随着计算机和计算机网络的不断普及,计算机信息安全问题已经日益突出。目前安全产品也非常多,其实普通用户用不上太复杂的加密方式以及加密设备,他们需要的大多是自己电脑上的数据防止被他人非法复制等。这类普通用户的需求如果采用大型安全公司的解决方案成本高,也会造成不必要的浪费。而操作系统本身如果具有一定的安全工具,就可以解决大部分的安全需求。
微软的操作系统整合了很多有用好用的功能,多年来坐拥无可争议的最受欢迎使用人数最多的个人桌面操作系统。Windows7整合了之前操作系统的优势,其自身的安全性、兼容性也达到了相当高的水平,在用户当中好评不断。今天我们从Windows7的两个安全工具说起,简单谈谈Windows7在数据安全这方面有哪些过人之处。
我们引述一段来自微软技术白皮书的文字:EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK (File Encryption Key,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。随后系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据。如果你登录到了域环境中,密钥的生成依赖于域控制器,否则它就依赖于本地机器。
在Windows7下对文件或者文件夹进行EFS加密很简单,右击要加密的对象,点击属性,在常规标签下点击高级,在弹出的对话框中将加密以保护数据复选框中的勾勾上,点击应用,加密对象就会变成绿色,说明加密成功,解密只需进行相反操作。
启动加密向导
此时Windows自动生成了一个对应账户的证书。为了数据的安全我们可以导出证书,运行certmgr.msc,调出证书管理器,在证书当前用户下找到生成的证书,右键选择所有任务,打开导出向导。
证书管理器
证书导出向导
选择同时导出密钥
此证书只能以个人信息交换的方式导出
从上面一段文字看,EFS加密或依赖于域控制器或依赖于本地用户账户,我们不考虑EFS加密的强度的话,采用这种加密方式如果采用脱机攻击的方式,破解了域控制器或者本地对应的用户账户则EFS加密不攻自破。不过对于大多数用户来说,EFS加密是一种操作系统带来的免费加密方式,可以应对大部分的非法偷窥或者复制,因此是一种不错的安全工具。