EFS加密

隨著計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)的不斷普及，計(jì)算機(jī)信息安全問(wèn)題已經(jīng)日益突出。目前安全產(chǎn)品也非常多，其實(shí)普通用戶用不上太復(fù)雜的加密方式以及加密設(shè)備，他們需要的大多是自己電腦上的數(shù)據(jù)防止被他人非法復(fù)制等。這類普通用戶的需求如果采用大型安全公司的解決方案成本高，也會(huì)造成不必要的浪費(fèi)。而操作系統(tǒng)本身如果具有一定的安全工具，就可以解決大部分的安全需求。

微軟的操作系統(tǒng)整合了很多有用好用的功能，多年來(lái)坐擁無(wú)可爭(zhēng)議的最受歡迎使用人數(shù)最多的個(gè)人桌面操作系統(tǒng)。windows7整合了之前操作系統(tǒng)的優(yōu)勢(shì)，其自身的安全性、兼容性也達(dá)到了相當(dāng)高的水平，在用戶當(dāng)中好評(píng)不斷。今天我們從Windows7的兩個(gè)安全工具說(shuō)起，簡(jiǎn)單談?wù)刉indows7在數(shù)據(jù)安全這方面有哪些過(guò)人之處。

我們引述一段來(lái)自微軟技術(shù)白皮書的文字：EFS加密是基于公鑰策略的。在使用EFS加密一個(gè)文件或文件夾時(shí)，系統(tǒng)首先會(huì)生成一個(gè)由偽隨機(jī)數(shù)組成的FEK (File Encryption Key，文件加密鑰匙)，然后將利用FEK和數(shù)據(jù)擴(kuò)展標(biāo)準(zhǔn)X算法創(chuàng)建加密后的文件，并把它存儲(chǔ)到硬盤上，同時(shí)刪除未加密的原始文件。隨后系統(tǒng)利用你的公鑰加密FEK，并把加密后的FEK存儲(chǔ)在同一個(gè)加密文件中。而在訪問(wèn)被加密的文件時(shí)，系統(tǒng)首先利用當(dāng)前用戶的私鑰解密FEK，然后利用FEK解密出文件。在首次使用EFS時(shí)，如果用戶還沒有公鑰/私鑰對(duì)（統(tǒng)稱為密鑰），則會(huì)首先生成密鑰，然后加密數(shù)據(jù)。如果你登錄到了域環(huán)境中，密鑰的生成依賴于域控制器，否則它就依賴于本地機(jī)器。

在Windows7下對(duì)文件或者文件夾進(jìn)行EFS加密很簡(jiǎn)單，右擊要加密的對(duì)象，點(diǎn)擊屬性，在常規(guī)標(biāo)簽下點(diǎn)擊高級(jí)，在彈出的對(duì)話框中將加密以保護(hù)數(shù)據(jù)復(fù)選框中的勾勾上，點(diǎn)擊應(yīng)用，加密對(duì)象就會(huì)變成綠色，說(shuō)明加密成功，解密只需進(jìn)行相反操作。

啟動(dòng)加密向?qū)?/p>

此時(shí)Windows自動(dòng)生成了一個(gè)對(duì)應(yīng)賬戶的證書。為了數(shù)據(jù)的安全我們可以導(dǎo)出證書，運(yùn)行certmgr.msc，調(diào)出證書管理器，在證書當(dāng)前用戶下找到生成的證書，右鍵選擇所有任務(wù)，打開導(dǎo)出向?qū)А?/p>

證書管理器

證書導(dǎo)出向?qū)?/p>

選擇同時(shí)導(dǎo)出密鑰

此證書只能以個(gè)人信息交換的方式導(dǎo)出

從上面一段文字看，EFS加密或依賴于域控制器或依賴于本地用戶賬戶，我們不考慮EFS加密的強(qiáng)度的話，采用這種加密方式如果采用脫機(jī)攻擊的方式，破解了域控制器或者本地對(duì)應(yīng)的用戶賬戶則EFS加密不攻自破。不過(guò)對(duì)于大多數(shù)用戶來(lái)說(shuō)，EFS加密是一種操作系統(tǒng)帶來(lái)的免費(fèi)加密方式，可以應(yīng)對(duì)大部分的非法偷窺或者復(fù)制，因此是一種不錯(cuò)的安全工具。

#p#

BitLocker加密

BitLocker驅(qū)動(dòng)器加密早期出現(xiàn)在Windows Vista中的一種數(shù)據(jù)保護(hù)功能，主要用于解決數(shù)據(jù)安全問(wèn)題：由計(jì)算機(jī)設(shè)備的物理丟失導(dǎo)致的數(shù)據(jù)失竊或惡意泄漏。在新一代操作系統(tǒng)windows 7中Bitlocker更是數(shù)據(jù)安全的特色工具之一。

BitLocker可以實(shí)現(xiàn)與TPM（TPM實(shí)際上是一個(gè)含有密碼運(yùn)算部件和存儲(chǔ)部件的小芯片上的系統(tǒng)，由CPU、存儲(chǔ)器、I/O、密碼運(yùn)算器、隨機(jī)數(shù)產(chǎn)生器和嵌入式操作系統(tǒng)等部件組成。）無(wú)縫對(duì)接，如果計(jì)算機(jī)安裝了兼容TPM，BitLocker將使用TPM鎖定保護(hù)數(shù)據(jù)的加密密鑰。因此，在TPM已驗(yàn)證計(jì)算機(jī)的狀態(tài)之后，才能訪問(wèn)這些密鑰。加密整個(gè)卷可以保護(hù)所有數(shù)據(jù)，包括操作系統(tǒng)本身、Windows注冊(cè)表、臨時(shí)文件以及休眠文件。因?yàn)榻饷軘?shù)據(jù)所需的密鑰保持由TPM鎖定，因此攻擊者無(wú)法通過(guò)只是取出硬盤并將其安裝在另一臺(tái)計(jì)算機(jī)上來(lái)讀取數(shù)據(jù)。

右鍵啟動(dòng)向?qū)?/p>

可以選擇解鎖驅(qū)動(dòng)器方式

密鑰備份

加密過(guò)程比較慢 因?yàn)槭羌用苷麄€(gè)卷

加密完成

在沒有輸入密碼的情況下格式化U盤 鎖定解除 但數(shù)據(jù)亦消失了

如此看來(lái)，BitLocker可以通過(guò)加密整個(gè)卷，實(shí)現(xiàn)對(duì)非授權(quán)用戶的有效限制。BitLocker采用了輸入密碼生成密鑰的方式，密碼以及密鑰的安全存儲(chǔ)成為另外一個(gè)問(wèn)題，另外筆者沒有發(fā)現(xiàn)BitLocker對(duì)輸入密碼次數(shù)有限制，給暴力破解密碼造成了機(jī)會(huì)。我們還發(fā)現(xiàn)，如果使用BitLocker鎖定了某個(gè)卷，雖然密碼輸入錯(cuò)誤不能進(jìn)入，但可以通過(guò)格式化來(lái)達(dá)到重新啟用的目的。通過(guò)鏡像復(fù)制技術(shù)或者格式化以后數(shù)據(jù)恢復(fù)技術(shù)能不能繞過(guò)BitLocker加密措施我們沒有實(shí)際驗(yàn)證。

小結(jié)：

EFS加密和BitLocker加密是Windows7提供的數(shù)據(jù)安全工具，作為操作系統(tǒng)的一個(gè)附加功能隨操作系統(tǒng)附送，這兩種工具的加密強(qiáng)度以及安全性完全符合一般用戶的使用要求。但對(duì)于對(duì)數(shù)據(jù)安全性要求更高的用戶，我們還是建議使用專業(yè)數(shù)據(jù)安全加密產(chǎn)品。

EFS目前有專門的解密工具，而且EFS的安全性在一定程度上取決于用戶賬戶安全；BitLocker在第一次輸入密碼之后，在賬戶沒有注銷和不利用CMD再次鎖定之前，是不需要再次輸入密碼，也存在一定的安全風(fēng)險(xiǎn)。我們說(shuō)安全性是相對(duì)的，一方面有賴于用戶對(duì)計(jì)算機(jī)本身的設(shè)置，另一方面加密和解密這對(duì)矛盾一直是水漲船高的關(guān)系。在1024位加密強(qiáng)度的密碼體系的攻擊方面，采用邊信道破解的方法已經(jīng)取得突破，如何在現(xiàn)有的安全體系下讓數(shù)據(jù)更安全已經(jīng)成為了一個(gè)課題。

【編輯推薦】

1. 2011年 電腦行業(yè)將會(huì)有哪些新變化！
2. 散熱太差別著急 筆記本除塵進(jìn)階攻略
3. 核芯顯卡的更新之路 整合是大勢(shì)所趨
4. 買本技巧：看底盤!從細(xì)節(jié)看到廠商態(tài)度
5. 入門將滅絕？2011年移動(dòng)顯卡局勢(shì)分析
6. 寫給初學(xué)者 筆記本SNB新平臺(tái)技術(shù)回顧
7. 物超所值！AMD APU融合處理器技術(shù)解析