＜网络安全＞《45 网络攻防专业课＜第十一课 - NTFS/EFS/BitLocker数据加密与解密＞》

1 NTFS文件系统磁盘加密

1.1 NTFS安全简介

NTFS是Windows 2000及之后的操作系统的标准文件系统。NTFS不仅在性能上比起FAT 32强，NTFS支持的最大文件大小、最大分区大小也比FAT32大，NTFS还支持配额、安全功能。
在NTFS分区中，对于某个文件或者文件夹，可以为不同用户分配不同的权限。
在这里插入图片描述

1.2 NTFS权限破解

当用户试图访问文件/文件夹的时候，NTFS文件系统会检查用户或者用户所属的组是否在此文件/文件夹的访问控制列表(ACL)中，如果存在则进一步检查访问控制项，然后根据控制项中的权限来判断用户最终的权限。如果访问控制列表中不存在用户或者用户所属的组，就拒绝用户访问。

NTFS文件/文件夹都有一个所有者，通常创建文件/文件夹的用户就是所有者，一般情况下所有者对文件/文件夹有“完全控制”权限。所有者是一个很特殊的用户/组，即使所有者对文件/文件夹没有任何权限，所有者却可以在文件/文件夹上分配权限给其他用户。也就是说所有者可以把包括自己在内的用户添加到文件/文件夹的访问控制列表(ACL)中，取得“完全控制”的权限。遗憾的是：Windows系统中，不论文件/文件夹的所有者是谁，管理员（Administrator）可以更改文件/文件夹的所有者

1.3 NTFS权限破解防范

NTFS权限破解防范就是采用：
EFS
BitLocker
其他措施加密文件/文件夹。

2 使用EFS加密数据

2.1 EFS简介

NTFS分区还提供了EFS（加密文件系统）功能。EFS加密是基于公钥策略的。在使用EFS加密一个文件时，系统首先会生成一个由伪随机数组成的FEK(File Encryption Key，文件加密钥匙)，然后将利用FEK加密文件。随后Windows系统利用用户的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用用户的私钥解密FEK，然后利用FEK解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥对(统称为密钥)，则会首先生成密钥，然后加密数据。
EFS对用户是透明的。这也就是说，如果用户设置了文件的加密属性，用户保存文件时Windows系统会自动加密，而当用户访问文件时Windows系统会自动解密。

2.2 EFS加密注意事项

如果是在文件夹上设置了加密属性，则文件夹下的子文件夹和文件也会自动设置加密属性。设置了加密属性的文件/文件夹会呈绿色。由于加密文件时是使用某个用户的私钥，意味着这个文件只能被该用户访问，因此即使其他用户有访问文件的NTFS权限，其他用户实际上也是不能访问文件的。
WindowsXP中，如果用户修改了登录密码，会导致无法访问修改密码前加密的文件。可以通过打补丁解决这一问题。

2.3 EFS破解

EFS使用128位的DESX算法加密文件数据，从算法上看应该是没有问题的。因此想破解EFS只能采用暴力破解或者字典破解用户的密码。

破解程序会使用字典中的密码来破解各个密钥。密钥被破解后，会呈现绿色。

2.4 来恢复误删除用户后无法打开的EFS文件

AEFSDR软件是用来恢复误删除用户后无法打开的EFS文件，此时是知道用户原来的密码的。AEFSDR软件不是专门设计用于暴力或者字典破解EFS文件，因此如果添加很大的字典来破解用户的私钥，可能导致程序“死机”。

AEFSDR软件破解EFS文件的前提是：用户的私钥还存在于硬盘；或者用户的私钥已经提前导出，这时可以单击“Add Certificate”按钮重新把用户的私钥导入。

2.5 EFS破解防范

EFS加密文件算法是安全的，除了暴力破解或字典破解外，无法破解EFS文件。因此EFS破解防范的措施就是：
应该使用满足复杂性需求的密码，密码包含数字、大小字母、特殊字符，且10位以上
注意保护好密码，不得外泄。

3 使用BitLocker加密磁盘

3.1 BitLocker简介

微软在最新的Windows7旗舰版操作系统中为用户提供了一个强悍的BitLocker加密功能，该技术其实最早是出现于Vista系统，BitLocker加密技术支持FAT和NTFS两种格式，用来加密保护用户的数据，BitLocker可以加密计算机的整个系统分区，也可以加密数据分区，甚至加密可移动的便携存储设备，如U盘和移动硬盘等。