EFS解密密鑰丟失後如何處理已加密的數據恢復

訪問加密的文件快且容易。如果用戶持有壹個已加密的 NTFS 文件的私鑰，那麽用戶能夠打開這個文件，並透明地將該文件作為普通文檔使用，反之，用戶會被拒絕對文件的訪問。而並不像第三方加密軟件壹樣在每次存取時都要求輸入密碼。 網管聯盟bitsCN_com　　　　加密後的數據無論怎樣移動都保持加密狀態（前提要在NTFS分區下移動，在Windows 2000/XP以及Windows.net系統中，如果試圖把壹個EFS加密文件移動或復制到FAT/FAT32分區會遭到拒絕）。　　　EFS 與 NTFS 緊密地集成在壹起。當創建臨時文件時，只要所有文件在 NTFS 卷上，原始文件的屬性就會被復制到臨時文件中。如果加密了壹個文件，EFS 也會將其臨時文件進行加密。EFS 駐留在操作系統內核中，並且使用不分頁的池存儲文件加密密鑰，保證了密鑰不會出現在分頁文件中。這防止了壹些應用程序在創建臨時文件時泄密。　　　通過EFS加密敏感性文件，會增加更多層級的安全性防護。在加密文件時，即使黑客已完全存取電腦的文件儲存體，其文件仍然受到保護。　　　在Windows XP/ Windows.net中，EFS可處理脫機文件和文件夾。　　　EFS的技術結構與原理　　　　密鑰和證書　　　　EFS采用基於公鑰的方案實現數據加密或解密，它使用標準x509證書，每壹個受保護的文件都是被壹個使用帶有壹定長度的文件加密密鑰（FEK）的快速對稱加密算法加密的(FEK的長度由算法或法則決定)。壹個用戶要訪問壹個已加密的文件，他必須擁有與公鑰相適應的私鑰。 網管下載dl.bitscn.com　　　　加密與解密　　　　文件轉換是加密和解密文件的過程，它需要壹個特殊的接口。即使在嚴重的失敗產生時，數據在轉換過程中仍然是不會丟失的，所以，EFS會備份沒經過加密的原數據直到全部轉換過程都已經完成。當EFS接到轉換文件的請求時，它首先進行壹系列的檢查，這些檢查包括文件是否可以加密以及是否有足夠的磁盤空間進行加密。系統文件或在系統目錄中的文件時不能被EFS加密的。如果經過檢查說明文件可以被加密，EFS便產生壹個文件加密密鑰（FEK），對於FEK加密與解密，在微軟公司發布的《Windows2000的加密文件系統白皮書》中對EFS加密原理作了以下描述：　　　　FEK加密使用壹個或多個密鑰加密公鑰，生成壹個加密的 FEK 列表。用戶密鑰對的公***部分用來加密 FEK。加密的 FEK 列表與加密文件壹起存儲在壹個特殊的 EFS 屬性中，該屬性稱為數據加密字段 (DDF)。文件加密信息與文件緊密地捆綁在壹起。用戶密鑰對的私有部分在解密過程中使用。FEK 是通過使用密鑰對的私有部分進行解密的。用戶密鑰對的私有部分安全地存放在別的地方，如智能卡或其它安全存儲設備上。　　　　FEK 也使用壹個或多個恢復密鑰加密公鑰進行加密。再者，每個密鑰對的公***部分用來加密 FEK。此加密的 FEK 列表與文件壹起存儲在壹個特殊的 EFS 屬性中，該屬性稱為數據恢復字段 (DRF)。加密 DRF 中的 FEK，只需要恢復密鑰對的公***部分。在正常文件系統操作中，要求這些公***恢復密鑰始終在 EFS 系統上。恢復本身壹般很少用到，只是當用戶離開公司或者丟失密鑰時才使用。正因為如此，恢復代理可以將密鑰的私有部分安全地存放到別的地方（智能卡或其它安全的存儲設備上）。{1} 網管論壇bbs_bitsCN_com　　　　然後，EFS將在相應的文件夾建立壹個臨時文件。每壹個源文件數據流都以備份用途被復制到這個臨時文件中，源文件被縮短並且EFS讀取這個臨時文件中的數據並將它們寫入原始文件，由於EFS加密是透明的，因而在實際寫入磁盤前，EFS便已將數據加密。當所有數據被寫入原始文件以及EFS證明了文件已加密後，EFS才會刪除這個臨時文件。如果轉換失敗或轉換過程中發生錯誤，EFS會在刪除臨時文件前將試圖加密的文件恢復到原始狀態。　　　　打開與讀寫原理　　　　EFS擁有四個主要的操作：打開、讀、寫以及轉換文件。由於EFS被設計成為透明的，對於打開、讀取、寫入已加密文件便與操作普通文件沒有任何區別：應用程序仍然使用普通的Win32 APIs。應用程序使用CreateFile()或者OpenFile() 來打開已加密的文件；用ReadFile()、ReadFileEx()以及ReadFileScatter()來讀取已加密的文件；用WriteFile()、WriteFileEx()、WriteFileScatter()來寫入已加密的文件。　　　　數據恢復　　　　EFS具有數據恢復能力，當用戶的密鑰損壞或丟失時EFS數據恢復便可以恢復已經加密的文件。系統管理員可以在恢復代理策略、空恢復策略以及無恢復策略中選擇壹種恢復策略。在域中，當設置首域控制器時，Windows執行該域默認故障恢復策略。恢復代理策略是指系統管理員添加了壹個或多個恢復代理。這些代理在管理範圍中恢復任何已加密數據都是可受響應的。空恢復策略是指系統管理員刪除了所有的恢復代理以及他們的公鑰證書。（*EFS不允許管理員在Windows2000中選擇此設置。）所謂的無恢復策略是指系統管理員刪除了恢復策略的私鑰，這時沒有私鑰是可用的，所以不可能使用恢復代理，並且EFS的恢復也是不可用的。在獨立的機器上，初始是沒有恢復策略的，獨立計算機的系統管理員可以修改EFS恢復策略，並且可以向恢復策略添加或創建恢復證書。 網管聯盟bitsCN_com　　　　EFS的應用　　　　在Windows XP中使用EFS加密/解秘數據以及EFS的數據恢復功能　　　　在Windows XP中使用EFS來加密文件或文件夾是非常輕松的壹件事，步驟如下：　　　　在資源管理器中右鍵單擊想加密的文件或文件夾，點擊屬性，出現圖壹的對話框，　　　　點擊高級按鈕，出現的對話框如圖二。　　　　a) 加密單個文件：　　　　在加密內容以便保護數據前面的單選框中打鉤，然後單擊確定。EFS便開始加密文件。　　　　b) 加密文件夾：　　　　用EFS加密文件夾的步驟和用其來加密文件的步驟基本壹樣，只不過在加密內容以便保護數據前面的單選框中打鉤並最終在文件夾屬性對話框點擊確定後，會出現如圖三的對話框。如果選擇僅將更改應用於該文件夾，EFS只將這個文件夾加密，而不把裏面的文件加密；如果選擇將更改應用於該文件夾、子文件夾和文件，所有目錄內的內容將會像上面所講的過程被加密。　　　　c) 解密：　　　　和加密文件壹樣，把加密內容以便保護數據前的鉤去掉，然後點擊確定，即可完成單個文件的解密。如果是解密文件夾，同樣會出現如圖四的對話框，與加密文件夾壹樣，選擇對整個目錄的內容有效還是只對文件夾本身有效。單擊確定後，EFS便開始解密。 網管u家u.bitscn@com　　　　d) 添加/刪除用戶的訪問權：　　　　為壹個文件添加/刪除用戶可以賦予/撤銷用戶對EFS加密文件的完全訪問權。已被添加的用戶有訪問、加密以及解密文件的權利。點擊高級對話框中的詳細信息按鈕將看到如圖五所示的對話框。用添加以及刪除按鈕來添加和刪除用戶。　　　（*在Windows2000中EFS加密的用法，詳見微軟公司1999年發布的《Windows2000的加密文件系統白皮書》。**詳細的EFS使用方法，請參見微軟中國社區網站中的《EFS（Encrypting File System）加密使用淺談》壹文。）　　　　 EFS在企業中的應用以及前景　　　　在EFS之前，市面上便已經有許多適用其他技術的加密軟件，但是那些加密軟件大多是基於口令的方案，這樣便很容易受到字典攻擊，並且，如果企業使用另外的加密軟件，還要增加企業的開支。EFS的出現為企業提供了較為完整的文件加密方案，既節省了企業的總開支，又提供了更為安全的加密服務。通過EFS加密敏感文件，會增加更多層的安全性防護。在加密文件時，即使黑客已侵入系統並已完全存取電腦的資料儲存體，其資料仍然受到保護。配合其他的安全措施與EFS, 大大方便的企業在安全方面的部署，集成在操作系統中的EFS服務前景光明。 網管下載dl.bitscn.com　　　EFS尚存的不足之處　　　　EFS可以說是微軟為用戶提供的壹個內建在Windows產品中的方便快捷並且強大的加密系統，然而，微軟設計了讓其他操作系統也能讀取NTFS的文件格式來使用戶能夠避開硬盤故障以及啟動分區故障。因此，使用某些操作系統可以很容易地繞過NTFS安全機制，存取NTFS文件。但是盡量把組織或網絡中所有機器都安裝Windows2000（或以上）的操作系統，所有分區都格式化成NTFS，這樣可以提高安全性以及避免敏感數據遭受襲擊的可能性。另外，這種讓其他操作系統也能讀取NTFS的文件格式的特性並未被廣泛使用轉自 www.bitsCN.com