无懈可击数据安全保护专题
- 来源:微型计算机
- 关键字:数据,保护
- 发布时间:2010-06-24 10:47
对于普通用户,我们很少考虑到数据保密的问题,偶尔有一些个人隐私,都保存在电脑中的一个隐秘的隐藏文件中。而对于涉及到军事、公安、国家安全、商业机密等内容的用户来说,在工作中处理、保存了大量涉密内容,必须要求这些数据有高度的安全性和可靠性。因此,如何加密数据和销毁数据,都是一门非常大的学问。
我们经常在影视作品中看到机密数据的密码被破解,也看到过从报废硬盘上恢复出重要的数据,这两种情况都导致数据流失造成严重的后果。所以,我们不仅仅要保证涉密数据的安全,不被别人破解,还要考虑到硬盘数据的销毁,让其再也无法恢复。因为机密的原因,我们无法透露涉密单位是如何加密及销毁数据的,但是,我们可以学习如何加密和销毁数据,保证我们手中数据的安全。
巧用Windows的数据加密功能
Windows操作系统在设计之初,就已经考虑到了对用户数据的加密功能,只是大家平时很少关注。初期的Windows 2000和Windows XP中使用了名为EFS(Encrypting File System:加密文件系统)的加密方式对文件夹进行加密,这个功能一直延续到了Windows Vista和Windows 7。而在Windows Vista和Windows 7中,也拥有BitLocker驱动器加密功能。现在,就让我们一起来学习如何使用Windows操作系统对文件进行加密。
使用方便的EFS加密
大家平时用加密软件对文件夹进行加密的时候,往往是采用弹出密码框,输如密码解密的方式进行加密。
而Windows所采用的EFS加密则无需使用密码,它的加密方式是采用密钥方式,并和用户帐户相结合。一旦你通过帐户登录,那么该帐户所加密的文件就可以直接浏览,如果使用其他帐户登录,这些文件就无法浏览。
什么是EFS技术?
EFS技术被用来保护电脑使用者的机密数据,它被应用于Windows2000及以后的操作系统中(部分版本不支持,如基础版、家庭版等),并用在NTFS格式的分区上。EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK(FileEncryption Key,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。随后系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。
EFS加密是相当安全的一种公钥加密方式,只要别人没有你的私钥,那么就无法访问。
如何对文件夹进行加密在文件夹上,用鼠标右键点击,进入属性菜单,在常规页面中选择高级选项,然后勾选“加密内容以便保护数据”(图1)。随后点击确定后,会有一个确认属性更改的弹出菜单,最好选择“将更改应用于此文件夹、子文件夹和文件”(图2),确保整个文件夹中的内容都受到保护。在经过以上修改之后,受到加密保护的文件和文件夹的名字将变成绿色。
和其他加密软件相比,EFS最大的优势在于和系统紧密集成,授权用户访问这些文件时,不需要输入密码,只要在登录操作系统时输入登录密码,没有任何的不方便,而非授权用户在读取这些文件时,会有访问拒绝的提示。
使用EFS的小窍门
每次要为文件夹进行加密,就需要进入菜单中进行设置,比较麻烦。我们也有简单的方法,将EFS加密添加到右键菜单中,这只需要在注册表中进行更改。在运行中输入“regedit”,运行注册表编辑器,依次打开“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/explorer/Advanced”,然后点出鼠标右键菜单,新建一个Dword值。将该新建Dword键名修改为“EncryptionContextMenu”,并修改键值为“1”。经过如此设置之后,我们在NTFS分区硬盘的文件夹上点击右键菜单,就增加了加密的选项。
如果不想为整个加密文件夹中的某个文件夹进行加密,那又怎么办呢?可以在这个文件夹中创建一个名为“Desktop.ini”的文件,然后用记事本打开,并添加如下内容:
[Encryption]Disable=1这样一来,在设置该文件夹的加密属性的时候,就会收到错误提示,避免进行加密。
防止意外情况,备份证书
正常情况下,EFS加密文件夹在使用的过程中并没有任何密码输入的过程,比较方便。但是一旦由于系统崩溃等原因,重新安装系统后,原本的EPS加密文件就无法打开了。即使你在安装系统后,使用和以前相同的用户名、密码也无法访问加密文件,因为系统会生成不同的SID(安全标示符)。所以,必须对加密证书和私钥进行备份,防止意外发生。
点击“开始”菜单项中的“运行”,在出现的对话框中运行“certmgr.msc”,在出现的“证书”对话框中依次双击展开“证书-当前用户→个人→证书”选项,右侧栏目里会出现以你的用户名为名称的证书(图3)。选中该证书,点击鼠标右键,选择“所有任务→导出”命令,打开“证书导出向导”对话框。
在向导进行过程中,当出现“是否要将私钥跟证书一起导出”提示时,要选择“是,导出私钥”选项,接着会出现向导提示要求密码的对话框。为了安全起见,可以设置证书的安全密码。当选择好保存的文件名及文件路径后,点击“完成”按钮即可顺利将证书导出,生成一个扩展名为PFX的文件。
当其他用户或重装系统后,只需在该证书上右键选择“安装PFX”,即可进入“证书导入向导”对话框,输入正确的密码完成证书导入,就可以顺利打开加密的文件了。“是,导出私钥”选项,接着会出现向导提示要求密码的对话框。为了安全起见,可以设置证书的安全密码。当选择好保存的文件名及文件路径后,点击“完成”按钮即可顺利将证书导出,生成一个扩展名为PFX的文件。
当其他用户或重装系统后,只需在该证书上右键选择“安装PFX”,即可进入“证书导入向导”对话框,输入正确的密码完成证书导入,就可以顺利打开加密的文件了。
BitLocker加密过程比较长
BitLocker技术可以支持FAT32和NTFS分区的磁盘驱动器,而且还增加了BitLockerTo Go功能,可以为闪盘等移动设备进行加密。要实现BitLocker加密,我们需要首先运行控制面板中的“BitLocker驱动器加密”,它显示了计算中的驱动器数量,加密状态等信息(图4)。我们也可以在驱动器的图标上,直接通过点击右键菜单进行BitLocker的加密和管理等操作。
如果要对某个驱动器进行加密,可以点击该驱动器后面的“启用BitLocker”开始加密过程。对于普通用户来说,我们一般选择密码加密的方式,另外两种方式是使用智能卡或者自动解锁(图5)。如果密码忘记了,或者智能卡丢失了,Windows也提供了解决办法,那就是用恢复密钥为驱动器解密(图6)。也就是说我们可以通过恢复密钥中的一长串数字来解密被锁定的驱动器。所以,我们一定要妥善保管好恢复密钥,要使用移动存储设备保存。因为非授权用户可以通过文件搜索或桌面搜索的方式在电脑里获得恢复密钥,然后对BitLocker驱动器进行解密查看。
磁盘性能受到影响
BitLocker加密过程比较漫长,我们加密一个50GB左右的磁盘空间,耗时大约是30分钟,它会使用AES 128或者256位加密算法对硬盘上的数据进行重新计算。经过我们的实际测试,经过BitLocker保护的硬盘读写速度会因为加密的原因而明显降低。我们尝试将5GB大小的文件写入普通的硬盘分区,耗时为2分钟,而写入加密的硬盘分区耗时则增加到了5分钟。这是因为在写入数据的时候,Windows会对数据进行重新编写,所以性能会至少降低一半。而使用BitLocker To Go加密的闪盘在Windows XP的系统中使用时,会启动“BitLocker To Go阅读器”,输入密码后,点击“解锁”按钮就顺利浏览文件,此时只能读取不能写入。
Windows操作系统的加密功能
保证了硬盘数据的安全,但是对于移动设备来说,应该如何保证数据的安全性呢?在下文中,我们将简单介绍几款移动设备中常见的加密方式,看它们如何保证这些随身设备的数据安全的。
……
我们经常在影视作品中看到机密数据的密码被破解,也看到过从报废硬盘上恢复出重要的数据,这两种情况都导致数据流失造成严重的后果。所以,我们不仅仅要保证涉密数据的安全,不被别人破解,还要考虑到硬盘数据的销毁,让其再也无法恢复。因为机密的原因,我们无法透露涉密单位是如何加密及销毁数据的,但是,我们可以学习如何加密和销毁数据,保证我们手中数据的安全。
巧用Windows的数据加密功能
Windows操作系统在设计之初,就已经考虑到了对用户数据的加密功能,只是大家平时很少关注。初期的Windows 2000和Windows XP中使用了名为EFS(Encrypting File System:加密文件系统)的加密方式对文件夹进行加密,这个功能一直延续到了Windows Vista和Windows 7。而在Windows Vista和Windows 7中,也拥有BitLocker驱动器加密功能。现在,就让我们一起来学习如何使用Windows操作系统对文件进行加密。
使用方便的EFS加密
大家平时用加密软件对文件夹进行加密的时候,往往是采用弹出密码框,输如密码解密的方式进行加密。
而Windows所采用的EFS加密则无需使用密码,它的加密方式是采用密钥方式,并和用户帐户相结合。一旦你通过帐户登录,那么该帐户所加密的文件就可以直接浏览,如果使用其他帐户登录,这些文件就无法浏览。
什么是EFS技术?
EFS技术被用来保护电脑使用者的机密数据,它被应用于Windows2000及以后的操作系统中(部分版本不支持,如基础版、家庭版等),并用在NTFS格式的分区上。EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK(FileEncryption Key,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。随后系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。
EFS加密是相当安全的一种公钥加密方式,只要别人没有你的私钥,那么就无法访问。
如何对文件夹进行加密在文件夹上,用鼠标右键点击,进入属性菜单,在常规页面中选择高级选项,然后勾选“加密内容以便保护数据”(图1)。随后点击确定后,会有一个确认属性更改的弹出菜单,最好选择“将更改应用于此文件夹、子文件夹和文件”(图2),确保整个文件夹中的内容都受到保护。在经过以上修改之后,受到加密保护的文件和文件夹的名字将变成绿色。
和其他加密软件相比,EFS最大的优势在于和系统紧密集成,授权用户访问这些文件时,不需要输入密码,只要在登录操作系统时输入登录密码,没有任何的不方便,而非授权用户在读取这些文件时,会有访问拒绝的提示。
使用EFS的小窍门
每次要为文件夹进行加密,就需要进入菜单中进行设置,比较麻烦。我们也有简单的方法,将EFS加密添加到右键菜单中,这只需要在注册表中进行更改。在运行中输入“regedit”,运行注册表编辑器,依次打开“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/explorer/Advanced”,然后点出鼠标右键菜单,新建一个Dword值。将该新建Dword键名修改为“EncryptionContextMenu”,并修改键值为“1”。经过如此设置之后,我们在NTFS分区硬盘的文件夹上点击右键菜单,就增加了加密的选项。
如果不想为整个加密文件夹中的某个文件夹进行加密,那又怎么办呢?可以在这个文件夹中创建一个名为“Desktop.ini”的文件,然后用记事本打开,并添加如下内容:
[Encryption]Disable=1这样一来,在设置该文件夹的加密属性的时候,就会收到错误提示,避免进行加密。
防止意外情况,备份证书
正常情况下,EFS加密文件夹在使用的过程中并没有任何密码输入的过程,比较方便。但是一旦由于系统崩溃等原因,重新安装系统后,原本的EPS加密文件就无法打开了。即使你在安装系统后,使用和以前相同的用户名、密码也无法访问加密文件,因为系统会生成不同的SID(安全标示符)。所以,必须对加密证书和私钥进行备份,防止意外发生。
点击“开始”菜单项中的“运行”,在出现的对话框中运行“certmgr.msc”,在出现的“证书”对话框中依次双击展开“证书-当前用户→个人→证书”选项,右侧栏目里会出现以你的用户名为名称的证书(图3)。选中该证书,点击鼠标右键,选择“所有任务→导出”命令,打开“证书导出向导”对话框。
在向导进行过程中,当出现“是否要将私钥跟证书一起导出”提示时,要选择“是,导出私钥”选项,接着会出现向导提示要求密码的对话框。为了安全起见,可以设置证书的安全密码。当选择好保存的文件名及文件路径后,点击“完成”按钮即可顺利将证书导出,生成一个扩展名为PFX的文件。
当其他用户或重装系统后,只需在该证书上右键选择“安装PFX”,即可进入“证书导入向导”对话框,输入正确的密码完成证书导入,就可以顺利打开加密的文件了。“是,导出私钥”选项,接着会出现向导提示要求密码的对话框。为了安全起见,可以设置证书的安全密码。当选择好保存的文件名及文件路径后,点击“完成”按钮即可顺利将证书导出,生成一个扩展名为PFX的文件。
当其他用户或重装系统后,只需在该证书上右键选择“安装PFX”,即可进入“证书导入向导”对话框,输入正确的密码完成证书导入,就可以顺利打开加密的文件了。
BitLocker加密过程比较长
BitLocker技术可以支持FAT32和NTFS分区的磁盘驱动器,而且还增加了BitLockerTo Go功能,可以为闪盘等移动设备进行加密。要实现BitLocker加密,我们需要首先运行控制面板中的“BitLocker驱动器加密”,它显示了计算中的驱动器数量,加密状态等信息(图4)。我们也可以在驱动器的图标上,直接通过点击右键菜单进行BitLocker的加密和管理等操作。
如果要对某个驱动器进行加密,可以点击该驱动器后面的“启用BitLocker”开始加密过程。对于普通用户来说,我们一般选择密码加密的方式,另外两种方式是使用智能卡或者自动解锁(图5)。如果密码忘记了,或者智能卡丢失了,Windows也提供了解决办法,那就是用恢复密钥为驱动器解密(图6)。也就是说我们可以通过恢复密钥中的一长串数字来解密被锁定的驱动器。所以,我们一定要妥善保管好恢复密钥,要使用移动存储设备保存。因为非授权用户可以通过文件搜索或桌面搜索的方式在电脑里获得恢复密钥,然后对BitLocker驱动器进行解密查看。
磁盘性能受到影响
BitLocker加密过程比较漫长,我们加密一个50GB左右的磁盘空间,耗时大约是30分钟,它会使用AES 128或者256位加密算法对硬盘上的数据进行重新计算。经过我们的实际测试,经过BitLocker保护的硬盘读写速度会因为加密的原因而明显降低。我们尝试将5GB大小的文件写入普通的硬盘分区,耗时为2分钟,而写入加密的硬盘分区耗时则增加到了5分钟。这是因为在写入数据的时候,Windows会对数据进行重新编写,所以性能会至少降低一半。而使用BitLocker To Go加密的闪盘在Windows XP的系统中使用时,会启动“BitLocker To Go阅读器”,输入密码后,点击“解锁”按钮就顺利浏览文件,此时只能读取不能写入。
Windows操作系统的加密功能
保证了硬盘数据的安全,但是对于移动设备来说,应该如何保证数据的安全性呢?在下文中,我们将简单介绍几款移动设备中常见的加密方式,看它们如何保证这些随身设备的数据安全的。
关注读览天下微信,
100万篇深度好文,
等你来看……
