Windows 2000加密文件系統 http://netsafe.ayinfo.ha.cn/lmxw/200210945204.htm 新聞類型：防黑學堂 加入時間：2002年10月9日4:52 現今，在廣大IT界人士中一個普遍的觀點是"[M$] security"僅是一個自相矛盾的術 語。對此，在最新的作業系統Windows 2000中，[M$]做了很大的改進，讓這種觀點成? 過去。除了Kerberos v5驗證、IPSec、TLS、智慧卡支援和PKI的集成外，Windows 2000 證實比先前?品有更高的安全可信性。 在Windows 2000的安全陣容中新加了加密文件系統（EFS），EFS能讓用戶在一個硬碟上 使用公鑰加密去保護資料。如果硬碟上的文件已經使用EFS進行了加密，這樣即使一個 攻擊者能訪問到硬碟上，由於沒有解密的Key，文件也是不可用的。這種特性對於移動 用戶、通過寬帶連接的家族用戶、對敏感資料有更高安全要求的機構的益處是顯而易見 的。 Windows 2000 EFS是如何工作的 當一個用戶使用EFS去加密文件時，必須存在一個公鑰和一個私鑰，如果用戶沒有，EFS 服務自動?生一對。對於初級用戶來說，即使他完全不懂加密，也能加密文件，可以對 單個文件進行加密，也可以對一個文件夾進行加密，這樣所有寫入文件夾的文件將自動 被加密。 一旦用戶發佈命令加密文件或試圖添加一個文件到一個已加密的文件夾中，EFS將進行 以下幾步： 第一步：文件被拷貝到臨時文字檔案，當拷貝過程中發生錯誤時利用此文件進行恢復。 第二步：文件被一個隨機?生的Key加密，這個Key叫作文件加密鑰匙，FEK的長度?128 位（僅US和Canada），這個文件使用DESX加密演算法進行加密。 第三步：資料加密區域（DDF）?生，這個區域包含了使用RSA加密的FEK和用戶的公 鑰。 第四步：資料恢復區域（DRF）?生，這個區域的目的是?了在用戶解密文件的中可能 解密文件不可用（丟失Key、離開公司等）。這些用戶叫做恢復代理，恢復代理在加密 資料恢復策略（EDRP）中定義，它是一個域的安全策略。如果一個域的EDRP沒有設置， 本地EDRP被使用。在任一種情況下，在一個加密發生時，EDRP必須存在（因此至少有一 個恢復代理被定義）。DRF包含使用RSA加密的FEK和恢復代理的公鑰。如果在EDRP列表 中有多個恢復代理，FEK必須用每個恢復代理的公鑰進行加密，因此，必須?個恢復代 理創建一個DRF。 第五步：包含加密資料、DDF及所有DRF的加密文件被寫入磁片。 第六步：在第一步中創建的文字檔案被刪除。 下面的進程在資料被解密時發生： 第一步：使用DDF和用戶的私鑰解密FEK。 第二步：使用FEK解密文件。 在恢復代理恢復文件的過程中，同樣的進程?生，除了在第一步中使用DRF而不是DDF。 EFS組成 EFS由EFS服務、EFS驅動、EFS文件系統運行庫（FSRTL）和Win32 API。EFS服務作?一 個標準系統服務運行，它是Windows 2000安全子系統的一部分。它與CryptoAPI介面? 生鑰匙、DDF和DRF，EFS驅動就像是NTFS的一部分，它呼叫EFS服務請求鑰匙，DDF和DRF 作?需要被創建，一個EFS驅動的組成是EFS FSRTL,它定義了EFS驅動程式能作?NTFS的 代表而執行的功能。 EFS和NTFS如何共存 EFS可以被認?除NTFS外的第二層防護，?訪問一個被加密的文件，用戶必須有訪問到 文件的NTFS許可權。在相關NTFS許可權的用戶能看到文件夾中的文件，但不能打開文件除非 有相應的解密鑰匙。同樣，一個用戶有相應的鑰匙但沒有相應的NTFS許可權也不能訪問到 文件。所以一個用戶要能打開加密的文件，同時需要NTFS許可權和解密鑰匙。 然而，NTFS許可權可能被大量的方法穿越，包括口令破解程式、用戶在離開前沒有退出系 統或系統內部的NTFSDOS。在NT4.0下，遊戲結束了──硬碟上所有的資料都可以訪問 了。在Windows 2000下，當一個文件用EFS加密後，一個未授權的用戶，即使訪問到磁 盤上的文件，但也不能訪問文件上資料，因?沒有授權用戶的私鑰。 EFS好處 在硬碟上加密資料的能力對於進出硬碟自身有極大的好處。另外，EFS的應用?生了其 它三方加密方法。 訪問一個加密的文件不需要用戶任何的操作，先前的第三方的文件加密工具需要用戶每 次訪問文件時鍵入口令，它們並沒有與文件系統或作業系統進行無縫地集成，使用戶感 覺受挫而願使用文件加密。 EFS密碼組結合了對稱加密（DESX）和非對稱加密（RSA）的優點，優於對資料使用非對 稱加密（用這種方法僅FEK被加密），資料使用對稱加密進行加密。 備份進程備份加密格式的文件，消除了備份操作需要訪問資料的需要。 EFS集成進文件系統，因此一個惡意的用戶不能繞過文件系統訪問到硬碟，而且，所有 運行在內核模式的EFS驅動程式不能由用戶直接訪問。 Windows 2000 的CryptoAPI體系允許用戶在智慧卡上存取他們的私鑰，這比將鑰匙 放在硬碟或軟碟上更?安全，這也使多個位置訪問成?可能。 局限性 安全性的增加伴隨著花費的增加，任何加密進程都將會增加處理量和降低某些方面的性 能，這兒有一些關於在硬碟上加密文件的實行結果。 僅僅對存儲在磁片上的文件進行加密，而不是全部的網路上。必須應用其他的加密方 法，例如IPSec，去安全網路傳輸。 自動病毒監測不能掃描加密文件除非他們訪問到用戶的鑰匙。 如果一個文件或硬碟被偷，惡意的用戶將有大量的時間，如果有能力破譯加密資料的 話，資料可能會被解密。 下面是Micorsoft EFS特定的更多的局限性： EFS僅僅工作在NTFS卷，目前EFS在FAT卷上不支援。 EFS目前使用DESX作?它的加密演算法，更強壯的加密得法已存在，[M$]許諾在將來的EFS 版本提供支援。 如果系統文件被加密，系統將不能用，EFS僅對資料檔案加密。OS操作需要引導的文件 不能被加密，否則在開始時時候將不能訪問，?保護這些，加密被限制在文件屬性的設 置上，然而，在2000年7月25日，SecuriTeam報告了一個有關EFS的DoS，如果批次處理文 件（沒有系統屬性）被加密後，系統將不能被引導。 定義太多的恢復代理將影響性能，對每一個恢復代理，FEK發佈被加密同時一個DRF被創 建，這將引起兩個問題：一是，?存儲多個DRF需要大量的磁碟空間，二是，創建多個 DRF將花費更多的時間和處理器資源。 在這個版本上不支援文件共用，僅僅創建DDF用戶的鑰匙能訪問到文件，[M$]通知在將 來的EFS版本將支援文件共用。 EFS將增加系統管理員的管理，而且管理加密鑰匙的區域是非常重要的。 在加密進程的第一步中創建的文本備份檔案在進程中以未加密的格式存在，惡意用戶可 能在文件存在時訪問到這個文件。 結論 對[M$]作業系統EFS是一個受歡迎的附加功能，它對用戶是透明的操作，有助於減少物 理安全的危險，任何的安全技術，都有其局限性和問題，不能預防所有的問題，但作? 全面的安全策略的一部分，EFS對阻止未授權的用戶查看敏感資料是一個非常有用的工 具。 新聞出處：網路安全工作室 新聞作者：小九九 發表人 - jackkcg 於 2002/10/15 23:18:55

------
**********************************************************
哈哈&兵燹
最會的2大絕招 這個不會與那個也不會 哈哈哈 粉好

Delphi K.Top的K.Top分兩個字解釋Top代表尖端的意思,希望本討論區能提供Delphi的尖端新知
K.表Knowlege 知識,就是本站的標語:Open our mind