6.5.8. 文件加密与安全

6.5.8.1. EFS文件加密系统

EFS(Encrypting File System, 加密文件系统)

• 公私钥加密体系

  • 加密时，系统使用当前用户的公钥将数据加密并保存到硬盘上；解密时，系统使用该用户对应的私钥将数据解密出来。

• EFS的优势

  • 与操作系统结合紧密，对用户透明。

• 支持EFS的操作系统

  • Windows 2000

  • Windows XP专业版

  • Windows Server 2003

  • Windows Vista/7/8商业版、企业版、旗舰版

  • Windows Server 2008

6.5.8.1.1. EFS的数据加密过程

• 文件被复制到临时文件。若复制过程中发生错误，则利用此文件进行恢复。

• 文件被一个随机产生的Key加密，这个Key叫作文件加密密钥(FEK)，这个文件使用DESX或者3DES加密算法进行加密。

• 数据加密区域(DDF，Data decryption field)产生，这个区域包含 了使用RSA算法加密的FEK和用户的公钥。

• 数据恢复区域(DRF，Data recovery field)产生，这个区域的目的是为了在用户解密文件的中可能解密文件不可用(丢失Key、离开公 司等)。这些用户叫做恢复代理，恢复代理在加密数据恢复策略( EDRP)中定义，它是一个域的安全策略。如果一个域的EDRP没有设置，本地EDRP被使用。DRF包含使用RSA算法加密的FEK和恢复 代理的公钥。如果在EDRP列表中有多个恢复代理，FEK须用每个恢复代理的公钥进行加密，也就是会为每个恢复代理创建一个DRF。

• 包含加密数据、DDF及所有DRF的加密文件被写入磁盘， 文件大小一般保持不变。

• 在第1步中创建的临时文件被删除。

6.5.8.2. Bitlocker磁盘加密

Bitlocker是Windows Vista开始引入的一项数据保护新功能，可以解决计算机设备的物理丢失导致的数据失窃或恶意攻击泄漏。Bitlocker通过将Windows的安装分区进行整卷加密，防止被攻击者通过启动其他操作系统来获取文件的“脱机攻击”。

6.5.8.2.1. Bitlocker的工作模式

Bitlocker的工作模式有TPM(Trusted Platform Module)模式和U盘模式。

TPM模式要求计算机必须带有TPM芯片，这种芯片要通过硬件提供，一般只出现在安全性要求较高的商用计算机或工作站上。

U盘模式要求计算机上有USB接口且BIOS支持在开机的时候访问USB设备，用于解密系统盘的密钥文件保存在U盘上，每次重启系统的时候必须在计算机上连接U盘。

6.5.8.3. 文件数据的备份和还原

6.5.8.3.1. 数据备份类型

• 常规备份(完全备份，Full Backup)

  • 对整个系统进行备份，包括操作系统和应用程序生成的数据。

  • 优点：当发生数据丢失的灾难时，只要用一盘磁带(即灾难发生前 一天的备份磁带)，就可以恢复全部的数据。

  • 缺点：数据量大，占用备份的存储设备较多，备份时间较长。

• 增量备份 (Incremental Backup)

  • 每次备份的数据只是上一次备份后增加和修改过的数据。

  • 优点：没有重复的备份数据，节省存储空间，又缩短了备份时间。

  • 缺点：发生灾难时恢复数据比较麻烦，需要环环相套的所有备份。

• 差异备份(Differential Backup)

  • 每次备份的数据是相对于上一次全备份之后增加和修改过的数据。

  • 优点：备份所需时间短，节省磁带空间，灾难恢复也很方便，因为只需两盘磁带，即系统全备份与发生灾难前一天的备份。

6.5.8.3.2. 删除与还原

Windows删除文件只是简单的将硬盘上MFT(主文件分配表)中有关该文件的位置信息删除，而文件内容实际上还保存在硬盘相应的簇中。如果一个文件被删除了，但保存该文件的簇还没有被覆盖新数据的话，就可以将该文件重新恢复。如果需要彻底删除文件，不仅需要删除硬盘上MFT中的记录，还需要删除硬盘簇中实际保存的文件。