系統 - 深入剖析EFS

[psac]

文章內容：原創
文章提交：mrcool (mrcool_at_zhinet.com)

EFS是Encrypting File System，加密文件系統的縮寫，他可以被應用在windows 2000以上的操作系統且為NTFS5格式的分區上(windows xp home不支持).

EFS 只能對存儲在磁碟上的資料進行加密,是一種安全的本機訊息加密服務.EFS使用核心的的文件加密技術在NTFS捲上存儲加密文件.
它可以防止那些未經允許的對敏感資料進行物理訪問的入侵者(偷取筆記本電腦,硬碟等)

EFS是如何工作的

當一個用戶使用EFS去加密文件時，必須存在一個公鑰和一個私鑰，如果用戶沒有，EFS服務自動產生一對。對於初級用戶來說，即使他完全不懂加密，也能加密文件，可以對單個文件進行加密，也可以對一個資料夾進行加密，這樣所有寫入資料夾的文件將自動被加密。

一旦用戶發佈命令加密文件或試圖新增一個文件到一個已加密的資料夾中，EFS將進行以下幾步：

第一步：NTFS首先在這個文件所在卷的卷訊息目錄下(這個目錄隱藏在根目錄下面)創建一個叫做efs0.log的日誌文件，當拷貝過程中發生錯誤時利用此文件進行恢復。

第二步：然後EFS調用CryptoAPI設備環境.設備環境使用Microsoft Base Cryptographic Provider 1.0 產生密匙,當打開這個設備環境後,EFS產生FEK(File Encryption Key,文件加密密匙).FEK的長度為128位（僅US和Canada），這個文件使用DESX加密算法進行加密。

第三步: 獲取公有/私有密匙對;如果這個密匙還沒有的話(當EFS第一次被調用時),EFS產生一對新的密匙.EFS使用1024位的RSA算法去加密FEK.

第四步：EFS為當前用戶創建一個資料解密塊Data Decryptong Field(DDF),在這裡存放FEK然後用公有密匙加密FEK.


第五步：如果系統設置了加密的代理,EFS同時會創建一個資料恢復塊Data Recovery Field(DRF),然後把使用恢復代理密匙加密過的FEK放在DRF.每定義一個恢復代理,EFS將會創建一個Data Recovery Agent(DRA).Winxp沒有恢復代理這個功能,所以沒有這一步.，這個區域的目的是為了在用戶解密文件的中可能解密文件不可用。這些用戶叫做恢復代理，恢復代理在EDRP(Encryption Data Recovery Policy,加密資料恢復策略)中定義，它是一個域的安全策略。如果一個域的EDRP沒有設置，本機EDRP被使用。在任一種情況下，在一個加密發生時，EDRP必須存在（因此至少有一個恢復代理被定義）。DRF包含使用RSA加密的FEK和恢復代理的公鑰。如果在EDRP列表中有多個恢復代理，FEK必須用每個恢復代理的公鑰進行加密，因此，必須為個恢復代理創建一個DRF。

第六步：包含加密資料、DDF及所有DRF的加密文件被寫入磁碟。

第七步: 在加密文件所在的資料夾下將會創建一個叫做Efs0.tmp的臨時文件.要加密的內容被拷貝到這個臨時文件,然後原來的文件被加密後的資料覆蓋.在預定的情況下,EFS使用128位的DESX算法加密文件資料,但是Windows還允許使用更強大的的168位的3DES算法加密文件,這是FIPS算法必須打開,因為在預定的情況下它是關閉的.

第八步：在第一步中創建的文本文件和第七步中產生的臨時文件被刪除。

加密過程圖片可參考 http://www.ntfs.com/images/encryption.gif

文件被加密後,只有可以從DDF或是DRF中解密出FEK的用戶才可以訪問文件.這種機制和一般的安全機制不同並意 味著要想訪問文件,除了要有訪問這個文件的權力外還必須擁有被用戶的公有密匙加密過的FEK.只有使用私有密匙解密文件的用戶才可以訪問文件.這樣的話會有一個問題:就是一個可以訪問文件的用戶可把文件加密之後,文件真正的擁有者卻不能訪問文件.解決這個問題的辦法:用戶加密文件的時候只創建一個文件解密塊Data Decryption Field(DDF),但是只後他可以增加附加用戶到密匙隊列.這種情況下,EFS簡單地把FEK用想給其他用戶訪問權的用戶的私有密匙加密.然後用這些用戶的公有密匙加密FEK,新增加的DDF和第一個DDF放在一起(這些新增加的用戶對文件只有訪問的權力).

解密的過程和加密的過程是相反的,參考http://www.ntfs.com/images/decryption.gif

首先,系統檢測用戶是否具有被EFS使用的私有密匙.如果有的話,系統將會在讀取EFS內容,同時在DDF對列中尋找當前用戶的DDF.如果DDF找到的話,用戶私有密匙將會在那裡解密出FEK.使用解密出來的FEK,EFS去解密加密的文件資料.需要注意的是文件從來不會完全被加密,但是有時候會去加密一些特殊的扇區如果上層模塊要求的話.


EFS組成

EFS由EFS服務、EFS驅動、EFS文件系統執行庫（FSRTL）和Win32 API。EFS服務作為一個標準系統服務執行，它是Windows 2000安全子系統的一部分。它與CryptoAPI接頭產生鑰匙、DDF和DRF，EFS驅動就像是NTFS的一部分，它呼叫EFS服務請求鑰匙，DDF和DRF作為需要被創建，一個EFS驅動的組成是EFS FSRTL,它定義了EFS驅動程式能作為NTFS的代表而執行的功能。

EFS和NTFS如何共存

EFS可以被認為除NTFS外的第二層防護，為訪問一個被加密的文件，用戶必須有訪問到文件的NTFS權限。在相關NTFS權限的用戶能看到資料夾中的文件，但不能打開文件除非有相應的解密鑰匙。同樣，一個用戶有相應的鑰匙但沒有相應的NTFS權限也不能訪問到文件。所以一個用戶要能打開加密的文件，同時需要NTFS權限和解密鑰匙。

然而，NTFS權限可能被大量的方法穿越，包括口令破解程式、用戶在離開前沒有退出系統或系統內部的NTFSDOS。在NT4.0下，遊戲結束了－－硬碟上所有的資料都可以訪問了。在Windows 2000下，當一個文件用EFS加密後，一個未授權的用戶，即使訪問到磁碟上的文件，但也不能訪問文件上資料，因為沒有授權用戶的私鑰。

EFS 內容

當NTFS加密文件的時候,它首先會為文件設置加密標誌,然後在存儲DDF和DDR的地方為文件創建一個$EFS內容.這個內容的內容ID=0x100,它可以被加長,佔有0.5k到若干k的大小,這個大小是由DDF和DRF的數量決定的.

http://www.ntfs.com/images/efs_header.gif

下面是一個詳細的EFS內容的例子.

http://www.raid1.cn/efs/pic/attribute/EFS_example.gif

紫色:EFS內容大小

天藍色:電腦安全標識符和用戶數位.它指定EFS存儲證書的資料夾.為了得到文件
夾的名字,EFS會做一些轉換.

5A56B378 1C365429 A851FF09 D040000 - 存儲在$EFS中的資料.

78B3565A 2954361C 09FF15A8 000004D0 - 轉換後的結果.

2025018970-693384732-167712168-1232 - 轉換成十進制.

S-1-5-21-2025018970-693384732-167712168-1232 - 加上安全標識符前綴.

得到的資料夾就是:

%UserProfile%\ApplicationData\Microsoft\Crypto\RSA\S-1-5-21-2025018970-693384732167712168-1232\

粉紅色:公有密匙特性

黃色:私有密匙全局唯一標識符(同時被當作容器名字).當EFS從CryptoAPI provider中獲取設備環境的時候使用這個名字.如果$EFS內容只有一個DDF,容器的名字可以從$efs中計算出來.但是當更多的用戶加入這個文件的時候(就會有更多的DDF和DRF),私有密匙全局唯一標識符並不是儲存所有的用戶,其它的必須從基於公有密匙存儲特性的證書中恢復.

紅色:加密提供器的名字(Microsoft Base Cryptographic Provider v.1.0)

綠色:用戶的名稱,DDF和DRF的所有者.

藍色:加密後的FEK.通常FEK是128位的,但是被1024位的RSA密匙加密後,長度變成1024位.


參考資料: http://www.ntfs.com http://www.nsfocus.net

[psac]

Win XP系統中找回EFS加密文件




　　使用Windows XP的朋友都知道，讓他們最煩惱的事當屬在重裝系統的時候忘了匯出備份EFS加密文件的証書。遇上了這種情況怎麼辦呢？不能眼睜睜看著這些文件不能用吧？想重新使用這些已加密的文件嗎？那就跟我來吧，但是這種解密文件的方法對加密文件是有要求的。

　　要求：EFS加密文件証書沒有備份的情況下要恢復加密文件，隻適用於該資料夾加密，但是其子文件和子資料夾沒加密，且沒有新文件加入該資料夾的情況。如果裡面的文件也被加密了，這種方法就無能為力了。

　　以筆者的操作系統為例介紹，筆者的系統為Windows Me/XP 雙操作系統，為了使Windows Me能訪問Windows XP的文件系統，Windows Me需要裝上NTFS For 98，這一步很關鍵，具體的安裝步驟請參考《電腦報》2003年第9期的《在Win98中訪問NTFS分區》。

　　提醒：該軟件用到了Window XP中的7個系統文件，他們分別是：autochk.exe、C_437.NLS、C_1252.NLS、L_INTL.NLS、NTDLL.DLL、NTFS.SYS、ntoskrnl.exe。

　　首先先進入Windows Me，然後找到加密的資料夾把裡面的文件複製到任何資料夾即可。然後，打開文件看看文件的內容是不是你想要的。

　　不過這種方法適用範圍不大，因為大多數人都對所有的文件加了密。所以，我們有必要平時備份好EFS加密文件的証書，免得「後悔一輩子」。在已備份加密文件証書的情況下，可以使用以下方法找回加密文件：

　　備份密鑰：當有備份的密鑰時我們重裝系統也不會怕打不開以前加過密的文件了。點擊「開始→執行」，在「執行」交談視窗中輸入「certmgr.msc」打開証書管理器，點擊「証書→當前用戶」下的「個人→証書」（看不到？你都沒有加密的文件怎麼會有証書？）選擇「証書」右擊，選擇「所有任務→匯出」，在彈出的「証書匯出嚮導」中選取「匯出私鑰」，隨後選擇儲存証書的目錄，按Enter鍵後，私鑰便成功匯出。

　　當要重新裝系統的時候便把原來儲存的私鑰匯入即可。

　　設置Windows 恢復代理（以下以magic用戶為例）：

　　STEP1:首先以magic這個用戶登入系統。

　　STEP2:在「執行」交談視窗中輸入「cipher /r:c:\magic」（magic可以是其他任何名字）Enter鍵後要求輸入一個密碼，隨便輸入一個Enter鍵後便在c盤裡出現magic.cer和magic.pfx兩個文件。

　　STEP3:安裝magic.pfx証書，輸入剛才設置的保護証書的密碼，一路按NEXT就完成了証書的安裝。

　　STEP4:在「開始→執行」輸入「gpedit.msc」，打開組策略編輯器，在「電腦配置→Windows設置→安全設置→公鑰策略→正在加密文件系統」下，右擊彈出右鍵表菜單，選擇「新增資料恢復代理」，打開「新增故障恢復代理嚮導」打開magic.cer，然後按幾次下一步就完成了恢復代理的設置。最後，就可以用magic這個用戶名解密加密的文件了。

[psac]

拯救打不開的EFS加密檔案！
Windows XP備有Encrypted File System（EFS）可以將檔案加密。問題是，EFS實在太強勁，當原本加密檔案的帳號消失之後，EFS加密的資料檔案便無法打開。究竟有甚麼方法可解決？

EFS是Windows XP/2000/NT的NTFS檔案系統提供的加密功能，採用PKI公匙基制，跟檔案系統緊密結合，所以加密及解密程式可以在不影響用戶的情況下進行，方便快捷。

加密檔案需要原本帳號獨一無二的加密籲匙（encrypted keys）才能解碼。當重新安裝XP之後，將儲存在Registry以及Documents and Settings資料夾的帳號資料洗掉，加密檔案基本上無法復原，就算是擁有最高權限的Administrator帳號也無能為力。

憑證為何可解EFS加密

在採用Active Directory（AD）架構的的微軟視窗網路中，用戶可透過（EFS Recovery Agent）」授權指定帳號，開啟該EFS加密檔案。不過，對於不納入 AD的單機（Standalone Computer）用戶來說，這功能有等於無。然而，亦有 變通方法。單機用戶可使用「憑証（Certificates）」授權其他帳號解開EFS 檔案。

前文提過EFS使用PKI公匙基制的加密系統，要配合各種加密籲匙（Encrypted Key），並且要有識別電腦系統的機器編碼才能正確地解開加密保護。而所謂 憑證其實是集合這些資料的檔案，利用匯出匯入方式，安置加密籲匙及 Registry設定於另一XP帳號。

EFS可以破解嗎？

當你的XP開不了機，又沒有憑證在手。硬碟內加密檔案還有復原的機會嗎？當然有解救方法。假如原本加密帳號的Registry及加密相關的系統檔案仍然存在，EFS加密檔案應該有得救。拯救EFS加密檔先決條件是要有以下幾項資料：


機器編號 (machine number）
公匙指印（the public key thumbprint）
私匙資料（the private key）
鎖檔資訊（locking file）
如果保留了原本XP的documents and settings資料夾，這些資料應該可以找到。硬碟快速格式化（Quick Format）之後，這些資訊有可能殘留在硬碟之中，故亦有復原EFS檔案的可能。不過，當硬碟低階格式化（Low Level Format）或經多次重寫資料，便沒法找回這些資訊。 當找齊這些資訊，便需要重建XP加密檔案系統的資料結構，將有關檔案安放於適當的位置，跟住的工作便是修改Registry設定。

EFS涉及XP的系統安全基制，XP有關於系統加密的設定異常複雜，互為關聯，稍有不配合，便不能登入帳號，進入視窗界面。故以人手改動這些資料和設定會相當冒險。

修改Registry這種既繁瑣又易出錯的工作，其實可以由程式代勞。目前有三個軟件回復EFS加密檔案，包括：


Elcomsoft公司推出的Advanced EFS data recovery（http://www.elcomsoft.com/aefsdr.html），售價99美元
Passware公司推出的efskey（http://www.lostpassword.com/efs.htm）售價195美元
微軟公司的recerts.exe工具程式，此程式要透過微軟收費技術支援才會提供。
以上軟件或服務都需要收費的，亦同樣需要用戶提供加密籲匙及相關的系統資訊。在以上三個軟件中，微軟的recerts.exe筆者未有機會試用，相信是利用憑證來回復EFS檔案。

Efskey適合一般電腦用戶，程式會隱去技術細節，在其操作界面視窗瀏覽加密檔案，直接解碼（由於Demo版的關係，不能存檔）。Advanced EFS data recovery操作界面視窗比較複雜，但彈性較大，試用版可作小量檔案回復。

試用EFS復原軟件

筆者將資料檔案放在一個獨立的硬碟之中，設定EFS 加密保護。再以第二個硬碟的XP取代原本EFS加密的XP開機，原本XP的硬碟仍要安裝到電腦，這樣子Advanced EFS data recovery及efskey才能復原加密檔案，這是因為這兩個程式需要原本硬碟提供的加密籲匙資訊才能解碼。

經筆者試驗，Advanced EFS data recovery並非所有檔案都能解開，反而efskey對於不同帳號EFS加密能應付自如。Advanced EFS data recovery要用戶先掃瞄硬碟，找尋加密籲匙，然後再要掃瞄加密檔案。在其操作視窗內能解碼的檔案圖示會顯示為綠色，可按工具列的解密圖示來另存檔案，當Advanced EFS data recovery找不到可解碼的加密籲匙，檔案圖示會顯示為紅色。

Efskey不需要用戶接觸技術細節，復原檔案完成是透明進行的，用戶只要在其工作視窗瀏覽檔案，程式便會自動找尋加密籲匙解碼。跟Advanced EFS data recovery相類似，不能解碼的檔案圖示會顯示紅色鎖匙，能解碼的檔案圖示會標示為綠色鎖匙。Efskey可讓用戶瀏覽檔案內容，若想另存檔案，便要用拖拉圖示（Drag and Drop）到桌面或檔案總管的辦法。

使用「憑証」解開EFS檔案

不屬於任何網路區域（Domain）的單機用戶做了EFS檔案加密後，Windows XP/2000便會自動產生一張「憑証（Certificates）」。這憑証其實是一組資料，用來驗証帳號身份，亦可以用來解開EFS編碼。可將憑証匯出為檔案，再匯入其他帳號，那相當於授權解開EFS加密檔案的許可証。匯出憑証的方法很簡單，主要是利用主控台程式將憑証連帶私人加密籲匙（Pirvate Keys）匯出。

使用「憑証」解開EFS檔案
Step 1

在XP內執行mmc.exe（開始鈕→執行）。隨後會出現「主控台」視窗。

Step 2

在「主控台」視窗的拉下表菜單進入「檔案→新增/移除嵌入式管理單元」。開啟「新增/移除嵌入式管理單元」視窗。

Step 3

其後在視窗上按「新增」鈕，在「新增獨立嵌入式管理單元」視窗中選「憑證」一項，請按「新增」鈕。在其後出現的視窗選「我的使用者帳戶」專案，再按「完成」鈕。按「確定」或「關閉」鈕退出視窗。此時主控台視窗會出現憑證的目錄顯示。

Step 4

在「憑證－目前的使用者→個人→憑證」的分支內，會找到所需的憑證，點選專案，再右按鼠鍵，在彈出視窗進入「所有工作」選「匯出」。

Step 5

跟著「憑證匯出精靈」視窗完成步驟就可以了。要留意的是須設定為「匯出私密金鑰」，匯出檔案格式是使用「DER編碼二位元」，並輸入你指定的檔案名稱。另外，匯出憑證時要設定密碼作為保護。

匯入EFS憑証
在XP登入另一個帳號，在「檔案總管」以滑鼠雙按EFS憑証檔案。此時系統會叫出「憑證匯入精靈」來啟始用戶完成工作。在匯入時，系統會要求用戶輸入匯出憑証時所設定的密碼。另外，憑証應指定存放區，否則不會在「主控台」視窗內找到。當匯入憑証後，重新登入帳號，便可以開啟EFS加密檔案。

[psac]

Windows 2000文件加密系統 (EFS)
加密文件系統」(EFS) 提供一種核心文件加密技術，該技術用於在 NTFS文件系統捲上存儲已加密文件。一旦加密了文件或資料夾，你就可以像使用其他文件和資料夾一樣使用它們。對加密該文件的用戶，加密是透明的。這表明不必在使用前解密已加密的文件。你可以像平時那樣打開和更改文件。但是，試圖訪問已加密文件或資料夾的入侵者將被禁止這些*作。如果入侵者試圖打開、複製、移動或重新命名已加密文件或資料夾，將收到拒絕訪問的消息。

　　正如設置其他任何內容（如只讀、壓縮或隱藏）一樣，通過為資料夾和文件設置加密內容，可以對資料夾或文件進行加密和解密。如果加密一個資料夾，則在加密資料夾中創建的所有文件和子資料夾都自動加密。推薦在資料夾級別上加密。

　　也可以用命令行功能 cipher 加密或解密文件或資料夾。有關 cipher 命令的詳細訊息，請參看本文附錄。

　　使用 EFS 可以防止在未經授權的情況下獲取對物理存儲的敏感資料（例如，竊取便攜式電腦或 Zip 磁碟）的訪問的入侵者，以確保文檔安全。

文件加密系統簡介

　　文件加密系統 (EFS) 可以使用戶對文件進行加密和解密。使用 EFS 可以保證文件的安全，以防那些未經許可的入侵者訪問存儲的敏感資料（例如，通過盜竊筆記本電腦或外掛式硬碟驅動器來偷取資料）。

　　用戶可以像使用普通文件和資料夾那樣使用已加密的文件和資料夾。加密過程是透明的。EFS 用戶如果是加密者本人，系統會在用戶訪問這些文件和資料夾時將其自動解密，但是不允許入侵者訪問任何已加密的文件或資料夾
使用加密文件

　　在使用加密文件和資料夾時，請記住下列訊息和建議。

　　重要的 EFS 訊息

只有 NTFS 捲上的文件和資料夾才能被加密。
不能加密壓縮文件或資料夾。首先必須對文件和資料夾解壓縮，然後才能加密。在已壓縮的捲上，解壓縮所要加密的資料夾。
只有對文件實施加密的用戶才能打開它。
不能共享加密文件。EFS 不能用於發佈私人資料。
如果將加密的文件複製或移動到非 NTFS 格式的捲上，該文件將會被解密。
使用剪下和貼上去將文件移動到已加密的資料夾。如果使用拖放式*作來移動文件，則不會將它們在新資料夾中自動加密。
無*加密系統文件。
加密的資料夾或文件不能防止被刪除。任何擁有刪除權限的人均可以刪除加密的資料夾或文件。
對於編輯文檔時某些程式創建的臨時文件，只要這些文件在 NTFS 捲上而且放在已加密資料夾中，則它們也會被加密。為此建議加密硬碟上的 Temp 資料夾。加密 Temp 資料夾可以確保在編輯過程中的文檔也處於保密狀態。如果在 Outlook 中創建一個新文檔或打開附件，該文件將在 Temp 資料夾中創建為加密文檔。如果選擇將加密的文檔儲存到 NTFS 卷的其他位置，則它在新位置仍被加密。
在允許進行遠端加密的遠端電腦上可以加密或解密文件及資料夾。詳細訊息，請與域管理員聯繫。然而，如果通過網路打開已加密文件，通過此過程在網路上傳輸的資料並未加密。其他協議，例如 SSL/PCT 或者 IPSEC 必須用於通過線路加密資料。
恢復策略是當你對第一個文件或資料夾進行加密時自動執行的，以便如果你丟失了文件加密證書和相關的私鑰，恢復代理可以給你解密文件。
　　EFS 推薦

如果你將大多數文檔儲存在「我的文檔」資料夾中，則將對該資料夾加密。這將確保在預定情況下加密個人文檔。
加密 Temp 資料夾，使程式創建的所有臨時文件自動加密。
加密資料夾而不是加密單獨的文件，以便如果程式在編輯期間創建了臨時文件，這些臨時文件也會加密。

從 Microsoft 管理控制台 (MMC) 的「證書」，使用「匯出」命令，可以在軟碟上製作文件加密證書和相關私鑰的備份副本。將軟碟保留在安全位置。那麼，如果你丟失了文件加密證書（由於磁碟故障或任何其他原因），則可以從 MMC 的證書中使用「匯入」命令從軟碟還原證書和相關的私鑰，並可以打開加密的文件。
資料加密和解密

　　文件加密系統 (EFS) 可以使用戶在本機電腦上安全地存儲資料。EFS 通過在選定的 NTFS 文件和資料夾中加密資料來達到這一目的。

　　由於 EFS 與文件系統整合在一起，所以它易於管理、難以被攻擊而且對用戶完全透明。這是一種保護易於盜竊的電腦（便攜機）上的資料的典型方*。

　　FAT 卷中的文件和資料夾不能被加密和解密。而且，EFS 一般用於在本機電腦上安全地存儲資料。例如，它不支持加密文件的共享。

　　EFS 加密密鑰

　　如果用戶對指定的文件進行加密，那麼對用戶來講實際的資料加密和解密過程是完全透明的。用戶不需要瞭解這個過程。但對管理員來說，以下關於資料如何被加密和解密的說明是十分有用的。

　　以下說明只適用於文件，而不適用於資料夾。資料夾本身不會被加密，而是資料夾中所包含文件的內容被加密。和資料夾一樣，子資料夾不能被加密，但是它們都帶有明顯標識指出其中包含加密的文件資料。

　　文件的加密過程如下：

　　每個文件都有一個唯一的文件加密密鑰，用於以後對文件資料進行解密。

　　文件的加密密鑰在文件之中加密的--通過與用戶的 EFS 證書對應的公鑰進行保護。

　　文件加密密鑰同時受到授權恢復代理的公鑰的保護。

　　文件的解密過程如下：

　　要解密一個文件，首先要對文件加密密鑰進行解密。當用戶的私鑰與這個公鑰匹配時，文件加密密鑰就被解密。

　　用戶並不是唯一能對文件加密密鑰進行解密的人。恢復代理的私鑰同樣可以對文件加密密鑰進行解密。

　　當文件加密密鑰被解密後，可以被用戶或恢復代理用於文件資料的解密。

　　私鑰儲存在受保護的密鑰存儲區，而不是在安全帳戶管理器 (SAM) 或單獨的目錄中。
　　在遠端服務器上存儲加密文件

　　如 Windows 2000 電腦環境中的用戶想在遠端服務器上存儲加密文件，請注意以下訊息：

　　Windows 2000 支持在遠端服務器上存儲加密文件。然而，這一功能並不支持多個用戶對加密文件的遠端共享。

　　用戶永遠不能在物理存放位置的安全性不好的服務器上存儲高敏感度的資料。

　　加密的資料在網路上傳輸時是不加密的，只有當它存儲在磁碟上時才是加密的。當系統包括網際協議的安全機制 (IPSec) 時例外。IPSec 對傳輸在 TCP/IP 網路上的資料進行加密。

　　加密的文件不能從 Macintosh 客戶端訪問。

　　用戶可以對遠端服務器上的文件加密之前，管理員必須指定遠端服務器為信任委派。允許在該服務器上擁有這些文件的所有用戶對文件進行加密。



加密文件系統和資料恢復

　　作為系統的整個安全策略的一部分，"加密文件系統"(EFS) 的資料故障恢復是可用的。例如，如果你丟失了文件加密證書和相關的私鑰（由於磁碟錯誤或是其他原因），還是可以通過指定的故障恢復代理來恢復資料。或者，在商業環境中，單位能夠在僱員離開後恢復僱員加密的資料。

　　恢復策略

　　EFS 通過實施故障恢復策略要求來提供內置資料的故障恢復。要求故障恢復策略必須在用戶可以加密文件之前就位。故障恢復策略提供人員，作為被指派的故障恢復代理。當管理員第一次登入到系統上時，預定的故障恢復策略將會自動地新增進去，以便為管理員提供故障恢復代理。

　　故障恢復代理擁有特殊證書和相關私鑰，該私鑰允許在故障恢復策略的影響範圍內恢復資料。如果是故障恢復代理，請務必在 Microsoft 管理控制台 (MMC) 的證書中使用「匯出」命令，將故障恢復證書和相關私鑰備份到安全位置。在備份之後，應使用 MMC 中的「證書」管理單元從恢復代理的個人存儲區（而不是從恢復策略）刪除恢復證書。然後，當需要為用戶執行故障恢復*作時，應該首先從 MMC 的「證書」管理單元中使用「匯入」命令將故障恢復證書和相關的私鑰還原到故障恢復代理的個人存儲區。在資料恢復之後，應從恢復代理的個人存儲區中再次刪除恢復證書。不必重複匯出過程。從電腦中刪除故障恢復證書並將其儲存在安全位置是用於保護敏感資料的附加安全措施。
預定故障恢復策略在本機配置為用於單機。對於網路中的電腦，可以在域、部門或單個電腦一級配置故障恢復策略，並在所定義的影響範圍內，將其應用於所有基於 Windows 2000 的電腦。恢復證書由證書頒發機構 (CA) 發佈，並使用 MMC 中的證書來管理。

　　在網路環境中，對於故障恢復策略影響範圍中的所有電腦用戶，域管理員控制如何執行 EFS。在預定的 Windows 2000 安裝中，當安裝第一個域控制器時，域管理員是指定的域故障恢復代理。域管理員配置故障恢復策略的方*將決定如何為本機機器上的用戶執行 EFS。域管理員登入到第一域控制器以更改域的故障恢復策略。下表解釋幾種故障恢復策略配置對用戶的影響。

空的故障恢復策略 無*使用 EFS 沒有故障恢復代理 刪除每個故障恢復代理
域等級中沒有故障恢復策略 可以在本機使用 EFS 預定的故障恢復代理是本機電腦的管理員 在第一個域控制器上刪除故障恢復策略
故障恢復策略以指定的故障恢復代理來配置。 可以在本機使用 EFS 預定的故障恢復代理是域管理員 網路環境的預定配置

　　因為 Windows 2000 安全子系統處理故障恢復策略的實施、複製和緩衝，用戶能夠在暫時脫機的系統上執行文件加密，如便攜式電腦（此過程類似於使用緩衝的憑據登入到域帳戶）。

　　故障恢復策略

　　「故障恢復策略」指電腦環境中的用戶在恢復加密的資料時所遵從的策略。故障恢復策略是一種公鑰策略類型。

　　安裝 Windows 2000 Server 時，如果已設置第一個域控制器時，將自動對域執行故障恢復策略。域管理員被頒發自簽名的證書，該證書將域管理員指派為故障恢復代理。

　　EFS 通過實施故障恢復策略要求來提供內置資料的故障恢復。要求故障恢復策略必須在用戶可以加密文件之前就位。故障恢復策略提供指派為故障恢復代理的人員。當管理員第一次登入到系統時，故障恢復策略將自動就位，讓管理員成為故障恢復代理。
配置恢復策略

　　預定故障恢復策略是為單獨的電腦在本機配置的。對於網路中的電腦，可以在域、組織單元或單獨電腦級別上配置故障恢復策略，並在所定義的影響範圍內將其應用到所有基於 Windows 2000 的電腦。故障恢復證書由證書頒發機構 (CA) 頒發，並用 Microsoft 管理控制台 (MMC) 中的證書來管理。

　　在網路上，故障恢復策略由域管理員或故障恢復代理設置，它控制策略影響範圍內所有電腦的控制恢復項。

　　由於安全子系統處理故障恢復策略的實施、複製和快取記憶體，因此用戶可以在暫時脫機的系統上（如便攜機）執行文件加密。（此工作行程類似於使用快取記憶體的憑據登入到域帳戶）。



　　故障恢復策略的類型

　　管理員可以定義三種策略中的一種：非故障恢復策略、空故障恢復策略，或者帶一個或多個故障恢復代理的故障恢復策略。

　　故障恢復代理策略。當管理員新增一個或多個故障恢復代理時，故障恢復代理策略生效。這些代理負責在其管理範圍內恢復任何加密的資料。這是最常用的故障恢復策略類型。

　　空故障恢復策略。當管理員刪除所有的故障恢復代理及其公鑰證書時，空故障恢復策略生效。空故障恢復策略意味著沒有故障恢復代理，而且用戶無*在故障恢復策略影響範圍內的電腦上加密資料。空故障恢復策略的結果是完全關閉 EFS。

　　非故障恢復策略。當管理員刪除組故障恢復策略時，非故障恢復策略生效。由於沒有組故障恢復策略，因此單個電腦上的預定本機策略被用於恢復資料。這意味著本機管理員控制其電腦上的資料恢復。

　　更改故障恢復策略

　　要更改域的預定故障恢復策略，請以管理員身份登入第一個域控制器。然後，必須通過"Active Directory 用戶和電腦"管理單元啟動"組策略"，並選擇"安全設置"、"公鑰策略"和"加密資料的故障恢復代理"。

　　故障恢復代理

　　故障恢復代理就是獲得授權解密由其他用戶加密的資料的管理員。例如，當僱員離開公司而其剩餘資料需要解密時故障恢復代理非常有用。在新增域的故障恢復代理之前，必須確保每個故障恢復代理都已經頒發 X509 第三版的證書。

　　故障恢復代理擁有特殊證書和相關私鑰，允許在故障恢復策略的影響範圍內恢復資料。如果你是故障恢復代理，請務必在 Microsoft 管理控制台 (MMC) 的證書中使用「匯出」命令，將故障恢復證書和相關私鑰備份到安全位置。備份完成後，應該使用 MMC 中的證書刪除故障恢復證書。然後，在需要為用戶執行故障恢復*作時，應該首先從 MMC 的證書中使用「匯入」命令還原故障恢復證書和相關私鑰。恢復資料之後，應該再次刪除故障恢復證書。不必重複匯出過程。
要對域新增故障恢復代理，請將它們的證書新增到現有的故障恢復策略中。可以通過「Active Directory 用戶和電腦」管理單元啟動「新增故障恢復代理」嚮導來完成。

　　使用證書

　　證書是一種幫你申請新的公鑰證書並管理現有證書的管理單元。證書由提供身份驗證、資料完整性以及在不安全的網路（如 Internet）間進行安全通訊的許多公鑰安全服務和應用程式所使用。管理員可以為自己或其他用戶、電腦或服務管理證書。用戶只管理自己的證書。 有關打開管理單元或使用 Microsoft 管理控制台 (MMC) 的訊息，請參閱相關訊息。

附：Cipher 命令詳解

　　在 NTFS 捲上顯示或改變文件的加密。

cipher [/e| /d] [/s:dir] [/a][/i] [/f] [/q] [/h] [pathname [...]]

　　1． 參數

　　無
　　不帶參數使用，將顯示當前資料夾和其包含文件的加密狀態。

　　/e
　　加密指定的資料夾。資料夾將被標記，以後新增到此資料夾中的文件將被加密。

　　/d
　　將指定的資料夾解密。資料夾將被標記，以後將會不加密新增到此資料夾的文件。

　　/s: dir
　　對在給定目錄及全部子目錄中的文件執行指定*作。

　　/a
　　對帶指定名稱的文件執行所選*作。如果沒有匹配的文件，該參數將被忽略。

　　/i
　　即使發生錯誤，系統仍然繼續執行指定的*作。預定情況下，遇到錯誤時 cipher 會停止。

　　/f
　　對所有指定的對象進行加密或解密。預定情況下，已加密或解密的文件被跳過。

　　/q
　　只報告最基本的訊息。

　　/h
　　顯示帶隱藏或系統內容的文件。預定情況下，這些文件是不加密或解密的。

　　pathname
　　指定樣式模板、文件或資料夾。

　　2．範例

　　要使用 cipher 命令加密資料夾 MonthlyReports 中的子資料夾 May，請鍵入下列命令：

cipher /e monthlyreports\may

　　要加密 MonthlyReports 資料夾中的 January 到 December 子資料夾以及 month 子資料夾中的 Manufacturing 子資料夾，請鍵入：

cipher /e /s:monthlyreports

　　如果只想加 May 子資料夾中的 Marketing.xls 文件，請鍵入：

cipher /e /a monthlyreports\may\marketing.xls

　　要加密 May 資料夾中的 Marketing.xls 文件、Maintenance.doc 文件以及 Manufacturing 子資料夾，請鍵入：

cipher /e /a monthlyreports\may\ma*

　　要確定 May 是否已加密，請鍵入：

cipher monthlyreports\may

　　要確定 May 資料夾中哪些文件已加密，請鍵入：

cipher monthlyreports\may\*

　　3．注意

　　加密或解密文件

　　要防止加密文件在修改時變為解密，建議你將文件和其存放的資料夾兩者一同加密。

　　多個資料夾名稱

　　可以使用多個資料夾名稱和通配符。

　　多個參數

　　每個參數之間至少有一個空格分隔。

[psac]

EFS Key 7.9 Build 2141
http://www.lostpassword.com/demos/efskeyd.exe

http://sq5.onlinedown.net/down/efskeyd.exe
磁碟格式加密文件恢復工具，界面像視窗檔案總管。
開 發 商：Home Page

Key retrieves EFS-encrypted files from NTFS partitions. To retrieve the files, the encryption password must be known or SAM database must be present.

EFS Key user interface is similar to Windows Explorer. User can browse disk contents, then drag and drop files to a new location. Encrypted files are decoded in the process of copying.
http://www.lostpassword.com/efs.htm
Features

Supported file systems: NTFS 1.1, NTFS 5.0
Supported operating systems: Windows XP, 2000
Requirements

Encryption password must be known or SAM database must be present (Windows 2000)
User must have administrator privileges
Limitations

Does not work with FAT partitions
Does not support Dynamic Disks
Corrupted, invisible or inaccessible partitions are not supported
Does not work on files invisible due to user's access rights

[psac]

Windows中EFS加密及解密應用

EFS特點簡介

　　Windows 2000/XP/Server 2003都配備了EFS（Encrypting File System，加密檔案系統），它可以幫助您針對存儲在NTFS磁片捲上的文件和資料夾執行加密操作。如果硬碟上的文件已經使用了EFS進行加密，即使駭客能訪問到你硬碟上的文件，由於沒有解密的密鑰，文件也是不可用的。

　　EFS加密基於公鑰策略。在使用EFS加密一個文件或資料夾時，系統首先會產生一個由偽隨機數組成的FEK（File Encryption Key，文件加密鑰匙），然後將利用FEK和資料擴展標準X演算法創建加密後的文件，並把它存儲到硬碟上，同時刪除未加密的原始文件。接下來系統利用你的公鑰加密FEK，並把加密後的FEK存儲在同一個加密文件中。而在訪問被加密的文件時，系統首先利用當前用戶的私鑰解密FEK，然後利用FEK解密出文件。在首次使用EFS時，如果用戶還沒有公鑰/私鑰對（統稱為密鑰），則會首先產生密鑰，然後加密資料。如果你登入到了域環境中，密鑰的產生依賴於域控制器，否則它就依賴於本機機器。

　　說起來非常複雜，但是實際使用過程中就沒有那麼麻煩了。EFS加密的用戶驗證過程是在登入Windows時進行的，只要登入到Windows，就可以打開任何一個被授權的加密文件。換句話說，EFS加密系統對用戶是透明的。這也就是說，如果你加密了一些資料，那麼你對這些資料的訪問將是完全允許的，並不會受到任何限制。而其他非授權用戶試圖訪問你加密過的資料時，就會收到「訪問拒絕」的錯誤提示（圖1）。

　　


　　圖2

　　1.將EFS選項新增至快捷功能表

　　如果想將EFS選項新增至快捷功能表，請依次執行下列操作步驟：在「執行」對話方塊內輸入regedit，在註冊表編輯器內瀏覽至下列子鍵：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced，然後新增一個DWORD值EncryptionContextMenu，並將它的鍵值設為1。注意，為確保對註冊表進行修改，應在自己的電腦上擁有管理員帳號。這樣當用戶右鍵單擊某一存儲於NTFS磁片捲上的文件或資料夾時，加密或解密選項便會出現在隨後彈出的快捷功能表上（圖3），非常方便。

　　



　　圖3



2.禁用EFS

　　如果你不喜歡EFS，可以徹底禁用它。只要在「執行」中輸入Regedit並Enter鍵，打開註冊表編輯器，依次展開到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS，然後新增一個Dword值EfsConfiguration，並將其鍵值設為1，這樣本機的EFS加密就被徹底禁用了。

　　3. 跳過不加密父資料夾下的某個子資料夾

　　在加密的過程中我們常常遇到這樣的事情，我們需要加密某一個資料夾，而此資料夾下還有很多的子資料夾，這時候我們如果不想加密位於此資料夾下的某一個子資料夾該怎麼辦呢？很多的用戶往往採取的方法是將不需要加密的子資料夾剪下出來，單獨存放，然後再加密資料夾。可是這樣一來卻破壞了原來的目錄結構，加密和保持原有的目錄結構好像是魚與熊掌不可兼得，怎麼辦？其實你大可不必這麼辛苦，只需要在不需要加密的子資料夾下建立一個「Desktop.ini」文件即可。具體地說就是在不需要加密的子資料夾下建立一個名為「Desktop.ini」的文件，用記事本程式打開錄入以下內容：

　　[encryption]

　　Disable=1

　　錄入完畢儲存並關閉該文件，以後要加密父資料夾的時候，當加密到該子資料夾就會遇到錯誤的資訊，如圖所示（圖4），點「忽略」按鈕就可以跳過對該子資料夾的加密，但其父資料夾的加密不會受到絲毫的影響。

　　



　　圖4

　　4.在命令提示字元下加密、解密文件

　　有些用戶喜歡在命令提示字元下工作，EFS也早為這些用戶準備好了。用CIPHER命令即可輕鬆完成對文件和資料夾的加密、解密工作。其命令格式如下：

　　CIPHER [/E 　 /D] 資料夾或文件名 [參數]

　　例如要給F盤根目錄下的abcde資料夾加密就輸入：「CIPHER /e f:\abcde」，如圖所示（圖5），Enter鍵後即可完成對資料夾的加密。要給F盤根目錄下的abcde資料夾解密則輸入：「CIPHER /D f:\abcde」，Enter鍵後即可完成對資料夾的解密。/E是加密參數，/D是解密參數，其他更多的參數和用法請在命令提示字元後輸入：「CIPHER /？」來檢視。

　　



　　圖5

　　EFS加密的破解

　　在EFS加密體系中，資料是靠FEK加密的，而FEK又會跟用戶的公鑰一起加密儲存；解密的時候順序剛好相反，首先用私鑰解密出FEK，然後用FEK解密資料。可見，用戶的密鑰在EFS加密中起了很大作用。

　　密鑰又是怎麼來的呢？在Windows 2000/XP中，每一個用戶都有一個SID（Security Identifier，安全標識符）以區分各自的身份，每個人的SID都是不相同的，並且有唯一性。可以這樣理解：把SID想像為人的指紋，雖然同名同姓甚至同時出生的人很多，但世界上任意兩個人的指紋卻完全不同。因此，這具有唯一性的SID就保證了EFS加密的絕對安全和可靠。因為理論上沒有SID相同的用戶，因而用戶的密鑰也就絕不會相同。在第一次加密資料時，系統就會根據SID產生加密者（該用戶）的密鑰，並且會把公鑰及私鑰分開儲存，供用戶加密和解密資料使用。

　　許多人由此就認為使用EFS加密非常安全，可是現在網上有一款叫做Advanced EFS Data Recovery的軟體就可以破解EFS加密！不過使用該軟體有個前提，那就是硬碟上要保留有相應的密鑰，而且該軟體目前僅能破解經過Windows 2000加密的文件，對Windows XP的加密還無法破解，所以使用XP的朋友可以安心一段時間了。一段時間以後呢？我也不知道，我只知道世上沒有不透風的牆。大家可以從網上下載該軟體的試用版，試用版只能解密文件的前512字節。

　　現在，假設我們的Windows 2000安裝在C硬碟，事先用Administrators組的賬戶Work加密了一個文本文件efs1.txt。登出該賬戶，用同屬於Administrators組的另一個賬戶Luck登入，直接打開efs1.txt文件試試，看到「訪問拒絕」的錯誤提示了吧？這說明經過EFS加密後的文件非授權用戶的確無法訪問。接下來執行Advanced EFS Data Recovery，在「EFS Related Files」標籤下點擊右側的「Scan For keys」，然後指定在C硬碟中掃瞄密鑰，圖中顯示為綠色的就是可用密鑰（圖6）。然後點擊「Encrypted files」標籤，再點擊右側的「Scan for encrypted files」按鈕，在D盤上搜索所有加密文件，會得到如圖所示的結果（圖7），其中的efs1.txt就是我們事先加密的文件，點擊「Save files」按鈕指定儲存的位置即可。打開該文件看看，沒有任何問題，該文件已經被解密了。

　　



　　圖6

　　



　　圖7

　　注意，如果你要解密的文件比較大的話，那就需要使用註冊版，否則無法破解。

[psac]

Windows XP系統中找回經EFS加密保護的文件
使用Windows XP的朋友都知道，讓他們最煩惱的事當屬在重裝系統的時候忘了匯出備份EFS加密保護文件的證書。遇上了這種情況怎麼辦呢？不能眼睜睜看著這些文件不能用吧？想重新使用這些已加密保護的文件嗎？那就跟我來吧，但是這種解密文件的方法對加密保護文件是有要求的。

要求：EFS加密保護文件證書沒有備份的情況下要恢復加密保護文件，只適用於該資料夾加密保護，但是其子文件和子資料夾沒加密保護，且沒有新文件加入該資料夾的情況。如果裡面的文件也被加密保護了，這種方法就無能為力了。

以筆者的操作系統為例介紹，筆者的系統為Windows Me/XP 雙操作系統，為了使Windows Me能訪問Windows XP的文件系統，Windows Me需要裝上NTFS For 98，這一步很關鍵。

提醒：該軟件用到了Window XP中的7個系統文件，他們分別是：autochk.exe、C_437.NLS、C_1252.NLS、L_INTL.NLS、NTDLL.DLL、NTFS.SYS、ntoskrnl.exe.

首先先進入Windows Me，然後找到加密保護的資料夾把裡面的文件複製到任何資料夾即可。然後，開啟文件看看文件的內容是不是你想要的。

不過這種方法適用範圍不大，因為大多數人都對所有的文件加了密。所以，我們有必要平時備份好EFS加密保護文件的證書，免得「後悔一輩子」。在已備份加密保護文件證書的情況下，可以使用以下方法找回加密保護文件：

備份密鑰：當有備份的密鑰時我們重裝系統也不會怕打不開以前加過密的文件了。點擊「開始→執行」，在「執行」交談視窗中輸入「certmgr.msc」打開證書管理器，點擊「證書→當前用戶」下的「個人→證書」（看不到？你都沒有加密保護的文件怎麼會有證書？）選擇「證書」右擊，選擇「所有任務→匯出」，在彈出的「證書匯出嚮導」中選取「匯出私鑰」，隨後選擇儲存證書的目錄，按Enter鍵後，私鑰便成功匯出。

當要重新裝系統的時候便把原來儲存的私鑰匯入即可。

設置Windows 恢復代理（以下以magic用戶為例）：

STEP1：首先以magic這個用戶登入系統。

STEP2：在「執行」交談視窗中輸入「cipher /r：c：\magic」（magic可以是其他任何名字）Enter鍵後要求輸入一個密碼，隨便輸入一個Enter鍵後便在c盤裡出現magic.cer和magic.pfx兩個文件。

STEP3：安裝magic.pfx證書，輸入剛才設置的保護證書的密碼，一路按NEXT就完成了證書的安裝。

STEP4：在「開始→執行」輸入「gpedit.msc」，打開組策略編輯器，在「電腦配置→Windows設置→安全設置→公鑰策略→正在加密保護文件系統」下，右擊彈出右鍵表菜單，選擇「新增資料恢復代理」，打開「新增故障恢復代理嚮導」打開magic.cer，然後按幾次下一步就完成了恢復代理的設置。最後，就可以用magic這個用戶名解密加密保護的文件了。