佟丽娅热吻视频,桃花岛美女视频,黑丝性感美女视频

最近論壇老是有網(wǎng)友問EFS的問題，主要是數(shù)據(jù)恢復(fù)的問題，因此總結(jié)了一下EFS的相關(guān)問題及注意事項，給大家參考。

本文涉及大量圖例，如有網(wǎng)友按照圖例學(xué)習(xí)，實驗，請使用“新建文件夾”和“新建文件”來實驗，因為涉及數(shù)據(jù)加解密，有造成數(shù)據(jù)丟失的可能，小心。

一、名詞解釋

安全標(biāo)識符（SID，“安全I(xiàn)D”）：
是來識別用戶、組和計算機(jī)帳戶的標(biāo)志符。在第一次創(chuàng)建一個帳戶時，windows系統(tǒng)將給每一個帳戶發(fā)布一個唯一的 SID。Windows 中的內(nèi)部進(jìn)程通過帳戶的 SID 而不是帳戶的名字來區(qū)別賬戶。相當(dāng)于人的身份證號碼，一些嚴(yán)肅的場合，我們通過身份證號碼來區(qū)分不同的人而不是通過姓名來區(qū)分。要注意的是，如果一個賬戶被錯誤刪除了，即使重建一個相同名字的賬戶，其SID也和被刪除賬戶的SID不同，對計算機(jī)來說，這仍然是兩個不同的賬戶。

加密：
通過某個函數(shù)或方法對正常數(shù)據(jù)進(jìn)行運(yùn)算，使其看起來沒有意義的過程。其反過程稱為解密。

NTFS 文件系統(tǒng)：
一種高級文件系統(tǒng)，提供了性能、安全、可靠性以及未在任何 FAT 版本中出現(xiàn)的高級功能。例如，NTFS 通過使用標(biāo)準(zhǔn)的事務(wù)處理記錄和還原技術(shù)來保證卷的一致性。如果系統(tǒng)出現(xiàn)故障，NTFS 將使用其日志文件和檢查點信息來恢復(fù)文件系統(tǒng)的一致性。NTFS 還可以提供諸如文件和文件夾權(quán)限、加密、磁盤配額和壓縮之類的高級功能。

EFS（encrypting file system，文件加密系統(tǒng)）：
加密文件系統(tǒng) (EFS) 提供一種核心文件加密技術(shù)，該技術(shù)用于在 NTFS 文件系統(tǒng)卷上存儲已加密的文件。加密了文件或文件夾之后，您還可以像使用其他文件和文件夾一樣使用它們。

加密對加密該文件的用戶是透明的。這表明不必在使用前手動解密已加密的文件，您就可以正常打開和更改文件。

使用 EFS 類似于使用文件和文件夾上的權(quán)限。兩種方法都可用于限制數(shù)據(jù)的訪問。然而，未經(jīng)許可對加密文件和文件夾進(jìn)行物理訪問的入侵者將無法閱讀這些文件和文件夾中的內(nèi)容。如果入侵者試圖打開或復(fù)制已加密文件或文件夾，入侵者將收到拒絕訪問消息。文件和文件夾上的權(quán)限不能防止未授權(quán)的物理攻擊。

正如設(shè)置其他任何屬性（如只讀、壓縮或隱藏）一樣，通過為文件夾和文件設(shè)置加密屬性，可以對文件夾或文件進(jìn)行加密和解密。如果加密一個文件夾，則在加密文件夾中創(chuàng)建的所有文件和子文件夾都自動加密。推薦在文件夾級別上加密。

公鑰（public key）：
EFS中公鑰是一個運(yùn)算函數(shù)，其作用就是用來加密數(shù)據(jù)，就相當(dāng)于一把鎖。這把鎖可以放置在internet上，讓別人使用這把鎖來加密數(shù)據(jù)然后傳給鎖的主人。任何人都可以看到并使用這把鎖來加密數(shù)據(jù)，但是如果沒有鎖的鑰匙就打不開鎖，因此看不到鎖住以后的數(shù)據(jù)內(nèi)容，所以公鑰暴露在公共場所并沒有安全性的問題。

私鑰（private key）：
對應(yīng)公鑰一對一對存在，其實就是用來開鎖的鑰匙。私鑰不能隨便泄露，如果私鑰被盜或者被復(fù)制，那么別人使用你的公鑰加密的數(shù)據(jù)如果傳輸時被攔截，就很容易被解密了。同理，如果我們自己的私鑰損壞或者丟失了，那么我們同樣不能打開這把鎖，也即是不能對接收到的別人已經(jīng)用我的公鑰加密了的數(shù)據(jù)進(jìn)行解密了，這種情況下，我們必須重新購買鎖和對應(yīng)的鑰匙，也就是需要重新申請一對公鑰和私鑰。

恢復(fù)代理（recovery agent）：
另外一個有私鑰的用戶。為了放置私鑰損壞或丟失，我們把私鑰存放在另外一個人那里，這人就是恢復(fù)代理。當(dāng)然，存放我私鑰的人必須是我信任的人。同樣EFS中也是采用類似的解決方法，也就是我們常常說到的恢復(fù)代理和恢復(fù)代理的證書。

二、使用加密文件和文件夾時的注意事項：

只有 NTFS 卷上的文件或文件夾才能被加密。由于 WebDAV 使用 NTFS，當(dāng)通過 WebDAV（Web 分布式創(chuàng)作和版本控制）加密文件時需用 NTFS。

不能加密壓縮的文件或文件夾。如果用戶加密某個壓縮文件或文件夾，則該文件或文件夾將會被解壓。換句話說，數(shù)據(jù)的壓縮和加密只能選其一。

如果將加密的文件復(fù)制或移動到非 NTFS 格式的卷上，該文件將會被解密。（壓縮也一樣）

如果將非加密文件移動到加密文件夾中，則這些文件將在新文件夾中自動加密。然而，反向操作則不能自動解密文件。文件必須明確解密，除非移動到非NTFS的卷上。

無法加密標(biāo)記為“系統(tǒng)”屬性的文件，并且位于％systemroot％目錄結(jié)構(gòu)中的文件也無法加密。

加密文件夾或文件不能防止刪除或列出文件或目錄。具有合適權(quán)限的人員可以刪除或列出已加密文件夾或文件。因此，建議結(jié)合 NTFS 權(quán)限使用 EFS。

在允許進(jìn)行遠(yuǎn)程加密的遠(yuǎn)程計算機(jī)上可以加密或解密文件及文件夾。然而，如果通過網(wǎng)絡(luò)打開已加密文件，通過此過程在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)并未加密。必須使用諸如 SSL/TLS（安全套接字層/傳輸層安全性）或 Internet 協(xié)議安全性 (IPSec) 等其他協(xié)議通過有線加密數(shù)據(jù)。但 WebDAV 可在本地加密文件并采用加密格式發(fā)送。

三、開始動手了

在NTFS分區(qū)上新建文件夾，在新建文件夾中新建一個文本文件，隨便輸入一些字符：本貼包含圖片附件:

（續(xù)。。。。。。。。）
本文于2005-05-10 11:46:07.521被grathene第2次修改。

[影馳GTX470黑將免費拿]

[回復(fù)] [引用] [本帖鏈接] [只看該作者]

昵稱：Athene
頭銜：太平洋艦隊中將
積分：21
貢獻(xiàn)：4309
發(fā)帖：265
精華：15
注冊：2004-04-20

grathene

發(fā)表于 2005-05-09 23:34:41 ，最后由于 2005-05-10 11:45:33 修改

沙發(fā)

啟用EFS加密，如圖本貼包含圖片附件:

按確定鍵，選擇加密文件夾和子文件夾，如圖本貼包含圖片附件:

現(xiàn)在文件夾變成了綠色，說明已經(jīng)被EFS加密了。本貼包含圖片附件:

新建一個用戶user1，logout，以user1登錄系統(tǒng)。本貼包含圖片附件:

user1登陸以后打開新建文件夾,什么?可以打開???? 本貼包含圖片附件:

繼續(xù)打開新建的文本文件,現(xiàn)在打不開了本貼包含圖片附件:

lougout user1，換回剛才的用戶登錄，試試打開新建的文本文件，沒有問題，用戶根本感覺不到該文件被加密了，這就是EFS的好處本貼包含圖片附件:

（續(xù)。。。。。。。）

本文于2005-05-10 11:45:33.785被grathene第1次修改。

[回復(fù)] [引用] [本帖鏈接] [只看該作者]

昵稱：小狗
頭銜：太平洋艦隊中尉
積分：23
貢獻(xiàn)：435
發(fā)帖：31
精華：0
注冊：2004-10-29

quekjh

發(fā)表于 2005-05-10 10:16:46

板凳

頂。{4}{4}

[回復(fù)] [引用] [本帖鏈接] [只看該作者]

昵稱：Adam
頭銜：太平洋艦隊準(zhǔn)將
積分：23563
貢獻(xiàn)：2904
發(fā)帖：97
精華：4
注冊：2004-05-09

HuaadaM

發(fā)表于 2005-05-10 10:52:49

地板

{5}

[回復(fù)] [引用] [本帖鏈接] [只看該作者]

昵稱：PCclub網(wǎng)友
頭銜：太平洋艦隊新兵
積分：120
貢獻(xiàn)：32
發(fā)帖：3
精華：0
注冊：2005-04-26

PCclub網(wǎng)友

發(fā)表于 2005-05-10 11:20:18

頂

[回復(fù)] [引用] [本帖鏈接] [只看該作者]

昵稱：Athene
頭銜：太平洋艦隊中將
積分：21
貢獻(xiàn)：4309
發(fā)帖：265
精華：15
注冊：2004-04-20

grathene

發(fā)表于 2005-05-10 11:31:58 ，最后由于 2005-05-10 11:46:42 修改

很顯然，剛才的操作說明系統(tǒng)用私鑰加密了該文本文件，換用戶登錄后，因為不同的用戶私鑰不一樣，所以不能打開該文件了。

那么，用戶EFS使用的私鑰放置在硬盤的什么位置呢？而且這個私鑰肯定是和用戶的SID相對應(yīng)的。是不是在注冊表中？答案是否定的，因為剛才我們根本沒有動過注冊表。想起一些網(wǎng)友經(jīng)常遇到的情況是有EFS加密的文件忘記了解密就重裝了系統(tǒng)，有些網(wǎng)友還有重裝系統(tǒng)前的注冊表備份，但是即使導(dǎo)入前系統(tǒng)的注冊表也是無法解密的，所以私鑰肯定不在注冊表中。

參考了微軟官方的一些文檔，包括EFS的白皮書（white paper），只有這個說明：“EFS文件使用前不需要解密。當(dāng)向磁盤存儲和從磁盤讀取字節(jié)時，加密和解密透明地完成。EFS 自動檢測加密文件，并從系統(tǒng)密鑰存儲區(qū)定位用戶密鑰?！保荑€存放區(qū)在硬盤的什么位置，更本沒有說明。

經(jīng)過多次的實驗，分析，相同的組里面不同的用戶設(shè)置的EFS，相互之間也是不能解密的，而這些用戶對系統(tǒng)的操作，只有一個地方不同，那就是用戶配置文件，存放在Documents and Settings中各不同的用戶名字下。將重點鎖定這個目錄，經(jīng)過反復(fù)實驗，比較，得出結(jié)論：密鑰存放在C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA下，如圖：本貼包含圖片附件:

而S-1-5-21-360507124-1982380022-347760104-500就是我加密EFS文件使用的賬戶對應(yīng)的SID，我是用內(nèi)置的管理員賬戶直接加密的，可以看到這個SID最后是500，這個標(biāo)記方法類似于linux對賬戶的標(biāo)記本貼包含圖片附件:

經(jīng)過實驗，發(fā)現(xiàn)一個很容易忽略的地方：這個文件夾不是安裝系統(tǒng)的時候就生成的，也不是創(chuàng)建該賬戶時生成的，而是該賬戶第一次使用EFS的時候生成的，換句話說，如果沒有使用EFS加密，該文件夾是沒有的！這就會導(dǎo)致另外一個經(jīng)常出現(xiàn)的問題：網(wǎng)友經(jīng)常安裝調(diào)試好系統(tǒng)以后用ghost做個備份，以備以后恢復(fù)系統(tǒng)用。如果在ghost做完以后用EFS加密了文件，系統(tǒng)亂了的時候再從ghost文件恢復(fù)，記得一定要先導(dǎo)出證書，不然即使ghost回去的是一模一樣的系統(tǒng)，該備份的系統(tǒng)中沒有私鑰，EFS仍然是打不開的?。?！切記。所以ghost即使在同一臺機(jī)器上使用，也并不是萬能的，不同的機(jī)器使用差別就更大了。

筆者測試了和ghost功能類似的xp自帶的系統(tǒng)還原，慶幸的是系統(tǒng)還原能避免這種現(xiàn)象。如果創(chuàng)建還原點以后用EFS加密了文件，回到還原點時，文件仍然是沒有加密的，但是在撤銷系統(tǒng)還原以后，該文件仍然是沒有加密的！所以對于機(jī)密數(shù)據(jù)，在系統(tǒng)還原以后要慎用撤銷系統(tǒng)還原功能！

接下來我們來尋找注冊表中什么位置標(biāo)記了用戶賬戶的私鑰放置位置呢？用剛才的SID在注冊表中搜索，終于找到了，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-360507124-1982380022-347760104-500中標(biāo)記了，如圖：（圖很大，放大到100%才看的清）本貼包含圖片附件:

四、恢復(fù)代理的設(shè)置和證書的備份

對于沒有加入到域的機(jī)器，2000pro和2000server中默認(rèn)的恢復(fù)代理就是內(nèi)置的管理員賬戶，這樣當(dāng)管理員誤刪除了用戶賬號的時候，即使該用戶有EFS加密的文件，管理員也可以打開（參見上面恢復(fù)代理的解釋）。這樣一來，管理員養(yǎng)成了非常不好的操作習(xí)慣，就是有員工辭職時，先刪除該員工的賬號，再來處理其留下的數(shù)據(jù)（因為即使有EFS加密的文件管理員也能打開的）。而在xp和2003中，內(nèi)置的管理員賬戶不再是默認(rèn)的恢復(fù)代理！不知道有多少管理員犯了經(jīng)驗主義錯誤，按照2000的方法來處理用戶賬戶，導(dǎo)致很多EFS文件打不開了，強(qiáng)烈FT微軟這種重大改動不在重要地方說明！

在xp和2003中以默認(rèn)的管理員備份證書，運(yùn)行secpol.msc時，提示先添加恢復(fù)代理，如圖：本貼包含圖片附件:

（續(xù)。。。。。。。。）

本文于2005-05-10 11:46:42.44被grathene第1次修改。

[回復(fù)] [引用] [本帖鏈接] [只看該作者]

昵稱：li2921578
頭銜：太平洋艦隊中士
積分：2965
貢獻(xiàn)：237
發(fā)帖：68
精華：0
注冊：2005-04-16

li2921578

發(fā)表于 2005-05-10 11:32:34

ding

[回復(fù)] [引用] [本帖鏈接] [只看該作者]

昵稱：Athene
頭銜：太平洋艦隊中將
積分：21
貢獻(xiàn)：4309
發(fā)帖：265
精華：15
注冊：2004-04-20

grathene

發(fā)表于 2005-05-10 11:40:06 ，最后由于 2005-05-10 11:47:25 修改

接下來先添加恢復(fù)代理，這個比較簡單了：
以管理員登錄計算機(jī)，運(yùn)行：cipher /r:c:\dra 本貼包含圖片附件:

輸入密碼并在出現(xiàn)提示后重復(fù)輸入一次，以保護(hù)生成的密鑰。

這樣就在C：分區(qū)下面生成了dra.cer和dra.pfx文件(.CER只是包含證書，而.PFX包含證書和密鑰)。本貼包含圖片附件:

以想要的恢復(fù)代理登錄，（建議用內(nèi)置的管理員賬戶），右擊pfx文件，選安裝本貼包含圖片附件:

按照向?qū)О惭b證書：本貼包含圖片附件:

輸入cipher創(chuàng)建證書時的密碼和相應(yīng)的選項，安裝到系統(tǒng)默認(rèn)的地方本貼包含圖片附件:

運(yùn)行g(shù)pedit.msc，選添加數(shù)據(jù)恢復(fù)代理，如圖本貼包含圖片附件:

按照向?qū)нM(jìn)行，中間要選擇一下證書dra.cer的存儲目錄，添加成功以后如圖：本貼包含圖片附件:

在設(shè)置了有效的恢復(fù)代理后，用恢復(fù)代理登錄系統(tǒng)就可以直接解密用戶用EFS加密的文件。

如果在設(shè)置恢復(fù)代理之前就加密過數(shù)據(jù)，那么這些數(shù)據(jù)恢復(fù)代理仍然是無法打開的。

（續(xù)。。。。。。。。。）
本文于2005-05-10 11:47:25.301被grathene第1次修改。

[回復(fù)] [引用] [本帖鏈接] [只看該作者]

昵稱：Athene
頭銜：太平洋艦隊中將
積分：21
貢獻(xiàn)：4309
發(fā)帖：265
精華：15
注冊：2004-04-20

grathene

發(fā)表于 2005-05-10 11:41:45

最后一步，證書的備份

以內(nèi)置的管理員（管理員組的其他成員不行）運(yùn)行secpol.msc，如圖，導(dǎo)出本貼包含圖片附件:

按照向?qū)?dǎo)出證書，copy到安全的地方，比如U盤上，鎖好。

ok，現(xiàn)在你可以高枕無憂地使用EFS加密了。

另外要注意的是EFS最好和NTFS的權(quán)限一起使用，否則別人雖然看不到你加密的文件，但是可以刪除，因此給EFS加密的對象設(shè)置一定的NTFS安全設(shè)置是必要的，關(guān)于NTFS的權(quán)限設(shè)置，在屬性－安全里面設(shè)置，因為不屬于本文的討論對象，也比較簡單，這里不多討論了。

此文拖了幾天才完成，主要是比較忙，希望對大家使用EFS有所幫助，也希望大家挑出文中的錯誤，共同提高

本文基于2003企業(yè)版完成的，注重理解。部分抓圖和注冊表中表項的位置，可能和2000，xp略有差別，如果有人動手，不要照搬

The End。。。。。。。。。。。。。。。

本站僅提供存儲服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點擊舉報。

国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看