论坛风格切换
正版合作和侵权请联系 sd173@foxmail.com
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 1706阅读
  • 0回复

[win7相关]Windows不常用的加密方式 [复制链接]

上一主题 下一主题
离线quen2008
 
发帖
*
今日发帖
最后登录
1970-01-01
只看楼主 倒序阅读 使用道具 楼主  发表于: 2009-11-25 09:58:47
对于大部分使用计算机的人来说,怎样才能锁住自己的隐私或是重要的数据是十分令人头疼的事,而windows下也提供了多种多样的加密技术,下面就让我们来了解一下。
  windows用户密码是大家最熟知的一种加密方式,只要在"控制面板"下的"用户帐户和家庭安全"下就可以设置自己用户的密码了。但是这种密码的安全性十分低,早在windowsXP时就有人通过特定的软件或是通过输入法的切换来破解windows的登陆密码,所以这层密码可以说是形同虚设。
    其实windows还自带另一种加密的方式----"windows启动密码",这种加密方式并不被大家所熟知,用的人也不多。设置方法:同时按下"win+R",弹出"运行"对话框,在对话框中输入"syskey",按下"回车"。这时会弹出windows启动密码设置的对话框,但是要注意的是这种密码一旦设置完成后就无法取消。这种密码会在计算机启动的时候弹出输入密码的对话框,而与"用户登录密码"不同,这个密码实先于windows启动的,只有输入了正确的密码之后windows才能完成启动。"windows启动密码"相对于"windows用户登陆密码"要安全多了,至少不会因为切换输入法就能破解。但是对于整个计算机的安全来说,这个密码还是不够安全,对于硬盘里的重要数据还是不能够做到完全的保护。
借用TPM或闪盘加密
    在windows VISTA Ultimate和Enterprise版本中有一个自带的功能:"BitLocker",这是一个加密驱动器,一般来说运行这个加密程序需要计算机的主板带有TPM(Trusted Platform Module)模块或是自备闪盘。由于笔者的笔记本电脑并没有搭载TPM安全芯片,所以只能利用闪盘来进行加密,TPM的加密更为简便。首先硬盘的主分区要有100MB以上的空间,所有的硬盘分区(逻辑分区,主分区)要采用NTFS分区格式。安装好windowsVISTA后,BitLocker并没有启动,必须在组策略编辑器中进行设置。按下"win+R"在于行对话框中键入"gpedit。msc"并回车。在左侧菜单中选择"本地计算机策略"---"计算机配置"---"管理模块"---"windows组件"---"BitLocker加密驱动器"。
  双击"控制面板设置:启用高级启动选项"。将默认的"未配置"改为"已启用",并勾选"没有兼容TPM时允许BitLocker",确定后返回。双击"配置加密方法",将默认的"未配置"改为"已启用",并在"选择加密方法"的菜单中选择"含括散器的AES 256位"。在"控制面板"中的"安全"中双击"BitLocker驱动器加密",选择"启用BitLocker"选项,首先设置BitLocker的启动首选项,选择"每一次启动时要求启动USB密钥";接下来保存启动密钥,选择已与计算机连接的闪盘;保存恢复密码,被选项有"闪盘",指定文件夹"等,需要注意的是,恢复密码不能保存在主分区和windowsVISTA所在的逻辑分区中,并且不能保存在根目录下;进行加密时,勾选"运行BitLocker系统检查"后单击"继续",此时,运行的向导会提示要重新启动计算机,在重启之后加密会自动进行,此时光驱中不能够有光盘,另外作为密钥的闪盘必须能够在登陆windows之前就可以正确识别,所以MP3播放器是不可以作为钥匙盘的。至于加密的效果,在没有钥匙盘的情况下是无法进入系统的,而且就算是把硬盘拆下来安装到别的计算机上。也会显示"该分区未被格式化",所以能够真正锁住重要的数据的,但是这个加密也存在缺点,那就是只能够加密系统分区,所以在进行加密之前要把重要的数据移到系统分区之下。当然,BitLocker只在系统启动的时候才能够发挥作用,并不能防止病毒的入侵,所以杀毒软件跟防火墙还是必须要的配置。
用户名文件夹加密
    如果你只想对某些文件夹进行加密的话,可以采用windows自带的EFS加密方式,这种加密用户根本看不到加密的过程,更不用输入密码。因为这种加密是跟随用户帐户捆绑在一起的,当用户登录时,加密的文件夹就会自动在后台解密,而以其它身份登录,则自动进行加密,使其无法访问其他用户的加密文件夹。
  右击要进行加密的文件夹,打开其属性窗口,在“常规”选项卡中单击“高级”按钮,在打开的“高级属性”窗口中选中“加密内容以便保护数据”选项,然后单击“确定”按钮保存设置即可。此时当其他用户登录,试图访问我们已经加密的文件夹时则会给出拒绝访问的提示。
  小提示:文件夹加密后,其名称会以绿颜色显示,这主要是因为在“文件夹选项”的“查看”选项卡中选中了“用彩色显示加密或压缩的NTFS文件”项,如果取消该项那么加密文件的名称即会以黑色显示。
    由于EFS加密是一种安全的加密方式,如果不知道帐户密码那么则完全无法访问被加密的内容。为了防止意外情况的发生或者重装系统前没有取消加密选项,从而导致数据访问失败故障的发生,建议大家做好密钥的备份工作。
  打开“运行”窗口,在其中输入“Certmgr.msc”并回车打开证书管理器,在左侧依次选择“个人—证书”,在右侧即可看到一个以用户名为名称的证书,右击该证书,在弹出的菜单中选择“所有任务—导出”命令,这样即会打开证书导出向导窗口,单击“下一步”选择“是,导出私钥”,然后按照向导要求设置密码以保护私钥和密钥的保存位置即可。
    如果出现异常,例如重装系统导致加密的内容无法访问,我们只需要双击备份的密钥,打开证书导入向导窗口,然后只要根据向导的提示输入备份时的保护密码,其它选项一律使用默认值,这样即会提示“导入成功”,此时我们就可以正常访问了。
  使用EFS加密必须注意两点,一必须为帐户设置强健的登录口令,否则EFS加密将形同虚设;二是在重装系统之前一定要备份密钥,如果没有备份,那么即使在安装成功后,再新建相同的帐户并且将其加入管理员组都不能打开加密文件。
[ 此帖被quen2008在2009-11-25 09:59重新编辑 ]