EFS加密

隨著計算機和計算機網(wǎng)絡(luò)的不斷普及，計算機信息安全問題已經(jīng)日益突出。目前安全產(chǎn)品也非常多，其實普通用戶用不上太復(fù)雜的加密方式以及加密設(shè)備，他們需要的大多是自己電腦上的數(shù)據(jù)防止被他人非法復(fù)制等。這類普通用戶的需求如果采用大型安全公司的解決方案成本高，也會造成不必要的浪費。而操作系統(tǒng)本身如果具有一定的安全工具，就可以解決大部分的安全需求。

微軟的操作系統(tǒng)整合了很多有用好用的功能，多年來坐擁無可爭議的最受歡迎使用人數(shù)最多的個人桌面操作系統(tǒng)。windows7整合了之前操作系統(tǒng)的優(yōu)勢，其自身的安全性、兼容性也達(dá)到了相當(dāng)高的水平，在用戶當(dāng)中好評不斷。今天我們從Windows7的兩個安全工具說起，簡單談?wù)刉indows7在數(shù)據(jù)安全這方面有哪些過人之處。

我們引述一段來自微軟技術(shù)白皮書的文字：EFS加密是基于公鑰策略的。在使用EFS加密一個文件或文件夾時，系統(tǒng)首先會生成一個由偽隨機數(shù)組成的FEK (File Encryption Key，文件加密鑰匙)，然后將利用FEK和數(shù)據(jù)擴(kuò)展標(biāo)準(zhǔn)X算法創(chuàng)建加密后的文件，并把它存儲到硬盤上，同時刪除未加密的原始文件。隨后系統(tǒng)利用你的公鑰加密FEK，并把加密后的FEK存儲在同一個加密文件中。而在訪問被加密的文件時，系統(tǒng)首先利用當(dāng)前用戶的私鑰解密FEK，然后利用FEK解密出文件。在首次使用EFS時，如果用戶還沒有公鑰/私鑰對（統(tǒng)稱為密鑰），則會首先生成密鑰，然后加密數(shù)據(jù)。如果你登錄到了域環(huán)境中，密鑰的生成依賴于域控制器，否則它就依賴于本地機器。

在Windows7下對文件或者文件夾進(jìn)行EFS加密很簡單，右擊要加密的對象，點擊屬性，在常規(guī)標(biāo)簽下點擊高級，在彈出的對話框中將加密以保護(hù)數(shù)據(jù)復(fù)選框中的勾勾上，點擊應(yīng)用，加密對象就會變成綠色，說明加密成功，解密只需進(jìn)行相反操作。

啟動加密向?qū)?/p>

此時Windows自動生成了一個對應(yīng)賬戶的證書。為了數(shù)據(jù)的安全我們可以導(dǎo)出證書，運行certmgr.msc，調(diào)出證書管理器，在證書當(dāng)前用戶下找到生成的證書，右鍵選擇所有任務(wù)，打開導(dǎo)出向?qū)А?/p>

證書管理器

證書導(dǎo)出向?qū)?/p>

選擇同時導(dǎo)出密鑰

此證書只能以個人信息交換的方式導(dǎo)出

從上面一段文字看，EFS加密或依賴于域控制器或依賴于本地用戶賬戶，我們不考慮EFS加密的強度的話，采用這種加密方式如果采用脫機攻擊的方式，破解了域控制器或者本地對應(yīng)的用戶賬戶則EFS加密不攻自破。不過對于大多數(shù)用戶來說，EFS加密是一種操作系統(tǒng)帶來的免費加密方式，可以應(yīng)對大部分的非法偷窺或者復(fù)制，因此是一種不錯的安全工具。

#p#

BitLocker加密

BitLocker驅(qū)動器加密早期出現(xiàn)在Windows Vista中的一種數(shù)據(jù)保護(hù)功能，主要用于解決數(shù)據(jù)安全問題：由計算機設(shè)備的物理丟失導(dǎo)致的數(shù)據(jù)失竊或惡意泄漏。在新一代操作系統(tǒng)windows 7中Bitlocker更是數(shù)據(jù)安全的特色工具之一。

BitLocker可以實現(xiàn)與TPM（TPM實際上是一個含有密碼運算部件和存儲部件的小芯片上的系統(tǒng)，由CPU、存儲器、I/O、密碼運算器、隨機數(shù)產(chǎn)生器和嵌入式操作系統(tǒng)等部件組成。）無縫對接，如果計算機安裝了兼容TPM，BitLocker將使用TPM鎖定保護(hù)數(shù)據(jù)的加密密鑰。因此，在TPM已驗證計算機的狀態(tài)之后，才能訪問這些密鑰。加密整個卷可以保護(hù)所有數(shù)據(jù)，包括操作系統(tǒng)本身、Windows注冊表、臨時文件以及休眠文件。因為解密數(shù)據(jù)所需的密鑰保持由TPM鎖定，因此攻擊者無法通過只是取出硬盤并將其安裝在另一臺計算機上來讀取數(shù)據(jù)。

右鍵啟動向?qū)?/p>

可以選擇解鎖驅(qū)動器方式

密鑰備份

加密過程比較慢 因為是加密整個卷

加密完成

在沒有輸入密碼的情況下格式化U盤 鎖定解除 但數(shù)據(jù)亦消失了

如此看來，BitLocker可以通過加密整個卷，實現(xiàn)對非授權(quán)用戶的有效限制。BitLocker采用了輸入密碼生成密鑰的方式，密碼以及密鑰的安全存儲成為另外一個問題，另外筆者沒有發(fā)現(xiàn)BitLocker對輸入密碼次數(shù)有限制，給暴力破解密碼造成了機會。我們還發(fā)現(xiàn)，如果使用BitLocker鎖定了某個卷，雖然密碼輸入錯誤不能進(jìn)入，但可以通過格式化來達(dá)到重新啟用的目的。通過鏡像復(fù)制技術(shù)或者格式化以后數(shù)據(jù)恢復(fù)技術(shù)能不能繞過BitLocker加密措施我們沒有實際驗證。

小結(jié)：

EFS加密和BitLocker加密是Windows7提供的數(shù)據(jù)安全工具，作為操作系統(tǒng)的一個附加功能隨操作系統(tǒng)附送，這兩種工具的加密強度以及安全性完全符合一般用戶的使用要求。但對于對數(shù)據(jù)安全性要求更高的用戶，我們還是建議使用專業(yè)數(shù)據(jù)安全加密產(chǎn)品。

EFS目前有專門的解密工具，而且EFS的安全性在一定程度上取決于用戶賬戶安全；BitLocker在第一次輸入密碼之后，在賬戶沒有注銷和不利用CMD再次鎖定之前，是不需要再次輸入密碼，也存在一定的安全風(fēng)險。我們說安全性是相對的，一方面有賴于用戶對計算機本身的設(shè)置，另一方面加密和解密這對矛盾一直是水漲船高的關(guān)系。在1024位加密強度的密碼體系的攻擊方面，采用邊信道破解的方法已經(jīng)取得突破，如何在現(xiàn)有的安全體系下讓數(shù)據(jù)更安全已經(jīng)成為了一個課題。

【編輯推薦】

1. 2011年 電腦行業(yè)將會有哪些新變化！
2. 散熱太差別著急 筆記本除塵進(jìn)階攻略
3. 核芯顯卡的更新之路 整合是大勢所趨
4. 買本技巧：看底盤!從細(xì)節(jié)看到廠商態(tài)度
5. 入門將滅絕？2011年移動顯卡局勢分析
6. 寫給初學(xué)者 筆記本SNB新平臺技術(shù)回顧
7. 物超所值！AMD APU融合處理器技術(shù)解析