本文介绍了当NTFS分区加密文件在系统重装后无法打开时的几种解决方案,包括使用ntfsdos拷贝文件、ERD2003工具及系统自带的备份功能等,并深入探讨了EFS加密系统的原理及其在不同Windows版本中的应用。
NTFS分区加密文件,重装了系统后,无法打开了,怎么办?<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
The NTFS district encryption document, after reset the system, has
been unable to open, how manages?
(天山译)
请选用以下方法:
Please select following method:
A1:用ntfsdos启动进入X盘,把所需文件夹拷贝到没加密的分区中。或者先用ghost制作X盘的分区影像文件,然后用ghost explorer打开影像文件,把所需文件夹解出来!
A2:ERD2003能搞定!
A3:在d盘上右键单击,依次选择属性-工具。
单击开始备份按钮后就可以看到加密分区里的所有文件了,依照“备份或还原向导”的提示把这些文件备份到硬盘的其他分区中即可
单击开始备份按钮后就可以看到加密分区里的所有文件了,依照“备份或还原向导”的提示把这些文件备份到硬盘的其他分区中即可
ps1:以上方法除了A2保证100%可以外,A3的方法我也试过,部分的可以,不过已经不错了。
关于EFS(Encrypted File System)
微软在Windows 2000中引入了加密文件系统(EFS:The Encrypted File System is a file system available in Microsoft's Windows 2000, Windows XP, and Windows Server 2003 operating systems. en.wikipedia.org/wiki/EFS ) ,EFS结合使用了对称密钥与公钥/私钥加密技术,保护放在NTFS分区文件里的内容。对称密钥(加密时动态生成,每个加密文件都有不同的对称密钥)用来执行加密过程,并与加密文件放在一起。公钥用来加密对称密钥,也与加密文件放在一起。解密所必需的私钥放在用户配置文件里。这样,尽管通过第三方实用工具仍可以获取硬盘上的信息,但如果没有私钥,这种格式无法读取。--Windows XP 家庭版不支持。
不过,EFS仍然存在一些潜在的安全问题。(主要体现在Windows2000中)
1 .持有私钥的人都可以访问加密文件,私钥是用来找回用公钥加密的对称密钥。这些人可能是加密这些文件的用户以及被指定为“数据恢复代理”(DRA)的另一个Windows账户,在Windows 2000上,默认情况下,这是指管理员账户。因为使用第三方工具后,可重新设置本地管理员或其他本地账户的口令,所以独立系统注定是不安全的。
2.虽然在Windows 2000环境中,重新设置本地管理员口令不影响计算机内由EFS保护的本地文件,但只要用户的私钥放在本地计算机上,其安全性就可能受到伤害。因为实施EFS的环境通常依赖漫游的配置文件(这是为了确保同一个用户的所有加密文件使用同一把私钥),用户的配置文件会在每次登录期间拷贝到本地系统。为了确保***者无法利用存放在这些配置文件里的私钥副本,应该使用群组策略(Group Policy),强迫退出时删除漫游的配置文件。还应该指定一个专用的灾难恢复代理账户,确保私钥备份后放在安全地方。
但EFS出现了下面两个变化,使上述两个问题在Windows XP专业版上得到了解决。
1 .不再有默认DRA。DRA对EFS的正常工作不再是必要的。如果为加密数据恢复代理进行“空策略”初始化,就可能防止在域级别对Windows域环境进行加密。办法是: 启用群组策略MMC嵌入件模块(snap-in),选择与域相关的群组策略对象,然后依次点击“计算机配置→窗口设置→安全设置→公钥策略→加密数据恢复代理”,在标为“加密数据恢复代理”的最后一级文件夹上右击鼠标,最后从上下文相关的菜单中选择“初始化空策略”。这足以去除用户在属于域成员的Windows 2000系统上使用EFS的功能。 如果是Windows XP,再也没有这种可能了。要禁用Windows XP计算机的环境中的域级别的EFS,必须从属于域成员的Windows XP专业版计算机上启动“微软管理控制台”,装入“群组策略编辑器”,然后注意域群组策略对象。一旦嵌入模块装入完毕,依次点击“计算机配置→窗口设置→安全设置→公钥策略→加密文件系统文件夹”,右击鼠标,然后从上下文相关的菜单中选择“属性”。在带有“允许用户使用加密文件系统(EFS)加密文件”这个核选框显示之后,确保清除了核选框(默认状态下被选用)。
2 .EFS采用了另一个加密级别,利用用户口令保护放在用户配置文件里的私钥。这带来了两方面的影响,一方面,防止了***者企图重新设置任何本地账户上的口令以获得EFS加密文件的访问权的情形; 另一方面,也会带来问题: 如果用户忘记口令,则需使用口令恢复磁盘恢复。
关于EFS(Encrypted File System)
微软在Windows 2000中引入了加密文件系统(EFS:The Encrypted File System is a file system available in Microsoft's Windows 2000, Windows XP, and Windows Server 2003 operating systems. en.wikipedia.org/wiki/EFS ) ,EFS结合使用了对称密钥与公钥/私钥加密技术,保护放在NTFS分区文件里的内容。对称密钥(加密时动态生成,每个加密文件都有不同的对称密钥)用来执行加密过程,并与加密文件放在一起。公钥用来加密对称密钥,也与加密文件放在一起。解密所必需的私钥放在用户配置文件里。这样,尽管通过第三方实用工具仍可以获取硬盘上的信息,但如果没有私钥,这种格式无法读取。--Windows XP 家庭版不支持。
不过,EFS仍然存在一些潜在的安全问题。(主要体现在Windows2000中)
1 .持有私钥的人都可以访问加密文件,私钥是用来找回用公钥加密的对称密钥。这些人可能是加密这些文件的用户以及被指定为“数据恢复代理”(DRA)的另一个Windows账户,在Windows 2000上,默认情况下,这是指管理员账户。因为使用第三方工具后,可重新设置本地管理员或其他本地账户的口令,所以独立系统注定是不安全的。
2.虽然在Windows 2000环境中,重新设置本地管理员口令不影响计算机内由EFS保护的本地文件,但只要用户的私钥放在本地计算机上,其安全性就可能受到伤害。因为实施EFS的环境通常依赖漫游的配置文件(这是为了确保同一个用户的所有加密文件使用同一把私钥),用户的配置文件会在每次登录期间拷贝到本地系统。为了确保***者无法利用存放在这些配置文件里的私钥副本,应该使用群组策略(Group Policy),强迫退出时删除漫游的配置文件。还应该指定一个专用的灾难恢复代理账户,确保私钥备份后放在安全地方。
但EFS出现了下面两个变化,使上述两个问题在Windows XP专业版上得到了解决。
1 .不再有默认DRA。DRA对EFS的正常工作不再是必要的。如果为加密数据恢复代理进行“空策略”初始化,就可能防止在域级别对Windows域环境进行加密。办法是: 启用群组策略MMC嵌入件模块(snap-in),选择与域相关的群组策略对象,然后依次点击“计算机配置→窗口设置→安全设置→公钥策略→加密数据恢复代理”,在标为“加密数据恢复代理”的最后一级文件夹上右击鼠标,最后从上下文相关的菜单中选择“初始化空策略”。这足以去除用户在属于域成员的Windows 2000系统上使用EFS的功能。 如果是Windows XP,再也没有这种可能了。要禁用Windows XP计算机的环境中的域级别的EFS,必须从属于域成员的Windows XP专业版计算机上启动“微软管理控制台”,装入“群组策略编辑器”,然后注意域群组策略对象。一旦嵌入模块装入完毕,依次点击“计算机配置→窗口设置→安全设置→公钥策略→加密文件系统文件夹”,右击鼠标,然后从上下文相关的菜单中选择“属性”。在带有“允许用户使用加密文件系统(EFS)加密文件”这个核选框显示之后,确保清除了核选框(默认状态下被选用)。
2 .EFS采用了另一个加密级别,利用用户口令保护放在用户配置文件里的私钥。这带来了两方面的影响,一方面,防止了***者企图重新设置任何本地账户上的口令以获得EFS加密文件的访问权的情形; 另一方面,也会带来问题: 如果用户忘记口令,则需使用口令恢复磁盘恢复。
转载于:https://blog.51cto.com/wirless/291100
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
