网络安全系列之二十六 EFS加密

1.1EFS加密原理

EFS是Windows系统中所特有的一个实用功能，对于NTFS分区上的文件和数据，都可以直接使用EFS加密保存，很大程度上提高了数据的安全性。

EFS加密基于公钥策略。在使用EFS加密一个文件或文件夹时，系统首先会生成一个对称密钥来加密文件或文件夹，随后系统再利用用户的公钥加密对称密钥。而在访问被加密的文件时，系统首先利用当前用户的私钥解密获得对称密钥，然后利用对称密钥解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥对，则会首先生成密钥对，然后加密数据。如果系统属于域环境，密钥对的生成依赖于域控制器，否则依赖于本地主机。

1.2 实施EFS加密

下面我们以用户zhangsan的身份来对test.txt文件进行加密。

选中NTFS分区中的一个文件，点击右键，选择“属性”，在出现的对话框中点击“常规”选项卡，然后点击“高级”按钮，在出现的对话框中选中“加密内容以便保护数据”选项，点击“确定”即可。

此时可以发现加密文件的颜色变成了绿色，当其他用户登录系统后打开该文件时，就会出现“拒绝访问”的提示，这表示EFS加密成功。而如果想取消该文件的加密，只需将“加密内容以便保护数据”选项去除即可。

1.3 导出EFS证书

当zhangsan成功进行了EFS加密之后，系统会自动为其生成一个密钥对。密钥对在Windows系统中是以证书的形式存在的，打开IE浏览器，选择“Internet选项\内容\证书”，从中可以查看到系统已经颁发给zhangsan的证书。

证书是EFS加密的唯一凭据，如果没有将证书备份，那么当账号zhangsan被删除或是系统重装之后，就无法再打开EFS加密的数据。而且由于EFS加密的安全级别很高，目前也没有解密的方法。

因而在使用EFS加密之后，一定要将相应用户的证书进行备份。

在“证书”界面中点击“导出”，打开导出证书向导，选择将私钥一并导出，并设置密码保护私钥。

为证书设置文件名和保存位置后，证书导出成功。

证书导出之后，其他用户只要能够获得zhangsan的证书，那么就可以打开zhagnsan加密的文件。

比如管理员administrator默认也无法打开zhagnsan加密的文件，但是如果administrator导入了zhangsan的证书，那么就可以打开加密文件了。

1.4 重设密码对EFS加密的影响

公钥和私钥是EFS加密的基础，而私钥则又是利用用户的密码来加密的，因而如果重设了用户密码，那么必然也会对EFS加密产生影响。

例如在“计算机管理”的“本地用户和组”界面中为zhangsan重设密码，此时系统会出现警告，提示如果重设密码可能会导致数据丢失。

点击“继续”，完成密码重设之后，那么zhangsan也无法打开加密的文件了。此时必须将zhangsan的密码再改回原先的，那么才可以打开加密文件。

因而在使用了EFS加密之后，如果需要更改相应用户的密码，建议按“Ctrl+Alt+Delete”打开“Windows安全”界面，然后使用其中的“更改密码”功能来修改密码。

本文转自 yttitan 51CTO博客，原文链接:http://blog.51cto.com/yttitan/1572800