Windows Server 2008 R2 之十五EFS(加密文件系统)

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:
   加密文件系统 (EFS) 是一个功能强大的工具,用于对客户端计算机和远程文件服务器上的文件和文件夹进行加密。它使用户能够防止其数据被其他用户或外部攻击者未经授权的访问。它是NTFS文件系统的一个组件,只有拥有加密钥和故障恢复代理可以读取数据。
       EFS的应用条件:1、NTFS;2、具有系统属性的文件无法加密
       故障恢复代理:指定用于进行EFS文件恢复的用户帐号,该帐号将申请一张文件故障恢复的证书,同是还有持有与这张证书相应的公钥私钥对,用于对加密文件进行故障恢复。
       EFS加密过程:1、当一个用户第一次加密某个文件时,EFS会在本地证书产生一个EFS证书(非对称);2、EFS也会随机产生一个FEK(文件加密密钥,对称)3、EFS会用第一步产生的证书的公钥对FEK进行加密4、EFS会将加密后的FEK存储在DDF(数据解压区)(DDF区域大约能够存储近800个经过用户公钥加密的FEK)
       实验环境:独立服务器R2RODC(安装好Windows Server 2008 R2)
     
        实验要求:
        EFS的基本操作
        备份文件恢复密钥
       新增故障恢复代理
 
       操作步骤:
为了便于演示,我在C盘建立一个文件夹EFSFOLDER,并在这个文件夹下建立了一个文件1.txt
一、EFS的基本操作
启用EFS可以在图形界面完成,也可以通过命令Cipher完成。相比图形界面,Cipher更为加大。
加密完成后,默认情况加密后的文件(文件夹)会彩色显示。
我们也可以使用命令完成以上任务:
默认情况下Cipher加密文件夹命令并不会加密码文件夹中已存在的文件,而是让Windows加密文件中的新文件。所以要加加密C:\EFSFolder文件夹以及其中已存在的文件,需要输入以下命令
Cipher /E C:\EFSFolder
Cipher /E C:\EFSFolder\*
当然我们也可以输入以下命令Cipher /e /s:c:\efsfolder( 注意/s和后面的文件夹路径不能留空格
 
解密
Cipher /d C:\EFSFolder(解密文件夹,不含文件)
Cipher /d C:\EFSFolder\* (解密文件下的文件)
 
二、备份密钥
图形方式
1、打开控制面版下的用户帐号,进行如下图操作
2、运行MMC,添加管理单元,选择“证书”,选择我的用户帐号
选择“个人”“证书”,操作如下图
3、通过Cipher命令备份
cipher /x
三、恢复代理
在操作之前,我先启用c:\efsfolder文件夹的EFS,下面通过操作增加故障恢复代理dcadmin,同时演示在增加前后对文件的影响
1、增加故障恢复代理
注销计算机,以EFSadmin登录计算机。
运行cipher /r:C:\Users\EFSAdmin\efsadmin
导入上一步操作产生efsadmin.pfx。打开这个文件所在文件夹,双击这个文件出现向导,选择导入(过程略)
注销计算机,以administrator登录计算机,运行Gpedit.msc,进行如下操作
现在注销administrator,以efsadmin登录,打开c:\efsfolder下的1.txt还是不能打开(这是因为故障恢复只能打开添加代理之后的文件,而1.txt是添加之前的文件)
重新以administrator登录,运行cipher /u然后以efsadmin登录,就可以打开1.txt文件了;或者先解密,然后再加密。 
补充说明
1、启用右键快键中的加密
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"EncryptionContextMenu"=dword:00000001
2、域中计算机上的数据恢复代理
在建立第一个DC时,即将为该域配置一个默认的恢复策略,默认的恢复策略使用自签名证书,将域管理员帐号作为恢复代理。如果使用默认的恢复策略,则不需要使用再申请恢复证书。如果域中需要多个恢复代理,则需要颁布恢复证书。
要求:必须有CA;CA中的策略必须允许指定用户(代理)申请并获取文件恢复证书;每个用户必须申请一个文件恢复证书。
步骤:设置企业CA;为指定为恢复代理的用户创建安全组;将创建的安全组添加到EFS恢复模板中;申请文件恢复证书;将证书导出为.cer证书文件;将导出的证书文件添加到恢复策略中
3、禁止EFS
可以通过组策略或通过修改注册表
 
注册表键: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS
键值名称: EfsConfiguration
数据类型: REG_DWORD (DWORD Value)
数据内容: (1 = disable EFS, 0 = enable EFS)
 
 
 
 
 
 
 


























本文转自ycrsjxy51CTO博客,原文链接:http://blog.51cto.com/ycrsjxy/203023 ,如需转载请自行联系原作者

相关文章
|
1月前
|
数据库 数据安全/隐私保护 Windows
Windows远程桌面出现CredSSP加密数据修正问题解决方案
【10月更文挑战第30天】本文介绍了两种解决Windows系统凭据分配问题的方法。方案一是通过组策略编辑器(gpedit.msc)启用“加密数据库修正”并将其保护级别设为“易受攻击”。方案二是通过注册表编辑器(regedit)在指定路径下创建或修改名为“AllowEncryptionOracle”的DWORD值,并将其数值设为2。
225 3
|
4月前
|
Oracle 关系型数据库 数据库
[windows]远程桌面失败提示CredSSP加密修正
[windows]远程桌面失败提示CredSSP加密修正
1193 6
|
4月前
|
API C# Shell
WPF与Windows Shell完美融合:深入解析文件系统操作技巧——从基本文件管理到高级Shell功能调用,全面掌握WPF中的文件处理艺术
【8月更文挑战第31天】Windows Presentation Foundation (WPF) 是 .NET Framework 的关键组件,用于构建 Windows 桌面应用程序。WPF 提供了丰富的功能来创建美观且功能强大的用户界面。本文通过问题解答的形式,探讨了如何在 WPF 应用中集成 Windows Shell 功能,并通过具体示例代码展示了文件系统的操作方法,包括列出目录下的所有文件、创建和删除文件、移动和复制文件以及打开文件夹或文件等。
92 0
|
安全 Linux 数据安全/隐私保护
如何在 Linux 上加密根文件系统?
如何在 Linux 上加密根文件系统?
207 1
如何在 Linux 上加密根文件系统?
|
7月前
|
存储 安全 数据安全/隐私保护
【Windows manage-bde 命令】BitLocker 2.0:一步步解锁您的加密驱动器
【Windows manage-bde 命令】BitLocker 2.0:一步步解锁您的加密驱动器
2390 0
|
Linux 数据安全/隐私保护 Windows
AES在windows下正常加解密,Linux下加密正常,解密异常(javax.crypto.BadPaddingException: pad block co
AES在windows下正常加解密,Linux下加密正常,解密异常(javax.crypto.BadPaddingException: pad block co
206 1
|
存储 Unix Linux
Windows下文件创建时间竟然比修改时间晚!!!linux&&windows 文件系统的认识
windows下文件创建时间晚于修改时间的猫腻:文件移动目录会改变创建时间。
1153 1
|
SQL 存储 安全
详解:驱动程序无法通过使用安全套接字层(SSL)加密与SQL Server 建立安全连接。
详解:驱动程序无法通过使用安全套接字层(SSL)加密与SQL Server 建立安全连接。
4629 0
|
数据中心 Windows
适用于windows && office 可用kms服务器激活地址汇总
windows && office 可用kms服务器激活地址汇总
适用于windows && office 可用kms服务器激活地址汇总
|
SQL 数据安全/隐私保护
Sql Server内置函数实现MD5加密
Sql Server内置函数实现MD5加密
442 0