众所周知,EFS加密文件系统是微软提供的一种核心文件加密技术,该技术用于在NTFS 文件系统卷上存储已加密的文件。启用EFS加密文件非常简单,只需要简单3步即可实现。
文件加密后就可以看到文档右上角有个黄色的小锁图标,表示该文件已经加密了。文件加密之后,不必手动解密,只有私钥的拥有者(一般来说是加密时的登录用户)才能访问加密数据,而其他非授权用户试图访问加密数据时,就会收到“访问拒绝”的错误提示。对加密该文件的用户,加密是透明的。这表明不必在使用前手动解密已加密的文件,可以正常打开和更改文件。
如果通过U盘将将加密后的文件拷贝到其他电脑上打开,会收到“你没有权限打开该文件,请向文件的所有者或管理员申请权限”的提示。
并且通过U盘拷贝的EFS加密文件不能在其他电脑上通过网络发送,会提示已被其他应用程序占用,无法发送。
然而,貌似安全的EFS加密文件,从网络发送的时候真的安全吗?最近有些工作需要分享一些文件给远程办公用户,基于安全考虑在服务器上启用EFS加密,并给不同用户分配了登录账号,以便不同用户只能访问特定的文件。但是在做安全测试的时候,发现正常的远程登录服务器账号,确实无法访问服务器上的EFS加密文件。但是通过远程拷贝/下载/网盘等方式将加密文件拷贝至本地,文件却没有了权限安全属性,成为了明文数据。下图为服务器上文件的原始属性:
可以看到经过网络传输后的文件,其EFS加密属性已经被清除,数据内容已经解密为明文。即便将EFS加密文件放入压缩包中,文件内容也已解密为明文。
基于微软官方的说明和在网络上查阅的资料,EFS加密文件是基于NTFS文件系统的特有加密方式,直接拷贝到NTFS分区时对文件属性没有变化。但通过网络传输EFS加密过的数据的时候,在这个过程中网络上传输的数据将被解密,所以设置的安全属性被清除了,这些数据在网络上将会以明文的形式传输。因此,在网络上传输EFS加密的文件,无论是通过电子邮件发送该文件,还是网盘分享、FTP下载或聊天工具发送,它将被解密,丢失加密性,数据会以明文的形式在网络上传输。如果需要对网络传输的数据进行加密,还是需要使用其他方法和工具。
关于我们
北京天宇宁达科技有限公司创建于 2016 年,前身为 2009 年的北京天宇宁科技有限公司。历经十余年的发展与积累,天宇宁达已成为国内电子数据取证行业卓越领先的产品与解决方案供应商,同时也是国内知名的电子数据专业取证服务与培训机构。