Windows上的BitLocker和EFS(加密文件系统)之间有什么区别?

在线安全连接

Windows 10,8.1,8和7都包括BitLocker驱动器加密,但这不是他们提供的唯一加密解决方案。 Windows还包括一个名为“加密文件系统”或EFS的加密方法。 以下是它与BitLocker的区别。

此功能仅适用于专业版和企业版的Windows 家庭版只能使用更受限制的“设备加密”功能 ,并且只有当它是启用了设备加密的随附的现代PC。

BitLocker是全磁盘加密

BitLocker是一种全磁盘加密解决方案 ,可加密整个卷。 当您设置BitLocker时,您将对整个分区进行加密,例如Windows系统分区,内部驱动器上的另一个分区,甚至USB闪存驱动器或其他外部介质上的分区。

可以通过创建加密的容器文件仅使用BitLocker加密几个文件 但是,此容器文件本质上是一个虚拟磁盘映像,BitLocker通过将其视为驱动器并加密整个事物来工作。

如果你要加密你的硬盘驱动器,以保护敏感数据落入错误的手,特别是如果你的笔记本电脑被盗,BitLocker是要走的路。 它将加密整个驱动器,你不必考虑哪些文件是加密的,哪些不是。 整个系统将被加密。

这不依赖于用户帐户。 当管理员启用BitLocker时,PC上的每个用户帐户都将加密其文件。 BitLocker使用计算机的可信平台模块(或TPM)硬件。

虽然“驱动器加密”在Windows 10和8.1上受到更多限制,但它在可用的PC上的工作方式类似。 它加密整个驱动器,而不是其上的单个文件。

EFS加密单个文件

EFS - “加密文件系统” - 工作方式不同。 不是加密整个驱动器,而是使用EFS逐个加密单个文件和目录。 当BitLocker是“设置它并忘记它”系统时,EFS要求您手动选择要加密的文件并更改此设置。

您可以从“文件资源管理器”窗口执行此操作。 选择一个文件夹或单个文件,打开属性窗口,单击属性下的“高级”按钮,然后激活“加密内容以保护数据”选项。

此加密是基于每个用户的。 加密文件只能由对其加密的特定用户帐户访问。 加密是透明的。 如果加密文件的用户帐户已登录,他们将能够访问文件,而无需任何其他身份验证。 如果另一个用户帐户已登录,则将无法访问这些文件。

加密密钥存储在操作系统本身,而不是使用计算机的TPM硬件,并且攻击者可能提取它。 没有全驱动器加密保护这些特定的系统文件,除非您也启用BitLocker。

也有可能加密的文件可能“泄漏”到未加密的区域。 例如,如果程序在打开具有敏感财务信息的EFS加密文档之后创建了临时缓存文件,则该缓存文件及其敏感数据将以不加密的方式存储在不同的文件夹中。

其中BitLocker本质上是一个Windows功能,可以加密整个驱动器,EFS利用NTFS文件系统本身的功能。

为什么应该使用BitLocker,而不是EFS

实际上可以同时使用BitLocker和EFS,因为它们是不同的加密层。 您可以加密整个驱动器,甚至在这样做后,Windows用户将能够激活文件和文件夹的“加密”属性。 然而,实际上没有太多理由这样做。

如果您想要加密,最好使用BitLocker的形式进行全盘加密。 这不仅是一个“设置它,忘记它”的解决方案,你可以启用一次,忘记了,它也更安全。

在Windows上编写加密时,我们倾向于忽视EFS,通常只提到BitLocker作为Microsoft在Windows上加密的解决方案。 有一个原因。 BitLocker的全磁盘加密只是优于EFS,如果你需要加密,你应该使用BitLocker。


为什么EFS甚至存在? 一个原因是它是Windows的旧功能。 BitLocker与Windows Vista一起推出。 EFS在Windows 2000中引入。

有一点,BitLocker可能减慢了整体操作系统的性能,而EFS本来有点轻量级。 但是,用合理的现代硬件,这不应该是这样的。

只需使用BitLocker并忘记Windows甚至提供EFS。 它不是实际使用的麻烦,更安全。

赞 (1)
分享到:更多 ()