数据安全之EFS与bitlocker

2023年12月2日发(作者：)

数据安全之EFS与BITLOCKER

现在信息数据容入我们的生活,当然它的安全也是不容质疑的了,费话不说了,让我们来看一下微软系统本身对于数据的安全性做了哪些准备.

EFS:

在我们身边,现在已经非常流行的一种文件系统格式,我想大家不可能不知道吧,那就是NTFS文件系统格式.首先来说第一种安全,EFS(Encrypting File System，加密文件系统）是一种作用于NTFS文件系统用来加解密数据，在很大程度上提高了数据的安全性,而这种方式更大程度是在同一物理主机不同用户之间来实现数据安全.

EFS的加密原理:EFS加密是基于公钥加密策略的。(什么是公钥加密?简单的来说,也就是两把钥匙,一把用于加密,一把用于解密,但这两把钥匙是不同的,也不存在任何关系,也就是无理由在一起的一对.这种高级的算法实在很牛,感觉有点背离数学理论,但是牛人们就是实现了.唉…)

图解公钥加密技术： 在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK(File

Encryption Key，文件加密钥匙)，然后将利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。随后系统利用你的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥对(统称为密钥)，则会首先生成密钥，然后加密数据。如果你登录到了域环境中，密钥的生成依赖于域控制器，否则依赖于本地机器。EFS加密系统对用户是透明的,当你用一个账号登录系统时,也就是对EFS加密文件进行了安全认证,数据在执行时便会解密.

我们知道,在EFS加密体系中，数据是靠FEK加密的，而FEK又会跟用户的公钥一起加密保存；解密的时候顺序刚好相反，首先用私钥解密出FEK，然后用FEK解密数据.可见，用户的密钥在EFS加密中起了很大作用,那么何来用户密钥?当然根据每个用户的唯一标识符SID来生成了,呵呵.在第一次加密数据的时候，操作系统就会根据加密者的SID生成该用户的密钥，并把公钥和私钥分开保存起来，供用户加密和解密数据。强烈建议备份加密文件系统证书:运行>,找到用户个人证书,然后将加密文件系统证书导出备份.从这样看来加密文件系统证书也就成了解密的唯一渠道,所以我们一定要保存好这个证书,以防不策.有不少用户头一热,直接重装系统,早已把电脑中加密过的数据抛在脑后,待到用时,才发现自己的数据已无法解密,然后发贴苦苦求EFS破解办法,你哭吧.其实网上流传什么破解EFS这类的,这是在扯蛋.如果证书真的不在了,数据也就完蛋了,所谓的破解只不过是通过某些方法找到加密文件系统证书,或从系统底部饶过某些安全机制,进而解密访问数据,并不是真正意义上的破解.

当然为了避免EFS加密数据后密钥丢失所带来的损失,我们可以使用数据恢复代理.呵呵 这样一个用户加密文件系统证书(也就是解密密钥)丢失后,可以用做过设置的代理来恢复解密数据.数据恢复代理设置如下:

首先要获得可以导入作为恢复代理的用户密钥，如果你想让Administrator成为恢复代理，首先就要用Administrator账户登录系统。在欢迎屏幕上连续按Ctrl＋Alt＋Del两次，打开登录对话框，在用户名处输入Administrator，密码框中输入你安装系统时设置的Administrator密码，然后登录。首先在硬盘上一个方便的地方建立一个临时的文件，文件类型不限。这里我们以C盘根目录下的一个wildlee文本文件文件为例，建立好后在运行中输入”CMD”然后回车，打开命令提示行窗口，在命令提示符后输入”cipher /r:c:wildlee”，回车后系统还会询问你是否用密码把证书保护起来，你可以按照你的情况来决定，如果不需要密码保护就直接按回车。完成后我们能在C盘的根目录下找到和两个文件。之后开始设置恢复代理。对于这个文件，同样需要用鼠标右键点击，然后按照向导的提示安装。而则有些不同，在运行中输入””并回车，打开组策略编辑器。在”计算机配置－Windows设置－安全设置－公钥策略－正在加密文件系统”菜单下，在右侧窗口的空白处点击鼠标右键，并选择”添加数据恢复代理”，然后会出现”添加故障恢复代理向导”按照这个向导打开.

EFS注意点:

1.加密后的文件夹,如果复制数据进去,会自动加密.

2.不同磁盘复制数据,如果是NTFS则会继续保持加密状态,如果是FAT32则数据会解密,FAT32不支持加密.

3.加密数据不能访问但可以删除,应配合NTFS权限来控制.

4.不要想着把有加密数据的磁盘NTFS来convert 成FAT32来解密.

BITLOCKER:

对于EFS来说,bitlocker是一种更为底层更有物理性安全的功能.是在vista中引入的,但在 vista中只能加密系统分区,然而在windows7中却有改进,可以加密所有分区,不单单是系统分区.由于近年来计算机被盗案件大量发生,这样数据的安全也就不复存在了,因为EFS的密钥就在计算机中,虽说不能登录windows也就无法解密EFS加密数据,但对于懂点技术的来说破解一个windows密码,何不为容易呼?还有,在使用EFS加密文件时，临时文件采用明文保存，之后才转为加密状态,虽然这种明文保存的临时文件接着会被删除，但是原始数据仍然留在硬盘碟片上，黑客可以通过其它手段获取.

BITLOCKER加密原理:启用了Bitlocker以后会生成两个密钥：一个存放于引导分区中；另外一个存放在主板上的一个名叫 TPM的芯片里，在计算机加电的时候首先是TPM最先加载，他会和引导区中的密钥进行对比验证，通过了以后才会加载BOIS完成计算机启动过程。而如果这当中任何一个不匹配的话，比如有对这个TPM芯片作了手脚，或者是把硬盘拆下来放到别的机器中，Windows 将会拒绝掉密钥的释放，系统将无法启动。这个加密机制我可以毫不夸张地告诉大家，在各位的有生之年是它绝对是安全可靠的，不会被破解掉。当然，对于一些可能存在的事情，比如主板坏啦，或者需要把磁盘移动到一台新的计算机中的时候，Bitlocker也提供了恢复功能，就是在加密的时候 Bitlocker会给出一个48位的恢复密钥，要求用户在做加密的时候一定要妥善的保管这个密钥，否则当遇到上面提到的这些情况时你将永远无法取回那块硬盘中的资料了。 再说TPM芯片，这是比较新的一种硬件芯片，在比较新的主板中已经有了，我也在市场上看了一下，发现已经有部分的主板和笔记本电脑都包含了这个芯片，但是包含这个芯片的台式机主板还是比较少，但是在不久这种芯片将会得到普及。有些windows没有TMP功能,也能用bitlocker加密,这个我也不清楚.

加密系统分区条件:在没有 TPM 1.2 版的计算机上，仍然可以使用 BitLocker 加密

Windows 操作系统驱动器。但是，实现此功能将要求用户插入 USB 启动密钥来启动计算机或从休眠中恢复，而不提供 BitLocker 与 TPM 结合使用所提供的预启动系统完整性验证。除了 TPM 之外，BitLocker 还提供锁定正常启动过程的选项，直到用户提供个人标识号

(PIN) 或插入包含启动密钥的可移动设备（如 USB 闪存驱动器）。这些附加的安全措施提供多重身份验证，保证在提供正确的 PIN 或启动密钥之前，计算机不会启动或从休眠中恢复。

bitlocker注意点:

1.在windows7中对非系统分区加密,可以设置通过密码来访问,也可能设置通过将U盘密钥来访问,其次还提供一个48位的恢复密钥,这个我们一定要保存好.今天做实验的时候发现一个问题就是:如果在fat32文件系统中启用bitlocker的话,在没有bitlocker功能或xp中,可以通过bitlocker阅读器,以只读方式访问文件.如用是在ntfs文件系统中启用bitlocker功能的话,就会提式格式化,因为xp不支持ntfs的bitlocker加密文件系统.

2.开启了BitLocker功能，解锁再关闭后，不可以再自动上锁。也就是不需要再输入密码就可以访问，安全性比较差，如何可以每次打开都需要输入密码呢？只需要用管理员权限运行CMD，输入”manage-bde空格-lock S:”，其中S为要恢复锁定的分区名即可。 3.启用bitlocker加密会很慢,主要取决于文件系统的大小和介质的读写速度.与文件数,文件系统格式关系不大.启用加密后,在加密分区中,读写文件速度基本不会受影响.

4.真正做到安全,建议使用efs加bitlocker.

5.除系统加密功能之外,还有一些PGP,TrueCrypt,加密工具也是很不错的.建议大家使用,各有优点.强烈鄙视一下什么文件夹加密大师什么的,这些东西只不过是骗小孩子用的,毫无安全可言,只不过是利用一些特殊文件夹,路径等.就这样还出来骗老百姓.汗,一搞不好,你的数据就全部over…..

DHCP耗竭攻击

DHCP 耗竭的攻击通过利用伪造的 MAC 地址来广播 DHCP 请求的方式来进行。利用诸如

gobbler 之类的攻击工具就可以很容易地造成这种情况。如果所发出的请求足够多的话，网络攻击者就可以在一段时间内耗竭向 DHCP 服务器所提供的地址空间。结果当合法用户请求一个 DHCP IP 地址的时候也会被拒绝，并因此而不能访问网络。DHCP 耗竭可以为纯粹的服务拒绝（DoS）机制，也可以与恶意的伪造服务器攻击配合使用来将信息转发给准备截取些信息的恶意计算机。

当正常的 DHCP 服务器瘫痪时，网络攻击者就可以在自己的系统中建立起伪造 DHCP 服务器来对来自该局域网中客户所发出的新 DHCP 请求作出反应。入侵者可以利用自己可以控制其信息转发的 DNS 服务器或默认网关来发布某个地址的信息。

DHCP 耗竭攻击的防范

通过限制交换机端口的 MAC 地址的数目，防止 CAM 表淹没的技术也可以防止 DHCP 耗竭。随着 RFC 3118，DHCP 消息验证的执行，DHCP 耗竭攻击将会变得越来越困难。

补充下：如果在域环境下，通过对dhcp服务器的授权，也可避免遭受dhcp攻击。