Win7中EFS加密和Bitlocker應用解析

隨著計算機和計算機網絡的不斷普及,計算機信息安全問題已經日益突出。目前安全產品也非常多,其實普通用戶用不上太複雜的加密方式以及加密設備,他們需要的大多是自己電腦上的數據防止被他人非法複製等。這類普通用戶的需求如果採用大型安全公司的解決方案成本高,也會造成不必要的浪費。而作業系統本身如果具有一定的安全工具,就可以解決大部分的安全需求。
微軟的作業系統整合了很多有用好用的功能,多年來坐擁無可爭議的最受歡迎使用人數最多的個人桌面作業系統。windows7整合了之前作業系統的優勢,其自身的安全性、兼容性也達到了相當高的水平,在用戶當中好評不斷。今天我們從Windows7的兩個安全工具說起,簡單談談Windows7在數據安全這方面有哪些過人之處。
我們引述一段來自微軟技術白皮書的文字:EFS加密是基於公鑰策略的。在使用EFS加密一個文件或文件夾時,系統首先會生成一個由偽隨機數組成的FEK (File Encryption Key,文件加密鑰匙),然後將利用FEK和數據擴展標準X算法創建加密後的文件,並把它存儲到硬碟上,同時刪除未加密的原始文件。隨後系統利用你的公鑰加密FEK,並把加密後的FEK存儲在同一個加密文件中。而在訪問被加密的文件時,系統首先利用當前用戶的私鑰解密FEK,然後利用FEK解密出文件。在首次使用EFS時,如果用戶還沒有公鑰/私鑰對(統稱為密鑰),則會首先生成密鑰,然後加密數據。如果你登錄到了域環境中,密鑰的生成依賴於域控制器,否則它就依賴於本地機器。

工具/原料

EFS
Bitlocker

步驟/方法

在Windows7下對文件或者文件夾進行EFS加密很簡單,右擊要加密的對象,點擊屬性,在常規標籤下點擊高級,在彈出的對話框中將加密以保護數據複選框中的勾勾上,點擊應用,加密對象就會變成綠色,說明加密成功,解密只需進行相反操作。啟動加密嚮導

此時Windows自動生成了一個對應帳戶的證書。為了數據的安全我們可以導出證書,運行certmgr.msc,調出證書管理器,在證書當前用戶下找到生成的證書,右鍵選擇所有任務,打開導出嚮導。證書管理器證書導出嚮導選擇同時導出密鑰此證書只能以個人信息交換的方式導出

從上面一段文字看,EFS加密或依賴於域控制器或依賴於本地用戶帳戶,我們不考慮EFS加密的強度的話,採用這種加密方式如果採用脫機攻擊的方式,破解了域控制器或者本地對應的用戶帳戶則EFS加密不攻自破。不過對於大多數用戶來說,EFS加密是一種作業系統帶來的免費加密方式,可以應對大部分的非法偷窺或者複製,因此是一種不錯的安全工具。

BitLocker驅動器加密早期出現在Windows Vista中的一種數據保護功能,主要用於解決數據安全問題:由計算機設備的物理丟失導致的數據失竊或惡意泄漏。在新一代作業系統windows 7中Bitlocker更是數據安全的特色工具之一。

BitLocker可以實現與TPM(TPM實際上是一個含有密碼運算部件和存儲部件的小型片上的系統,由CPU、存儲器、I/O、密碼運算器、隨機數產生器和嵌入式作業系統等部件組成。)無縫對接,如果計算機安裝了兼容TPM,BitLocker將使用TPM鎖定保護數據的加密密鑰。因此,在TPM已驗證計算機的狀態之後,才能訪問這些密鑰。加密整個卷可以保護所有數據,包括作業系統本身、Windows註冊表、臨時文件以及休眠文件。因為解密數據所需的密鑰保持由TPM鎖定,因此攻擊者無法通過只是取出硬碟並將其安裝在另一台計算機上來讀取數據。右鍵啟動嚮導可以選擇解鎖驅動器方式密鑰備份加密過程比較慢 因為是加密整個卷加密完成在沒有輸入密碼的情況下格式化U盤 鎖定解除 但數據亦消失了

如此看來,BitLocker可以通過加密整個卷,實現對非授權用戶的有效限制。BitLocker採用了輸入密碼生成密鑰的方式,密碼以及密鑰的安全存儲成為另外一個問題,另外筆者沒有發現BitLocker對輸入密碼次數有限制,給暴力破解密碼造成了機會。我們還發現,如果使用BitLocker鎖定了某個卷,雖然密碼輸入錯誤不能進入,但可以通過格式化來達到重新啟用的目的。通過鏡像複製技術或者格式化以後數據恢復技術能不能繞過BitLocker加密措施我們沒有實際驗證。

小結:
EFS加密和BitLocker加密是windows7提供的數據安全工具,作為作業系統的一個附加功能隨作業系統附送,這兩種工具的加密強度以及安全性完全符合一般用戶的使用要求。但對於對數據安全性要求更高的用戶,我們還是建議使用專業數據安全加密產品。
EFS目前有專門的解密工具,而且EFS的安全性在一定程度上取決於用戶帳戶安全;BitLocker在第一次輸入密碼之後,在帳戶沒有註銷和不利用CMD再次鎖定之前,是不需要再次輸入密碼,也存在一定的安全風險。我們說安全性是相對的,一方面有賴於用戶對計算機本身的設置,另一方面加密和解密這對矛盾一直是水漲船高的關係。在1024位加密強度的密碼體系的攻擊方面,採用邊信道破解的方法已經取得突破,如何在現有的安全體系下讓數據更安全已經成為了一個課題。

注意事項

本文僅供參考

相關文章

  1. 如何禁用Win7系統EFS加密功能

    EFS加密功能的全稱為Encrypting File System文件系統加密,如果用戶用不到這一功能,我們可以手動禁用,今天小編就和大家探討一下Win7系統的EFS加密功能怎樣禁用. 工具/原料 W ...
  2. win7磁碟怎麼加密(bitlocker驅動器加密)

    電腦經常被朋友使用,但是電腦中有比較隱私的東西不想讓別人看到,所以要對磁碟進項加密,現在就告訴打擊怎麼用系統自帶的工具對磁碟進行加密. 方法/步驟 執行開始---控制面板命令,打開控制面板. 執行控制 ...
  3. 如何禁用Windows8系統中EFS加密功能

    我的電腦是Win8系統,前幾天我女朋友玩的時候,不知道怎麼給我用了EFS加密,弄得我很多東西都打不開了,怎麼在Windows8中禁用EFS加密? 方法/步驟 進入"運行"方法.同時 ...
  4. Win7中BitLocker加密文件升級Win8後的打開方法

    使用Win7的用戶,由於電腦系統出現問題,或者是為了更好的使用電腦,便對電腦進行升級,由之前的Win7升級為現在的win8,但是卻忘了解密之前的bitlocker分區中的文件,當你在新的系統中想要打開 ...
  5. 綠茶Win7系統禁止運行EFS加密功能節省系統資源

    綠茶Win7系統禁止運行EFS加密功能技巧分享給大家,Win7系統自帶很多功能,而這些功能在運行系統過程中很難被使用到的.EFS加密功能便是其中之一,大家都很少使用到這款功能.綠茶Win7系統如何禁用 ...
  6. 使用win7系統自帶的Bitlocker對本地磁碟加密

    相信大家電腦里都保存著比較重要的文件不想讓別人看到,小編給大家介紹一下怎麼使用win7自帶的加密工具對本地磁碟加密. 工具/原料 電腦PC win7系統 方法/步驟 一.雙擊"計算機&quo ...
  7. win7、8文件加密(BitLocker)

    日常工作.生活中電腦中的一些隱私.重要文件不想被別人直接看到,需要對文件進行加密處理. 方法/步驟 打開控制面板,找到"BitLocker"驅動器加密,如果頁面顯示內容少不是這個樣 ...
  8. win7/8的VHD和Bitlocker功能加密你的重要文件

    win7/8可以創建VHD虛擬磁碟 "詳見本人上一篇分享的<win7,win8中VDH的創建>" win7.8以上的系統<win7需要旗艦版本才可使用:win8需 ...
  9. win7自帶磁碟加密工具BitLocker 的使用

    為磁碟加密防止其他人用你的電腦胡亂操作,在家裡放縱孩子亂刪除文件.這個工具是很有用的. 工具/原料 win7旗艦版系統(不確定其他版本是否自帶BitLocker 工具) 方法/步驟 打開控制面板,查看 ...
  10. Windows 8中如何禁用EFS加密

    適用於 Windows 8 消費預覽版,通過本地安全策略禁用 EFS加密 . 工具/原料 Windows 8作業系統 方法/步驟 右鍵單擊桌面空白處,桌面下方彈出"所有應用"選項, ...
  11. Windows 7中如何禁用EFS加密

    EFS加密服務的確是很安全,但是如果不是我們自己本意識的加密,可能就是一場災難了,比如朋友或者家人在不經意給加密了並且你還不知道,密鑰也沒有備份就重裝系統了後果-.以下是禁用EFS加密功能的方法. 工 ...
  12. 如何利用Win7中自帶的功能為U盤加密

    U盤是很多朋友的首選移動存儲設備,但是正因為體積小巧,U盤也非常容易丟失,裡面存放的重要數據和信息也很可能因此被泄露.使用加密軟體雖然可以起到保護作用,卻比較麻煩.這個問題也曾經困擾了筆者好長時間,自 ...
  13. 如何在微信中發送加密信息

    微信中無法直接發送加密信息,想要在微信中發送加密信息,可以通過關注"有道詞典"公眾號實現,具體操作方法如下: 工具/原料 智慧型手機 微信 一,關注"有道詞典"公 ...
  14. xp的回收站也可以變成win7中透明的玻璃杯

    看慣了xp系統的回收站 但是又喜歡win 7中的透明玻璃杯回收站 方法就在這裡 步驟/方法 首先你下載一個圖標資源的動態連結庫,默認名稱一般是shell32.dll 也可以複製別人win 7系統里的s ...
  15. win7中OUTLOOK的WEB通信錄導入foxmail7.0

    首先要把outlook通信錄導出,這個相信不用說大家都知道了.得出的就是: 然後直接點擊該文件,會出現: 之後就按提示把通信錄導入系統聯繫人: 完成後再點擊品螢幕左下角的"開始"並 ...
  16. Win7中設置帶用戶名和密碼保護的共享文件夾

    Win7中設置帶用戶名和密碼保護的共享文件夾 方法/步驟 win7系統如何給共享的文件夾設置帳號密碼 如共享文件夾時只讓允許的人看到,因此給共享文件夾設置帳號和密碼就十分必要.設置的方法和步驟如下: ...
  17. 如何更改win7中庫的位置

    自定義win7庫的位置,方便打開自己的圖片.文檔.視頻等. 方法/步驟 打開"計算機",找到"庫",這裡以圖片庫的修改為例,其他庫位置的修改可以參照該方法 單擊 ...
  18. AutoCAD老版本在Win7中光標閃爍解決方法

    老版本AutoCAD(2008及之前的版本)在Windows 7或者Windows 8上使用時會出現光標閃爍的問題,猶如在自動刷新,非常影響畫圖感受,本方法可很大程度解決這個問題. 方法一 在Auto ...
  19. win7中怎麼設置有線網卡自動獲取IP?

    下邊給出win7中有線網卡自動獲取IP位址的設置方法,希望對大家有所幫助呵呵!! 工具/原料 win7 方法/步驟 1)選擇 任務欄的網絡圖標 2)選擇 "打開網絡和共享中心" 1 ...
  20. win7中如何創建庫

    簡介 庫是win7中比較好的一個功能,我們可以通過庫很快速的搜尋到我們想要的文件,省去了很多翻閱磁碟和文件夾的時間,那麼系統中的庫只有那幾個我們可以不可以自己創建呢.下面就來介紹一下創建庫的方法. 方 ...