EFS(Encrypting File System,加密文件系統)是Windows 2000/XP所特有的一個實用功能,對於NTFS卷上的文件和數據,都可以直接被操作系統加密保存,在很大程度上提高了數據的安全性。EFS加密是基於公鑰策略的。然後將利用FEK和數據擴展標准X算法創建加密後的文件,。如果你登錄到了域環境中,密鑰的生成依賴於域控制器,否則它就依賴於本地機器。下面系統之家小編就結合實例為大家介紹下如何破解EFS加密文件。
公司最近招了不少新員工,但由於公司的電腦設備有限,因此只能幾個新員工共用一台電腦。為了使用上的方便,每個用戶都創建了各自的賬戶,彼此之間互不干擾。
為了防止別人偷窺文件,小王將所有的重要文件存儲到D盤的“小王的文件”文件夾中,之後在該文件夾的屬性窗口中的“常規”面板中點擊“高級”按鈕,在打開窗口中勾選“加密內容以便保護數據”項,使用Windows自帶的EFS加密技術對文件夾進行了加密處理。這樣,除了小王自己,別人是無法訪問該其中的文件的。可糟糕的是,小王沒過幾日就離職了,當老總讓小孫找一個在小王那裡的重要文件時,小孫卻傻眼了。
面對小孫的窘態,多虧同事小李出手相助,巧妙的突破了加密的壁壘,輕松找回了小王的重要文件。小李是無法做到的呢?且看下面慢慢道來。
我們知道,EFS(Encrypting File System,加密文件系統)是Windows XP內置的一個實用功能,可以對NTFS分區上的文件和數據進行加密,在很大程度上提高了數據的安全性。小李之所以可以打破EFS加密算法的保護,關鍵是使用了系統提供的“策略代理”方法,該方法可以讓特定的用戶讀取所有的加密文件。當然,該方法是針對多帳戶環境而言的。因為在該公用電腦中存在多個擁有管理員權限的帳號。小王使用的是“Administrator”賬戶,而另一個同事在該機上使用的賬戶名稱是“hongyun”,該賬戶同樣擁有管理員權限。小李正是借助於“hongyun”賬戶,才輕松突破了加密的束縛。小李首先以“hongyun”賬戶登錄系統,之後在“開始”→“運行”中執行“cmd.exe”程序,在CMD窗口首先切換到C盤根目錄,之後執行命令“cipher /r:mykey”,注意其中的“mykey”為導出密鑰文件名。隨後系統提示輸入密碼(如圖1),小李輸入的密碼為“key123456789”。當然,該密碼的可以隨意設置。
這樣,就在C盤根目錄下生成兩個文件,擴展名分別為“cer”和“pfx”。本例中生成的文件為“mykey.cer”和“mykey.pfk”,其中“mykey.cer”為公鑰證書文件,“mykey.pfk”為代理人的私鑰證書文件。在“開始”→“運行”中運行“gpedit.msc”命令,打開組策略編輯器窗口。在窗口左側的列表中依次展開“計算機配置”→“Windows設置”→“安全設置”→“公鑰策略”→“正在加密文件系統”分支,在其右鍵菜單上點擊“添加數恢復代理程序”項,彈出操作向導界面(如圖2)。在其中的“選擇故障恢復代理”窗口中點擊“浏覽文件夾”按鈕,在文件選擇窗口中導入前面創建的“mykey.cer”文件,之後依次點擊“下一步”按鈕完成操作。
在資源管理器中進入D盤中的“小王的文件”文件夾,在其中任意文件的屬性窗口中打開“常規”面板,點擊“高級”按鈕,在高級屬性窗口中點擊“詳細信息”按鈕,在信息窗口(如圖3)中可以看到剛才創建的恢復代理項目。
雙擊前面生成的文件“mykey.pfk”,彈出證書導入向導界面(如圖4),依次點擊“Next”按鈕,在“密碼”窗口中輸入預設的密碼“key123456789”,完成證書的導入操作。當完成上述操作後。在資源管理器中D盤中的“小王的文件”文件夾,雙擊其中的加密文件,即可正常訪問其內容了。這樣,小李幾乎沒有花費什麼力氣,就成功的找回了小王的加密文件了。
小提示:上述方法雖然可以找回EFS加密文件,但是,並不能說明Windows 的EFS加密方式存在隱患,使用該方法的前提是必須是多帳戶環境,而且存在多個擁有管理員權限的賬戶,同時使用Windows默認的加密配置。如何杜絕上述安全隱患呢?對策是通過設置權限的方法,來禁止其他用戶非法訪問EFS加密文件。在EFS加密文件或者文件夾的屬性窗口中打開“安全”面板,點擊“高級”按鈕,在高級安全設置窗口的打開“常規”面板,不勾選其中的“允許父項的繼承權限傳播到該對象和所有的子對象”項。點擊“刪除”按鈕,將“權限列表”中其他帳號全部刪除,只保留自己的帳號,經過這樣的權限設置,EFS加密文件的安全性才能得到根本保障。
EFS加密介紹:
1.為什麼打開加密過的文件時沒有需要我輸入密碼?
這正是EFS加密的一個特性,同時也是EFS加密和操作系統緊密結合的最佳證明。因為跟一般的加密軟件不同,EFS加密不是靠雙擊文件,然後彈出一個對話框,然後輸入正確的密碼來確認的用戶的;EFS加密的用戶確認工作在登錄到Windows時就已經進行了。一旦你用適當的賬戶登錄,那你就能打開相應的任何加密文件,並不需要提供什麼額外的密碼。
2.我的加密文件已經打不開了,我能夠把NTFS分區轉換成FAT32分區來挽救我的文件嗎?這當然是不可能的了。很多人嘗試過各種方法,例如把NTFS分區轉換成FAT32分區;用NTFSDOS之類的軟件到DOS下去把文件復制到FAT32分區等,不過這些嘗試都以失敗告終。畢竟EFS是一種加密,而不是一般的什麼權限之類的東西,這些方法對付EFS加密都是無濟於事。而如果你的密鑰丟失或者沒有做好備份,那麼一旦發生事故所有加密過的數據就都沒救了。
3.我加密數據後重裝了操作系統,現在加密數據不能打開了。如果我使用跟前一個系統相同的用戶名和密碼總應該就可以了吧?
這當然也是不行的,我們在前面已經了解到,跟EFS加密系統密切相關的密鑰是根據每個用戶的SID得來的。盡管你在新的系統中使用了相同的用戶名和密碼,但是這個用戶的SID已經變了。這個可以理解為兩個同名同姓的人,雖然他們的名字相同,不過指紋絕不可能相同,那麼這種想法對於只認指紋不認人名的EFS加密系統當然是無效的。
4.被EFS加密過的數據是不是就絕對安全了呢?
當然不是,安全永遠都是相對的。以被EFS加密過的文件為例,如果沒有合適的密鑰,雖然無法打開加密文件,不過仍然可以刪除(有些小人確實會這樣想:你竟然敢加密了不讓我看!那好,我就刪除了它,咱們都別看)。所以對於重要文件,最佳的做法是NTFS權限和EFS加密並用。這樣,如果非法用戶沒有合適的權限,將不能訪問受保護的文件和文件夾;而即使擁有權限(例如為了非法獲得重要數據而重新安裝操作系統,並以新的管理員身份給自己指派權限),沒有密鑰同樣還是打不開加密數據。
5.我只是用Ghost恢復了一下系統,用戶賬戶和相應的SID都沒有變,怎麼以前的加密文件也打不開了?
這也是正常的,因為EFS加密所用到的密鑰並不是在創建用戶的時候生成,而是在你第一次用EFS加密文件的時候。如果你用Ghost創建系統的鏡像前還沒有加密過任何文件,那你的系統中就沒有密鑰,而這樣的系統制作的鏡像當然也就不包括密鑰。一旦你加密了文件,並用Ghost恢復系統到創建鏡像的狀態,解密文件所用的密鑰就丟失了。因此這個問題一定需要注意!
本文來自於【系統之家】 www.xp85.com
