EFS加密帐户被删的一线生机

核心提示： 当然公钥是可以“伪造”的(可以伪造出所需的公钥指纹和私钥GUID)，以欺骗EFS系统，EFS加密帐户被删的一线生机(6)，具体方法可以参考国外的那篇原稿，此处不再赘述，提示 BitLocker加密的recovery key，类似于syskey的startup passwo

当然公钥是可以“伪造”的(可以伪造出所需的公钥指纹和私钥GUID)，以欺骗EFS系统，具体方法可以参考国外的那篇原稿，此处不再赘述。

加强EFS的安全

由于EFS把所有的相关密钥都保存在Windows分区，所以这可能给EFS带来一定的安全隐患。目前有一些第三方工具号称可以破解EFS，这些工具首先攻击SAM配置单元文件，尝试破解帐户密码，从而破解帐户密码→主密钥的加密密钥→主密钥→EFS私钥→FEK的“密钥链”。

为了防止攻击者窥视我们的EFS文件，可以借助以下三种方法：

1.导出删除私钥

可以用证书向导导出EFS加密证书和私钥，并且在“证书导出向导”对话框里选择删除私钥，如图3所示。

图3

删除私钥以后，攻击者就没有办法访问EFS加密文件了，而我们需要访问时，只需导入先前备份的证书和私钥即可。

2.System Key提供额外的保护

System Key可以对SAM配置单元文件和EFS私钥提供额外保护。Windows XP的System Key默认保存在本地，我们可以运行syskey命令，强制系统将System Key保存在软盘里，或者用启动密码(startup password)来生成System Key。

由于EFS“密钥链”的根密钥(System Key)没有保存在本地计算机中， 所以攻击者将更加难以破解EFS加密。

提示 BitLocker加密的recovery key，类似于syskey的startup password，都是借助启动时所输入的一串密码来生成所需的密钥。

3.BitLocker提供更彻底的保护