网络安全系列之二十六 EFS加密

1.1EFS加密原理

EFS是Windows系统中所特有的一个实用功能,对于NTFS分区上的文件和数据,都可以直接使用EFS加密保存,很大程度上提高了数据的安全性。

EFS加密基于公钥策略。在使用EFS加密一个文件或文件夹时,系统首先会生成一个对称密钥来加密文件或文件夹,随后系统再利用用户的公钥加密对称密钥。而在访问被加密的文件时,系统首先利用当前用户的私钥解密获得对称密钥,然后利用对称密钥解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥对,则会首先生成密钥对,然后加密数据。如果系统属于域环境,密钥对的生成依赖于域控制器,否则依赖于本地主机。

1.2 实施EFS加密

下面我们以用户zhangsan的身份来对test.txt文件进行加密。

选中NTFS分区中的一个文件,点击右键,选择“属性”,在出现的对话框中点击“常规”选项卡,然后点击“高级”按钮,在出现的对话框中选中“加密内容以便保护数据”选项,点击“确定”即可。

此时可以发现加密文件的颜色变成了绿色,当其他用户登录系统后打开该文件时,就会出现“拒绝访问”的提示,这表示EFS加密成功。而如果想取消该文件的加密,只需将“加密内容以便保护数据”选项去除即可。

1.3 导出EFS证书

当zhangsan成功进行了EFS加密之后,系统会自动为其生成一个密钥对。密钥对在Windows系统中是以证书的形式存在的,打开IE浏览器,选择“Internet选项\内容\证书”,从中可以查看到系统已经颁发给zhangsan的证书。

证书是EFS加密的唯一凭据,如果没有将证书备份,那么当账号zhangsan被删除或是系统重装之后,就无法再打开EFS加密的数据。而且由于EFS加密的安全级别很高,目前也没有解密的方法。

因而在使用EFS加密之后,一定要将相应用户的证书进行备份。

在“证书”界面中点击“导出”,打开导出证书向导,选择将私钥一并导出,并设置密码保护私钥。

为证书设置文件名和保存位置后,证书导出成功。

证书导出之后,其他用户只要能够获得zhangsan的证书,那么就可以打开zhagnsan加密的文件。

比如管理员administrator默认也无法打开zhagnsan加密的文件,但是如果administrator导入了zhangsan的证书,那么就可以打开加密文件了。

1.4 重设密码对EFS加密的影响

公钥和私钥是EFS加密的基础,而私钥则又是利用用户的密码来加密的,因而如果重设了用户密码,那么必然也会对EFS加密产生影响。

例如在“计算机管理”的“本地用户和组”界面中为zhangsan重设密码,此时系统会出现警告,提示如果重设密码可能会导致数据丢失。

点击“继续”,完成密码重设之后,那么zhangsan也无法打开加密的文件了。此时必须将zhangsan的密码再改回原先的,那么才可以打开加密文件。

因而在使用了EFS加密之后,如果需要更改相应用户的密码,建议按“Ctrl+Alt+Delete”打开“Windows安全”界面,然后使用其中的“更改密码”功能来修改密码。

时间: 2024-11-04 18:07:33

网络安全系列之二十六 EFS加密的相关文章

Powershell管理系列(二十六)PowerShell操作之批量导出&导入邮箱

-----提供AD\Exchange\Lync\Sharepoint\CRM\SC\O365等微软产品实施及外包,QQ:185426445.电话18666943750 项目中有时候做跨林邮箱迁移的时候,条件不成熟,比如安全考虑或者其他考虑,不能做双林信任,这样就提出了一个问题,历史邮件需要使用的话怎么办,一个简单高效的解决办法就是从源森林批量导出邮件为.pst文件,在批量导入到目的域森林,具体操作如下: 1.赋予管理账号邮件导入导出权限,命令如下: cls whoami New-Manageme

[算法系列之二十六]字符串匹配之KMP算法

一 简介 KMP算法是一种改进的字符串匹配算法,由D.E.Knuth与V.R.Pratt和J.H.Morris同时发现,因此人们称它为克努特-莫里斯-普拉特操作(简称KMP算法).KMP算法的关键是利用匹配失败后的信息,尽量减少模式串与主串的匹配次数以达到快速匹配的目的. 二 基于部分匹配表的KMP算法 举例来说,有一个字符串"BBC ABCDAB ABCDABCDABDE",我想知道,里面是否包含搜索串"ABCDABD"? 步骤1:字符串"BBC ABC

网络安全系列之二十九 NMAP的使用

Nmap是一款网络扫描和主机检测的非常有用的工具,适用于Winodws和Linux系统,支持多种扫描技术. NMAP主要是在Linux环境下使用,RHEL中默认并没有安装,在配置好yum源之后,安装NMAP. [[email protected] ~]# yum install nmap NMAP语法: nmap <扫描类型> <扫描参数> <IP地址与范围> 操作演示: (1)探测网络中的存活主机 nmap -sP 192.168.80.0/24 "-sP&

网络安全系列之二十五 配置SSH

远程管理Windows服务器,大都借助于远程桌面:远程管理Linux服务器,则大都是通过SSH. SSH的英文全称是Secure Shell,它替代了以前的telnet远程登录工具.SSH的最大特点是用户可以把所有传输的数据进行加密,这样即使网络中的黑客能够劫持用户所传输的数据,如果不能解密的话,也不能对数据传输构成真正的威胁.而且SSH的数据传输是经过压缩的,可以加快传输的速度,这就是SSH 目前能替代Telnet远程登录工具的原因. 在RHEL中提供SSH服务的是一款名为OpenSSH的软件

网络安全系列之二十 手工SQL注入(PHP)

在掌握了MySQL的基本操作之后,在本篇博文中将介绍如何进行手工PHP注入.目标网站仍然采用NPMserv搭建,软件下载地址:http://down.51cto.com/data/1886128. 首先随便打开一个页面,利用and 1=1和and 1=2判断是否存在注入点. 然后利用order by推断字段数量,这里推断出有5个字段. 接下来执行语句"union select 1,2,3,4,5"爆出2.3字段可以调用参数. 以上操作与ASP手工注入方法基本相同,不熟悉的朋友可以参考博

网络安全系列之二十八 端口扫描

端口扫描在系统攻防中占据非常重要的地位,在了解端口扫描之前,有必要先了解一些TCP协议以及三次握手的相关知识. 1. TCP协议 TCP报文格式如下图所示: 其中比较重要的几个字段: 复位比特RST:当RST=1时,表明TCP连接中出现严重差错(如由于主机崩溃或其它原因),必须释放连接,然后再重新建立连接. 同步比特SYN:同步比特SYN置为1,就表示这是一个连接请求或连接接受报文. 终止比特FIN:用来释放一个连接.当FIN=1时,表明此报文的发送端的数据已发送完毕,并要求释放连接. TCP三

网络安全系列之二十二 Windows用户账号加固

1 启用密码策略 密码策略的设置项目如图所示. 密码必须符合复杂性要求.复杂性要求是指用户账户使用的密码长度至少6位(最多127位),且必须是大写字母.小写字母.数字与符号4种字符中的任意3种以上的组合. 密码长度最小值.确定用户账户的密码可以包含的最少字符个数,设置范围0~14. 密码最长使用期限.指密码使用的最长时间,单位为天.设置范围0~999,默认设置为42天.如果设置为0天,则代表密码永不过期. 密码最短使用期限.指应用密码后,多长时间内不准修改,这项很少设置. 强制密码历史.指多少个

从Exchange 通往Office 365系列(二十六)配置混合部署

之前的步骤都已经完成后,下边就可以来开始配置混合部署了,登陆到本地Exchange的ECP中 PS:因为Office 365的混合部署都是需要公网证书的,之前的环境太大了,要正常使用的话需要购买的证书域名很多,因此之后的实验都是在一个简单环境里完成的.采用的是All in One的设计,前后端都在一台服务器上,这样公网证书只需要绑定一个域名就可以了,可以使用www.startssl.com申请一张免费的绑定一个SAN的公网证书.配置混合部署最好打上最新的补丁,据说SP1会有一些bug 证书申请教

《sort帮你排序》-linux命令五分钟系列之二十六

本原创文章属于<Linux大棚>博客,博客地址为http://roclinux.cn.文章作者为rocrocket. 为了防止某些网站的恶性转载,特在每篇文章前加入此信息,还望读者体谅. === 好久没写技术文章了,对不住大家.今天送上sort帮你排序,以资共享.:) [正文开始] sort是在Linux里非常常用的一个命令,管排序的,集中精力,五分钟搞定sort,现在开始! 1 sort的工作原理 sort将文件的每一行作为一个单位,相互比较,比较原则是从首字符向后,依次按ASCII码值进行