加 密 文 件 系 统
EFS从Windows 2000
其他
基本 想 法
[编辑]很长
操作
[编辑]EFS
避免“复制时解
从Windows Vista开始,
安全 性
[编辑]漏 洞
[编辑]使用 本地 的 Administrator帐户解 密 文 件
[编辑]通 过密码重置 访问私 钥
[编辑]其他问题
[编辑]一旦用户已成功登录,访问
恢复
[编辑]如果EFS
密 钥
[编辑]用 户密码(或 智能 卡私钥):用 于生成 解 密密 钥以解 密 用 户的DPAPI主 密 钥- DPAPI
主 密 钥:用 于解密 用 户的RSA私 钥 - RSA
私 钥:用 于解密 每 个文件 的 FEK 文 件 加 密密 钥(FEK):用 于解密 /加 密 每 个文件 的 数 据 (NTFS主要 流 )- SYSKEY:
用 于加密 缓存的 域 验证和 存 储在SAM中 的 密 码散列 值 搜 尋 加 密 檔案位置 (C:表示 硬 碟代號 ,變更 代 號 可 搜 尋 其他硬 碟)
請在Windows PowerShell
get-childitem C:\ -Recurse -Force -ErrorAction SilentlyContinue | where-object {$_.Attributes -ge "Encrypted"} | format-list fullname, attributes
支持 的 操作 系 统
[编辑]Windows
[编辑]- Windows 2000专业
版 、服 务器版 、高 级服务器版 和 数 据 中心 版 - Windows XP专业
版 、Tablet PC版 、媒体 中心 版 和 x64版本 - Windows Server 2003
和 Windows Server 2003 R2,包括 x86和 x64版本 - Windows Vista
商 业版、企 业版和 旗 舰版[8] - Windows 7专业
版 、企 业版和 旗 舰版 - Windows Server 2008
和 Windows Server 2008 R2 - Windows 8
和 8.1专业版 和 企 业版 - Windows Server
- Windows 10专业
版 、企 业版和 教育 版 ,在 家庭 版 中 不 可用 。
其他操作 系 统
[编辑]各 Windows版本 可用 的 新 功 能
[编辑]- Windows XP
客 户端侧缓存 (脱 机 文 件 数 据 库)加 密 使用 广域公 钥保护DPAPI主 密 钥备份自 动注册 用 户证书(包括 EFS证书)多用 户(共 享 )访问加 密 文 件 (在 文 件 的 基 础上),在 共 享 加 密 文 件 时检查证书吊销加 密 文 件 可 以用另一种颜色 显示(默 认绿色 )不 再 需要 强制 性 的 “恢复代理 ”文 件 移 动到不 支持 的 文 件 系 统而可能 静 默 解 密 时警告 密 码重置 盘- EFS
通 过WebDAV,远程加 密 Active Directory委 派 的 服 务器
- Windows XP SP1
支持 并默认对所有 EFS加 密 的 文 件 使用 AES-256对称加 密 算法
防止 注 册 自 签名的 EFS证书
- Windows Server 2003
数字 身 份管理 服 务强制 执行RSA密 钥最小 长度设置,对于注 册 自 签名EFS证书
客 户端侧缓存 (脱 机 文 件 )分 用 户加密 支持 在 一 个PC/SC智能 卡上存 储用户或DRA(数 据 恢复)RSA私 钥- EFS
密 钥更新 向 导 - EFS
密 钥备份提示 支持 从PC/SC智能 卡派生 DPAPI主 密 钥支持 加 密 pagefile.sys使用 BitLocker(Windows Vista企 业版或 旗 舰版提供 )保 护EFS相 关的私 密 信 息 [12][13]- 组
策略 控 制 强制 执行:- “
文 档”文 件 夹的加 密 脱 机 文 件 加 密 加 密 文 件 的 索引 使用 EFS需要 智能 卡- 从
智能 卡创建 一个可缓存的用户密钥 用 户密钥创建 时显示 密 钥备份通知 指定 自 动注册 EFS证书时使用 的 证书模 板
- “
- Windows Server 2008[11]
在 Windows Server 2008服 务器上 注 册 的 EFS自 签名证书将 默 认使用 2048位 RSA密 钥长度 所有 EFS模 板 (用 户和恢复代理 证书)默 认使用 2048位 RSA密 钥长度
- Windows 7
和 Windows Server 2008 R2[14]
- 椭圆
曲 线密码学(ECC)。Windows 7支持 ECC和 RSA算法 的 混合 操作 模 式 保 证向后 兼 容 - EFS
自 签名证书在 使用 ECC时将默 认使用 256位 密 钥。 - EFS
在 使用 自 签名RSA证书时可以配置 为使用 1K/2k/4k/8k/16k位 密 钥,使用 ECC证书时可以使用 256/384/512位 密 钥。
各 Windows版本 使用 的 算法
[编辑]Windows EFS
其他 | ||
---|---|---|
Windows 2000 | DESX | (无) |
Windows XP RTM | DESX | |
Windows XP SP1 | AES | Triple DES、DESX |
Windows Server 2003 | AES | Triple DES、DESX[15] |
Windows Vista | AES | Triple DES、DESX |
Windows Server 2008 | AES | Triple DES、DESX (?) |
Windows 7 Windows Server 2008 R2 |
Triple DES、DESX |
参 见
[编辑]参考 资料
[编辑]- ^ File Encryption (Windows). Microsoft. [2010-01-11]. (
原始 内容 存 档于2009-12-27). - ^ EFS is available on Windows 2000 Server and Workstation, on Windows XP Professional, on Windows Server 2003 and 2008, and on Windows Vista and Windows 7 Business, Enterprise and Ultimate.
- ^ Encrypting File System. Microsoft. 2008-05-01 [2011-08-24]. (
原始 内容 存 档于2016-08-15). - ^ Cryptographic Filesystems, Part One: Design and Implementation. Security Focus. [2010-01-11]. (
原始 内容 存 档于2008-07-25). - ^ Encrypting File System. [2017-04-01]. (
原始 内容 存 档于2017-09-07). - ^ Chris Corio. First Look: New Security Features in Windows Vista. TechNet Magazine. Microsoft. 2006-05 [2006-11-06]. (
原始 内容 存 档于2006-11-10). - ^ 7.0 7.1 ntpasswd, available since 1997. [2017-04-01]. (
原始 内容 存 档于2016-02-12).引用 错误:带有name属性 “ntpasswd”的 <ref>
标签用 不同 内容 定 义了多 次 - ^ Microsoft website.. [2017-04-01]. (
原始 内容 存 档于2007-02-03). - ^ Kim Mikkelsen. Windows Vista Session 31: Rights Management Services and Encrypting File System (PDF). presentation. Microsoft. 2006-09-05 [2007-10-02].[
永久 失效 連結 ] - ^ Encrypting File System. documentation. Microsoft. 2007-04-30 [2007-11-06]. (
原始 内容 存 档于2014-01-20). - ^ 11.0 11.1 Changes in Functionality from Windows Server 2003 with SP1 to Windows Server 2008: Encrypting File System. documentation. Microsoft. 2007-09-01 [2007-11-06]. (
原始 内容 存 档于2008-03-25). - ^ Scott Field. Microsoft Windows Vista Security Enhancements (DOC). whitepaper. Microsoft. 2006-06 [2007-06-14]. (
原始 内容 存 档于2011-06-04). - ^ Microsoft Corporation. Data Communication Protocol. patent. Microsoft. 2006-11-30 [2007-06-14]. (
原始 内容 存 档于2007-09-29). - ^ Changes in EFS. Microsoft TechNet. [2009-05-02]. (
原始 内容 存 档于2009-04-24). - ^ Muller, Randy. How IT Works: Encrypting File System. TechNet Magazine. Microsoft. 2006-05 [2009-05-22]. (
原始 内容 存 档于2008-12-20).
延伸 阅读
[编辑]- Implementing the Encrypting File System in Windows 2000. Microsoft. [2014-12-20]. (
原始 内容 存 档于2015-07-26). - Bragg, Roberta. The Encrypting File System. Microsoft. [2017-04-01]. (
原始 内容 存 档于2017-02-09). - Encrypting File System (Windows Server 2008, Windows Vista). Microsoft. 2009-02-25 [2017-04-01]. (
原始 内容 存 档于2017-08-26). - Encrypting File System in Windows XP and Windows Server 2003. Microsoft. 2003-04-11 [2017-04-01]. (
原始 内容 存 档于2016-11-30). - Network Associates Laboratories. How to Use the Encrypting File System (Windows Server 2003, Windows XP Professional). Microsoft. [2017-04-01]. (
原始 内容 存 档于2017-07-23). - Using Encrypting File System. Windows XP Resource Kit. Microsoft. 2005-11-03 [2017-04-01]. (
原始 内容 存 档于2017-01-06). - Encrypting File System. Windows 2000 Resource Kit. Microsoft. [2017-04-01]. (
原始 内容 存 档于2017-08-26). - How EFS Works. Windows 2000 Resource Kit. Microsoft. [2017-04-01]. (
原始 内容 存 档于2017-02-05).