BitLocker

* 加密整个卷(如:操作系统卷)。

* 不需要用户证书。

* 能够防止操作系统被恶意篡改。

* BitLocker针对离线***而设计,主要用于加密操作系统所在的卷,以保护重要的系统文件在启动前不被破解。由于所有系统文件均被高度加密,***即使将硬盘挂接其它计算机,也无法使用破解用户账户数据库文件等手段,获得系统的使用权,或解读出EFS密钥。但是,一旦系统正常启动完毕,BitLocker针对操作系统分区的保护即告结束。

* BitLocker可以加密整个Windows卷,其中包括:页面文件、SAM数据库、休眠文件和临时文件等。这些都是EFS所无法保护的(EFS无法加密系统文件和位于系统目录下的所有文件)。vista中也有这个功能,但是vista 中被分区限制了,bitlocker要求必须要有2个主分区,一个系统保留分区,一个 系统分区。所以在vista中没有被用起来。再windows7中 当你在一个裸盘上安装一个全新的w7时,系统会自己创建一个100M 的保留分区,要使用bitlocker 必须有这个分区,再vista中这个分区不是自动创建的,再windows7中要是你是裸盘,你可以看到有一个100M的保留分区,不是裸盘,当你使用bitlocker时,系统会自动创建一个100M的保留分区。具体的大家可以查查相关资料。

这里我写的是EFS 的,bitlocker的这里先不说了。

EFS

* 加密文件或文件夹。

* 需要用户证书。

* 不能防止操作系统被恶意篡改。

* EFS既可以应对离线***,也可以应对系统启动后的在线***,但是它不能用于账户数据库、启动文件等重要文件的加密,否则会造成部分用户无法使用系统的问题。

其实efs 加密文件系统,在加密时也是利用了证书,公钥和私钥。这些对用户来说都是透明的。客户是看不到这个过程的。这里就不再介绍加密过程了,想了解得哥们可以上网查下加密和加密的原理。

Widnwos 7 的数据恢复代理,可以将其他用户加密的文件进行解密,但是这个必须要用户加密数据之前进行 设置 数据恢复代理,工作组和域环境都是一样的。但是你要将加密的文件从NTFS 分区拷到FAT 分区中加密文件自动解密。被EFS加密过的数据不能在Windows中直接共享。如果通过网络传输经EFS加密过的数据,这些数据在网络上将会以明文的形式传输。NTFS分区上保存的数据还可以被压缩,不过一个文件不能同时被压缩和加密。最后一点,Windows的系统文件和系统文件夹无法被加密。

利用EFS 加密文件和文件夹 区别再于加密的文件夹,以后向这个文件夹中再新建的文件都是加密的。

clip_image002

clip_image003

这个是我之前用user1 用创建的文件use1 ,并且我也用 user1 利用efs 加密了。

点------details 大家看到 只有用户user1 可以访问该文件

上图窗口下面--加密数据恢复代理为---空----。一会创建下用来可以恢复加密文件

账户的 公钥和私钥 也就是证书。这时我切换到管理员账户 admin1

运行--- cmd---cipher /r:e:\1.txt ## 这是 将 证书 放到哪个磁盘,我的证书名字

是 1.txt 这只是个证书名字,大家别认为是记事本啊。大家看下图可以发现,有2个

文件.CER 和.PFX ,其中.PFX是 admin1 私钥,.CER 是公钥。

clip_image004

然后在 运行—cmd---mmc ,调用mmc 来将证书导入。

clip_image005

这里将你的私钥导入,就是以.PFX 结尾的后缀名。

clip_image006

clip_image007

输入保护证书的密码,还有选中 将证书可导出。

clip_image008

接下来再计算机 运行中 输入 gpedit.msc 打开 组策略编辑器。

选中----》计算机配置-----》windows 设置-------》安全设置-----》公钥策略-----》EFS

右击à添加数据恢复代理---〉将你的公钥添加进去

clip_image009

选中----》计算机配置-----》windows 设置-------》安全设置-----》公钥策略-----》EFS

右击à添加数据恢复代理---〉将你的公钥添加进去(也就是admin1公钥)

添加完成以后账户admin1 就成为了 数据恢复代理。

clip_image011

clip_image012

就是选中上图中的1.txt.CER 这个就是admin1 的公钥。

完成之后,切换用户user1 进去,然后到 刚才创建的那个 文件user1—右击---属性—高级

--details 查看到,数据恢复代理 这里面还是没有 用来恢复加密数据代理的 用户,

这是因为数据恢复代理 只能 恢复 创建了 代理之后 加密的 文件,之前创建的加密文件,恢复代理 还是不能解密的。然后你可以用user1 再创建一个文件,然后对其加密,然后再查看details 时 数据恢复代理 就会有 admin1 这个用户。

写的不好,请各位将就下,以后慢慢提高,嘿嘿

其实我感觉这个东西好像没有多少人用,就当闲来无事随笔的,主要是刷新下博客的等级,因为我790多分,博客等级还是1级,博客管家说 发表个文章刷新下数据库就Ok 了。