文件复制到FAT32分区等,不过这些尝试都以失败告终。毕竟EFS是一种加密,而不是一般的什么权限之类的东西,这些方法对付EFS加密都是无济于事。而如果你的密钥丢失或者没有做好备份,那么一旦发生事故所有加密过的数 据就都没救了。
我加密数据后重装了操作系统,现在加密数据不能打开了。如果我使用跟前一个系统相同的用户名和密码总应该就可以了吧?答案当然是否定的,重新创建的用户虽然与以前用户同名,但是系统却不会分配相同的SID(记住,不可能存在相同SID!除非是克隆系统),因此密钥也不同,加密的文件自然就无法打开了。
我只是用Ghost恢复了一下系统,用户账户和相应的SID都没有变,怎么以前的加密文件也打不开了? 这也是正常的,因为EFS加密所用到的密钥并不是在创建用户的时候生成,而是在你第一次用EFS加密文件的时候。如果你用Ghost创建系统的镜像前还没有加密过任何文件,那你的系统中就没有密钥,而这样的系统制作的镜像当然也就不包括密钥。一旦你加密了 文件,并用Ghost恢复系统到创建镜像的状态,解密文件所用的密钥就丢失了。因此这个问题一定需要注意!
Q: hzpkww : 对了,听说在SP2中的远程桌面里面可以两用户同时登陆?现在RC2里面没有看到,但听说修改注册表可以实现,是真的么?SP2正式版中可以实现吗?
A:从目前来说,EFS加密是非常可靠的,尽管有一些产品声称可以破解EFS加密,这也是在本地计算机上有
密钥的情况下的一种有限破解
Q:上面的问题 Nir2003_NC : 据说可以通过制作硬碟镜像的方法提取
NTSF中加密的文件,请问是否确有此事?如果有,企业用户应该如何防范?
Q:hzpkww : 对了,听说在SP2中的远程桌面里面可以两用户同时登陆?现在RC2里面没有看到,但听说修改注册表可以实现,是真的么?SP2正式版中可以实现吗?
A:从目前微软官方的资料上来看还没有说明SP2中的远程桌面里面可以两用户同时登陆
所以在重装系统之前最好能把加密的数据全部解密。然而,为了应付突发的系统崩溃,就需要你备份好你的密钥,这样系统崩溃后只要重装系统,并导入你的密钥,就可以继续使用之前的加密文件了。
加密后如果需要删除密钥,单击“开始→运行”命令,在打开的运行对话框中输入“certmgr.msc ”后按下回车键,打开证书管理器。在“当前用户→个人→证书”分支下,删除所有的密钥文件,重启电脑即可。
备份密钥的方法
在运行中输入“certmgr.msc”并回车,打开证书管理器,在 “当前用户”-“个人”-“证书”目录下,用鼠标右键点击颁发给你的证书,在“所有任务”中点击“导出”,并选择“Export The Private Key”(导出私钥),其它选项按照默认设置。输入该用户的密码和保存路径就可以了。 a28F\临时文件夹\我换系统
在重装了系统之后,照旧运行certmgr.msc,并在“所有任务”中选择导入,选择好之的证书,然后按照向导,就可以完成对密钥的导入。或者直接在导出的pfx文件上点击鼠标右键,选择“安装PFX”。这时,你的加密数据已经可以访问了。
打开与读写原理
EFS拥有四个主要的操作:打开、读、写以及转换文件。由于EFS被设计成为透明的,对于打开、读取、写入已加密文件便与操作普通文件没有任何区别:应用程序仍然使用普通的Win32 APIs。应用程序使用CreateFile()或者OpenFile() 来打开已加密的文件;用ReadFile()、ReadFileEx()以及ReadFileScatter()来读取已加密的文件;用WriteFile()、WriteFileEx()、WriteFileScatter()来写入已加密的文件。
数据恢复
EFS具有数据恢复能力,当用户的密钥损坏或丢失时EFS数据恢复便可以恢复已经加密的文件。系统管理员可以在恢复代理策略、空恢复策略以及无恢复策略中选择一种恢复策略。在域中,当设置首域控制器时,Windows执行该域默认故障恢复策略。恢复代理策略是指系统管理员添加了一个或多个恢复代理。这些代理在管理范围中恢复任何已加密数据都是可受响应的。空恢复策略是指系统管理员删除了所有的恢复代理以及他们的公钥证书。(*EFS不允许管理员在Windows2000中选择此设置。)所谓的无恢复策略是指系统管理员删除了恢复策略的私钥,这时没有私钥是可用的,所以不可能使用恢复代理,并且EFS的恢复也是不可用的。在独立的机器上,初始是没有恢复策略的,独立计算机的系统管理员可以修改EFS恢复策略,并且可以向恢复策略添加或创建恢复证书。
需要注意的是,EFS加密可以在Windows 2000和Windows XP Professional中使用,Windows XP Home不支持EFS加密。
评论