Windows中EFS加密及解密应用
生活随笔
收集整理的這篇文章主要介紹了
Windows中EFS加密及解密应用
小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
Windows中EFS加密及解密應(yīng)用<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
Windows 2000/XP/Server 2003都配備了EFS(Encrypting File System,加密檔案系統(tǒng)),它可以幫助您針對(duì)存儲(chǔ)在NTFS磁盤卷上的文件和文件夾執(zhí)行加密操作。如果硬盤上的文件已經(jīng)使用了EFS進(jìn)行加密,即使***能訪問到你硬盤上的文件,由于沒有解密的密鑰,文件也是不可用的。
EFS加密基于公鑰策略。在使用EFS加密一個(gè)文件或文件夾時(shí),系統(tǒng)首先會(huì)生成一個(gè)由偽隨機(jī)數(shù)組成的FEK(File Encryption Key,文件加密鑰匙),然后將利用FEK和數(shù)據(jù)擴(kuò)展標(biāo)準(zhǔn)X算法創(chuàng)建加密后的文件,并把它存儲(chǔ)到硬盤上,同時(shí)刪除未加密的原始文件。接下來系統(tǒng)利用你的公鑰加密FEK,并把加密后的FEK存儲(chǔ)在同一個(gè)加密文件中。而在訪問被加密的文件時(shí),系統(tǒng)首先利用當(dāng)前用戶的私鑰解密FEK,然后利用FEK解密出文件。在首次使用EFS時(shí),如果用戶還沒有公鑰/私鑰對(duì)(統(tǒng)稱為密鑰),則會(huì)首先生成密鑰,然后加密數(shù)據(jù)。如果你登錄到了域環(huán)境中,密鑰的生成依賴于域控制器,否則它就依賴于本地機(jī)器。
說起來非常復(fù)雜,但是實(shí)際使用過程中就沒有那么麻煩了。EFS加密的用戶驗(yàn)證過程是在登錄Windows時(shí)進(jìn)行的,只要登錄到Windows,就可以打開任何一個(gè)被授權(quán)的加密文件。換句話說,EFS加密系統(tǒng)對(duì)用戶是透明的。這也就是說,如果你加密了一些數(shù)據(jù),那么你對(duì)這些數(shù)據(jù)的訪問將是完全允許的,并不會(huì)受到任何限制。而其他非授權(quán)用戶試圖訪問你加密過的數(shù)據(jù)時(shí),就會(huì)收到“訪問拒絕”的錯(cuò)誤提示(圖1)。
? 圖1
如果把未加密的文件復(fù)制到經(jīng)過加密的文件夾中,這些文件將會(huì)被自動(dòng)加密。若是將加密數(shù)據(jù)移出來,如果移動(dòng)到NTFS分區(qū)上,數(shù)據(jù)依舊保持加密屬性。被EFS加密過的數(shù)據(jù)不能在Windows中直接共享。如果通過網(wǎng)絡(luò)傳輸經(jīng)EFS加密過的數(shù)據(jù),這些數(shù)據(jù)在網(wǎng)絡(luò)上將會(huì)以明文的形式傳輸。NTFS分區(qū)上保存的數(shù)據(jù)還可以被壓縮,但是一個(gè)文件不能同時(shí)被壓縮和加密。再有,Windows的系統(tǒng)文件和系統(tǒng)文件夾無法被加密。
要提醒大家的是:要使用EFS加密功能,首先要保證操作系統(tǒng)是Windows 2000/XP/Server 2003,Windows 98/Me操作系統(tǒng)就無緣使用了。其次要保證文件所在的分區(qū)格式是NTFS格式,FAT32分區(qū)里的數(shù)據(jù)是無法加密的。如果你要使用EFS加密,必須將FAT32格式轉(zhuǎn)換為NTFS。
EFS應(yīng)用實(shí)例
讓我們看看如何給文件夾加密。右擊選擇要加密的文件夾,選擇快捷菜單中的“屬性”,選擇“常規(guī)”標(biāo)簽中的最下方“屬性” “高級(jí)”,在“壓縮或加密屬性”一欄中,把“加密內(nèi)容以便保護(hù)數(shù)據(jù)”打上√(圖2),點(diǎn)“確定”。回到文件屬性點(diǎn)“應(yīng)用”,彈出“確認(rèn)屬性更改”窗口,在“將該應(yīng)用用于該文件夾、子文件夾和文件”打上“√”,點(diǎn)“確定”。這樣這個(gè)文件夾里的原來有的以及新建的所有文件和子文件夾都被自動(dòng)加密了。要解開加密的文件夾,把“加密內(nèi)容以便保護(hù)數(shù)據(jù)”前面的“√”去掉,點(diǎn)確定就可以了。 ? 圖2
1.將EFS選項(xiàng)添加至快捷菜單
如果想將EFS選項(xiàng)添加至快捷菜單,請(qǐng)依次執(zhí)行下列操作步驟:在“運(yùn)行”對(duì)話框內(nèi)輸入regedit,在注冊(cè)表編輯器內(nèi)瀏覽至下列子鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced,然后新建一個(gè)DWORD值EncryptionContextMenu,并將它的鍵值設(shè)為1。注意,為確保對(duì)注冊(cè)表進(jìn)行修改,應(yīng)在自己的計(jì)算機(jī)上擁有管理員帳號(hào)。這樣當(dāng)用戶右鍵單擊某一存儲(chǔ)于NTFS磁盤卷上的文件或文件夾時(shí),加密或解密選項(xiàng)便會(huì)出現(xiàn)在隨后彈出的快捷菜單上(圖3),非常方便。 ? 圖3
如果你不喜歡EFS,可以徹底禁用它。只要在“運(yùn)行”中輸入Regedit并回車,打開注冊(cè)表編輯器,依次展開到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS,然后新建一個(gè)Dword值EfsConfiguration,并將其鍵值設(shè)為1,這樣本機(jī)的EFS加密就被徹底禁用了。
3. 跳過不加密父文件夾下的某個(gè)子文件夾
在加密的過程中我們常常遇到這樣的事情,我們需要加密某一個(gè)文件夾,而此文件夾下還有很多的子文件夾,這時(shí)候我們?nèi)绻幌爰用芪挥诖宋募A下的某一個(gè)子文件夾該怎么辦呢?很多的用戶往往采取的方法是將不需要加密的子文件夾剪切出來,單獨(dú)存放,然后再加密文件夾。可是這樣一來卻破壞了原來的目錄結(jié)構(gòu),加密和保持原有的目錄結(jié)構(gòu)好象是魚與熊掌不可兼得,怎么辦?其實(shí)你大可不必這么辛苦,只需要在不需要加密的子文件夾下建立一個(gè)“Desktop.ini”文件即可。具體地說就是在不需要加密的子文件夾下建立一個(gè)名為“Desktop.ini”的文件,用記事本程序打開錄入以下內(nèi)容:
[encryption]
Disable=1
錄入完畢保存并關(guān)閉該文件,以后要加密父文件夾的時(shí)候,當(dāng)加密到該子文件夾就會(huì)遇到錯(cuò)誤的信息,如圖所示(圖4),點(diǎn)“忽略”按鈕就可以跳過對(duì)該子文件夾的加密,但其父文件夾的加密不會(huì)受到絲毫的影響。 ? 圖4
4.在命令提示符下加密、解密文件
有些用戶喜歡在命令提示符下工作,EFS也早為這些用戶準(zhǔn)備好了。用CIPHER命令即可輕松完成對(duì)文件和文件夾的加密、解密工作。其命令格式如下:
CIPHER [/E /D] 文件夾或文件名 [參數(shù)]
例如要給F盤根目錄下的abcde文件夾加密就輸入:“CIPHER /e f:\abcde”,如圖所示(圖5),回車后即可完成對(duì)文件夾的加密。要給F盤根目錄下的abcde文件夾解密則輸入:“CIPHER /D f:\abcde”,回車后即可完成對(duì)文件夾的解密。/E是加密參數(shù),/D是解密參數(shù),其它更多的參數(shù)和用法請(qǐng)?jiān)诿钐崾痉筝斎?#xff1a;“CIPHER /?”來查看。
? 圖5
5、EFS加密的破解
在EFS加密體系中,數(shù)據(jù)是靠FEK加密的,而FEK又會(huì)跟用戶的公鑰一起加密保存;解密的時(shí)候順序剛好相反,首先用私鑰解密出FEK,然后用FEK解密數(shù)據(jù)。可見,用戶的密鑰在EFS加密中起了很大作用。
密鑰又是怎么來的呢?在Windows 2000/XP中,每一個(gè)用戶都有一個(gè)SID(Security Identifier,安全標(biāo)識(shí)符)以區(qū)分各自的身份,每個(gè)人的SID都是不相同的,并且有唯一性。可以這樣理解:把SID想象為人的指紋,雖然同名同姓甚至同時(shí)出生的人很多,但世界上任意兩個(gè)人的指紋卻完全不同。因此,這具有唯一性的SID就保證了EFS加密的絕對(duì)安全和可靠。因?yàn)槔碚撋蠜]有SID相同的用戶,因而用戶的密鑰也就絕不會(huì)相同。在第一次加密數(shù)據(jù)時(shí),系統(tǒng)就會(huì)根據(jù)SID生成加密者(該用戶)的密鑰,并且會(huì)把公鑰及私鑰分開保存,供用戶加密和解密數(shù)據(jù)使用。
許多人由此就認(rèn)為使用EFS加密非常安全,可是現(xiàn)在網(wǎng)上有一款叫做Advanced EFS Data Recovery的軟件就可以破解EFS加密!不過使用該軟件有個(gè)前提,那就是硬盤上要保留有相應(yīng)的密鑰,而且該軟件目前僅能破解經(jīng)過Windows 2000加密的文件,對(duì)Windows XP的加密還無法破解,所以使用XP的朋友可以安心一段時(shí)間了。一段時(shí)間以后呢?我也不知道,我只知道世上沒有不透風(fēng)的墻。大家可以從網(wǎng)上下載該軟件的試用版,試用版只能解密文件的前512字節(jié)。
現(xiàn)在,假設(shè)我們的Windows 2000安裝在C盤,事先用Administrators組的賬戶Work加密了一個(gè)文本文件efs1.txt。注銷該賬戶,用同屬于Administrators組的另一個(gè)賬戶Luck登錄,直接打開efs1.txt文件試試,看到“訪問拒絕”的錯(cuò)誤提示了吧?這說明經(jīng)過EFS加密后的文件非授權(quán)用戶的確無法訪問。接下來運(yùn)行Advanced EFS Data Recovery,在“EFS Related Files”標(biāo)簽下點(diǎn)擊右側(cè)的“Scan For keys”,然后指定在C盤中掃描密鑰,圖中顯示為綠色的就是可用密鑰(圖6)。然后點(diǎn)擊“Encrypted files”標(biāo)簽,再點(diǎn)擊右側(cè)的“Scan for encrypted files”按鈕,在D盤上搜索所有加密文件,會(huì)得到如圖所示的結(jié)果(圖7),其中的efs1.txt就是我們事先加密的文件,點(diǎn)擊“Save files”按鈕指定保存的位置即可。打開該文件看看,沒有任何問題,該文件已經(jīng)被解密了 ? ? ? ? 圖7
注意,如果你要解密的文件比較大的話,那就需要使用注冊(cè)版,否則無法破解。
EFS特點(diǎn)簡(jiǎn)介
Windows 2000/XP/Server 2003都配備了EFS(Encrypting File System,加密檔案系統(tǒng)),它可以幫助您針對(duì)存儲(chǔ)在NTFS磁盤卷上的文件和文件夾執(zhí)行加密操作。如果硬盤上的文件已經(jīng)使用了EFS進(jìn)行加密,即使***能訪問到你硬盤上的文件,由于沒有解密的密鑰,文件也是不可用的。
EFS加密基于公鑰策略。在使用EFS加密一個(gè)文件或文件夾時(shí),系統(tǒng)首先會(huì)生成一個(gè)由偽隨機(jī)數(shù)組成的FEK(File Encryption Key,文件加密鑰匙),然后將利用FEK和數(shù)據(jù)擴(kuò)展標(biāo)準(zhǔn)X算法創(chuàng)建加密后的文件,并把它存儲(chǔ)到硬盤上,同時(shí)刪除未加密的原始文件。接下來系統(tǒng)利用你的公鑰加密FEK,并把加密后的FEK存儲(chǔ)在同一個(gè)加密文件中。而在訪問被加密的文件時(shí),系統(tǒng)首先利用當(dāng)前用戶的私鑰解密FEK,然后利用FEK解密出文件。在首次使用EFS時(shí),如果用戶還沒有公鑰/私鑰對(duì)(統(tǒng)稱為密鑰),則會(huì)首先生成密鑰,然后加密數(shù)據(jù)。如果你登錄到了域環(huán)境中,密鑰的生成依賴于域控制器,否則它就依賴于本地機(jī)器。
說起來非常復(fù)雜,但是實(shí)際使用過程中就沒有那么麻煩了。EFS加密的用戶驗(yàn)證過程是在登錄Windows時(shí)進(jìn)行的,只要登錄到Windows,就可以打開任何一個(gè)被授權(quán)的加密文件。換句話說,EFS加密系統(tǒng)對(duì)用戶是透明的。這也就是說,如果你加密了一些數(shù)據(jù),那么你對(duì)這些數(shù)據(jù)的訪問將是完全允許的,并不會(huì)受到任何限制。而其他非授權(quán)用戶試圖訪問你加密過的數(shù)據(jù)時(shí),就會(huì)收到“訪問拒絕”的錯(cuò)誤提示(圖1)。
? 圖1
如果把未加密的文件復(fù)制到經(jīng)過加密的文件夾中,這些文件將會(huì)被自動(dòng)加密。若是將加密數(shù)據(jù)移出來,如果移動(dòng)到NTFS分區(qū)上,數(shù)據(jù)依舊保持加密屬性。被EFS加密過的數(shù)據(jù)不能在Windows中直接共享。如果通過網(wǎng)絡(luò)傳輸經(jīng)EFS加密過的數(shù)據(jù),這些數(shù)據(jù)在網(wǎng)絡(luò)上將會(huì)以明文的形式傳輸。NTFS分區(qū)上保存的數(shù)據(jù)還可以被壓縮,但是一個(gè)文件不能同時(shí)被壓縮和加密。再有,Windows的系統(tǒng)文件和系統(tǒng)文件夾無法被加密。
要提醒大家的是:要使用EFS加密功能,首先要保證操作系統(tǒng)是Windows 2000/XP/Server 2003,Windows 98/Me操作系統(tǒng)就無緣使用了。其次要保證文件所在的分區(qū)格式是NTFS格式,FAT32分區(qū)里的數(shù)據(jù)是無法加密的。如果你要使用EFS加密,必須將FAT32格式轉(zhuǎn)換為NTFS。
EFS應(yīng)用實(shí)例
讓我們看看如何給文件夾加密。右擊選擇要加密的文件夾,選擇快捷菜單中的“屬性”,選擇“常規(guī)”標(biāo)簽中的最下方“屬性” “高級(jí)”,在“壓縮或加密屬性”一欄中,把“加密內(nèi)容以便保護(hù)數(shù)據(jù)”打上√(圖2),點(diǎn)“確定”。回到文件屬性點(diǎn)“應(yīng)用”,彈出“確認(rèn)屬性更改”窗口,在“將該應(yīng)用用于該文件夾、子文件夾和文件”打上“√”,點(diǎn)“確定”。這樣這個(gè)文件夾里的原來有的以及新建的所有文件和子文件夾都被自動(dòng)加密了。要解開加密的文件夾,把“加密內(nèi)容以便保護(hù)數(shù)據(jù)”前面的“√”去掉,點(diǎn)確定就可以了。 ? 圖2
1.將EFS選項(xiàng)添加至快捷菜單
如果想將EFS選項(xiàng)添加至快捷菜單,請(qǐng)依次執(zhí)行下列操作步驟:在“運(yùn)行”對(duì)話框內(nèi)輸入regedit,在注冊(cè)表編輯器內(nèi)瀏覽至下列子鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced,然后新建一個(gè)DWORD值EncryptionContextMenu,并將它的鍵值設(shè)為1。注意,為確保對(duì)注冊(cè)表進(jìn)行修改,應(yīng)在自己的計(jì)算機(jī)上擁有管理員帳號(hào)。這樣當(dāng)用戶右鍵單擊某一存儲(chǔ)于NTFS磁盤卷上的文件或文件夾時(shí),加密或解密選項(xiàng)便會(huì)出現(xiàn)在隨后彈出的快捷菜單上(圖3),非常方便。 ? 圖3
?
2.禁用EFS如果你不喜歡EFS,可以徹底禁用它。只要在“運(yùn)行”中輸入Regedit并回車,打開注冊(cè)表編輯器,依次展開到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS,然后新建一個(gè)Dword值EfsConfiguration,并將其鍵值設(shè)為1,這樣本機(jī)的EFS加密就被徹底禁用了。
3. 跳過不加密父文件夾下的某個(gè)子文件夾
在加密的過程中我們常常遇到這樣的事情,我們需要加密某一個(gè)文件夾,而此文件夾下還有很多的子文件夾,這時(shí)候我們?nèi)绻幌爰用芪挥诖宋募A下的某一個(gè)子文件夾該怎么辦呢?很多的用戶往往采取的方法是將不需要加密的子文件夾剪切出來,單獨(dú)存放,然后再加密文件夾。可是這樣一來卻破壞了原來的目錄結(jié)構(gòu),加密和保持原有的目錄結(jié)構(gòu)好象是魚與熊掌不可兼得,怎么辦?其實(shí)你大可不必這么辛苦,只需要在不需要加密的子文件夾下建立一個(gè)“Desktop.ini”文件即可。具體地說就是在不需要加密的子文件夾下建立一個(gè)名為“Desktop.ini”的文件,用記事本程序打開錄入以下內(nèi)容:
[encryption]
Disable=1
錄入完畢保存并關(guān)閉該文件,以后要加密父文件夾的時(shí)候,當(dāng)加密到該子文件夾就會(huì)遇到錯(cuò)誤的信息,如圖所示(圖4),點(diǎn)“忽略”按鈕就可以跳過對(duì)該子文件夾的加密,但其父文件夾的加密不會(huì)受到絲毫的影響。 ? 圖4
4.在命令提示符下加密、解密文件
有些用戶喜歡在命令提示符下工作,EFS也早為這些用戶準(zhǔn)備好了。用CIPHER命令即可輕松完成對(duì)文件和文件夾的加密、解密工作。其命令格式如下:
CIPHER [/E /D] 文件夾或文件名 [參數(shù)]
例如要給F盤根目錄下的abcde文件夾加密就輸入:“CIPHER /e f:\abcde”,如圖所示(圖5),回車后即可完成對(duì)文件夾的加密。要給F盤根目錄下的abcde文件夾解密則輸入:“CIPHER /D f:\abcde”,回車后即可完成對(duì)文件夾的解密。/E是加密參數(shù),/D是解密參數(shù),其它更多的參數(shù)和用法請(qǐng)?jiān)诿钐崾痉筝斎?#xff1a;“CIPHER /?”來查看。
? 圖5
5、EFS加密的破解
在EFS加密體系中,數(shù)據(jù)是靠FEK加密的,而FEK又會(huì)跟用戶的公鑰一起加密保存;解密的時(shí)候順序剛好相反,首先用私鑰解密出FEK,然后用FEK解密數(shù)據(jù)。可見,用戶的密鑰在EFS加密中起了很大作用。
密鑰又是怎么來的呢?在Windows 2000/XP中,每一個(gè)用戶都有一個(gè)SID(Security Identifier,安全標(biāo)識(shí)符)以區(qū)分各自的身份,每個(gè)人的SID都是不相同的,并且有唯一性。可以這樣理解:把SID想象為人的指紋,雖然同名同姓甚至同時(shí)出生的人很多,但世界上任意兩個(gè)人的指紋卻完全不同。因此,這具有唯一性的SID就保證了EFS加密的絕對(duì)安全和可靠。因?yàn)槔碚撋蠜]有SID相同的用戶,因而用戶的密鑰也就絕不會(huì)相同。在第一次加密數(shù)據(jù)時(shí),系統(tǒng)就會(huì)根據(jù)SID生成加密者(該用戶)的密鑰,并且會(huì)把公鑰及私鑰分開保存,供用戶加密和解密數(shù)據(jù)使用。
許多人由此就認(rèn)為使用EFS加密非常安全,可是現(xiàn)在網(wǎng)上有一款叫做Advanced EFS Data Recovery的軟件就可以破解EFS加密!不過使用該軟件有個(gè)前提,那就是硬盤上要保留有相應(yīng)的密鑰,而且該軟件目前僅能破解經(jīng)過Windows 2000加密的文件,對(duì)Windows XP的加密還無法破解,所以使用XP的朋友可以安心一段時(shí)間了。一段時(shí)間以后呢?我也不知道,我只知道世上沒有不透風(fēng)的墻。大家可以從網(wǎng)上下載該軟件的試用版,試用版只能解密文件的前512字節(jié)。
現(xiàn)在,假設(shè)我們的Windows 2000安裝在C盤,事先用Administrators組的賬戶Work加密了一個(gè)文本文件efs1.txt。注銷該賬戶,用同屬于Administrators組的另一個(gè)賬戶Luck登錄,直接打開efs1.txt文件試試,看到“訪問拒絕”的錯(cuò)誤提示了吧?這說明經(jīng)過EFS加密后的文件非授權(quán)用戶的確無法訪問。接下來運(yùn)行Advanced EFS Data Recovery,在“EFS Related Files”標(biāo)簽下點(diǎn)擊右側(cè)的“Scan For keys”,然后指定在C盤中掃描密鑰,圖中顯示為綠色的就是可用密鑰(圖6)。然后點(diǎn)擊“Encrypted files”標(biāo)簽,再點(diǎn)擊右側(cè)的“Scan for encrypted files”按鈕,在D盤上搜索所有加密文件,會(huì)得到如圖所示的結(jié)果(圖7),其中的efs1.txt就是我們事先加密的文件,點(diǎn)擊“Save files”按鈕指定保存的位置即可。打開該文件看看,沒有任何問題,該文件已經(jīng)被解密了 ? ? ? ? 圖7
注意,如果你要解密的文件比較大的話,那就需要使用注冊(cè)版,否則無法破解。
轉(zhuǎn)載于:https://blog.51cto.com/zgui2000/245211
總結(jié)
以上是生活随笔為你收集整理的Windows中EFS加密及解密应用的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 猫叫老鼠跑的事件例子
- 下一篇: 韩国掀起元宇宙投资热潮 三星推出元