35、Windows 8 加密与配置最佳实践指南

Windows 8 加密与配置最佳实践指南

1. Windows 8 加密系统概述

在 Windows 8 中，有两种重要的加密方案：加密文件系统（EFS）和 BitLocker 及 BitLocker To Go。

EFS 加密系统

• 与用户密码的关系 ：EFS 不强制要求在 Windows 账户上设置用户密码，但如果用户账户未设置密码保护，EFS 无法提供有效的文件保护，因为任何人都可以登录账户并无限制地访问文件。
• 恢复 EFS 密钥 ：若因严重错误而重新安装 Windows 8，EFS 加密的文件将无法读取，需恢复 EFS 加密密钥，步骤如下：
  1. 双击备份的 EFS 加密密钥将其打开，此时会弹出证书导入向导，询问是为当前用户还是整个计算机导入此密钥。
  2. 确认 EFS 密钥的位置，输入创建 EFS 加密密钥时设置的密码，然后点击“下一步”。
  3. 将证书恢复到 Windows 8 的默认存储位置，若网络有要求，也可恢复到其他位置。
• 关闭 EFS 加密 ：若要关闭已设置的文件或文件夹的 EFS 加密，步骤如下：
  1. 右键单击要解密的文件或文件夹，在打开的设置面板中点击“属性”。
  2. 在“常规”选项卡中，点击“高级”。
  3. 在“高级属性”对话框中，清除“加密内容以保护数据”复选框，然后点击“确定”。提示时，确保将操作应用到文件夹及其所有文件和子文件夹。
• EFS 证书 ：若加密密钥损坏或丢失，可使用加密密钥证书恢复文件和文件夹。创建 EFS 证书的步骤如下：
  1. 按下 Windows 徽标键 + X 打开管理菜单，然后点击“命令提示符（管理员）”。
  2. 导航到备用硬盘或可移动存储设备上要存储 EFS 证书的文件夹。例如，输入“E:”切换到 E 盘，再使用“CD”命令移动到正确的文件夹，如“CD Files/Backups”。
  3. 输入“cipher /r:文件名”，其中“文件名”是要分配给备份的 EFS 证书的名称，然后按回车键。
     恢复 EFS 证书的步骤如下：
  4. 在开始屏幕上搜索“secpol.msc”，运行出现的“secpol（安全策略）”程序。
  5. 在出现的“本地安全策略”窗口的左窗格中，展开“公钥策略”部分，右键单击“加密文件系统”，在打开的选项面板中选择“添加数据恢复代理”，使用打开的向导选择并安装 EFS 证书。
  6. 按下 Windows 徽标键 + X 打开管理菜单，然后点击“命令提示符”。
  7. 输入“gpupdate”并按回车键更新当前组策略。
• 智能卡与 EFS 证书 ：若使用智能卡结合 EFS 访问数据，需备份智能卡的证书，步骤如下：
  1. 打开开始屏幕，搜索“mmc”，在搜索结果中点击“Microsoft 管理控制台（MMC）”。
  2. 在“文件”菜单中，点击“添加/删除管理单元”。
  3. 在左窗格中，点击“证书”，点击“添加”，然后点击“确定”。
  4. 在“证书管理单元”对话框中，选择“计算机账户”选项，然后点击“下一步”。
  5. 在“选择计算机”对话框中，确保选择“本地计算机”选项，然后点击“完成”。
  6. 证书会出现在“所选管理单元”部分，点击“确定”退出此窗口。
  7. 在主 MMC 窗口中，点击“证书”。
  8. 在“预期目的”部分，点击列出“加密文件系统”的证书，若有多个，全部点击。
  9. 在“操作”菜单中，点击“所有任务”，然后点击“导出”。
  10. 在打开的“导出向导”中，点击“导出私钥”。
  11. 点击“个人信息交换”，然后点击“下一步”。
  12. 为该文件分配一个密码，不要忘记此密码。此时会出现提示，询问要将备份的安全证书保存到何处。
  13. 指定备份安全证书的位置，然后点击“完成”。
      恢复安全证书时，先执行上述步骤 1 - 6，然后执行以下步骤：
  14. 在“操作”菜单中，点击“所有任务”，然后点击“导入”。
  15. 点击“下一步”，导航到备份的安全证书的位置，在文件名框旁边的列表中选择“个人信息交换”。
  16. 输入创建证书时设置的密码，然后完成向导。
• 文件加密证书管理器 ：在开始屏幕上输入“文件加密”，在搜索结果中点击打开“文件加密证书管理器”。通过此对话框，可通过友好界面查看、备份、更新和恢复 Windows 8 中的 EFS 证书，但可能不如前面描述的方法强大或灵活。
• 恢复 EFS 加密文件 ：应始终妥善保存 EFS 加密密钥和密码的副本。若丢失密钥备份副本，将无法访问文件；若丢失密码，将无法恢复密钥。尽管 EFS 非常安全（采用 256 位椭圆曲线加密（ECC）算法加密数据），但仍可通过购买特殊软件或将计算机交给计算机安全专家来尝试恢复密码，例如“Advanced EFS Data Recovery”和“EnCase Forensic”。
• Cipher.exe 工具 ：Cipher.exe 是 Windows 8 中的命令行工具，可通过打开开始屏幕并输入“CMD”或“command”，在出现的搜索结果中右键单击“命令提示符”或“CMD”，然后以管理员身份运行。可在命令提示符窗口中输入“cipher /?”查看该程序可用的开关列表。其最有用的功能之一是能够完全安全地擦除硬盘上的数据，但需谨慎使用，因为擦除后的文件无法恢复。例如，若要擦除 D 盘，输入“cipher /w D:\”；若要擦除 C 盘用户文件夹中的“Personal”文件夹，输入“cipher /w C:\Users\Mike Halsey\Personal\”。

BitLocker 及 BitLocker To Go

• 加密原理与工作模式 ：BitLocker 是随 Windows Vista 引入的全驱动器加密方法，使用 128 位高级加密标准（AES）密钥加密数据。若计算机主板包含可信平台模块（TPM）芯片，BitLocker 工作最为安全。其在验证用户身份时有三种工作模式：
  • 透明操作模式 ：当主板上有 TPM 芯片时使用，加密密钥存储在芯片上。
  • 用户身份验证模式 ：此模式要求用户在操作系统启动前输入密码进行身份验证。
  • USB 密钥模式 ：此模式下，用户必须插入包含加密密钥的 USB 闪存驱动器。
• 使用限制与灵活性 ：可在 Windows 8 中使用 BitLocker 加密内部分区、硬盘、外部硬盘或 USB 闪存驱动器，但只有 Windows 8 的企业版或旗舰版才能对这些驱动器进行加密，加密后可在任何其他 Windows 8 版本和运行 Windows 8 的其他计算机上通过输入密码或使用包含解密密钥的智能卡或 USB 闪存驱动器来使用。需注意，若使用 TPM 芯片加密硬盘，该硬盘将被锁定到特定主板，在其他计算机上无法读取。可从微软网站（http://www.microsoft.com/en-us/download/details.aspx?id=24303）下载“BitLocker To Go 读取器”来读取（但不能写入）受 BitLocker To Go 保护的 Windows XP 驱动器。与 EFS 相比，BitLocker 加密驱动器更灵活，可轻松在不同计算机之间携带，无需使用复杂的管理控制台导出和导入安全密钥和证书。
• 设置 BitLocker ：设置 BitLocker 的步骤如下：
  1. 若要访问 BitLocker，可打开开始屏幕，输入“bitlocker”，然后点击搜索结果；或在控制面板中，点击“系统和安全”，然后点击“BitLocker 驱动器加密”。
  2. 在“BitLocker 驱动器加密”窗口中，可管理 BitLocker 加密的驱动器。在窗口左下角，点击“TPM 管理”链接（若主板有 TPM 芯片）来管理该芯片。
     加密驱动器时，有设置密码或使用智能卡两种选项，可使用这些选项在其他计算机上访问驱动器。若仅打算在加密驱动器的计算机（如笔记本电脑）上使用该驱动器，可选择“在此计算机上自动解锁此驱动器”，但此选项要求该计算机上的 Windows 8 副本也使用 BitLocker 加密。从“BitLocker 管理控制台”中，可更改密码、禁用驱动器的 BitLocker 加密或暂时挂起 BitLocker 加密。
• 创建加密数据副本 ：有时难以确定加密数据复制后是否仍保持加密状态，以下是不同场景下数据复制后加密是否仍启用的情况：
  | 存储格式 | EFS 加密文件夹 | BitLocker 加密驱动器 | 未加密文件夹或驱动器 | CD/DVD |
  | — | — | — | — | — |
  | FAT32 格式 | 不支持 | 是 | 否 | 不支持 |
  | exFat 格式 | 不支持 | 是 | 否 | 不支持 |
  | CDFS 格式 | 不支持 | 不支持 | 不支持 | 否 |
  | NTFS 格式 | 是 | 是 | 否 | 不支持 |

2. Windows 8 配置最佳实践

优化虚拟内存

• 虚拟内存的作用与问题 ：计算机启动时，操作系统、程序和应用的相关部分会加载到计算机的物理内存（RAM）中，RAM 的读取速度比从机械硬盘读取文件快得多，因此给旧计算机添加更多内存是提高性能的最便宜、最快的方法。现代计算机通常配备 4GB、6GB、8GB 或更多内存，有足够空间存储这些文件，但 Windows 8 仍会在硬盘上使用交换文件（虚拟内存）来存储一些常用的文件和数据。由于交换文件可随时间扩展和收缩，不可避免地会导致硬盘碎片化。虽然硬盘容量越来越大，Windows 8 不太可能将大文件分割成多个小块分散存储在硬盘上，但操作系统通常会将文件存储在当时最方便的位置，这不一定能保证文件段连续。
• 管理虚拟内存的必要性 ：默认情况下，Windows 8 中的磁盘碎片整理程序会按计划自动对每个硬盘（包括后续添加的新磁盘）进行碎片整理，但碎片整理会给硬盘带来巨大的物理压力。此外，一些旧版软件（甚至微软编写的程序）依赖虚拟内存的存在，某些程序在找不到虚拟内存时将无法工作。而且，在进行一些内存密集型工作（如编辑高清视频）时，尤其是在编码过程中，交换文件会非常有用。因此，不建议关闭虚拟内存或将其大小调至最小。
• 配置虚拟内存大小的步骤 ：
  1. 打开控制面板。
  2. 打开“系统”面板。
  3. 在左侧窗格中，点击“高级系统设置”。
  4. 在“系统属性”窗格中，点击“高级”选项卡，然后在“性能”部分点击“设置”按钮。
  5. 在打开的对话框中，点击“高级”选项卡。
  6. 在“虚拟内存”部分，点击“更改”按钮。
  7. 清除“自动管理所有驱动器的分页文件大小”复选框。
  8. 选择“自定义大小”复选框。
  9. 在“初始大小”和“最大值”文本框中，输入“所有驱动器的分页文件总大小”的推荐值（这些值必须相同以避免碎片化）。

综上所述，无论是实施加密还是不实施加密，都应始终将文件和数据的备份保存在安全的位置，以防止火灾或盗窃等灾难的影响。Windows 8 中的加密系统非常有用，但使用时需谨慎，因为一旦操作不当，可能导致数据永远无法访问，尤其是在无法承担专业数据恢复公司服务费用的情况下。同时，合理配置 Windows 8 的虚拟内存等系统设置，有助于提高计算机的性能和稳定性。

Windows 8 加密与配置最佳实践指南

3. 数据备份最佳实践

数据备份是保障数据安全的重要环节，在 Windows 8 中，有多种备份方式可供选择，包括文件备份和镜像备份。

文件备份

文件备份是指对重要文件和文件夹进行单独备份，以防止数据丢失。可以使用 Windows 自带的备份工具，也可以选择第三方备份软件。
- 使用 Windows 自带备份工具 ：
1. 打开控制面板，点击“文件历史记录”。
2. 选择用于备份的外部存储设备，如移动硬盘。
3. 点击“启用”按钮，开始自动备份。
4. 可以通过“排除文件夹”选项，排除不需要备份的文件夹。
- 使用第三方备份软件 ：市面上有许多优秀的第三方备份软件，如 Acronis True Image、Macrium Reflect 等。这些软件通常具有更强大的功能，如增量备份、定时备份等。

镜像备份

镜像备份是指对整个系统分区或硬盘进行备份，包括操作系统、应用程序、设置和数据等。当系统出现问题时，可以通过镜像备份快速恢复系统。
- 使用 Windows 自带镜像备份工具 ：
1. 打开控制面板，点击“恢复”。
2. 在“备份和恢复（Windows 7）”部分，点击“创建系统镜像”。
3. 选择用于存储镜像备份的位置，如外部硬盘或网络共享。
4. 选择要备份的驱动器，通常选择系统分区。
5. 点击“开始备份”按钮，开始创建系统镜像。
- 使用第三方镜像备份软件 ：第三方镜像备份软件通常具有更灵活的备份选项和更快的备份速度。例如，Acronis True Image 可以进行实时备份，并且支持多种存储介质。

4. 笔记本和平板电脑最佳实践

对于笔记本和平板电脑，由于其便携性和移动性，需要特别注意数据安全和电池续航。

数据安全

• 加密数据 ：可以使用 EFS 或 BitLocker 对笔记本和平板电脑上的数据进行加密，以防止数据泄露。
• 设置密码 ：为笔记本和平板电脑设置强密码，包括开机密码、登录密码和屏幕锁定密码。
• 使用防盗软件 ：安装防盗软件，如 Prey Anti-Theft，可以在设备丢失或被盗时追踪设备位置，并远程锁定或擦除数据。

电池续航

• 调整电源设置 ：在控制面板中，点击“电源选项”，选择适合的电源计划，如“节能”模式。
• 关闭不必要的功能 ：关闭蓝牙、Wi-Fi、GPS 等不必要的功能，以减少电池消耗。
• 使用节能软件 ：安装节能软件，如 BatteryCare，可以优化电池使用，延长电池寿命。

5. BYOD（自带设备办公）最佳实践

随着 BYOD 趋势的兴起，越来越多的员工将个人设备带入工作场所。为了确保企业数据安全，需要制定相应的 BYOD 策略。

设备管理

• 制定设备准入标准 ：规定允许接入企业网络的设备类型和操作系统版本。
• 安装企业移动设备管理（MDM）软件 ：通过 MDM 软件对员工的个人设备进行管理，如远程锁定、擦除数据、安装应用程序等。
• 定期更新设备 ：要求员工定期更新设备的操作系统和应用程序，以修复安全漏洞。

数据安全

• 加密企业数据 ：在员工的个人设备上对企业数据进行加密，以防止数据泄露。
• 设置访问权限 ：根据员工的工作职责，设置不同的访问权限，限制员工对企业数据的访问。
• 使用虚拟专用网络（VPN） ：员工在访问企业网络时，必须使用 VPN 进行加密连接，以确保数据传输安全。

6. 密码最佳实践

密码是保护账户安全的重要防线，在 Windows 8 中，设置强密码并定期更换密码是非常必要的。

设置强密码

• 长度 ：密码长度至少为 8 个字符。
• 复杂度 ：密码应包含大写字母、小写字母、数字和特殊字符。
• 避免使用常见密码 ：避免使用生日、电话号码、姓名等常见信息作为密码。

定期更换密码

建议每隔 3 - 6 个月更换一次密码，以防止密码被破解。

使用密码管理工具

可以使用密码管理工具，如 LastPass、1Password 等，来生成和管理强密码。这些工具可以自动填充密码，提高使用效率。

7. 总结

在 Windows 8 中，通过合理使用加密技术、优化系统配置、做好数据备份、遵循笔记本和平板电脑以及 BYOD 最佳实践，并且设置强密码，可以有效提高计算机的安全性和性能。以下是一个简单的流程图，总结了 Windows 8 安全与性能优化的主要步骤：

graph LR
    A[加密数据] --> B[EFS 或 BitLocker]
    C[优化系统配置] --> D[虚拟内存优化]
    E[数据备份] --> F[文件备份]
    E --> G[镜像备份]
    H[笔记本和平板电脑] --> I[数据安全]
    H --> J[电池续航]
    K[BYOD] --> L[设备管理]
    K --> M[数据安全]
    N[密码设置] --> O[强密码]
    N --> P[定期更换]
    Q[总结] --> A
    Q --> C
    Q --> E
    Q --> H
    Q --> K
    Q --> N

总之，在使用 Windows 8 时，要始终保持警惕，采取必要的安全措施，以确保数据的安全和计算机的稳定运行。同时，定期进行系统更新和维护，及时修复安全漏洞，也是保障系统安全的重要手段。