《计算机信息及网络安全实用教程 主编 蒋理 第4章 Windows加密文件系统》由会员分享,可在线阅读,更多相关《计算机信息及网络安全实用教程 主编 蒋理 第4章 Windows加密文件系统(25页珍藏版)》请在金锄头文库上搜索。
1、第4章 Windows加密文件系统,加密是保证数据机密性和私有性的重要技术手段之一,Windows 2000以上版本的操作系统(以下简称Windows)采用加密文件系统(Encrypting File System,以后简称EFS)来保证存储在磁盘文件中的信息的安全性。EFS提供了一种核心文件加密技术来在磁盘中加密处理NT文件系统(NT File System,简称NTFS),防止非授权用户对文件信息的访问,并阻止用户使用其他操作系统中的工具来存取磁盘中的机密文件。,4.1 EFS概述,4.1.1文件加密系统简介 如果在硬盘启动之前通过软盘或光盘启动计算机,这样在物理上能够接触该计算机的人都可
2、以避开Windows中内在的安全控制功能,并在其他的操作系统中利用现成的工具来读取Windows中的文件,对信息的安全性造成了严重的威胁。 一个具有安全措施的计算机的硬盘也可以安装在另外一个没有安全措施的计算机上,照样可以导致硬盘中机密信息的泄漏。,在有些情况下,保证数据的安全性非常重要,比如丢失的笔记本电脑,如果其中有重要信息的话,盗窃者可以有很多的方法把数据从笔记本电脑的硬盘中读取出来,如采用多操作系统和多文件系统工具,或者采用MS-DOS、Windows 95/98或UNIX/Linux启动,可以完全避开Windows的安全机制。 对计算机中的文件进行加密处理是解决上述问题的惟一途径,目
3、前市场上也有很多基于口令产生的密钥进行加密的应用层文件加密系统,但都有如下的限制:,1每一次使用都需要人工加解密 如果用户忘记了对该文件进行加密,该文件将不会具有安全性。 2临时文件和页面文件的信息泄漏 临时文档都没有被加密,很容易被非法用户使用而获取原始文档的信息。另外,应用层加密运行在Windows的用户模式,用户的加密密钥可能存储在页面文件(paging file)中,通过简单的对页面文件的访问,就可以获取加密所有文档的单个密钥。,3安全强度低 对于容易记起的口令,采用字典攻击很容易攻破,而对于较复杂的口令,而又对用户使用造成很大不便。 4没有数据恢复机制 在用户忘记口令或密钥的情况下,
4、没有一种安全有效的方式恢复以前加密的数据。,EFS作为Windows中的新型安全特性,解决了以上所有问题,对文件的加密、解密和加密数据的恢复都提供了一整套安全机制。 4.1.2 文件加解密 EFS基于公钥加密技术,每个文件都使用随机生成的文件加密密钥进行加密,此密钥独立于用户的公钥/私钥对,因此可以防止各种对加密文件所采取的密码分析攻击。,EFS同样支持对存储在远程文件服务器中的文件进行加密和解密处理,在这种情况下,只支持对磁盘中的文件进行加解密处理,而不支持网络中传输数据的加密处理。Windows中提供了诸如SSL和IPSEC等安全协议,支持网络中的数据加密。 EFS与NTFS紧密结合,当创
5、建了临时文件时,只要所有的文件都是NTFS格式,原始文件中的所有属性都拷贝到临时文件中。如果原始文件被加密,当属性在临时文件创建过程中被拷贝的时候,EFS也加密临时文件。EFS存在于Windows的内核中,它使用非页面池(non-pagedpool)的方式来存储文件加密密钥,以保证所有的密钥都不会被页面文件泄漏。,不需要任何配置,EFS在默认设置情况下就允许用户对文件进行加密。 如果是首次使用EFS,用户还没有公钥/私钥对(统称为密钥),则EFS自动会首先生成密钥,然后加密数据。 如果用户登录到了域环境中,密钥的生成会依赖于域控制器,否则它会依赖于本地计算机。,密钥又是怎么来的呢?在操作系统中
6、,每一个用户都有一个SID(Security Identifier,安全标识符)以区分各自的身份,每个用户的SID都是不相同的,并且具有惟一性,这个惟一性的SID就保证了EFS加密的绝对安全和可靠。因为理论上没有SID相同的用户,因而用户的密钥也就绝不会相同。在第一次加密数据的时候,操作系统就会根据加密者的SID生成该用户的密钥,并把公钥和私钥分开保存起来,供用户加密和解密数据。,EFS中可以对每个文件或整个目录(文件夹)进行加密和解密处理。目录的加密也采用了透明的方式,在一个加密好的目录中创建的所有文件(包括子目录)都将自动加密。 如果在同一文件系统中从一个加密好的目录中复制文件到一个未加密
7、的目录中,该文件仍然是加密的。 在一个文件使用之前也不需要解密,当字节数据在磁盘之间传输的时候,加密和解密将以透明的方式自动进行。EFS将会自动查找加密好的文件,并定位用户证书和用户证书中相关的私钥。,4.1.3 文件恢复 数据恢复机制在很多商业环境中应用都很广泛,例如,删除了某个离职员工的用户账户后,才发现有些重要的公司文件是以该用户账户加密的,或者因为硬盘的问题,导致了所有用户的私钥丢失,这些情况都会使加密文件无法被打开,即使你重新创建同名用户或重装操作系统也无济于事,因为原用户的SID是惟一的,永远不可能再重现了,即用户的密钥永远不可能再找回来了。,考虑到一些特殊的情况,在EFS加密系统
8、中,设计了恢复代理(Recovery Agent)机制,利用该机制,被EFS加密过的文件,除了加密者本人之外还有恢复代理可以打开解密,这样就能避免因删除用户账户而无法解密的情形了。 EFS要求数据恢复策略必须在EFS使用之前进行设置,恢复策略由管理员(或者委派的称为恢复代理的个人)进行设置,并控制在计算机中的恢复密钥。 EFS采用了内在的数据恢复支持。EFS允许恢复代理设置用于保证文件恢复的公钥证书,使用恢复密钥只能使用文件随机产生的加密密钥,而不是用户的私钥,这样可以保证用户的私钥信息不被恢复代理以外获取。,4.2 EFS结构,EFS采用基于非对称公钥算法和对称加密算法的混合机制对数据进行加
9、密和解密处理。 用户明文文件使用快速对称加密算法和随机产生的FEK(file encryption key,文件加密密钥,简称FEK)进行加密。FEK是由随机数算法产生的随机密钥,将来要通过它才能将文件解密,FEK其长度由算法类型(如DES)和其他环境决定。,然后,FEK使用一个或多个加密用户的公钥进行加密,产生加密好的FEK列表。所以,用户密钥对的公钥部分用于加密FEK,它一般从用户的X.509 V3证书中获取。 加密好的FEK列表放在称为数据解密域(Data Decryption Field,DDF)的EFS属性中,同加密好的文件存储在一起,这样,文件的加密信息就同文件紧密绑定在一起。解密
10、时,使用用户密钥对的私有部分(私钥)用于对FEK进行解密,然后利用FEK解密文件数据。,FEK也使用一个或多个恢复加密公钥来进行加密,该公钥从存储在加密数据恢复代理(Encrypted Data Recovery Agent,EDRA)中的X.509证书中获取。 加密好的FEK列表放在称为数据恢复域(Data Recovery Field,DRF)的EFS属性中,同加密好的文件存储在一起。恢复过程同解密过程很类似,但它使用恢复代理的私钥去解密DRF中的FEK,然后利用FEK解密文件数据。 对于正常的文件系统操作,用于加密FEK的恢复公钥应一直存在于EFS系统中。,4.3 使用加密文件系统EFS
11、,4.3.1 文件或文件夹的加密 有两种加密文件或文件夹的方法,一是利用资源管理器(或我的电脑),另外一个就是利用EFS提供的命令行工具CIPHER。下面介绍使用资源管理器进行文件或文件夹加密的过程。 (1)打开“Windows资源管理器”,选中NTFS文件系统磁盘上的要压缩的文件或文件夹,在选定的文件或文件夹上右击,在弹出的快捷菜单中选择“属性”,打开文件或文件夹属性对话框。,(2)单击“高级”按钮,打开“高级属性”对话框,再选择“加密内容以便保护数据”复选框。单击“确定”按钮,返回文件夹属性对话框。 (3)在文件夹属性对话框中单击“应用”按钮,弹出“确认属性更改”对话框。 “仅将更改应用于
12、该文件夹”选项不会影响已存在文件夹内的文件与子文件夹,只会加密以后存入该文件夹的文件与子文件夹。 若选择“将更改应用于该文件夹、子文夹和文件”选项,则将加密已存在这个文件夹下的所有文件、子文件夹及子文件夹下的数据,在此,我们选择该项。单击“确定”按钮,返回文件夹属性对话框。,(4)单击“确认”按钮结束操作。 (5)对加密文件夹下的文件进行读取、修改、复制等操作,一切正常。 (6)注销当前用户,换一个用户名登录,在对该文件夹进行读取或复制操作,结果被拒绝。 说明: (1)文件加密只有在NTFS文件系统中才能实现。 (2)多个用户之间不能共享加密文件。 (3)加密文件复制到FAT分区后,加密属性会
13、丢失。,(4)加密文件在网上传输时,是以解密状态进行的,所以,文件加密只是存储加密。可利用IPSec和VPN进行传输加密。 (5)NTFS文件的加密和NTFS文件的压缩是互斥的,即加密与压缩只能选一种。 (6)用户加密文件后自己可任意复制移动,即只有进行加密的用户才能透明的使用,其他用户无法对文件进行复制、移动、解密,但可删除、重命名。,4.3.2 添加EFS恢复代理 1恢复代理的默认设置 在单机和工作组环境下,Windows XP和Windows Server 2003没有设置默认的恢复代理。 在域环境下,所有加入域的Windows 2000/XP/2003的计算机,默认的恢复代理全部是域管
14、理员(如:Administrator用户)。 因此,如果要在单机和工作组环境下,为Windows XP和Windows Server 2003设置恢复代理,必须要手工添加。下面介绍在单机和工作组环境下添加恢复代理的方法,其他版本的Windows或域环境下的Windows要添加恢复代理都可类似操作。,2常见的添加恢复代理的方法及问题 首先必须向某一个证书代理单位(CA,Certificate Authority)申请证书,然后再导出和导入证书。可是,大多数用户单位并未建立CA,因此,还得先学习如何建立CA、申请证书和核发证书。整个过程涉及到安装IIS、安装证书服务、通过IE申请证书及利用新建嵌入
15、式管理单元导出证书等操作,操作十分烦琐,令大多数用户望而生畏。,3添加恢复代理的简单方法 (1)获得可以导入作为恢复代理的用户密钥 如果想让Administrator成为恢复代理,首先就要用Administrator用户账户登录系统。 在硬盘上选择一个方便的地方建立证书文件,这里我们以c:temp文件夹为例。选择“开始/运行”菜单,在“运行”对话框中输入“cmd”然后回车,打开命令提示行窗口。在命令提示符后输入“cipher /r:c:tempadmin”,回车后系统还会询问你是否用密码把证书保护起来,你可以按照你的情况来决定,如果不需要密码保护就直接按回车。,完成后我们能在c:temp文件夹
16、下找到admin.cer和admin.pfx两个文件,这两个文件便是Administrator的证书文件,.cer文件包含公钥,.pfx文件包含私钥。 (2)将.pfx文件导入 在“资源管理器”中用鼠标右键单击admin.pfx这个文件,在快捷菜单中选择“安装PFX”,打开“证书导入向导”,然后按照向导的提示安装,当出现“证书存储”对话框时,选择“将所有的证书放入下列存储”单选钮,再单击“浏览”按钮,选择“个人”项。 单击“下一步”按钮,再单击“完成”按钮即可。,(3)将.cer文件导入组策略 选择“开始/运行”菜单,在“运行”对话框中输入“gpedit.msc”并回车,打开组策略编辑器。 在“计算机配置/Windows设置/安全设置/公钥策略/加密文件系统”项上右击鼠标,并选择“添加数据恢复代理程序”。 然后会出现“添加故障恢复代理向导”,按照这个向导打开admin.cer,把本机的Administrator设置为故障恢复代理。 再次打开“命令提示符”窗口,执行“gpupdate.exe”命令,使刚才修改过的组策略立即生效。,在设置了有效的恢复
