Windows EFS驗證實驗

在windows 環境下，利用efs 服務實現或驗證以下功能：

1. 使用efs 既可加密檔案，也可加密資料夾

2. efs 加密位於檔案系統層，加解密效率高

3. 帳戶a 進行efs 加密的檔案無法用帳戶b 開啟，除非設定共享

4. 帳戶a 進行efs 加密的資料夾無法用帳戶b 開啟，除非設定共享

5. 只有對加密檔案進行共享設定後，其它使用者方可對該檔案進行讀取、執行或刪除操作

6. ntfs 卷中經efs 加密的檔案轉移到u 盤中後，不會影響其安全性

7. 將未加密的檔案轉移到加密的資料夾中，會提公升其安全性

注：efs 加密後實現共享的操作步驟

1) 右鍵單擊要共享的加密檔案，選擇「屬性」命令，開啟檔案屬性對話方塊。

2) 在「常規」選項卡中單擊「高階」按鈕，開啟「高階屬性」對話方塊，再單擊「詳細資訊」按鈕，然後在新的對話方塊中單擊「新增」按鈕，新增另外乙個使用者的efs證書，最後單擊「確定」按鈕。

答：驗證實驗：

步驟簡述如下，在vmware player上建立microsoft windows xp professional with sp3作業系統的虛擬機器（在作業系統安裝的時候選擇磁碟檔案格式為ntfs），分別建立兩個使用者，分別用這兩個使用者建立一些檔案和資料夾，並對它們進行加密，按照需要對部分檔案新增「可透明訪問這個檔案的使用者」，之後切換使用者，進行一些檔案和資料夾的操作，對上面的問題進行驗證。另外，連線不同檔案系統格式優盤（只有乙個優盤的話可以劃分成多個分割槽，格式化時選擇不同額檔案格式，實驗結束之後刪除分割槽再合併分割槽即可）到虛擬機器上，驗證u盤對efs加密影響的有關實驗。

驗證結論：

1）正確，檔案或資料夾經efs加密後，在資源管理器中檔名或資料夾名會顯示為綠色；

2）正確，從名字可知efs應當是在檔案系統層，ntfs的efs加密，比fat32加密效率高；

3）正確，可以通過對「可透明訪問這個檔案的使用者」新增使用者證書實現共享；

4），錯誤，賬戶b自由可以開啟、重新命名、複製和刪除賬戶a加密的資料夾以及它的子資料夾（包括遞迴的子資料夾，下同），但是複製的時候資料夾和子資料夾中的檔案不能得到複製，複製的只有目錄結構本身，同時複製得到的資料夾和子資料夾也是加密的；

5），錯誤，加密的檔案不能被未共享的使用者讀取和執行，但是可以被移動、刪除、和重新命名，不能複製；

6），錯誤，如果u盤是fat32格式，複製或移動檔案，會丟失加密資訊（資源管理器會有提示），而如果u盤是ntfs系統格式的，可以保留加密資訊，如果u盤是其他檔案系統格式，未驗證但從理論上講和fat32是一樣的；

7），正確，未加密的檔案移動到加密的資料夾會被自動加密，資料夾亦然，而加密後檔案訪問和執行許可權屬於執行移動（或也可能是複製）的使用者，與資料夾的加密者無關。

思考題：

根據實驗及思考，簡單總結efs 服務存在哪些不足

答：1）efs實質上只對檔案進行了加密，對資料夾的加密沒有實際的安全作用（個人觀點），同時，被加密資料夾中的檔案的加密者可以不唯一，這種自由可能不利於管理；

2）對檔案的加密不夠徹底，不能保證檔案不被刪除、移動和重新命名，這在一定程度上也是由於資料夾加密非常單薄導致的。

3）efs加密（從理論上講）只能用於ntfs檔案系統，有非常大的侷限性。

4）由於efs加密原理導致了，被efs加密的檔案只能在加密所在的域和主機上的加密者賬戶才能訪問（指的是讀、寫和執行，下同），即加密後的檔案不能通過u盤在其他域和主機上訪問，這會在檔案交流造成很大的不便之處。

5）efs的加密原理也導致了，使用者重灌作業系統後，即便是原來的賬戶名也不能訪問，因此efs加密存在一定的「死鎖」的風險。

補充：在宿主機windows 7 ultimate with sp1 （32 bit）上加密檔案時，作業系統會提示備份加密證書，應該是對上述4）和5）的改進措施。

作者tt-0411

Windows EFS驗證實驗

Windows EFS驗證實驗

順序表驗證實驗

順序表驗證實驗

Windows EFS驗證實驗

Windows EFS驗證實驗

順序表驗證實驗

順序表驗證實驗

相關推薦