EFS 世界的 Recovery Agent

[psac]

曾經學過Windows 2000的朋友都瞭解，在Windows 2000的檔案系統中，只要將磁區格式化為NTFS5.0，就可以提供三大利多：檔案等級的權限保護，且內建於檔案系統程式中，故不論是透過網路作遠端存取，或是登入至本機存取，最後要存取到實體檔案，就得透過NTFS5.0的驅動程式，對磁區中的檔案進行讀取。
表面上，這好像粉棒粉安全，偏偏就有人手癢，弄出了NTFS For DOS以及NTFS For Windows 98，可直接存取NTFS的磁區，所以，只要薄薄的一片（DOS開機片），再多的權限，也擋不了直接用這磁片開機的人。相信讀到這裡，許多人開始準備買保險櫃或大鎖了，最好將存有機密檔案的File Server遠遠的離開人群，藏到雲深不知處！第二個利多是磁碟配額（Quota）的提供，再也不需害怕瘋狂的使用者，將整片DVD上載至File Server，最後也是最重要的創舉是內建加密檔案系統（Encryption File System EFS），前面第一利多的問題，靠EFS便可迎刃而解。所以囉！本文就是要談這個東東。
EFS如何解決NTFS 權限所保護不了的問題？試想：NTFS系統最大的弱點在於磁區上的資料並未編碼存放，若資料在寫入實體硬碟磁區時，就已經被加密過了，即使整個硬碟被竊取，所有機密也不可能外洩，況且加密所用的Key可達1024 bits，只要保管妥當，應該夠安全了吧！但是，Key 會不會洩漏，會不會遺失，遺失後能否付手續費向發Key銀行申請補發，這就又複雜了。
原則上，Key可存放在任何資料儲存體上，磁片或磁碟甚至Smart Card的快閃記憶體中，只要人沒有Bug，就不應該會有問題，若是人為疏失導致洩漏，非EFS之罪也！那萬一磁片發霉呢？或Smart Card變笨了讀不出來，這不就是天要亡我嗎？放心，天作孽微軟解，自作孽不可活。針對這種意外而無法解讀檔案的情形，EFS修復代理人（Recovery Agent）可以使您無後顧之憂。
要瞭解EFS修復代理人（Recovery Agent）如何完成使命，就必須論及EFS的運作原理了。在EFS的運作中，靠的是兩種加密學（也就是傳說中可以將檔案加入蜂蜜而變得甜甜的學問）：對稱式加密法與非對稱式加密法。果然有點玄了！請看下圖解：





將一份文件用一把只有雙方知道的Key透過特定演算法加解密，就稱為對稱式加密法，這把Key因為只有雙方知道，相當神秘，所以稱為Secret Key，用法如下：
用Secret Key將文件加密後，變成一堆亂碼，傳送給收件者，對方收到後，只要使用相同的Secret Key 輕輕一解，就恢復原來的樣子，得到原始未加密的內容。 而非對稱式加密就需要兩把不同的Key來加解密，這兩把Key有一把是公諸於世的叫做Public Key，可以在網路上自由的流傳，另一把需要藏好的叫Private Key，這兩把Key一起打造出來，可是永遠不能由其中一把推測出另一把Key的值，資料若用Public Key加密，就必須用Private Key 才能解；若用Private Key 加密，就需服用Public Key 才能解，兩者琴瑟和鳴雙雙對對，故又稱Key Pair。運作如下：






User1想传递明码的机密资料Plaintext给User2，就必须至网路上先取得User2的Public Key透过特定演算法加密后，成为Ciphertext，接下来就传给User2，待User2收到，立刻以自己珍藏已久的Private Key轻轻一解，就得到档案原来的样子Plaintext。
至此，各位应该开始发现加密学者的无聊了，没事弄那么多Key干嘛！诸君有所不知：Key 与人一样，有长短的不同（例如：脚），长的Key 有1024或2048bits很难破解，但是运算时间粉久，不适合直接用来加密资料量大的档案。短的Key 56或128bits较易破解，但是加解密大量资料时效能佳，实作上：我们会将较大的档案资料以较短的Secret Key（56或128bits）加密，再利用较长的Key Pair（1024或2048bits）来加密较短的Secret Key，如此一来，就兼具了两者的优点了，EFS就是利用这个原理。还是不懂？那你只好亲自到痗h来上MCSE的课了，嫌学费贵？苏格拉底说（苏副总将价格拉到底了说）：吾爱Money，吾更爱真理。真理是无价的，我们已经便宜卖了。
研究原理是为了帮助我们了解系统本身的设定，最重要的是实务上怎么运用。首先，我们在NTFS 5.0的磁区建立一个待加密的档案，并输入内容，如右图所示：

[psac]

在檔案進階內容啟用加密功能，按下確定，加密就完成了。
在EFS運作程序中每一個檔案在加密的瞬間都會由EFS系統本身隨機打造出一把Secret Key來作加密，因為是用來加密檔案的，所以又叫File Encryption Key（FEK）



接著，再拿該加密者的Public Key與Recovery Agent的Public Key個別對此FEK進行加密，並存放於此檔案的檔頭，用使用者Public Key加密過的FEK所存放的位置，我們稱為資料解密區（Data Decryption Field DDF），而Recovery Agent的Public Key加密過的FEK所存放的位置，我們稱為資料修復區（Data Recovery Field DRF）。



這就好比買了一個機車大鎖（檔案），先將大鎖用鑰匙鎖上（以FEK加密），再將鎖匙（FEK）綁在大鎖（檔案）上，很白癡對吧！玉琳龍說：待事不是憨人所想的哪麼簡單（請以台語閱讀）；Bill也曾說：天才與白癡只有一線之隔。如果我們再把這個鑰匙（FEK）用更複雜的鑰匙（Public Key）上鎖，那偷兒就更難解了，而且我們只需要藏好最後這把鑰匙，即可享有最高的加密安全性。 其次，是解密的問題：這就簡單了，使用者與修復代理人各自以自己藏粉久的Private Key 先解開被自己Public Key 加密的FEK，再用此FEK解密，檔案就現出原形了。






有一點要額外注意的是：若你實在粉害怕Key會遺失，或員工加密了一堆檔案後，逃之夭夭。偏偏帳號又殺掉了。此際可以找一堆人來當修復代理人，他們都會參與上述的加解密歷程，所以，只要還有一個修復代理人活著，他的Private Key，就能解開被加密的檔案。哪該如何看到傳說中的那堆Key？Private Key 顧名思義，是不應該看見的，他被狠狠的加密後存於個別使用者的設定檔（User Profile），Secret Key 根本就是曇花一現，只有加解密那一瞬間出現。Public Key是公諸於世的，所以，一定看得見，他藏在使用者的個人數位憑證中。只要以MMC將它嵌入即可見其廬山真面目：選項憑證種類時，請選我的使用者帳戶，按完成（本文皆以Whistler Demo）。




啊！千呼萬喚始出來，終於見到擁有Public Key 的憑證了！眼淚都快掉下來了！


接下來，我們只要對著此憑證以滑鼠用力點兩下，就得見Public Key了。
到這裡好像該下課了，不過最重要的修復代理人（Recovery Agent）好像沒提到如何擔任。在EFS運作中，系統至少要存在一個修復代理人（Recovery Agent），所以，要癱瘓EFS粉簡單，把修復代理人（Recovery Agent）幹掉就行了，系統預設的修復代理人（Recovery Agent）為本機的Administrator，網域環境下即為第一台昇級Domain Controller完畢的Administrator，這裡要注意，同一個網域中若架設多部Domain Controller，只有第一部的Administrator登入才能見到修復代理人（Recovery Agent）的憑證。那別人不是沒機會當修復代理人（Recovery Agent）了嗎？放心，一切冥冥之中早已注定，只要將預設修復代理人（Recovery Agent）的Private Key 匯出，再匯入給想當修復代理人（Recovery Agent）的其他使用者，這群人就可以共用這把珍貴獨一無二的Private Key，享受解遍天下無敵手的日子了！做法如下：首先需匯出預設修復代理人（Recovery Agent）的Private Key：







最重要的是選項匯出Private Key。

[psac]

最後，指定保護密碼與存放路徑就大功告成了。下圖即是同時存放這一對Key Pair的檔案。



接下來，就是將此Key Pair匯入欲成為修復代理人（Recovery Agent）的使用者設定檔中，所以，我們以另一個帳號登入，重複用MMC嵌入憑證的動作。並將之前匯出的Private.pfx匯入此使用者帳戶中。於是他終於加入修復代理人（Recovery Agent）的行列了。





電影將要散場，燈火慢慢點亮，希望這次的演出能帶給一直對微軟EFS弄不是很清楚的朋友們，一點曙光。不過千萬不要以為你已經瞭解EFS，修復代理人（Recovery Agent）還有更漂亮的做法，利用Windows 2000 內建的憑證中心CA，來自動發行網域中的修復代理人（Recovery Agent）憑證，並將之與Smart Card整合於Active Directory 驗證體系中，才是極致的展現。

[psac]

Windows XP Professional中EFS中的技巧
參考資料：Windows XP Professional Resource Kit Documentation


EFS(Encrypting File System)，是從Windows 2000開始廣泛使用的在NTFS文件系統上使用的一種加密系統，該系統通過SID和私鑰的密切配合來達到對被加密文件、目錄的權限驗證。到目前為止，EFS文件系統都沒有一種完美的破解方法，而且微軟還在不斷的改善EFS的特性。可以說，EFS加密系統對重要文件的保護提供了一種新的途徑。

•滑鼠右鍵中的「加密/解密」選項：無疑，以前從資料夾、文件屬性內容中選項「加密」是比較麻煩的一件事情，如果直接在被加密文件、目錄的滑鼠右鍵功能表中出現「加密/解密」選項是一件非常方便的事情。
在[開始]—[執行]中輸入regedit，開啟註冊表編輯器，展開HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced，然後在[編輯]功能表上, 選項[新增], 並按下「DWORD值」，以「EncryptionContextMenu」為名字, 並將該變量賦值為1。操作完畢以後，再在使用NTFS文件系統的分鐘中的任意一個資料夾上點擊滑鼠右鍵，是不是有一個「加密」的字樣？選項他就可以對選的資料夾、文件加密了；同樣，如果是一個已經被加密的文件，那麼出現的就是「解密」字樣。

•排除一個或多個目錄：有些時候，某些子目錄是不能夠加密的，但是一般模式下，我們只有2個可選項項：對單一的目錄、文件加密和對全部目錄、文件加密2種選項。如果我們在不需要加密的資料夾裡面有一個desktop.ini文件，並且在desktop.ini文件裡面寫入一些特定的字串，那麼這個資料夾裡面的全部文件都將不會被加密，但是需要注意的是，這個資料夾的子目錄及其子目錄裡面的文件甚至下一層子目錄不受影響。desktop.ini的內容如下：

[Encryption] Disable=1

請按照上面的格式分作2行寫，輸入完畢以後儲存為desktop.ini文件即可。

•在單機上停止使用EFS加密系統：如果由於誤操作不慎使用了EFS加密系統，而又在不知情的情況下重新安裝了操作系統，這個時候出現的情況就是被加密的文件無法開啟，原因是SID改變了。為了防止這種情況的出現，我們可以遮閉掉EFS的功能。開啟註冊表編輯器，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS，在右邊的視窗裡面新增一個值為1的Dword值，然後命名為EfsConfiguration。重新啟動以後EFS就被遮閉了。如果你要要加密，看到的將是一個錯誤提示。注意：這個功能僅限於單機，如果你是域環境，那麼是無效的。
最後需要注意的是：一旦你使用了EFS加密系統，就必須及時地制作備份私鑰，否則一旦密鑰改變，你的被加密的文件就會不來了。制作備份的方法清參看Windows 說明 。

以上操作在Windows XP Professional 中通過。

[psac]

EFS加密和安全
http://cctips.nease.net/2kxp/EFS/efs.htm


EFS加密和安全

隨著穩定性和可靠性的逐步提高，Windows 2000/XP已經被越來越多的人使用，很多人還用Windows 2000/XP自帶的EFS加密功能把自己的一些重要資料加密儲存。雖然EFS易用性不錯，不過發生問題後就難解決了，例如不做任何準備就重裝了操作系統，那很可能導致以前的加密資料無法解密。最近一段時間我們已經可以在越來越多的論壇和新聞組中看到網友的求救，都是類似這樣的問題而導致重要資料無法開啟，損失慘重。為了避免更多人受到損失，這裡我把使用EFS加密的注事項寫出來，希望對大家有所說明 。

注意，下文中的Windows XP皆指Professional版，Windows XP Home版並不支持EFS加密。

什麼是EFS加密

EFS（Encrypting File System，加密文件系統）是Windows 2000/XP所特有的一個實用功能，對於NTFS捲上的文件和資料，都可以直接被操作系統加密儲存，在很大程度上提高了資料的安全性。

EFS加密是關於公鑰原則的。在使用EFS加密一個文件或資料夾時，系統首先會產生一個由偽隨機陣列成的FEK (File Encryption Key，文件加密鑰匙)，然後將利用FEK和資料擴展標準X算法新增加密後的文件，並把它存儲到硬碟上，同時刪除未加密的原始文件。隨後系統利用你的公鑰加密FEK，並把加密後的FEK存儲在同一個加密文件中。而在訪問被加密的文件時，系統首先利用當前用戶的私鑰解密FEK，然後利用FEK解密出文件。在首次使用EFS時，如果用戶還沒有公鑰/私鑰對（統稱為密鑰），則會首先產生密鑰，然後加密資料。如果你登入到了域環境中，密鑰的產生依賴於域控制器，否則它就依賴於本機機器。

EFS加密有什麼好處

首先，EFS加密機制和操作系統緊密結合，因此我們不必為了加密資料安裝額外的軟體，這節約了我們的使用成本。

其次，EFS加密系統對用戶是透明的。這也就是說，如果你加密了一些資料，那麼你對這些資料的訪問將是完全允許的，並不會受到任何限制。而其他非授權用戶試突訪問加密過的資料時，就會收到「訪問拒絕」的錯誤提示。EFS加密的用戶驗證程序是在登入Windows時進行的，只要登入到Windows，就可以開啟任何一個被授權的加密文件。


如何使用EFS加密

要使用EFS加密，首先要保證你的操作系統符合要求。目前支持EFS加密的Windows操作系統主要有Windows 2000全部版本和Windows XP Professional。至於還未正式發行的Windows Server 2003和傳聞中的開發代號為Longhorn的新一帶操作系統，目前看來也支持這種加密機制。其次，EFS加密只對NTFS5分區上的資料有效（注意，這裡我們提到了NTFS5分區，這是指由Windows 2000/XP格式化過的NTFS分區；而由Windows NT4格式化的NTFS分區是NTFS4格式的，雖然同樣是NTFS文件系統，但它不支持EFS加密），你無法加密儲存在FAT和FAT32分區上的資料。

對於想加密的文件或資料夾，只需要用滑鼠右鍵點擊，然後選項「屬性內容內容」，在一般選項項下點擊「進階」按鈕，之後在彈出的視窗中選「加密內容以保護資料」，然後點擊確定，等待片刻資料就加密好了。如果你加密的是一個資料夾，系統還會詢問你，是把這個加密屬性內容內容套用到資料夾上還是資料夾以及內部的所有子資料夾。按照你的實際情況來操作即可。解密資料也是很簡單的，同樣是按照上面的方法，把「加密內容以保護資料」前的鉤消除，然後確定。圖

如果你不喜歡圖形界面的操作，還可以在指令行模式下用「cipher」指令完成對資料的加密和解密操作，至於「cipher」指令更詳細的使用方法則可以通過在指令符後輸入「cipher/?」並Enter鍵獲得。

注意事項：如果把未加密的文件複製到具有加密屬性內容內容的資料夾中，這些文件將會被自動加密。若是將加密資料移出來，如果移動到NTFS分區上，資料依舊保持加密屬性內容內容；如果移動到FAT分區上，這些資料將會被自動解密。被EFS加密過的資料不能在Windows中直接共享。如果通過網路傳輸經EFS加密過的資料，這些資料在網路上將會以明文的形式傳輸。NTFS分區上儲存的資料還可以被壓縮，不過一個文件不能同時被壓縮和加密。最後一點，Windows的系統檔案和系統檔案夾無法被加密。

這裡還有個竅門，用傳統的方法加密文件，必須開啟層層表單並依次驗證，非常麻煩，不過只要修改一下註冊表，就可以給滑鼠的右鍵表單中增添「加密」和「解密」的選項。

在執行中輸入「regedit」並Enter鍵，開啟註冊表編輯器，定位到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion /Exporer/Advanced ，在「編輯」表單上點擊「新增－Dword值」，輸入「EncryptionContextMenu」作為鍵名，並設定鍵值為「1」。現在退出註冊表編輯器，開啟檔案總管，任意選一個NTFS分區上的文件或者資料夾，然後點擊滑鼠右鍵，就可以在右鍵表單中找到相應的選項，直接點擊就可以完成加密解密的操作。

如果你想設定禁止加密某個資料夾，可以在這個資料夾中新增一個名為「Desktop.ini」的文件，然後用記事本開啟，並增加如下內容：

[Encryption]

Disable=1

之後儲存並關閉這個文件。這樣，以後要加密這個資料夾的時候就會收到錯誤信息，除非這個文件被刪除。

而如果你想在本機上徹底禁用EFS加密，則可以通過修改註冊表實現。在執行中輸入「Regedit」並Enter鍵，開啟註冊表編輯器，定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS，在「編輯」表單上點擊「新增－Dword值」，輸入「EfsConfiguration」作為鍵名，並設定鍵值為「1」，這樣本機的EFS加密就被禁用了。而以後如果又想使用時只需把鍵值改為「0」。

如何保證EFS加密的安全和可靠

前面我們已經瞭解到，在EFS加密體系中，資料是靠FEK加密的，而FEK又會跟用戶的公鑰一起加密儲存；解密的時候順序剛好相反，首先用私鑰解密出FEK，然後用FEK解密資料。可見，用戶的密鑰在EFS加密中起了很大作用。

密鑰又是怎麼來的呢？在Windows 2000/XP中，每一個用戶都有一個SID（Security Identifier，安全標示符）以區分各自的身份，每個人的SID都是不相同的，並且有唯一性。可以這樣理解：把SID想像成人的指紋，雖然世界上已經有幾十億人（同名同姓的也有很多），可是理論上還沒有哪兩個人的指紋是完全相同的。因此，這具有唯一性的SID就保證了EFS加密的絕對安全和可靠。因為理論上沒有SID相同的用戶，因而用戶的密鑰也就絕不會相同。在第一次加密資料的時候，操作系統就會根據加密者的SID產生該用戶的密鑰，並把公鑰和私鑰分開儲存起來，供用戶加密和解密資料。

這一切，都保證了EFS機制的可靠。

其次，EFS機制在設計的時候就考慮到了多種突發情況的產生，因此在EFS加密系統中，還有恢復代理（Recovery Agent）這一概念。

舉例來說，公司財務部的一個職工加密了財務資料的報表，某天這位職工辭職了，安全起見你直接刪除了這位職工的賬戶。直到有一天需要用到這位職工新增的財務報表時才發現這些報表是被加密的，而用戶帳戶已經刪除，這些文件無法開啟了。不過恢復代理的存在就解決了這些問題。因為被EFS加密過的文件，除了加密者本人之外還有恢復代理可以開啟。

對於Windows 2000來說，在單機和工作組環境下，預設的恢復代理是 Administrator ；Windows XP在單機和工作組環境下沒有預設的恢復代理。而在域環境中就完全不同了，所有加入域的Windows 2000/XP電腦，預設的恢復代理全部是域管理員。

這一切，都保證了被加密資料的安全。

如何避免不慎使用EFS加密帶來的損失

如果你也和我一樣，由於對EFS加密不瞭解致使重要資料丟失，那麼也別氣餒，就當買了個教訓。畢竟通過這事情你還是能學會很多東西的。那就是：製作制作備份密鑰！設定有效的恢復代理！

對於上面講到的情況1，製作制作備份密鑰可以避免這種悲劇的發生。在執行中輸入「certmgr.msc」然後Enter鍵，開啟證書管理器。密鑰的匯出和匯入工作都將在這裡進行。

在你加密過文件或資料夾後，開啟證書管理器，在「當前用戶」－「個人」－「證書」路徑下，應該可以看見一個以你的用戶名為名稱的證書（如果你還沒有加密任何資料，這裡是不會有證書的）。右鍵點擊這個證書，在「所有工作」中點擊「匯出」。之後會彈出一個證書匯出精靈，在精靈中有一步會詢問你是否匯出私鑰，在這裡要選項「匯出私鑰」，其它選項按照預設設定，連續點擊繼續，最後輸入該用戶的密碼和想要儲存的路徑並驗證，匯出工作就完成了。匯出的證書將是一個pfx為後面的文件。圖


重裝操作系統之後找到之前匯出的pfx文件，滑鼠右鍵點擊，並選項「安裝PFX」，之後會出現一個匯入精靈，按照匯入精靈的提示完成操作（注意，如果你之前在匯出證書時選項了用密碼保護證書，那麼在這裡匯入這個證書時就需要提供正確的密碼，否則將不能繼續），而之前加密的資料也就全部可以正確開啟。

對於情況2，我們對Windows XP和Windows 2000兩種情況分別加以說明。

由於Windows XP沒有預設的恢復代理，因此我們加密資料之前最好能先指定一個預設的恢復代理（建議設定Administrator為恢復代理，雖然這個賬戶沒有顯示在歡迎螢幕上，不過確實是存在的）。這樣設定：

首先要獲得可以匯入作為恢復代理的用戶密鑰，如果你想讓Administrator成為恢復代理，首先就要用Administrator帳戶登入系統。在歡迎螢幕上連續按Ctrl＋Alt＋Del兩次，開啟登入對話視窗，在用戶名處輸入Administrator，密碼框中輸入你安裝系統時設定的Administrator密碼，然後登入。首先在硬碟上一個方便的地方建立一個臨時的文件，檔案類型不限。這裡我們以C碟根目錄下的一個1.txt文本文件文件為例，建立好後在執行中輸入「CMD」然後Enter鍵，開啟指令提示行視窗，在指令提示字元後輸入「cipher /r:c:\1.txt」，Enter鍵後系統還會詢問你是否用密碼把證書保護起來，你可以按照你的情況來決定，如果不需要密碼保護就直接按Enter鍵。完成後我們能在C碟的根目錄下找到1.txt.cer和1.txt.pfx兩個文件（為了顯示的清楚我在資料夾選項中設定了顯示所有檔案類型的副檔名，這樣我們可以更清楚地瞭解到底產生了哪些文件）。圖


之後開始設定恢復代理。對於1.txt.pfx這個文件，同樣需要用滑鼠右鍵點擊，然後按照精靈的提示安裝。而1.txt.cer則有些不同，在執行中輸入「gpedit.msc」並Enter鍵，開啟群組原則編輯器。在「電腦配置－Windows設定－安全性設定－公鑰原則－正在加密文件系統」表單下，在右側視窗的空白處點擊滑鼠右鍵，並選項「增加資料恢復代理」，然後會出現「增加故障恢復代理精靈」按照這個精靈開啟1.txt.cer，如果一切無誤就可以看見圖五的界面，這說明我們已經把本機的Administrator設定為故障恢復代理。圖

如果你願意，也可以設定其它用戶為恢復代理。需要注意的是，你匯入證書所用的1.txt.pfx和1.txt.cer是用哪個帳戶登入後產生的，那麼匯入證書後設定的恢復代理就是這位用戶。

在設定了有效的恢復代理後，用恢復代理登入系統就可以直接解密文件。但如果你在設定恢復代理之前就加密過資料，那麼這些資料恢復代理仍然是無法開啟的。

而對於Windows 2000就更加簡單，Windows 2000有恢復代理，因此只要用恢復代理（預設的就是Administrator）的帳號登入系統，就可以解密文件。



如何在本機上共享經EFS加密過的資料

加密過的文件只有加密者本人和恢復代理可以開啟，如果你要和本機的其它用戶共享加密文件又該怎麼辦？這在Windows 2000中是不行的，不過在Windows XP中可以做到。

選一個希望共享的加密文件（注意，只能是文件，而不能是資料夾），在文件上用滑鼠右鍵點擊，並選項「屬性內容內容」，之後在屬性內容內容對話視窗的「一般」選項項上點擊「進階」按鈕，然後再點擊「詳細資料」，之後你可以看見類似圖六的視窗，在這裡你可以決定誰可以開啟這個加密文件以及察看文件的恢復代理是具體是誰。圖

對EFS加密的幾個錯誤認識

很多人對EFS理解的不夠徹底，因此在使用程序中總會有一些疑問。一般情況下，我們最一般的疑問有以下幾種：



1， 為什麼開啟加密過的文件時沒有需要我輸入密碼？
這正是EFS加密的一個特性，同時也是EFS加密和操作系統緊密結合的最佳證明。因為跟一般的加密檔案不同，EFS加密不是靠雙按文件，然後彈出一個對話視窗，然後輸入正確的密碼來驗證的用戶的；EFS加密的用戶驗證工作在登入到Windows時就已經進行了。一旦你用適當的帳戶登入，那你就能開啟相應的任何加密文件，並不需要提供什麼額外的密碼。

2， 我的加密文件已經打不開了，我能夠把NTFS分區轉換成FAT32分區來挽救我的文件嗎？
這當然是不可能的了。很多人嘗試過各種方法，例如把NTFS分區轉換成FAT32分區；用NTFS DOS之類的軟體到DOS下去把文件複製到FAT32分區等，不過這些嘗試都以失敗告終。畢竟EFS是一種加密，而不是一般的什麼權限之類的東西，這些方法對付EFS加密都是無濟於事。而如果你的密鑰丟失或者沒有做好製作制作備份，那麼一旦發生事故所有加密過的資料就都沒救了。

3， 我加密資料後重裝了操作系統，現在加密資料不能開啟了。如果我使用跟前一個系統相同的用戶名和密碼總應該就可以了吧？
這當然也是不行的，我們在前面已經瞭解到，跟EFS加密系統密切相關的密鑰是根據每個用戶的SID得來的。儘管你在新的系統中使用了相同的用戶名和密碼，但是這個用戶的SID已經變了。這個可以理解為兩個同名同姓的人，雖然他們的名字相同，不過指紋絕不可能相同，那麼這種想法對於只認指紋不認人名的EFS加密系統當然是無效的。

4， 被EFS加密過的資料是不是就絕對安全了呢？
當然不是，安全永遠都是相對的。以被EFS加密過的文件為例，如果沒有合適的密鑰，雖然無法開啟加密文件，不過仍然可以刪除（有些小人確實會這樣想：你竟然敢加密了不讓我看！那好，我就刪除了它，咱們都別看）。所以對於重要文件，最佳的做法是NTFS權限和EFS加密並用。這樣，如果非法用戶沒有合適的權限，將不能訪問受保護的文件和資料夾；而即使擁有權限（例如為了非法獲得重要資料而重新安裝操作系統，並以新的管理員身份給自己指派權限），沒有密鑰同樣還是打不開加密資料。

5， 我只是用Ghost恢復了一下系統，用戶帳戶和相應的SID都沒有變，怎麼以前的加密文件也打不開了？
這也是正常的，因為EFS加密所用到的密鑰並不是在新增用戶的時候產生，而是在你第一次用EFS加密文件的時候。如果你用Ghost新增系統的鏡像前還沒有加密過任何文件，那你的系統中就沒有密鑰，而這樣的系統製作的鏡像當然也就不包括密鑰。一旦你加密了文件，並用Ghost恢復系統到新增鏡像的狀態，解密文件所用的密鑰就丟失了。因此這個問題一定需要主意！

　

希望本文對你使用EFS加密有所說明 ，希望你的資料能夠更加安全！


EFS加密的破解
http://cctips.nease.net/2kxp/efscrack/efscrack.htm
EFS加密的破解

之前本站曾介紹過EFS加密的一些內容，並提到目前還沒有什麼手段能破解EFS加密，可就在前幾天，國外一家軟體公司就宣稱自己的軟體已經可以破解經過EFS加密的文件了。這是真的嗎，還是該公司在譁眾取寵？我們一起來驗證一下。

這個軟體叫做Advanced EFS Data Recovery（下文中統一簡稱為AEFSDR），可以在這裡下載到試用版，這個版本只能解密文件的前512字元，註冊軟體需要99美元。

為了驗證AEFSDR是否有效，我做了如下的試驗：

在一台電腦上安裝了Windows XP Professional＋SP1和Windows 2000 Professional＋SP3，其中Windows XP安裝在D碟，Windows 2000安裝在C碟。然後在Windows 2000中用一個Administrators組的賬戶「EFS」加密了一個文本文件「efs1.txt」。登出該賬戶，用另一個賬戶「Test」登入（該賬戶也屬於Administrators組），直接開啟efs1.txt時收到了訪問拒絕的錯誤。接著執行AEFSDR，首先在「EFS Related Files」選項項下點擊右側的「Scan For keys」選項項，並指定在C碟中掃瞄密鑰，經過掃瞄得到了一些顯示為綠色的可用密鑰。圖

然後開啟「Encrypted files」選項項，點擊右側的「Scan for encrypted files」按鈕，在D碟上搜尋所有加密文件，得到圖中的結果。選「efs1.txt」，然後點擊「Save files」，並指定儲存的位置即可。找到解密出來的文件開啟看看，你已經成功解密該檔案了。



為了驗證該軟體，我又繼續進行了如下試驗：

用「Test」帳戶登入系統，並刪除賬戶「EFS」，接著執行AEFSDR，再次嘗試解密「efs1.txt」，成功；重啟動電腦到Windows XP下，執行AEFSDR解密「efs1.txt」，成功；拆下硬碟，並做為從盤安裝到其他執行Windows 2000/XP的電腦上，繼續嘗試用AEFSDR解密「efs1.txt」，成功；格式化C碟，然後把該硬碟做為從盤掛到其他執行Windows 2000/XP的電腦上，用AEFSDR解密「efs1.txt」，失敗。

由此可見，AEFSDR確實是有一定效果的，不過這要求硬碟上必需還保留有相應的密鑰，並且該軟體目前僅能破解經過Windows 2000加密的文件，對Windows XP的加密還無法破解，希望在今後的新版本中有所改進。

如果你不小心加密了資料，並且還保留有相關的密鑰，那就可以用這個軟體試試，只不過如果你的文件比較大就需要註冊該軟體了。提醒大家主意一下，該軟體雖然有破解過的版本，但是不建議你使用，因為破解版是失敗的，雖然可以解密文件，不過解密後的文件是被損壞的，根本不能使用