如何使用EFS加密硬盘分区

首先确认已删除帐户的SID，在这里您可以输入以下文件夹:

C: \ Documents and Settings \ Admin \ Application Data \ Microsoft \ Crypto \ RSA

应该有一个以已删除帐户的SID命名的文件夹，例如S-1-5-21-4662660629-873921405-788003330-1004（RID为1004）

现在我们必须尝试使新创建的帐户的RID也为1004，以便我们可以实现我们的目标.

在Windows中，分配给下一个新帐户的RID由HKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains \ Account注册表项的F键值确定. F键值是二进制数据. 偏移量0048处的四个字节定义了下一个帐户的RID. 换句话说，您只需要修改0048处的四个字节即可达到目标（让新帐户的RID为1004）！

确认后，别忘了将Admin帐户的配置文件转移到另一个地方！

（1）默认情况下，只有系统帐户有权访问HKEY_LOCAL_MACHINE \ SAM. 在CMD命令提示符窗口中，运行以下命令以系统帐户身份打开注册表编辑器:

psexec -i -d -s％windir％\ regedit.exe

提示: 您可以从以下网站下载psexec:

（2）找到HKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains \ Account注册表项，双击以打开右侧的F键值.

（3）在此进行解释，Windows将以十六进制和反向形式保存下一个帐户的RID. 那是什么意思？也就是说，如果RID为1004，则对应的十六进制数为03EC，但是必须将其反转为EC03，然后将其扩展为4个字节，即EC 03 00 00.

因此，我们应将偏移量为0048的F键值的四个字节更改为“ EC 03 00 00”，如图2所示.

图2

（4）重要: 不要忘记重启计算机！

（5）重新启动后，创建一个具有相同名称Admin的新帐户，其SID应该与以前完全相同. 如果您不相信它，可以使用GetSID或PsGetSID对其进行测试.

2. “裂纹” EFS

下一个方法非常简单. 使用新创建的Admin帐户登录到系统，随机加密文件，注销，使用管理员帐户登录到系统，然后将原始配置文件复制到C: \ Documents and Settings \ Admin文件夹.

再次使用Admin帐户登录系统，现在您可以解密原始EFS文件了.

故障排除

1. 如果系统已重新安装怎么办？

“声明”部分中提到的文章提到，如果您仍然记得原始帐户的密码，并且未删除配置文件，则很有希望. 这时，可以使用sysinternals的NEWSID工具将系统的计算机SID重置为原始值，然后使用上述方法构造所需的RID，以便可以获取所需的帐户SID. 其余步骤完全相同.

2. 一些用户遇到了这样的问题: 登录系统时，他们收到提示，提示密码已过期并且需要重设. 重置密码后，他们发现登录后已打开EFS文件.

KB890951提到了此问题. 解释是因为更改密码时，系统尚未加载配置文件（有点不清楚），原始文本如下:

发生此问题的原因是，更改密码后，当前用户的用户配置文件未正确加载.

配置文件与EFS之间是什么关系？阅读本文之后，每个人都应该知道EFS的私钥和主密钥存储在配置文件中. 由于未加载配置文件，因此未更新主密钥的加密版本（未跟上帐户密码的更改），从而导致主密钥无法正确解密，并且私钥和FEK无法解密. 这是问题的真正原因.

KB提供了一个内部补丁程序来解决此问题. KB890951的链接如下:

3. 有关公钥的问题

为便于理解，作者故意忽略了公钥. 公钥也保存在帐户配置文件中:

％UserProfile％\ Application Data \ Microsoft \ SystemCertificates \ My \ Certificates

在EFS恢复操作中，必须确保将公钥也复制到新帐户的配置文件中. 尽管看起来公钥与EFS解密无关（它负责加密）.

事实证明，除了帐户SID和加密文件$ EFS属性的DDF字段中的加密FEK副本之外，还存在公钥指纹信息（Public Key Thumbprint）和私钥GUID信息（某种形式）. 私钥的哈希值）的值.

当系统扫描加密文件的$ EFS属性中的DDF字段时，它将判断该帐户是否基于用户配置文件中公钥中包含的公钥指纹和私钥GUID信息，当然帐户的SID. 它具有相应的DDF字段，用于确定用户是否属于合法的EFS文件所有者.

所以公钥也很重要.

当然，公钥可以被“伪造”（您可以伪造所需的公钥指纹和私钥GUID）来欺骗EFS系统. 有关具体方法，请参阅外国手稿，这里不再赘述.

加强EFS的安全性

由于EFS将所有相关密钥保存在Windows分区中，因此可能给EFS带来某些安全风险. 当前，有一些第三方工具声称能够破解EFS. 这些工具首先攻击SAM配置单元文件，然后尝试破解帐户密码，从而破解帐户密码→主密钥加密密钥→主密钥→EFS私钥→FEK“秘密密钥链”.

为了防止攻击者窥探我们的EFS文件，可以使用三种方法:

1. 导出删除私钥

您可以使用证书向导导出EFS加密证书和私钥，然后在“证书导出向导”对话框中选择删除私钥，如图3所示.

图3

删除私钥后，攻击者将无法访问EFS加密文件. 当我们需要访问它时，我们只需要导入先前备份的证书和私钥.

2. 系统密钥提供了额外的保护

系统密钥可以为SAM配置单元文件和EFS私钥提供额外的保护. Windows XP的系统密钥默认情况下保存在本地. 我们可以运行syskey命令来强制系统将系统密钥保存在软盘中，或者使用启动密码来生成系统密钥.

由于EFS“密钥链”的根密钥（系统密钥）未存储在本地计算机中，因此攻击者更难破解EFS加密.

提示BitLocker加密的恢复密钥与syskey的启动密码类似，使用启动期间输入的一串密码来生成所需的密钥.

3. BitLocker提供更彻底的保护

此方法仅适用于Windows Vista（企业版和旗舰版）.

最彻底的保护方法是Windows Vista中新引入的BitLocker加密. 此时，Windows分区的所有内容都已加密（包括SAM配置单元和EFS密钥）.

BitLocker（TPM1.2）加密可以视为Windows启动保护程序. 当系统启动时，TPM芯片将负责分析每个重要的启动组件，以确定它是否在原始计算机环境中. 如果是这样，请依次释放BitLocker加密所需的密钥链，以便我们可以成功访问Windows和访问EFS文件.

如果攻击者试图将硬盘驱动器连接到另一台计算机，则系统将拒绝释放密钥，并且整个Windows Vista分区将被加密.

如果攻击者窃取了计算机并窃取了BitLocker所需的所有条件（不必说，假设还获得了密钥U盘，则为TPM芯片）. 此时，系统可以顺利启动并成功释放BitLocker密钥链. 但是攻击者还必须找到一种方法来知道该帐户的密码，否则系统将无法登录，并且Windows分区仍处于加密状态.

EFS附加保护的原理如图4所示.

图4

4. 题外话: 为什么释放BitLocker密钥后Windows分区仍处于加密状态？

因此，尽管已释放BitLocker密钥，但Windows分区并未一次全部解密. 否则，每次启动时要解密整个Windows分区需要多长时间（作者的Vista分区已完全解密，总共花费了3个小时）！

原始的BitLocker加密使用FVE筛选器驱动程序来实现加密和解密，它位于文件系统驱动程序的下层. 登录系统后，当用户需要访问文件时，文件系统将自动请求FVE筛选器驱动程序对其进行解密. 我猜应该一次解密一个块. 每个块可以是512字节（与EFS相同）. 我不确定. 对于用户而言，此过程是完全透明的，并且对性能的影响很小，几乎可以忽略不计. EFS加密的情况与此类似.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/dianqi/article-301064-1.html