(A)障害のタイプ:EFSは、暗号化されたファイルを開くことができません
(B)の典型的な特性:
1.システム以前に暗号化されたファイルを再インストールする開くことができない
の損失をもたらす開くことができない2暗号化ファイル鍵ファイルを
(C)損傷の星の評価の範囲:★★★★
[障害原則と思考再開]
あなたはNTFS EFSを使用してファイルを暗号化する際に、システムは、まず、擬似乱数FEKを(暗号化キー、ファイルの暗号化キーファイル)、生成されます。 FEKは、データを暗号化したファイルをその場で上書きされます。その後、システムは、ユーザの公開鍵暗号FEKを使用して、暗号化されたFEKは、ファイル属性を暗号化$ EFSに格納されます。
暗号化されたファイルにアクセスするときと、最初に現在のユーザーの秘密鍵を使用したシステムは、FEKの暗号化を解除し、ファイルを復号化するためにFEKを使用します。ユーザーは(キーと呼ばれる)ではない、公開鍵/秘密鍵を持っている場合EFS最初の使用は、それが最初のキー、および暗号化されたデータを生成しますとき。ユーザーがドメイン環境にログオンする場合は、キーの生成には、ドメインコントローラに依存し、またはそれがローカルマシンに依存します。
EFSファイルを復号化するために、ユーザの秘密鍵は、キー、WindowsのパーティションのDocuments and Settingsに保存された秘密鍵である\%ユーザー名%\アプリケーションデータ\マイクロソフト\暗号化\ RSA \%UserSID%(ユーザーのSIDは、ユーザーに対応し、セキュリティ識別子であります×××番号、アカウントを作成するときに、システムが一意のSID番号が割り当てられます)。
秘密鍵を保護するために、Windowsは、秘密鍵暗号化マスターキーを使用して行われ、マスターキーは、ドキュメント、Windowsのパーティションと設定に位置しています\%ユーザー名%\アプリケーションデータ\マイクロソフト\ \%UserSID%保護した後、生成された秘密のユーザーパスワードを使用しますマスターキーを暗号化するための鍵。
「 - >マスターキー - >プライベート - ユーザーパスワード> FEK-> EFS暗号化されたファイル」このように構成する暗号チェーン。あなたはEFS暗号化されたデータへのフルアクセスをしたいのであれば、それはユーザのパスワード、マスター鍵と秘密鍵を取得する必要があります。
(IV)回復プロセス
1.検出処理を:
(1)既存のシステムのフットプリントを表示し;
(2)ディレクトリ内のファイルを表示するには今、占有スペースのMFT数です。
プロセス例2:
(1)FEKは秘密鍵または組換えを暗号化して下さい。
(2)マスターキーは暗号化されたプライベート組み換えを見つけることができます;
(3)ユーザーのパスワードはユーザーTigong復号ユーザーファイルと一致して確認してください。
(4)ファイル復号論理的解析と検証のうち、ユーザがデータを移行する必要があります。
3.受付処理:
(1)すべてのデータの統計的性質は、ファイル番号から移行されていない
ような容量などの観点および必要なデータのユーザーが正常に移行されていることを確認し;
(2)すべてのデータの整合性が出て移行されたことを確認しますことを確認するために
、ディレクトリ構造内のファイルは、基礎となるロジックが正しいなどである;
(3)ユーザーが指定した重要なファイルは、ユーザーが変わることを確認し、検証を目的と
正常に復元キーのデータを。
(E)信頼性解析と推定復旧時間:
ほとんどの場合、このような障害は、システムは主キーの損失によって引き起こされる再インストールによるシステムパーティションに書き込まれるファイルの数が多いために、システムを再インストールするために導く、キーが覆われています。確率は、このような回復の低成功率のための重要な理由をリードされた、比較的高い、このような障害の成功率は、一般的に50%程度あり、所要時間は通常1〜3営業日です。
[ヒント]
(a)はEFSによってファイルべき速やかにバックキーをバックアップし、それを維持し、暗号化、
(2)このような障害が発生した後は、キーカバーの確率を低減するためにコンピュータを使用し続けることが、すぐに停止する必要があります。