Windows XP EFS(Encryption File System
一、前言
EFS 是自從 Windows 2000 就開始支援的資料保密功能,後續的 Windows XP Professional 及 Windows Server 2003 仍延續此一功能並作一些加強。雖然 NTFS 本身的權限設定足以有效限制使用者對於檔案的存取,但是在某些情況下,例如帳號密碼遭破解甚至整個磁碟被竊,有心人只要把原本磁碟安裝到另一個系統,很容易就可以把資料讀取出來。對於可攜式電腦使用者或是一台電腦同時有多人使用的環境,EFS 才可真正達到保護個人機密資料的目的。
由於 EFS 與 NTFS 檔案系統緊密地結合在一起,對於加解密的操作完全是透通的,也就是說使用者完全不會感覺使用上有什麼不同。當你對某個檔案夾啟用加密功能之後,只要把檔案搬移或複製到這個檔案夾,檔案就自動被加密;當您開啟加密檔案夾的檔案,檔案將自動被解密並打開,如同平常的操作一般。對一般的使用而言要加密檔案的方式很簡單,只需針對檔案或檔案夾的「進階」屬性作更改,或者可以使用 Cipher.exe 的指令對檔案加密,加密過的檔案或檔案夾檔名呈現淺綠色標示。
二、EFS 運作方式
EFS 加密是使用一對公開-私密金鑰(Public-Private Key)以及每個檔案的加密金鑰來加密解檔案。當使用者要對檔案加密時,系統便隨機產生一把 FEK(File Encryption Key)金鑰對檔案加密,接著以使用者的公開金鑰對這把 FEK 金鑰加密,再與檔案放在一起。當該用戶要讀取此加密檔案時,先以使用者的私密金鑰對加密過的 FEK 解密,接著以這把解開的 FEK 金鑰對加密過的檔案解密,如此一來擁有 FEK 金鑰的使用者就可以解開檔案。整體而言檔案是以同一把金鑰加解密,這就是所謂的對稱式(symmetric)加密法;對於加密檔案的金鑰 FEK 則用使用者的金鑰加密,解密則使用另外一把私鑰,這就是所謂非對稱式(asymmetric)加密法。對稱式加密有速度上的優勢,非對稱式加密則有較佳的安全性。
三、EFS 憑證(Cettificate)
要使用 EFS 之前一定先要有 EFS 憑證(Cettificate),要發行 EFS 憑證您可以自行架設憑證管理中心(Certificate Authorities),這個較適合於企業網域環境;對一般個人使用而言者,可以使用自我簽署憑證(self-signed certificates)。當使用者要設定檔案或檔案夾的加密屬性時,EFS 會試著找出使用者個人的憑證,如果使用者目前無授權憑證,EFS 便從可用的憑證管理中心要求憑證;如果沒有憑證管理中心,EFS就會自動產生使用者的自我簽署憑證。公開金鑰就存放在使用者的憑證當中,私密金鑰則位於使用者的描述檔(User Profile)。
要怎樣確認您已經有自我簽署憑證?請直接點選螢幕左下角「開始」→ 「執行」,輸入certmgr.msc後,按『確定』鍵,之後會開啟【憑證管理】視窗,在尚未啟用加密屬性時,並無任何個人憑證。
一旦針對某檔案進行加密之後,個人憑證即自動出現預定目的為「加密檔案系統」的憑證。
四、保護憑證與私密金鑰
雖然 EFS 可以用來保護資料的安全,然而水能載舟亦能覆舟,萬一您的系統出了問題,可能需要透過另一個系統存取您的重要資料,這時候若沒有憑證或私密金鑰,您的檔案也是無法挽救回來。為了避免這個問題,平時就應該把憑證與私密金鑰匯出並且妥善保存,以備不時之需,當需要的時候再匯入。
我們仍以certmgr.msc開啟【憑證管理】視窗來說明匯出的程序:
1. 首先選擇要匯出的憑證後按滑鼠右鍵,在「所有工作」選擇「匯出」,即開啟「憑證匯出精靈」。
2. 請選擇「是,匯出私密金鑰」後,按『下一步』。
3. 接著你可以選擇「如果匯出成功的話就刪除私密金鑰」,如果核選這個選項您還是可以加密檔案,因為公開金鑰還在,但是就無法解開已加密的檔案,除非您再匯入私密金鑰。
4. 下一步請輸入密碼用以保護私密金鑰,完成之後您會得到一個 PFX 附檔名的檔案,此檔案內包含憑證與私密金鑰。如果匯出時選擇不匯出私密金鑰,那您將會得到只含有憑證的CER附檔名的檔案。
當系統出了問題或私密金鑰已經不存在,這時就需要匯入憑證與私密金鑰,才能解開加密的檔案。匯入與匯出程序很類似,請參照以下動作處理:
1. 執行certmgr.msc,開啟【憑證管理】視窗,選擇個人憑證後,按滑鼠右鍵選擇「所有工作」當中的「匯入」,即開啟憑證匯入精靈。
2. 請指出要匯入的憑證檔案位置,接著請輸入匯出私密金鑰時所輸入的密碼,此外還有兩個選項:「啟用加強私密金鑰保護…」,這選項是用來強化金鑰的保護;另一選項「將這個金鑰設成可匯出…」,建議不要核選以避免金鑰可能被任意匯出,造成安全疑慮。
3. 當匯入憑證與金鑰之後,開啟加密檔案就不會再出現存取被拒的訊息。
五、資料修復代理(Data Recovery Agent)
有時候因為員工離職或不注意,把原有加密帳號刪除掉,資料修復代理的作用就是要讓除了檔案加密當事人之外,多了其他可以解開資料的人。不同於 Windows 2000 的設計,Windows XP 並無預設的資料修復代理,必須自行加入。
在單機使用時您可以透過本機群組原則來指定資料修復代理人,一般而言會以 administrator 帳號作為資料修復代理人。對加密的檔案而言,除原始加密者以公開金鑰加密 FEK 的資料外,又加上資料修復代理人以其公開金鑰對 FEK 加密,因此資料修復代理人有能力以其私密金鑰解開檔案。
要成為資料修復代理必須先有修復憑證,對單機電腦而言 EFS 需以自我簽署產生憑證,這裡需要用到 Cipher /r的指令。首先開啟命令列視窗,執行 cipher /r:filename 命令,接著輸入保護密碼之後,會建立您指定檔名的 .cer 與 .pfx 檔案。
直接在 .pfx 檔案,點選滑鼠右鍵選擇「安裝 PFX」,開啟「憑證匯入精靈」,請依指示輸入保護密碼即可正常匯入;至於 .cer 的憑證安裝必須開啟群組原則,請直接執行gpedit.msc即可開啟,點選「電腦設定」→「安全性設定」→「公開金鑰原則」→「加密檔案系統」後,按右鍵選擇「新增資料修復代理」,接著依導引指出原先建立的 .cer 檔案,安裝完成您可以在畫面的右窗格檢視到剛剛匯入的修復代理憑證。
加入資料修復代理之後,之後加密的檔案都可以由資料修復代理解密,但是對於加入修復代理之前已加密的檔案則無法解開。
六、加密檔案存取分享
檔案加密過之後只有加密者及修復代理人可以存取,若有其他用戶想要分享加密檔案時,請開啟加密檔案的進階屬性,點選『詳細資料』。
再按『新增』選擇您要分享檔案存取的使用者。這裡只能針對加密檔案作分享,但是不能以整個檔案夾分享,而且檔案分享仍需符合相關的權限設定才能存取,這個功能是 Windows XP 所新增的。
七、EFS 使用注意事項
1. 只有安裝成為 NTFS 檔案系統的 Windows XP Professional 才能支援 EFS,Home 版本並未支援。
2. 系統檔案夾底下的檔案並不支援檔案加密,也就 Windows 安裝的檔案夾,一般預設是「Windows」這個目錄。
3. 檔案加密與壓縮功能不能同時並存,也就是使用壓縮功能就無法作檔案加密,要作檔案加密就沒有壓縮功能。
4. 使用者透過網路存取加密資料時,必須注意資料只有在磁碟上才有加密的保護;換句話說資料在網路上流通仍有安全的顧慮,因此不論有線或無線網路,資料傳輸的安全性仍需列入考慮。
除非您對 EFS 操作已有相當的認知與驗證測試,否則不建議您貿然將重要資料導入 EFS 保護,因為由以往案例來看,大多數的人都知道如何加密,但未必將憑證與金鑰匯出並且妥善保存,本章希望能提供使用者對於 EFS 概略性的認識。
有個 Advanced EFS Data Recovery 的軟件,暫時只能破解 Win2000 加密的 EFS
這個不是因為EFS的原因,而是winxp的私鑰存儲方式不同,跟SAM和用戶密碼相關,重裝系統/其它用戶強制修改密碼都會丟失私鑰。win2k比較簡單,可以從用戶目錄下獲取私鑰。