第5章网络软件安全案例.ppt

5．3 加密文件系统(EFS) 5.3.2 EFS加密和解密应用 1．EFS软件 在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK (文件加密密钥)，然后利用FEK和数据扩展标准X算法创建加密文件，并把它存储到硬盘上，同时删除未加密的原文件。随后系统利用用户的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。当用户访问被加密的文件时，系统首先利用用户的私钥解密FEK，然后利用FEK解密原加密文件。 5．3 加密文件系统(EFS) 5.3.2 EFS加密和解密应用 1．EFS软件 EFS加密系统对用户是透明的，即如果用户加密了一些数据，那么他对这些数据的访问将是完全允许的，并不会受到任何限制。如果用户持有一个已加密 NTFS 文件的私钥，那么他就能够打开这个文件，并透明地将该文件作为普通文档使用。而其他非授权用户试图访问加密过的数据时，就会收到“访问拒绝”的提示。这说明非授权用户无法访问经过EFS加密后的文件。即使是有权访问计算机及其文件系统的用户，也无法读取这些加密数据。 5．3 加密文件系统(EFS) 5.3.2 EFS加密和解密应用 当保存文件时EFS将自动对文件进行加密，当用户重新打开文件时系统将对文件进行自动解密。除加密文件的用户和具有EFS文件恢复证书的管理员之外，没有人可以读写经过加密处理的文件或文件夹。因为加密机制建立在文件系统内部，它对用户的操作是透明的，而对攻击者来说却是加密的。 使用EFS加密功能要保证两个条件，第一要保证操作系统是Windows ，第二要保证文件所在的分区格式是NTFS格式(FAT32分区里的数据是无法加密的)。 5．3 加密文件系统(EFS) 5.3.2 EFS加密和解密应用 2．EFS加密和解密应用 (1) EFS加密文件或文件夹 如要对C盘下的“4321”文件夹进行EFS加密，其操作过程为： 第1步：右键单击要加密的文件夹，选择“属性”，出现该文件夹的属性窗口。 5．3 加密文件系统(EFS) 5.3.2 EFS加密和解密应用 第2步：在“属性”窗口中点击“高级”按钮，在弹出的“高级属性”窗口中，勾选“加密内容以保护数据”，如图5.43所示，单击“确定”按钮。 第3步：在随后的属性窗口中点击“应用”按钮，出现“确认属性更改”对话框，如图5.44所示。如选择“仅将更改应用于该文件夹”，系统将只对文件夹加密，文件夹里面已有的内容并没被加密，但是此后在文件夹中创建的文件或文件夹将被加密；如选择“将更改应用于该文件夹、子文件夹和文件”，文件夹内部的所有内容均被加密。 5．3 加密文件系统(EFS) 5.3.2 EFS加密和解密应用 第4步：点击“确定”按钮，完成加密操作。 现在已有了一个被EFS加密过的文件夹，以后如果用户要对某个文件或文件夹进行EFS加密，也可以把它们移到该文件夹中，这样这些文件或文件夹就会被自动加密。 5．3 加密文件系统(EFS) 5.3.2 EFS加密和解密应用 (1) EFS加密文件或文件夹 在Windows XP中，备份密钥的操作过程为： 第1步：点击“开始”→“运行”，输入“certmgr.msc”并回车，打开证书管理器(密钥的导出和导入工作都将在这里进行)。 5．3 加密文件系统(EFS) 5.3.2 EFS加密和解密应用 第2步：在“属性”窗口中点击“高级”按钮，在弹出的“高级属性”窗口中，勾选“加密内容以保护数据”，单击“确定”按钮。 5．3 加密文件系统(EFS) 5.3.2 EFS加密和解密应用 第3步：在随后的属性窗口中点击“应用”按钮，出现“确认属性更改”对话框。如选择“仅将更改应用于该文件夹”，系统将只对文件夹加密，文件夹里面已有的内容并没被加密，但是此后在文件夹中创建的文件或文件夹将被加密；如选择“将更改应用于该文件夹、子文件夹和文件”，文件夹内部的所有内容均被加密 第4步：点击“确定”按钮，完成加密操作。 5．3 加密文件系统(EFS) 5.3.2 EFS加密和解密应用 2．EFS加密和解密应用 (1) EFS加密文件或文件夹 在Windows XP中，备份密钥的操作过程为： 第1步：点击“开始”→“运行”，输入“certmgr.msc”并回车，打开证书管理器。 第2步：选择“当前用户” →“个人” →“证书”路径，可以看见一个与用户名同名的证书。假如有多份证书，可选择“预期目的”为“加密文件系统”的那份。 5．3 加密文件系统(EFS) 5.3.2 EFS加密和解密应用 在Windows XP中，备份密钥的操作过程为： 第3步：右键点击“证书“，在菜单中选择“所有任务→导出”，弹出一个“证书导出向导”窗口。 第4步：单击“下一步”按钮，出现导出密钥窗口，在