Ⅰ 電腦里的重要文件在屬性—高級里做了加密,重裝系統後拒絕訪問了,拜問高人如何才能恢復啊
前段時間,在網路HI里接到一位網友的求助,內容大致類似如下:電腦在重裝系統後無法打開某文件夾了,提示沒有許可權。D盤是NTFS格式,該朋友在重裝系統前對該文件夾加了密!又沒有導出密鑰來備份。總說NTFS格式的安全性比FAT32高,其中一點就體現在這個EFS加密上,基本上無法破解。
先簡單介紹一下如何加密吧:右擊需要加密的文件或文件夾,選[屬性]——[高級]——[加密...]即可。加密後的文件夾為綠色,只有實施加密的用戶才能打開,有人會說那重裝系統後創建一個同名同密碼的用戶就行了吧,NO!涉及到很多問題:
EFS加密是通過對稱演算法加密的,2000支持DES,XP支持DES和3DES。但是加密所用的密鑰是經過公鑰演算法加密的,這種演算法幾乎無法破解(暴力破解可以,但是不現實),而且加密的關鍵在於用戶的SID,這個東西每次創建用戶隨機生成,就算用戶名一致,也不行的。你的數據已經經過加密了,保存在硬碟上的就不是原來的數據了,所以不可能這么簡單就訪問到。2000畢竟還是C1級別的操作系統呢,如果企業的重要數據經過EFS加密,如果容易解密,後果不可想像。另外文件許可權也是記錄在NTFS分區的ACL(訪問控製表)里的,所以只要是微軟出的操作系統,都會嚴格檢查的,ERD2003是基於Windows PE的,所以也會檢查的。Windows XP也可以設置文件許可權,只要選擇我的文檔,屬性中設置為私有,就可以保證自己的了。但是更詳細的設置,必須解除簡單文件共享(不推薦,不安全)。
如果僅僅是許可權,你重裝系統後,可以用Administrators組的管理員帳號強行獲取文件的控制權(先解除簡單文件共享,然後在文件的屬性-許可權里添加你的新管理員帳號,賦予完全控制),但是加密的就無濟於事了。
因此:
如果事先保存有密鑰的話,那麼任何用戶只要安裝這個密鑰就可以打開加密的文件夾了。如何創建密鑰呢?運行CERTMGR.MSC會打開證書管理器,找到[個人]證書下的[XXX]證書(XXX就是你的用戶名),右擊它選擇[所有任務]——[導出]導出並保存EFS證書。當你需要時可雙擊導出的密鑰文件,按提示安裝即可。
——————————SID安全標識符介紹—————通俗地理解為操作系統的「身份證」—————
SID也就是安全標識符(Security Identifiers),是標識用戶、組和計算機帳戶的唯一的號碼。在第一次創建該帳戶時,將給網路上的每一個帳戶發布一個唯一的 SID。Windows 2000 中的內部進程將引用帳戶的 SID 而不是帳戶的用戶或組名。如果創建帳戶,再刪除帳戶,然後使用相同的用戶名創建另一個帳戶,則新帳戶將不具有授權給前一個帳戶的權力或許可權,原因是該帳戶具有不同的 SID 號。安全標識符也被稱為安全 ID 或 SID。
SID的作用
用戶通過驗證後,登陸進程會給用戶一個訪問令牌,該令牌相當於用戶訪問系統資源的票證,當用戶試圖訪問系統資源時,將訪問令牌提供給 Windows NT,然後 Windows NT 檢查用戶試圖訪問對象上的訪問控制列表。如果用戶被允許訪問該對象,Windows NT將會分配給用戶適當的訪問許可權。
訪問令牌是用戶在通過驗證的時候有登陸進程所提供的,所以改變用戶的許可權需要注銷後重新登陸,重新獲取訪問令牌。
SID號碼的組成
如果存在兩個同樣SID的用戶,這兩個帳戶將被鑒別為同一個帳戶,原理上如果帳戶無限制增加的時候,會產生同樣的SID,在通常的情況下SID是唯一的,他由計算機名、當前時間、當前用戶態線程的CPU耗費時間的總和三個參數決定以保證它的唯一性。
一個完整的SID包括:
• 用戶和組的安全描述
• 48-bit的ID authority
• 修訂版本
• 可變的驗證值Variable sub-authority values
例:S-1-5-21-310440588-250036847-580389505-500
我們來先分析這個重要的SID。第一項S表示該字元串是SID;第二項是SID的版本號,對於2000來說,這個就是1;然後是標志符的頒發機構(identifier authority),對於2000內的帳戶,頒發機構就是NT,值是5。然後表示一系列的子頒發機構,前面幾項是標志域的,最後一個標志著域內的帳戶和組。
SID的獲得
開始-運行-regedt32-HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\Members,找到本地的域的代碼,展開後,得到的就是本地帳號的所有SID列表。
其中很多值都是固定的,比如第一個000001F4(16進制),換算成十進制是500,說明是系統建立的內置管理員帳號administrator,000001F5換算成10進制是501,也就是GUEST帳號了,詳細的參照後面的列表。
這一項默認是system可以完全控制,這也就是為什麼要獲得這個需要一個System的Cmd的Shell的原因了,當然如果許可權足夠的話你可以把你要添加的帳號添加進去。
或者使用Support Tools的Reg工具:
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
還有一種方法可以獲得SID和用戶名稱的對應關系:
1. Regedt32:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \ProfileList
2. 這個時候可以在左側的窗口看到SID的值,可以在右側的窗口中ProfileImagePath看到不同的SID關聯的用戶名,
比如%SystemDrive%\Documents and Settings\Administrator.momo這個對應的就是本地機器的管理員SID
%SystemDrive%\Documents and Settings\Administrator.domain這個就是對應域的管理員的帳戶
另外微軟的ResourceKit裡面也提供了工具getsid,sysinternals的工具包裡面也有Psgetsid,其實感覺原理都是讀取注冊表的值罷了,就是省了一些事情。
SID重復問題的產生
安裝NT/2000系統的時候,產生了一個唯一的SID,但是當你使用類似Ghost的軟體克隆機器的時候,就會產生不同的機器使用一個SID的問題。產生了很嚴重的安全問題。
同樣,如果是重復的SID對於對等網來說也會產生很多安全方面的問題。在對等網中帳號的基礎是SID加上一個相關的標識符(RID),如果所有的工作站都擁有一樣的SID,每個工作站上產生的第一個帳號都是一樣的,這樣就對用戶本身的文件夾和文件的安全產生了隱患。
這個時候某個人在自己的NTFS分區建立了共享,並且設置了自己可以訪問,但是實際上另外一台機器的SID號碼和這個一樣的用戶此時也是可以訪問這個共享的。
SID重復問題的解決
下面的幾個試驗帶有高危險性,慎用,我已經付出了慘痛的代價!
微軟在ResourceKit裡面提供了一個工具,叫做SYSPREP,這個可以用在克隆一台工作站以前產生一個新的SID號碼。 下圖是他的參數
這個工具在DC上是不能運行這個命令的,否則會提示
但是這個工具並不是把所有的帳戶完全的產生新的SID,而是針對兩個主要的帳戶Administrator和Guest,其他的帳號仍然使用原有的SID。
下面做一個試驗,先獲得目前帳號的SID: S-1-5-21-2000478354-688789844-839522115
然後運行Sysprep,出現提示窗口:
確定以後需要重啟,然後安裝程序需要重新設置計算機名稱、管理員口令等,但是登陸的時候還是需要輸入原帳號的口令。
進入2000以後,再次查詢SID,得到:
S-1-5-21-759461550-145307086-515799519,發現SID號已經得到了改變,查詢注冊表,發現注冊表已經全部修改了,當然全部修改了。
另外sysinternals公司也提供了類似的工具NTSID,這個到後來才發現是針對NT4的產品,界面如下:
他可不會提示什麼再DC上不能用,接受了就開始,結果導致我的一台DC崩潰,重啟後提示「安全賬號管理器初始化失敗,提供給識別代號頒發機構的值為無效值,錯誤狀態0XC0000084,請按確定,重啟到目錄服務還原模式...」,即使切換到目錄服務還原模式也再也進不去了!
想想自己膽子也夠大的啊,好在是一台額外DC,但是自己用的機器,導致重裝系統半天,重裝軟體N天,所以再次提醒大家,做以上試驗的時候一定要慎重,最好在一台無關緊要的機器上試驗,否則出現問題我不負責哦。另外在Ghost的新版企業版本中的控制台已經加入了修改SID的功能,自己還沒有嘗試,有興趣的朋友可以自己試驗一下,不過從原理上應該都是一樣的。
文章發表之前,又發現了微軟自己提供的一個工具「Riprep」,這個工具主要用做在遠程安裝的過程中,想要同時安裝上應用程序。管理員安裝了一個標準的公司桌面操作系統,並配置好應用軟體和一些桌面設置之後,可以使用Riprep從這個標準的公司桌面系統製作一個Image文件。這個Image文件既包括了客戶化的應用軟體,又把每個桌面系統必須獨占的安全ID、計算機賬號等刪除了。管理員可以它放到遠程安裝伺服器上,供客戶端遠程啟動進行安裝時選用。但是要注意的是這個工具只能在單硬碟、單分區而且是Professional的機器上面用。
Ⅱ 003 國密演算法【技術】
國密演算法:國家密碼局認定的國產密碼演算法,即商用密碼。
非對稱密碼(公鑰演算法):SM2,SM9
對稱密碼(分組密碼,序列密碼):SM1,SM4,SM7,ZUC
雜湊演算法(散列,哈希演算法):SM3
概述 : 對稱加密演算法(分組密碼) ,分組長度128位,密鑰長度128位, 演算法不公開 ,通過加密晶元的介面進行調用。
場景 :採用該演算法已經研製了系列晶元、智能IC卡、智能密碼鑰匙、加密卡、加密機等安全產品,廣泛應用於電子政務、電子商務及國民經濟的各個應用領域(包括國家政務通、警務通等重要領域)。
概述 : 非對稱加密演算法(公鑰演算法) ,加密強度為256位,是一種橢圓曲線演算法。
公鑰密碼學與其他密碼學完全不同, 使用這種方法的加密系統,不僅公開加密演算法本身,也公開了加密用的密鑰。公鑰密碼系統與只使用一個密鑰的對稱傳統密碼不同,演算法是基於數學函數而不是基於替換和置換。公鑰密碼學是非對稱的,它使用兩個獨立的密鑰,即密鑰分為公鑰和私鑰,因此稱雙密鑰體制。雙鑰體制的公鑰可以公開,因此稱為公鑰演算法。
使用私鑰加密後的密文只能用對應公鑰進行解密,反之使用公鑰加密的密文也只能用對應的私鑰進行解密。通過對私鑰進行橢圓曲線運算可以生成公鑰,而由於橢圓曲線的特點,知道公鑰卻很難反推出私鑰,這就決定了SM2演算法的安全性。SM2演算法最常見的應用是進行身份認證,也就是我們熟知的數字簽名與驗簽,通過私鑰的私密性來實現身份的唯一性和合法性。
場景: 適用於商用應用中的 數字簽名和驗證 ,可滿足多種密碼應用中的 身份認證 和 數據完整性,真實性 的安全需求。
場景: 適用於商用密碼應用中的 密鑰交換 ,可滿足通信雙方經過兩次或可選三次信息傳遞過程,計算獲取一個由雙方共同決定的共享秘密密鑰(會話密鑰)。
場景: 適用於國家商用密碼應用中的 消息加解密 ,消息發送者可以利用接收者的公鑰對消息進行加密,接收者用對應的私鑰進行解,獲取消息。
涉及國密標准: GB/T 32918.1-2016、GB/T 32918.2-2016、GB/T 32918.3-2016、GB/T 32918.4-2016、GB/T 32918.5-2017、GB/T 35275-2017、GB/T 35276-2017。
概述:哈希演算法(散列演算法,雜湊演算法) ,任意長度的數據經過SM3演算法後會生成長度固定為256bit的摘要。SM3演算法的逆運算在數學上是不可實現的,即通過256bit的摘要無法反推出原數據的內容,因此在信息安全領域內常用SM3演算法對信息的完整性進行度量。
場景: 適用於商用密碼應用中的 數字簽名和驗證 , 消息認證碼的生成與驗證 以及 隨機數的生成 ,可滿足多種密碼應用的安全需求。
涉及國密標准: GB/T 32905-2016
概述:對稱加密演算法(分組密碼) ,分組長度128位,密鑰長度128位,使用某一密鑰加密後的密文只能用該密鑰解密出明文,故而稱為對稱加密。SM4演算法採用32輪非線性迭代實現,加解密速度較快,常應用於大量數據的加密,保存在存儲介質上的用戶數據往往就使用SM4演算法進行加密保護。
場景:大量數據的加密,解密,MAC的計算 。
分組密碼就是將明文數據按固定長度進行分組,然後在同一密鑰控制下逐組進行加密,從而將各個明文分組變換成一個等長的密文分組的密碼。其中二進制明文分組的長度稱為該分組密碼的分組規模。
分組密碼的實現原則如下:必須實現起來比較簡單,知道密鑰時加密和脫密都十分容易,適合硬體和(或)軟體實現。加脫密速度和所消耗的資源和成本較低,能滿足具體應用范圍的需要。
分組密碼的設計基本遵循混淆原則和擴散原則
①混淆原則就是將密文、明文、密鑰三者之間的統計關系和代數關系變得盡可能復雜,使得敵手即使獲得了密文和明文,也無法求出密鑰的任何信息;即使獲得了密文和明文的統計規律,也無法求出明文的任何信息。
②擴散原則就是應將明文的統計規律和結構規律散射到相當長的一段統計中去。也就是說讓明文中的每一位影響密文中的盡可能多的位,或者說讓密文中的每一位都受到明文中的盡可能多位的影響。
涉及國密標准: GB/T 32907-2016
概述 : 對稱加密演算法(分組密碼) ,分組長度128位,密鑰長度128位, 演算法不公開 ,通過加密晶元的介面進行調用。
場景 :適用於非接觸式IC卡,應用包括身份識別類應用(門禁卡、工作證、參賽證),票務類應用(大型賽事門票、展會門票),支付與通卡類應用(積分消費卡、校園一卡通、企業一卡通等)。
概述:非對稱加密演算法(標識密碼) ,標識密碼將用戶的標識(如郵件地址、手機號碼、QQ號碼等)作為公鑰,省略了交換數字證書和公鑰過程,使得安全系統變得易於部署和管理,非常適合端對端離線安全通訊、雲端數據加密、基於屬性加密、基於策略加密的各種場合。
SM9演算法不需要申請數字證書,適用於互聯網應用的各種新興應用的安全保障。如基於雲技術的密碼服務、電子郵件安全、智能終端保護、物聯網安全、雲存儲安全等等。這些安全應用可採用手機號碼或郵件地址作為公鑰,實現數據加密、身份認證、通話加密、通道加密等安全應用,並具有使用方便,易於部署的特點,從而開啟了普及密碼演算法的大門。
概述 : 對稱加密演算法(序列密碼) ,是中國自主研究的流密碼演算法,是運用於移動通信4G網路中的國際標准密碼演算法,該演算法包括祖沖之演算法(ZUC)、加密演算法(128-EEA3)和完整性演算法(128-EIA3)三個部分。目前已有對ZUC演算法的優化實現,有專門針對128-EEA3和128-EIA3的硬體實現與優化。