在基於Windows 2000/XP/2003的計算機中,如果系統中磁盤分區的文件系統格式採用了NTFS5.0,那麼我們就可以利用文件加密系統(EFS)特性來保護用戶保存在計算機中的個人文件和敏感信息。EFS採用了工業標準的數據加密算法和公鑰加密系統對文件的內容進行加密,加密過程十分複雜,加密強度很大,安全性極高。
用戶首次執行爲文件設置加密屬性的操作後,就會自動啓用EFS,這時系統會產生一個針對該用戶的公鑰/私鑰對。其中公鑰保存在該用戶的加密文件系統證書中,通過在系統控制檯(MMC)中添加證書管理單元可以進行查看;私鑰通過用戶的登錄系統口令派生一個主密鑰並保存在該用戶的個人配置文件中。同時,EFS針對每個要加密的文件會隨機產生一個文件加密密鑰,對文件的內容進行加密,同時在每個文件中自動生成一個數據加密字段,用來保存經過公鑰加密的文件加密密鑰。當用戶訪問加密文件時,首先會對保存在個人配置文件中的私鑰進行解密,然後使用私鑰對保存在文件中數據加密字段的文件加密密鑰進行解密,進而以明文的形式對文件進行訪問;訪問結束關閉文件後,文件會自動恢復到密文狀態。對於用戶來講,上述的文件加密和解密過程都是EFS自動完成的,只要用戶能夠以正確的賬戶名稱和密碼登錄到系統中,就可以完全透明的訪問加密的文件。但是,對於其他用戶加密的文件,由於不能對其他用戶的私鑰進行解密,因而也就不能訪問這些文件。
由於EFS的加密和解密與用戶的賬戶信息和個人配置文件密切相連,如果用戶忘記了自己的登錄口令或是登錄口令被系統管理員更改、個人配置文件損壞或丟失,都會造成文件永遠處於加密狀態不允許任何人進行訪問,由於EFS的加密強度極高,因此恢復的可能性很小。爲了預防這些情況的發生,用戶在啓用EFS後,要配置數據恢復代理爲自己留一條後路。
數據恢復代理可以訪問其他用戶加密的文件,並通過執行解密操作對文件進行恢復,它是加密文件系統策略的一個重要部分。數據恢復代理訪問加密文件的過程和加密用戶的過程類似,也是通過公鑰/私鑰對來實現的。由於受到系統加密策略的控制,配置了數據恢復代理後再對文件進行加密,在文件中會自動產生一個與數據恢復代理用戶相關聯的數據恢復字段,這個字段保存了由數據恢復代理的公鑰進行加密的文件加密密鑰,當數據恢復代理訪問這些加密文件時,與數據恢復代理公鑰相匹配的私鑰完成對保存在數據恢復字段的文件加密密鑰的解密,得到加密密鑰,通過對稱加密算法,可逆推出文件的明文內容。這樣實施加密的用戶和作爲數據恢復代理的用戶都可以透明地訪問到文件的內容。數據恢復代理訪問加密文件時,並不關心文件是由誰來加密的,它只關心文件中與其關聯的數據恢復字段。當數據恢復代理對加密文件進行恢復時(取消文件的加密屬性),會刪除文件中的數據加密字段和數據恢復字段,從而將加密文件轉換爲明文形式。
如何配置數據恢復代理
生成數據恢復代理的公鑰/私鑰對
啓動EFS後,系統不會自動創建數據恢復代理,必須由用戶進行指派,也就是在系統中選取一個存在的用戶或是創建一個新的用戶專門作爲數據恢復代理,爲了具有比較大的訪問權限,通常該用戶隸屬於管理員組。由於EFS不會爲作爲數據恢復代理的用戶自動生成公鑰/私鑰對,因此,這個步驟需要由作爲數據恢復代理的用戶通過cipher命令行工具自行完成。cipher命令的執行結果可以爲數據恢復代理用戶產生保存公鑰的數據恢復證書和私鑰。
具體的操作如下:以數據恢復代理用戶的身份登錄系統,在“開始”菜單的“運行”處運行cmd命令,進入“命令提示符”窗口,執行如下格式的命令:cipher /r:filename。其中cipher爲命令行的加密解密工具,參數r爲生成包含數據恢復密鑰和證書的文件,filename爲不帶擴展名的文件名稱。
用戶首次執行爲文件設置加密屬性的操作後,就會自動啓用EFS,這時系統會產生一個針對該用戶的公鑰/私鑰對。其中公鑰保存在該用戶的加密文件系統證書中,通過在系統控制檯(MMC)中添加證書管理單元可以進行查看;私鑰通過用戶的登錄系統口令派生一個主密鑰並保存在該用戶的個人配置文件中。同時,EFS針對每個要加密的文件會隨機產生一個文件加密密鑰,對文件的內容進行加密,同時在每個文件中自動生成一個數據加密字段,用來保存經過公鑰加密的文件加密密鑰。當用戶訪問加密文件時,首先會對保存在個人配置文件中的私鑰進行解密,然後使用私鑰對保存在文件中數據加密字段的文件加密密鑰進行解密,進而以明文的形式對文件進行訪問;訪問結束關閉文件後,文件會自動恢復到密文狀態。對於用戶來講,上述的文件加密和解密過程都是EFS自動完成的,只要用戶能夠以正確的賬戶名稱和密碼登錄到系統中,就可以完全透明的訪問加密的文件。但是,對於其他用戶加密的文件,由於不能對其他用戶的私鑰進行解密,因而也就不能訪問這些文件。
由於EFS的加密和解密與用戶的賬戶信息和個人配置文件密切相連,如果用戶忘記了自己的登錄口令或是登錄口令被系統管理員更改、個人配置文件損壞或丟失,都會造成文件永遠處於加密狀態不允許任何人進行訪問,由於EFS的加密強度極高,因此恢復的可能性很小。爲了預防這些情況的發生,用戶在啓用EFS後,要配置數據恢復代理爲自己留一條後路。
數據恢復代理可以訪問其他用戶加密的文件,並通過執行解密操作對文件進行恢復,它是加密文件系統策略的一個重要部分。數據恢復代理訪問加密文件的過程和加密用戶的過程類似,也是通過公鑰/私鑰對來實現的。由於受到系統加密策略的控制,配置了數據恢復代理後再對文件進行加密,在文件中會自動產生一個與數據恢復代理用戶相關聯的數據恢復字段,這個字段保存了由數據恢復代理的公鑰進行加密的文件加密密鑰,當數據恢復代理訪問這些加密文件時,與數據恢復代理公鑰相匹配的私鑰完成對保存在數據恢復字段的文件加密密鑰的解密,得到加密密鑰,通過對稱加密算法,可逆推出文件的明文內容。這樣實施加密的用戶和作爲數據恢復代理的用戶都可以透明地訪問到文件的內容。數據恢復代理訪問加密文件時,並不關心文件是由誰來加密的,它只關心文件中與其關聯的數據恢復字段。當數據恢復代理對加密文件進行恢復時(取消文件的加密屬性),會刪除文件中的數據加密字段和數據恢復字段,從而將加密文件轉換爲明文形式。
如何配置數據恢復代理
生成數據恢復代理的公鑰/私鑰對
啓動EFS後,系統不會自動創建數據恢復代理,必須由用戶進行指派,也就是在系統中選取一個存在的用戶或是創建一個新的用戶專門作爲數據恢復代理,爲了具有比較大的訪問權限,通常該用戶隸屬於管理員組。由於EFS不會爲作爲數據恢復代理的用戶自動生成公鑰/私鑰對,因此,這個步驟需要由作爲數據恢復代理的用戶通過cipher命令行工具自行完成。cipher命令的執行結果可以爲數據恢復代理用戶產生保存公鑰的數據恢復證書和私鑰。
具體的操作如下:以數據恢復代理用戶的身份登錄系統,在“開始”菜單的“運行”處運行cmd命令,進入“命令提示符”窗口,執行如下格式的命令:cipher /r:filename。其中cipher爲命令行的加密解密工具,參數r爲生成包含數據恢復密鑰和證書的文件,filename爲不帶擴展名的文件名稱。
執行了命令後,會提示用戶輸入用來保護.pfx文件的密碼。輸入密碼並確認後,系統會創建兩個文件,其中.cer文件只包含恢復證書,.pfx文件包含恢復證書和私鑰。
執行cipher r:/data_recovery命令,會得到如圖1所示的執行結果。在“documents and settings\恢復代理”目錄下可以查看到兩個生成的文件:data_recovery.cer和data_recovery.pfx。
執行cipher r:/data_recovery命令,會得到如圖1所示的執行結果。在“documents and settings\恢復代理”目錄下可以查看到兩個生成的文件:data_recovery.cer和data_recovery.pfx。
導入數據恢復證書
通過cipher命令生成的數據恢復證書和密鑰不能自動添加到用戶的證書存儲中,這需要用戶手工將數據恢復證書進行導入。在導入證書的過程中需要注意的是,如果只想在用戶進行文件加密的時候增加數據恢復代理,在導入時選擇擴展名爲.cer的文件,如果希望在配置數據恢復代理後能訪問用戶加密的文件,那麼就要導入包含數據恢復證書和私鑰的.pfx文件了。
通過cipher命令生成的數據恢復證書和密鑰不能自動添加到用戶的證書存儲中,這需要用戶手工將數據恢復證書進行導入。在導入證書的過程中需要注意的是,如果只想在用戶進行文件加密的時候增加數據恢復代理,在導入時選擇擴展名爲.cer的文件,如果希望在配置數據恢復代理後能訪問用戶加密的文件,那麼就要導入包含數據恢復證書和私鑰的.pfx文件了。
導入數據恢復證書的操作爲:以數據恢復代理用戶的身份登錄系統,在“開始”菜單的“運行”處,運行mmc命令,啓動系統管理控制檯。點擊“文件”菜單下的“添加/刪除管理單元”命令,在“添加/刪除管理單元”窗口中點擊“添加”按鈕,在“添加獨立管理單元”窗口,選擇“證書”,點擊“添加”按鈕,如圖2所示。
圖2 在之後出現的窗口中點擊“完成”按鈕返回,點擊“關閉”,返回到“添加/刪除管理單元”窗口。此時,在列表中可以看到增加了“證書”項,點擊“確定”完成證書管理單元的添加。在管理控制檯中,展開“證書”|“當前用戶”樹形列表,在“個人”項目上單擊右鍵,選擇“所有任務”項目中的“導入”子項,啓動導入嚮導,如圖3所示。
圖3 點擊“下一步”,在“文件名”處根據需要指定要導入的證書名稱,如果指定的文件擴展名爲.pfx,會彈出如圖4所示的窗口。
圖4 在這個窗口中需要鍵入在使用cipher命令創建數據恢復證書時用來保護.pfx文件的密碼,選擇“標誌此密鑰爲可導出的”檢查框;如果需要的話,選擇“啓用強私鑰保護”檢查框,點擊“下一步”;如果指定的文件擴展名爲.cer,則不需要進行這一步驟的設置。通常情況下,在配置數據恢復代理時在此步驟只需要指定擴展名爲.cer的文件,只有需要恢復加密文件的時候才導入擴展名爲.pfx的文件。在“證書存儲”窗口,選擇默認設置,完成恢復證書的導入。返回“控制檯”,展開“個人”存儲區,點擊“證書”。此時,在右側的證書列表中,可以看到一個自簽名的用於文件故障恢復的證書,如圖5所示。
![]()
圖5
圖5將數據恢復代理添加到加密系統策略中
將數據恢復證書導入到系統後,僅僅代表已經指派了數據恢復代理,此時,數據恢復代理用戶還不能訪問用戶加密的文件。這是因爲用戶在執行文件加密操作時,在文件中還不能產生任何和數據恢復代理用戶相關聯的信息。這需要我們通過組策略將數據恢復代理添加到公鑰策略中。對於單機來講,由於公鑰策略是計算機配置的一部分,其作用級別高於用戶配置,它可以對每個用戶的加密行爲產生作用。在域的環境中,用戶登錄到域後,域的組策略設置要高於本地計算機的組策略設置。因此,不論是單機環境還是域環境,一旦在公鑰策略中添加了數據恢復代理,用戶再進行文件加密操作時,都會在文件中自動產生一個數據恢復字段來保存由數據恢復代理的公鑰加密的文件加密密鑰,進而允許數據恢復代理用戶透明的訪問用戶加密的文件。
添加策略的具體操作如下:以內置的administrator賬戶或管理員組成員的身份登錄系統,在“開始”菜單的“運行”處,執行gpedit.msc,進入“組策略”窗口。依次展開“計算機配置”-->“windows設置”-->“安全設置”-->“公鑰策略”,在“加密文件系統”列單擊右鍵,選擇“添加數據恢復代理”,啓動向導,如圖6所示。
將數據恢復證書導入到系統後,僅僅代表已經指派了數據恢復代理,此時,數據恢復代理用戶還不能訪問用戶加密的文件。這是因爲用戶在執行文件加密操作時,在文件中還不能產生任何和數據恢復代理用戶相關聯的信息。這需要我們通過組策略將數據恢復代理添加到公鑰策略中。對於單機來講,由於公鑰策略是計算機配置的一部分,其作用級別高於用戶配置,它可以對每個用戶的加密行爲產生作用。在域的環境中,用戶登錄到域後,域的組策略設置要高於本地計算機的組策略設置。因此,不論是單機環境還是域環境,一旦在公鑰策略中添加了數據恢復代理,用戶再進行文件加密操作時,都會在文件中自動產生一個數據恢復字段來保存由數據恢復代理的公鑰加密的文件加密密鑰,進而允許數據恢復代理用戶透明的訪問用戶加密的文件。
添加策略的具體操作如下:以內置的administrator賬戶或管理員組成員的身份登錄系統,在“開始”菜單的“運行”處,執行gpedit.msc,進入“組策略”窗口。依次展開“計算機配置”-->“windows設置”-->“安全設置”-->“公鑰策略”,在“加密文件系統”列單擊右鍵,選擇“添加數據恢復代理”,啓動向導,如圖6所示。
圖6 如果是域環境,則在列表中選擇,否則點擊“瀏覽文件夾”,定位創建的恢復證書,文件的擴展名只能爲.cer,打開定位的證書文件後,可以在“故障恢復代理”列表中看到增加了一條項目。點擊“完成”按鈕,數據恢復代理的添加成功,這時在右側的策略列表中,可以看到增加了一個自簽名的文件故障恢復證書,如圖7所示。
圖7 配置了數據恢復代理再執行文件的加密操作,加密策略會自動地爲文件增加故障恢復代理。在加密文件的高級屬性設置窗口,點擊“詳細信息”按鈕,就可以查看到相關的信息,如圖8所示。
![]()
圖8
圖8配置數據恢復代理的注意事項
第一,在配置數據恢復代理前,用戶加密的文件中並不包含數據恢復字段;配置數據恢復代理後,對這些加密的文件也不會產生任何影響,也就是數據恢復代理用戶不能訪問這些加密文件。因此,爲了保證數據恢復代理用戶能夠對系統中所有加密文件具有恢復的能力,用戶應該對配置數據恢復代理前已經進行過加密的文件進行解密,然後再次進行加密。
第二,實施加密的用戶不要作爲數據恢復代理用戶,例如administrator用戶進行了文件加密,同時他又作爲數據恢復代理,那麼當administrator不能正常登錄系統或是個人配置文件損壞或丟失時,數據恢復代理也就沒有作用了。
第三,由於數據恢復代理可以透明地訪問所有用戶的加密文件,因此,如果非法用戶破解了作爲數據恢復代理用戶的口令進入系統,大量的個人文件和敏感信息將有可能被偷窺。爲了避免這一點,一方面可以加強數據恢復代理用戶的口令強度,讓非法***者難以攻破;另一方面,導入證書的時候只導入恢復代理證書,也就是擴展名爲.cer的文件,只有在需要進行文件恢復的時候才導入私鑰,在完成恢復操作後,將私鑰導出,並且從計算機中刪除。
最後,由cipher命令生成的保存在“%systemdrive%\documents and settings\恢復代理用戶”目錄下的兩個文件要拷貝到軟盤或存儲介質中妥善保管,同時將文件從計算機中刪除。
對於想了解“加密和認證”等入門知識的朋友,可以參考電驢上“西安鵬程張建寧”老師的視頻教程,個人覺得受益菲淺。
第一,在配置數據恢復代理前,用戶加密的文件中並不包含數據恢復字段;配置數據恢復代理後,對這些加密的文件也不會產生任何影響,也就是數據恢復代理用戶不能訪問這些加密文件。因此,爲了保證數據恢復代理用戶能夠對系統中所有加密文件具有恢復的能力,用戶應該對配置數據恢復代理前已經進行過加密的文件進行解密,然後再次進行加密。
第二,實施加密的用戶不要作爲數據恢復代理用戶,例如administrator用戶進行了文件加密,同時他又作爲數據恢復代理,那麼當administrator不能正常登錄系統或是個人配置文件損壞或丟失時,數據恢復代理也就沒有作用了。
第三,由於數據恢復代理可以透明地訪問所有用戶的加密文件,因此,如果非法用戶破解了作爲數據恢復代理用戶的口令進入系統,大量的個人文件和敏感信息將有可能被偷窺。爲了避免這一點,一方面可以加強數據恢復代理用戶的口令強度,讓非法***者難以攻破;另一方面,導入證書的時候只導入恢復代理證書,也就是擴展名爲.cer的文件,只有在需要進行文件恢復的時候才導入私鑰,在完成恢復操作後,將私鑰導出,並且從計算機中刪除。
最後,由cipher命令生成的保存在“%systemdrive%\documents and settings\恢復代理用戶”目錄下的兩個文件要拷貝到軟盤或存儲介質中妥善保管,同時將文件從計算機中刪除。
對於想了解“加密和認證”等入門知識的朋友,可以參考電驢上“西安鵬程張建寧”老師的視頻教程,個人覺得受益菲淺。