* 加密整個卷(如:作業系統卷)。
* 不需要使用者證書。
* 能夠防止作業系統被惡意篡改。
* BitLocker針對離線攻擊而設計,主要用于加密作業系統所在的卷,以保護重要的系統檔案在啟動前不被破解。由于所有系統檔案均被高度加密,黑客即使将硬碟挂接其它計算機,也無法使用破解使用者賬戶資料庫檔案等手段,獲得系統的使用權,或解讀出EFS密鑰。但是,一旦系統正常啟動完畢,BitLocker針對作業系統分區的保護即告結束。
* BitLocker可以加密整個Windows卷,其中包括:頁面檔案、SAM資料庫、休眠檔案和臨時檔案等。這些都是EFS所無法保護的(EFS無法加密系統檔案和位于系統目錄下的所有檔案)。vista中也有這個功能,但是vista 中被分區限制了,bitlocker要求必須要有2個主分區,一個系統保留分區,一個 系統分區。是以在vista中沒有被用起來。再windows7中 當你在一個裸盤上安裝一個全新的w7時,系統會自己建立一個100M 的保留分區,要使用bitlocker 必須有這個分區,再vista中這個分區不是自動建立的,再windows7中要是你是裸盤,你可以看到有一個100M的保留分區,不是裸盤,當你使用bitlocker時,系統會自動建立一個100M的保留分區。具體的大家可以查查相關資料。
這裡我寫的是EFS 的,bitlocker的這裡先不說了。
EFS* 加密檔案或檔案夾。
* 需要使用者證書。
* 不能防止作業系統被惡意篡改。
* EFS既可以應對離線攻擊,也可以應對系統啟動後的線上攻擊,但是它不能用于賬戶資料庫、啟動檔案等重要檔案的加密,否則會造成部分使用者無法使用系統的問題。
其實efs 加密檔案系統,在加密時也是利用了證書,公鑰和私鑰。這些對使用者來說都是透明的。客戶是看不到這個過程的。這裡就不再介紹加密過程了,想了解得哥們可以上網查下加密和加密的原理。
Widnwos 7 的資料修復代理人,可以将其他使用者加密的檔案進行解密,但是這個必須要使用者加密資料之前進行 設定 資料修復代理人,工作組和域環境都是一樣的。但是你要将加密的檔案從NTFS 分區拷到FAT 分區中加密檔案自動解密。被EFS加密過的資料不能在Windows中直接共享。如果通過網絡傳輸經EFS加密過的資料,這些資料在網絡上将會以明文的形式傳輸。NTFS檔案系統上儲存的資料還可以被壓縮,不過一個檔案不能同時被壓縮和加密。最後一點,Windows的系統檔案和系統檔案夾無法被加密。
利用EFS 加密檔案和檔案夾 差別再于加密的檔案夾,以後向這個檔案夾中再建立的檔案都是加密的。
這個是我之前用user1 用建立的檔案use1 ,并且我也用 user1 利用efs 加密了。
點------details 大家看到 隻有使用者user1 可以通路該檔案
上圖視窗下面--加密資料修復代理人為---空----。一會建立下用來可以恢複加密檔案
賬戶的 公鑰和私鑰 也就是證書。這時我切換到管理者賬戶 admin1
運作--- cmd---cipher /r:e:\1.txt ## 這是 将 證書 放到哪個磁盤,我的證書名字
是 1.txt 這隻是個證書名字,大家别認為是記事本啊。大家看下圖可以發現,有2個
檔案.CER 和.PFX ,其中.PFX是 admin1 私鑰,.CER 是公鑰。
然後在 運作—cmd---mmc ,調用mmc 來将證書導入。
這裡将你的私鑰導入,就是以.PFX 結尾的字尾名。
輸入保護證書的密碼,還有選中 将證書可導出。
接下來再計算機 運作中 輸入 gpedit.msc 打開 組政策編輯器。
選中----》計算機配置-----》windows 設定-------》安全設定-----》公鑰政策-----》EFS
右擊à添加資料修復代理人---〉将你的公鑰添加進去
右擊à添加資料修復代理人---〉将你的公鑰添加進去(也就是admin1公鑰)
添加完成以後賬戶admin1 就成為了 資料修復代理人。
就是選中上圖中的1.txt.CER 這個就是admin1 的公鑰。
完成之後,切換使用者user1 進去,然後到 剛才建立的那個 檔案user1—右擊---屬性—進階
--details 檢視到,資料修復代理人 這裡面還是沒有 用來恢複加密資料代理的 使用者,