疯狂的加密——Vista最全面的防卫组合
卡巴斯基7.0互联网安全套装+EFS+BitLocker+NTFS权限管理
卡巴斯基就不用说了,只要是防木马和远程登录的。
后三项从原理上讲,是互补的,因为文件的权限属于文件的内容,而EFS证书保护的证书文件内容,而BitLocker则是保护密钥所在的分区,防止黑客通过驱动权限直接读硬盘。但要求分区是NTFS格式。
首先是EFS加密
EFS是Microsoft从Windows 2000就开始使用的一种高强度加密模式。相比较DES这种早已广泛使用的加密方式,Vista的EFS包括AAES(高级安全加密)和SID认证。128位密钥的EFS使得穷举法破解变得几乎不可能,而不可恢复的SID(用户数字标识)检验使得一般人无法在没有证书的情况下修改文件所有者及各用户权限。
通过“控制面板-用户帐户-管理您的文件加密证书”可以创建、导入和选择证书。
对于要加密的文件,直接打开文件属性,在“常规”的“高级”中即可选择加密。一路“确定”即可完成。
刚刚生成EFS密钥之后,系统会提示尽快导出以备份密钥。当然了,备份出来的密钥也不是在黑客面前不堪一击的。系统会要求用户给密钥加一个密码。大家看到我的密码不要嫉妒哦。导出文件的格式上尽量全都选上,以便在任何场合下都能正常使用。
然后再用其它帐户试着登陆,就会发现试图打开文件时出现拒绝访问的提示。
现在看看效果吧。
各位可以试一下,把一个文件用EFS加密后用QQ发给别人,然后让对方试着删除这个文件,会发现权限不够,也不能修改文件权限。文件粉碎机都拿它没办法。似乎这给病毒的防查、防杀设计又提供了一条新的思路。
单纯的权限管理已经拦不住管理员的脚步了,所以权限管理在管理员身份如其的情况下是毫无作用的,同理一些获得system权限的木马也不会畏惧权限问题,因为即使是在NTFS文件系统的分区下,默认所有文件夹都是对system开放的,只有取消对父对象权限继承的除外。
最后就是重头戏了——BitLocker BitLocker默认支持的加密是48位的,用户可以通过组策略调整至128位或256位。我的测试环境是Vista SP1+BitLocker和EFS增强补丁。
首先BitLocker是基于硬盘的加密,Microsoft推荐用户使用带有TPM(可信任安全模块)的主板,TPM主要是能产生不可预知位数的密钥,并且将密钥和计算机的一些启动信息和硬件信息以并存入自身,一旦发现机器的启动顺序被修改,就会拒绝释放出硬盘解密密钥,然后就回请求本地用户人工键入启动密钥。这时系统只加载了启动部分的Bootmgr和BitLocker解密程序,根本没动操作系统,连驱动都没有。呵呵,微软真是加密狂人,他自己出的EFS时至今日都无人破解,还要出一个BitLocker让加密更彻底。看来这也是美国中情局由偷盗有关键资料的笔记本电脑转到从网络获取情报的一个原因吧。
下面让我们看看BitLocker的加密步骤。
对于没有TPM的用户来说,唯一的选择是强制打开BitLocker,而且只能用USB驱动器加密。
在“组策略-本地计算机 策略-计算机配置-管理模板-Windows组件-BitLocker 驱动器加密-启用高级启动选项”中,先则启用该策略,然后使用默认设置就行了。
BitLocker还对硬盘分区有***,要求Windows不能在启动分区。所以就需要先建一个简单卷,然后把它设成活动分区,还要有其他的一系列设置。
显然这不是好方法,只是可以了解原理。最好是使用BitLocker准备工具。只要3步和一次重启就可完成。
当然,事先备份所有重要文件也是相当重要的。如果害怕硬盘分区过程的问题,建议把文件都备份到移动磁盘上。
重启完成后就可以选择要加密的分区了,在“控制面板-BitLocker驱动器加密”中,给需要的驱动器启用Bitlocker即可。建议在测试硬件时选上启动成功后加密磁盘。和EFS相同,BitLocker也要备份密钥,不过密码比证书的备份方法多多了。
