(一)故障类型: EFS 加密文件无法打开
(二)典型特征:
1. 重装系统后以前加密的文件无法打开
2. 密钥文件丢失导致加密文件无法打开
(三)损坏程度星级评价: ★★★★
[故障原理及恢复思路]
在使用 EFS 加密一个 NTFS 文件时,系统首先会生成一个伪随机数 FEK (File Encryption Key ,文件加密钥匙 ) ,然后用 FEK 加密数据并对文件进行原位覆写。随后系统利用 用户 的公钥加密 FEK ,并把加密后的 FEK 存储在加密文件的 $EFS 属性中。
而在访问被加密的文件时,系统首先利用当前用户的私钥解密 FEK ,然后利用 FEK 解密出文件。在首次使用 EFS 时,如果用户还没有公钥 / 私钥 时 (统称为密钥),则会首先生成密钥,然后加密数据。如果 用户 登录到了域环境中,密钥的生成依赖于域控制器,否则它就依赖于本地机器。
用户私钥是解密 EFS 文件的关键,私钥保存于 Windows 分区的 Documents and Settings\%UserName%\Application Data\Microsoft\Crypto\RSA\%UserSID% (用户的 SID 为安全标识符,相当于用户的身份证号码,当创建一个帐号时,系统为其分配一个唯一的 SID 编号)。
为了保护私钥, Windows 用主密钥对私钥进行加密,主密钥位于 Windows 分区的 Documents and Settings\%UserName%\Application Data\Microsoft\Protect\%UserSID% ,然后再用用户密码生成的密钥对主密钥进行加密。
这样就形成了 “ 用户密码- > 主密钥- > 私钥- >FEK - >EFS 加密文件 ” 加密链。所以如果想完整地获得 EFS 加密数据,那么必须得到用户密码、主密钥和私钥。
( 四 )恢复流程
1. 检测流程:
( 1 )查看现有系统占用空间;
( 2 )查看现在有 mft 文件目录数占用空间。
2. 实施流程:
( 1 )查找或重组加密 FEK 的私钥 ;
( 2 )查找可重组加密私钥的主密钥;
( 3 )根据用户提拱的用户密码进行校验匹配,解密用户文件;
( 4 )对解密出来的文件进行逻辑分析和校验,迁移出用户所需数据。
3. 验收流程:
( 1 )对已迁移出来的所有数据做属性统计,从文件数量
和容量等方面确保用户所需数据已全部迁移成功;
( 2 )对已迁移出来的所有数据做完整性验证,确保
文件在目录结构及底层逻辑等方面正确无误;
( 3 )对用户指定的关键数据文件进行针对性校验,确保用户关
键数据成功恢复。
( 五 )恢复的可靠性分析及时间预估:
在大多数案例中此类故障主要是重装系统导致密钥丢失造成的,由于重装系统将写入大量文件到系统分区,密钥被覆盖的几率相对较高,这也是导致此类故障恢复成功率较低的重要原因,一般此类故障成功率在 50% 左右,通常所需时间为 1-3 个工作日。
[小贴士]
(一)通过 EFS 加密文件后应该及时备份密钥并妥善保存;
(二)出现此类故障后应该立刻停止继续使用计算机,以降低密钥被覆盖的几率。
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/31380569/viewspace-2652025/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/31380569/viewspace-2652025/