🔓 Hệ thống mã hoá tập tin và thư mục (Encrypt File System – EFS) | #TEKFix #TEKPost by TUNGTEK
Published by TUNGTEK Tùng 🌥️,
Hệ thống mã hoá tập tin và thư mục (Encrypt File System – EFS)
1. Phương thức làm việc của EFS
EFS sử dụng một thuộc tính mã hoá để đưa vào các file bảo vệ EFS. Khi thuộc tính này được kích hoạt, EFS lưu trữ các file dưới dạng file được mã hoá bằng mật mã. Khi một người dùng được cho phép mở File mã hoá này trong một ứng dụng thì EFS sẽ tiến hành giải mã file và cung cấp một bản có thể đọc cho ứng dụng đó. Người dùng này có thể xem hoặc chỉnh sửa file mã hoá này và EFS sẽ lưu trữ các chỉnh sửa này lại dưới dạng đã được mã hoá. Những người dùng khác sẽ không thể mở hoặc chỉnh sửa file mã hoá này.
Những File được bảo vệ bởi EFS có độ tin cậy và an toàn ngay cả trong trường hợp những người truy nhập trái phép muốn dùng các công cụ đọc nội dung đĩa cứng cấp thấp để đọc các file này.
Khi sử dụng EFS để mã hoá File hay thư mục, EFS sẽ sinh ra một File Encryption Key (FEK) chứa một con số ngẫu nhiên. Số ngẫu nhiên này được hệ thống sử dụng trong giải thuật DESX để tạo ra File mã hoá và ghi nó vào ổ cứng. Hệ thống cũng tiến hành mã hoá FEK bằng Public key của người dùng và lưu trữ nó với file mã hoá. Khi truy nhập vào file mã hoá này hệ thống sữ dùng Private key của người dùng để giải mã FEK và dùng FEK vừa được giải mã này để giải mã File đã mã hoá. Khi sử dụng EFS lần đầu, hệ thống sẽ sinh ra một cặp khoá Private/Public Key nếu nó chưa có. (Trong môi trường AD cặp khoá này được lưu trữ trên Domain controller còn trong môi trường không có AD nó được lưu trên máy tính mà bạn tiến hành mã hoá file).
EFS là hệ thống mã hoá dựa trên hạ tầng khoá công (Public key Cryptography), sử dụng FEK được sinh ngẫu nhiên để mã hoá dữ liệu. Hệ thống cơ sở mã hoá khoá công sử dụng một cặp khoá Public/Private key để tiến hành quá trình mã hoá và giải mã. Khoá công (Public key) sẵn có cho tất cả người dùng sử dụng để mã hoá FEK và khoá riêng (Private key – phần bí mật của người dùng) để giải mã FEK. Hệ thống định dạng tập tin NTFS lưu trữ một danh mục các FEK cùng với các file mã hoá bằng các thuộc tính đặc biệt của EFS là Data Decryption Fields (DDFs) và Data Recovery Fields (DRFs).
Quá trình mã hoá EFS thực hiện như sau:
1.Sinh ra một a bulk symmetric encryption key
2.Mã hoá file bằng bulk symmetric encryption key đã sinh ra
3.Mã hoá bulk encryption key bằng EFS public key của người dùng
4.Lưu trữ encrypted bulk key trong data decryption field (DDF) và đưa nó vào EFS file.
EFS có thể dùng private key của người dùng để giải mã bulk encryption key và giải mã luôn file đã mã hoá.
Kỹ thuật lưu trữ khoá của EFS dựa trên kiến trúc mã hoá Win2k CryptoAPI. Kiến trúc mã hoá này lưu trữ khoá công (public key) và khoá riêng (private key) của người dùng độc lập với nhau từ FEK được sinh ngẫu nhiên. Điều này cho việc lưu chữ Public/private key của người dùng có thể thực hiện trên nhiều thiết bị lưu trữ khác nhau như NTFS Folder, Smart card,…phục vụ cho các hệ thống chứng thực khác nhau.
2. EFS trong môi trường Windows
EFS là một phần của hệ thống định dạng tập tin NTFS trong môi trường Windows 2000/XP Pro edition/2003. EFS cho phép thực hiện việc mã hoá và giải mã bằng các giải thuật mã hoá chuẩn và được tích hợp hoàn toàn vào cung cụ trình duyệt tập tin và thư mục Windows Explorer của Windows giúp người dùng có thể sử dụng chức năng này một cách dễ dàng thông qua một vào thao tác đơn giản. Các file mã hoá EFS được bảo vệ có thể chống lai các truy nhập trái phép bằng các phương thức truy nhập vật lý hay truy nhập trái phép của người dùng trong hệ thống.
EFS đáp ứng việc bảo mật tối đã của dữ kiệu để chống lại các phương thức truy nhập trái phép. Ngoài ra hệ thống cũng cần thêm các phương thức bảo mật khác như bảo mật ở cấp độ vật lý, chính sách mật khẩu, phân quyền,…Khi sử dụng EFS người dùng cũng cần có những kiến thức nhất định về EFS cũng như quá trình khôi phục dữ liệu,…
Trong môi trường Windows EFS được tích hợp vào File System, do đó người dùng sẽ không thể truy nhập được vào ổ cứng nếu không truy nhập vào file system. Thông qua Win2k EFS driver chạy trong kernel mode giúp EFS gia tăng khả năng bảo mật, dễ quản lý và hoàn toàn biệt lập với người sử dụng.
Khi di chuyển một tập tin hay thư mục được mã hoá bằng EFS sang một thư mục
khác nó vẫn được mã hoá. Khi chép một tập tin hay một thư mục vào một thư mục khác đã được mã hoá bằng EFS các tập tin, thư mục này cũng tự động được mã hoá. Khi muốn sử dụng chúng, người dùng không cần có các tương tác khác vì nó đã được Windows âm thầm thực hiện và chỉ cần có một yêu cầu là người dùng phải có Private key để thực hiện giải mã. Trong tình huống mà Private key của người dùng bị mất thì EFS recovery agent sẽ giúp giải mã các file hay thư mục đã mã hoá (EFS recovery agent được người dùng định nghĩa, thông thường nó sẽ là administrator đầu tiên trong hệ thống).
Cấu hình EFS trên Windows
–Nhập vào trình quản lý tập tin và thư mục Windows Explorer
–Kích chuột phải vào tập tin hoặc thư mục cần thực hiện
–Chọn mục Properties trên menu hiện ra
–Trong của sổ properties chọn mục advanced
–Trong cửa sổ advanced chọn Encrypt contends to secure data sau đó kích OK
–Trên cửa sổ tiếp theo chọn mục Apply và chọn phương thức mã hoá (lưu ý chọn mức ảnh hưởng trên cửa sổ hiện ra)
–Kích OK để kết thúc.
Một số điểm cần chú ý đối với EFS trên Wundows
–EFS chỉ làm việc trên hệ thống định dạng tập tin NTFS
–EFS không làm việc nếu hệ thống không có Recovery Agent (nếu bạn kô thực hiện hệ thống sẽ tự động gán một user để làm việc này)
–EFS có thể dùng để mã hoá và giải mã đối với tập tin và thư mục trên một máy tính khác.
–EFS không thực hiện mã hoá tập tin hay thư mục hệ thống được
–EFS không thực hiện được trên các tập tin và thư mục đã được Compress (NTFS compress)
–Khi copy tập tin hay thư mục vào một thư mục đã mã hoá nó cũng bị mã hoá theo.
–Khi di chuyển một tập tin hay một thư mục từ một thư mục mã hoá đến một thư mục khác hãy để ý đến thuộc tính mã hoá vẫn còn thực thi đối với nó sau khi di chuyển
–Khi di chuyển một tập tin hay thư mục được mã hoá sang thư mục nằm trên phân vùng có định dạng tập tin là FAT thì thuộc tính mã hoá sẽ không còn
–EFS chỉ tiến hành mã hoá nội dung của các file. Nó chỉ ngăn cấm các truy xuất để đọc dữ liệu trái phép, không ngăn cấm các t
hao tác như sao chép, xoá, di chuyển, đổi tên,… Các thao tác này được thực hiện bằng NTFS permission.
Sưu tầm từ Internet.
➖➖➖➖➖
Cứu dữ liêu bị mã hóa với TRecovery vui lòng liên hệ 🤝 Zalo Chat - https://zalo.me/0963509115
TUNGTEK Tùng,
#TRecovery #CuuDuLieu #KhoiPhucDuLieu #Recovery