Windows EFS驗證實驗

說明：這是課上的一個作業，自己得出的結論未必正確，歡迎在評論裡面留言指正。

在 windows 環境下，利用 EFS 服務實現或驗證以下功能：
1. 使用 EFS 既可加密檔案，也可加密檔案夾
2. EFS 加密位於檔案系統層，加解密效率高
3. 帳戶 A 進行 EFS 加密的檔案無法用帳戶 B 開啟，除非設定共用
4. 帳戶 A 進行 EFS 加密的檔案夾無法用帳戶 B 開啟，除非設定共用
5. 只有對加密檔案進行共用設定後，其它使用者方可對該檔案進行讀取、執行或刪除操作
6. NTFS 卷中經 EFS 加密的檔案轉移到 USB 磁碟機中後，不會影響其安全性
7. 將未加密的檔案轉移到加密的檔案夾中，會提升其安全性

註：EFS 加密後實現共用的操作步驟
1) 按右鍵要共用的加密檔案，選擇“屬性”命令，開啟檔案屬性對話方塊。
2) 在“常規”選項卡中單擊“進階”按鈕，開啟“進階屬性”對話方塊，再單擊“詳細資料”按鈕，然後在新的對話方塊中單擊“添加”按鈕，添加另外一個使用者的 EFS認證，最後單擊“確定”按鈕。

答：

驗證實驗：

步驟簡述如下，在VMware player上建立Microsoft Windows XP Professional with SP3作業系統的虛擬機器（在作業系統安裝的時候選擇磁碟檔案格式為NTFS），分別建立兩個使用者，分別用這兩個使用者建立一些檔案和檔案夾，並對它們進行加密，按照需要對部分檔案添加“可透明訪問這個檔案的使用者”，之後切換使用者，進行一些檔案和檔案夾的操作，對上面的問題進行驗證。另外，串連不同檔案系統格式優盤（只有一個優盤的話可以劃分成多個分區，格式化時選擇不同額檔案格式，實驗結束之後刪除分區再合并分區即可）到虛擬機器上，驗證隨身碟對EFS加密影響的有關實驗。

驗證結論：

1）正確，檔案或檔案夾經EFS加密後，在資源管理員中檔案名稱或檔案夾名會顯示為綠色；
2）正確，從名字可知EFS應當是在檔案系統層，NTFS的EFS加密，比FAT32加密效率高；
3）正確，可以通過對“可透明訪問這個檔案的使用者”添加使用者認證實現共用；
4），錯誤，賬戶B自由可以開啟、重新命名、複製和刪除賬戶A加密的檔案夾以及它的子檔案夾（包括遞迴的子檔案夾，下同），但是複製的時候檔案夾和子檔案夾中的檔案不能得到複製，複製的只有目錄結構本身，同時複製得到的檔案夾和子檔案夾也是加密的；
5），錯誤，加密的檔案不能被未共用的使用者讀取和執行，但是可以被移動、刪除、和重新命名，不能複製；
6），錯誤，如果隨身碟是FAT32格式，複製或移動檔案，會丟失加密資訊（資源管理員會有提示），而如果隨身碟是NTFS系統格式的，可以保留加密資訊，如果隨身碟是其他檔案系統格式，未驗證但從理論上講和FAT32是一樣的；
7），正確，未加密的檔案移動到加密的檔案夾會被自動加密，檔案夾亦然，而加密後檔案訪問和執行許可權屬於執行移動（或也可能是複製）的使用者，與檔案夾的加密者無關。

思考題：
根據實驗及思考，簡單總結 EFS 服務存在哪些不足

答：
1）EFS實質上只對檔案進行了加密，對檔案夾的加密沒有實際的安全作用（個人觀點），同時，被加密檔案夾中的檔案的加密者可以不唯一，這種自由可能不利於管理；
2）對檔案的加密不夠徹底，不能保證檔案不被刪除、移動和重新命名，這在一定程度上也是由於檔案夾加密非常單薄導致的。
3）EFS加密（從理論上講）只能用於NTFS檔案系統，有非常大的局限性。
4）由於EFS加密原理導致了，被EFS加密的檔案只能在加密所在的域和主機上的加密者賬戶才能訪問（指的是讀、寫和執行，下同），即加密後的檔案不能通過隨身碟在其他域和主機上訪問，這會在檔案交流造成很大的不便之處。
5）EFS的加密原理也導致了，使用者重裝作業系統後，即便是原來的賬戶名也不能訪問，因此EFS加密存在一定的“死結”的風險。

補充：在宿主機Windows 7 Ultimate with SP1 （32 bit） 上加密檔案時，作業系統會提示備份加密認證，應該是對上述4）和5）的改進措施。