7C00.ME/houmu 2012-03-04

Windows EFS验证实验

说明:这是课上的一个作业,自己得出的结论未必正确,欢迎在评论里面留言指正。

在 windows 环境下,利用 EFS 服务实现或验证以下功能:

  1. 使用 EFS 既可加密文件,也可加密文件夹
  2. EFS 加密位于文件系统层,加解密效率高
  3. 帐户 A 进行 EFS 加密的文件无法用帐户 B 打开,除非设置共享
  4. 帐户 A 进行 EFS 加密的文件夹无法用帐户 B 打开,除非设置共享
  5. 只有对加密文件进行共享设置后,其它用户方可对该文件进行读取、执行或删除操作
  6. NTFS 卷中经 EFS 加密的文件转移到 U 盘中后,不会影响其安全性
  7. 将未加密的文件转移到加密的文件夹中,会提升其安全性

注:EFS 加密后实现共享的操作步骤

1) 右键单击要共享的加密文件,选择“属性”命令,打开文件属性对话框。

2) 在“常规”选项卡中单击“高级”按钮,打开“高级属性”对话框,再单击“详细信息”按钮,然后在新的对话框中单击“添加”按钮,添加另外一个用户的 EFS证书,最后单击“确定”按钮。

答:

验证实验:

步骤简述如下,在VMware player上建立Microsoft Windows XP Professional with SP3操作系统的虚拟机(在操作系统安装的时候选择磁盘文件格式为NTFS),分别创建两个用户,分别用这两个用户创建一些文件和文件夹,并对它们进行加密,按照需要对部分文件添加“可透明访问这个文件的用户”,之后切换用户,进行一些文件和文件夹的操作,对上面的问题进行验证。另外,连接不同文件系统格式优盘(只有一个优盘的话可以划分成多个分区,格式化时选择不同额文件格式,实验结束之后删除分区再合并分区即可)到虚拟机上,验证U盘对EFS加密影响的有关实验。

验证结论:

1)正确,文件或文件夹经EFS加密后,在资源管理器中文件名或文件夹名会显示为绿色;

2)正确,从名字可知EFS应当是在文件系统层,NTFS的EFS加密,比FAT32加密效率高;

3)正确,可以通过对“可透明访问这个文件的用户”添加用户证书实现共享;

4),错误,账户B自由可以打开、重命名、复制和删除账户A加密的文件夹以及它的子文件夹(包括递归的子文件夹,下同),但是复制的时候文件夹和子文件夹中的文件不能得到复制,复制的只有目录结构本身,同时复制得到的文件夹和子文件夹也是加密的;

5),错误,加密的文件不能被未共享的用户读取和执行,但是可以被移动、删除、和重命名,不能复制;

6),错误,如果U盘是FAT32格式,复制或移动文件,会丢失加密信息(资源管理器会有提示),而如果U盘是NTFS系统格式的,可以保留加密信息,如果U盘是其他文件系统格式,未验证但从理论上讲和FAT32是一样的;

7),正确,未加密的文件移动到加密的文件夹会被自动加密,文件夹亦然,而加密后文件访问和执行权限属于执行移动(或也可能是复制)的用户,与文件夹的加密者无关。

思考题: 根据实验及思考,简单总结 EFS 服务存在哪些不足

答:

1)EFS实质上只对文件进行了加密,对文件夹的加密没有实际的安全作用(个人观点),同时,被加密文件夹中的文件的加密者可以不唯一,这种自由可能不利于管理;

2)对文件的加密不够彻底,不能保证文件不被删除、移动和重命名,这在一定程度上也是由于文件夹加密非常单薄导致的。

3)EFS加密(从理论上讲)只能用于NTFS文件系统,有非常大的局限性。

4)由于EFS加密原理导致了,被EFS加密的文件只能在加密所在的域和主机上的加密者账户才能访问(指的是读、写和执行,下同),即加密后的文件不能通过U盘在其他域和主机上访问,这会在文件交流造成很大的不便之处。

5)EFS的加密原理也导致了,用户重装操作系统后,即便是原来的账户名也不能访问,因此EFS加密存在一定的“死锁”的风险。

补充:在宿主机Windows 7 Ultimate with SP1 (32 bit) 上加密文件时,操作系统会提示备份加密证书,应该是对上述4)和5)的改进措施。