加密系统,如何解锁BitLocker加密的Win10系统
来源:整理 编辑:智能门户 2023-06-23 10:53:05
1,如何解锁BitLocker加密的Win10系统
一、启用BitLocker加密要启用 BitLocker 加密,必需使用的是 Windows 专业版或企业版还需要你的设备支持 TPM 芯片,然后在「控制面板」中为 Windows 系统分区启用 BitLocker 加密即可。1.打开「控制面板」—「系统和安全」—「BitLocker 驱动器加密」;2.至少为 Windows 所在系统分区启用加密;3.为保数据最大程度安全,建议为所有磁盘分区都启用 BitLocker 加密。默认情况下,Windows 系统分区会在系统启动时自动使用 TPM 芯片中存储的解密密钥进行解决并启动系统。如果你的计算机没有 TPM 芯片,可以对非系统磁盘使用 U 盘存放加密密钥以取代 TPM 芯片的作用。如果你使用 Windows 专业版以下版本(如家庭版),则无法使用 BitLocker 功能,后面内容对你也无用,不用继续往下看了。二、 在组策略中启用「启动密钥」一旦磁盘加密完成,我们则需要执行最关键步骤,在组策略中启用「启动密钥」:1使用 Windows + R 快捷打开「运行」— 执行 gpedit.msc 打开组策略编辑器;2.导航到「计算机配置」—「管理模板」—「Windows 组件」—「BitLocker 驱动器加密」—「操作系统驱动器」,双击「启动时需要附加身份验证」;3.将该条策略设置为「已启用」,并将「配置 TPM 启动密钥」更改为「有 TPM 时需要启动密钥」后点击确定。3. 将U盘制成「启动密钥」现在我们可以使用 manage-bde 命令将 U 盘配置为 BitLocker 加密驱动器的「启动密钥」盘。1.将U盘插入电脑,查看U盘分配到的盘符。2.打开「命令提示符(管理员)」并执行如下命令:manage-bde -protectors -add c: -TPMAndStartupKey h:上述命令中的 c: 代表 Windows 系统所处分区的盘符,最后的 h: 代表 U 盘的盘符,请大家根据自己实际情况更改命令后执行。3.命令完成后,U 盘中会自动生成隐藏的 .bek 系统文件。4.配置完成后,当 Windows 下次启动时便会要求插入制作好的 U 盘用于解密 BitLocker 加密的系统分区。此后,才能正常启动操作系统。要查看 TPM「启动密钥」是否正确添加,可以使用如下命令: manage-bde –status怎么移除「启动密钥」要移除 TPM「启动密钥」并恢复到 Windows 原有的自解密状态也非常简单,只需按前面步骤将相同组策略路径中的「配置 TPM 启动密钥」更改为「有 TPM 时允许启动密钥」后点击确定,再用 manage-bde -protectors -add c: -TPM 命令将密钥重新写回 TPM 芯片即可。更改完成后建议先重启下系统看是否有问题,如无意外,直接将 U 盘格式化就行了。
2,Syskey
一、Syskey双重加密方法 1.设置双重开机密码 在系统中的账号密码数据文件已经经过了加密,普通的方法是无法看到其中真实的内容,但使用一些工具软件就可以轻易查看,而Syskey能对这个账号密码数据文件进行二次加密,这样更能保证系统的安全。同时它还能设置启动密码,这个密码先于用户密码之前,因此起到双重保护的功能。具体设置方法如下: (1) 在“运行”中输入“syskey”就可以启动加密的窗口(这里以Windows XP为例 若直接点“确定”你会发现并没有什么提示,其实你已经完成了对SAM文件的二次加密工作。 (2)设置双重启动密码:刚才的设置只是对SAM文件进行了二次加密。但是此时并没有设置双重启动密码,你需要点击“更新”进入密码设置窗口进行设置, 选择其中的“密码启动”,然后两次重复的设置启动密码,保存设置后就完成了双重密码的设置。 这样在启动系统时,首先会提示你输入启动密码,只有启动密码正确后才会出现用户和密码的输入界面。不要以为像Win9x中一样利用ESC键可以跳过,在这里会使机器重启。 提示:这个加密功能一旦启动是无法进行关闭的。唯一解决的办法就是在开启之前备份注册表,需要关闭时恢复备份的注册表就可以了。但是取消启动密码还是很简单的,在启动密码设置窗口中选择“在本机上保存启动密码”,确定后会让你输入你刚才设定的启动密码,完毕后启动密码就已经保存在硬盘上,这样启动时就不会再显示启动密码的窗口了。 2.创建“开机软盘” 设置了双重启动密码后在一定程度上增强了安全性,但是如果不小心被别人偷窥了你的密码,那么还是形同虚设,要真正做到绝对安全,还需要随身带上一把系统开机“钥匙”! 利用Syskey还能创建“开机钥匙”,在开机时只有插入这把“钥匙”才能进入系统。 同样是在启动密码设置窗口,选择其中的“在软盘上保存启动密码”,此时会提示你输入所设定的启动密码,用来验证用户的真实性。 接着就会提示插入空白的软盘,确定后密码文件就已经保存在软盘上了(注意一定要保管好你的软盘,软盘丢失后就只有格式化机器重装系统了)。 这样设置完成后,下次启动机器时,首先会提示你插入密码软盘,验证成功后才能进入系统。利用Syskey可以很好加密账号密码数据文件,同时所设定启动双重密码也很好的保护系统安全。 提示:还可以为不同的用户创建不同的“开机钥匙”,具体方法与上面的相同。插入密码软盘,根据不同帐户,输入不同的密码。但是,密码软盘中的密匙文件是可以复制到其他软盘上的,所以你也必须看管好你的软盘! 二、轻松破解Syskey加密 在Windows 2000/XP系统安装目录中有一个“repair”文件夹(具体位置是:c:WINDOWS epair,其中c:为你的安装系统所在的盘符),其中保存的就是系统安装完毕后首次启动时创建的注册表备份文件。 黑客用这个注册表备份文件来替换了当前系统中的注册表信息文件,系统就会被恢复到刚安装完系统时的状态。具体操作方法如下: 首先使用Windows 2000/XP安装光盘引导系统,进入系统故障恢复控制台,然后将“X:WINDOWSsystem32config”下的文件替换为“repair”文件下的同名文件(为了保证系统的安全,在进行替换前最好将“X:WINDOWSsystem32config”文件夹下的注册表文件备份。如果在Windows 2000中,则相应的文件夹为X:WINNT。)。具体操作命令是: copy windows epairsam c:windowssystem32config copy windows epairsystem c:windowssystem32config copy windows epairsecurity c:windowssystem32config copy windows epairsoftware c:windowssystem32config copy windows epairdefault c:windowssystem32config 完成以上的替换操作后,重新启动计算机就可以清除syskey密码了,此时以Administrator用户登陆系统,注意此时必须输入系统安装时设置的Administrator用户对应的密码。就这样,黑客就轻易突破了syskey的限制了! 由于“repair”文件下的注册表文件信息是系统安装完毕时生成的,用这个注册表文件覆盖当前系统的注册表信息后,必然导致大部分的软件和硬件信息丢失,因此进入系统后,需要重新安装软件和硬件方面的程序,重新建立用户以及用户组别。 三、防范方法 本来syskey加密的系统已经非常安全了,但是仍然有破解的方法,针对这类的破解,我们一定要看好自己的爱机,不给一些居心叵测的人下手的机会。同时我们还可以采用市面上比较流行的闪盘开机锁来保护自己的系统,开机锁的主要功能是防止他人非法使用你的电脑,并可自行设定电脑锁定时间等。当然,这类电脑锁也是价格不菲,对安全需求特别高的用户可以使用!
3,什么是EFS加密
EFS(Encrypting File System,加密文件系统)是Windows 2000/XP所特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接被操作系统加密保存,在很大程度上提高了数据的安全性。
EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK (File Encryption Key,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。随后系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据。如果你登录到了域环境中,密钥的生成依赖于域控制器,否则它就依赖于本地机器。 [编辑本段]好处 首先,EFS加密机制和操作系统紧密结合,因此我们不必为了加密数据安装额外的软件,这节约了我们的使用成本。
其次,EFS加密系统对用户是透明的。这也就是说,如果你加密了一些数据,那么你对这些数据的访问将是完全允许的,并不会受到任何限制。而其他非授权用户试图访问加密过的数据时,就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。
如何使用EFS加密
要使用EFS加密,首先要保证你的操作系统符合要求。目前支持EFS加密的Windows操作系统主要有Windows 2000全部版本和Windows XP Professional。至于还未正式发行的Windows Server 2003和传闻中的开发代号为Longhorn的新一带操作系统,目前看来也支持这种加密机制。其次,EFS加密只对NTFS5分区上的数据有效(注意,这里我们提到了NTFS5分区,这是指由Windows 2000/XP格式化过的NTFS分区;而由Windows NT4格式化的NTFS分区是NTFS4格式的,虽然同样是NTFS文件系统,但它不支持EFS加密),你无法加密保存在FAT和FAT32分区上的数据。
对于想加密的文件或文件夹,只需要用鼠标右键点击,然后选择“属性”,在常规选项卡下点击“高级”按钮,之后在弹出的窗口中选中“加密内容以保护数据”,然后点击确定,等待片刻数据就加密好了。如果你加密的是一个文件夹,系统还会询问你,是把这个加密属性应用到文件夹上还是文件夹以及内部的所有子文件夹。按照你的实际情况来操作即可。解密数据也是很简单的,同样是按照上面的方法,把“加密内容以保护数据”前的钩消除,然后确定。
如果你不喜欢图形界面的操作,还可以在命令行模式下用“cipher”命令完成对数据的加密和解密操作,至于“cipher”命令更详细的使用方法则可以通过在命令符后输入“cipher/?”并回车获得。
这里还有个窍门,用传统的方法加密文件,必须打开层层菜单并依次确认,非常麻烦,不过只要修改一下注册表,就可以给鼠标的右键菜单中增添“加密”和“解密”的选项。 [编辑本段]注意事项 如果把未加密的文件复制到具有加密属性的文件夹中,这些文件将会被自动加密。若是将加密数据移出来,如果移动到NTFS分区上,数据依旧保持加密属性;如果移动到FAT分区上,这些数据将会被自动解密。被EFS加密过的数据不能在Windows中直接共享。如果通过网络传输经EFS加密过的数据,这些数据在网络上将会以明文的形式传输。NTFS分区上保存的数据还可以被压缩,不过一个文件不能同时被压缩和加密。最后一点,Windows的系统文件和系统文件夹无法被加密。 [编辑本段]EFS实战 (由《电脑迷》提供,网易学院整理发布)
提示:要使用EFS,必须满足两个条件:
1. 文件需要保存在NTFS文件系统的分区上。
2. 操作系统必须支持EFS加密。目前支持EFS的操作系统主要有:Windows 2000、Windows XP Professional(不包括Home版),还有Windows Server 2003。
EFS加密解密
a.最简单的办法就是在目标对象上点击鼠标右键,选择“属性”,打开属性对话框,然后在常规选项卡上点击“高级”按钮,打开高级属性对话框,选中“加密内容以便保护数据”这个选项,反之解密。
b.每次加密都需要打开其高级属性对话框,非常麻烦。我们可以打开注册表编辑器,定HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,在这里新建一个名为EncryptionContextMenu的DWORD值,并将其数值设置为“1”,这样用鼠标右键点击一个文件或文件夹的时候,右键菜单中就会有加密(如果目标对象尚未被加密)或者解密(如果目标对象已经被加密)选项,只要选择相应的选项就可以直接完成操作。
加密后文件的共享
默认情况下,加密后的文件只有加密者可以访问。如果因为特殊情况,你需要将你自己加密后的文件和别人共享,那么还需要额外的设置。要注意的是,这个特性仅在Windows XP之后的操作系统中提供,Windows 2000下无法共享EFS加密后的文件。同时共享只能用于单个文件,而无法用于整个文件夹。
在这个对话框中点击“添加”按钮,就可以选择你希望可以打开这个文件的用户。不过要注意,这里添加用户并不是添加用户的名称,而是添加用户的公钥,也就是说希望共享文件的用户必须有自己的公钥。
密钥的备份和恢复
为什么有很多人在使用EFS的时候出现问题呢?笔者认为最大的原因在于很多人并没有真正理解EFS的加密方式。说到加密,密钥是一个非常重要的概念。EFS是一种公钥加密,那么这里就要说说什么是公钥加密了。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK (File Encryption Key,文件加密钥匙),然后利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。随后系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据。
从这段话中我们可以看出两个重点:文件的加密和解密都需要密钥的参与,而密钥分为公钥和私钥两种。很明显,无论是加密还是解密文件,都需要用到个人密钥。加密文件的时候使用公钥,解密文件的时候则使用相对应的私钥。那么无论是丢失了公钥还是私钥,都会给我们的使用带来麻烦,尤其是私钥,丢失之后就再也无法解密文件了。
为了保证数据安全,我们最好能在加密文件之后立即将自己的密钥备份出来,并保存到安全的地方,以防系统崩溃或其他原因导致数据无法解密。如何备份密钥呢?运行“certmgr.msc”打开证书管理器,在“当前用户/个人/证书”路径下,应该可以看见一个以你的用户名为名称的证书(如果你还没有加密任何数据,这里是不会有证书的)。用鼠标右键点击这个证书,在“所有任务”中点击“导出”。之后会弹出一个证书导出向导,在向导中有一步会询问你是否导出私钥,在这里要选择“导出私钥”,其它选项按照默认设置,连续点击继续,最后输入该用户的密码和想要保存的路径并确认,导出工作就完成了。导出的证书将是一个pfx为后缀的文件。这个pfx文件最好能保存到其他位置,并且要保证该文件的安全。
恢复密钥
当用户的密钥丢失后,例如重装了操作系统,或者无意中删除了某个帐户,我们只要找到之前导出的pfx文件,用鼠标右键点击,并选择“安装PFX”,之后会出现一个导入向导,按照导入向导的提示完成操作(注意,如果你之前在导出证书时选择了用密码保护证书,那么在这里导入这个证书时就需要提供正确的密码,否则将不能继续),而之前加密的数据也就全部可以正确打开。
讲到这里,相信你对EFS的基本使用方法已经有了一个大概的认识,不过光有理论知识是不够的,笔者希望大家都多在实践中掌握EFS的使用。 由于EFS安全性非常高,如果使用不慎或方法不当则可能造成非常麻烦的后果,所以建议大家先用不重要的文件进行EFS加密的试验。楼上已经把它贴出来了。。。。
BAIDU一下已经很全了。还有教程。
是系统自带的。安全性还行。但操作不是那么方便。
文章TAG:
加密 系统 如何 解锁 加密系统
