V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
circsqua
V2EX  ›  问与答

Windows 怎样加密用户目录?

  •  
  •   circsqua · 66 天前 · 869 次点击
    这是一个创建于 66 天前的主题,其中的信息可能已经有所发展或是发生改变。
    如题,不清楚系统自带有没有这个功能?
    比较别扭有指纹,担心使用 Bitlock 或者第三方全盘加密后,就无法使用此类便捷的功能了
    第 1 条附言  ·  66 天前
    为什么 MS 不设计成,用户密码加密用户目录?
    又不需要太高的加密强度,就是防止硬盘被拆下来别人看不到
    这样多简单

    TPM ?大部分电脑都没有
    台式机可以加装,但是台式机没几个指纹和 hello,通常就用户密码
    笔记本大部分应该都没有,想加都加不成
    10 条回复    2021-09-17 22:27:58 +08:00
    sky96111
        1
    sky96111   66 天前 via Android
    有 TPM 的情况下 Bitlock 可以无感开机,指纹无影响
    无 TPM 需要改注册表才能加密,开机需要先输密码再用指纹解锁
    ysc3839
        2
    ysc3839   66 天前
    可以试试 NTFS 的加密功能,没记错的话加密密钥是分用户的。
    dingwen07
        3
    dingwen07   66 天前 via iPhone
    BitLocker 不会影响指纹,但是需要有 TPM 不然开机要输密码
    文件加密可以试试加密文件系统 EFS,右键文件加密,但是不要把整个主目录加密了,可能会有问题,只加密敏感文件
    Osk
        4
    Osk   66 天前   ❤️ 2
    EFS: 使用用户证书加密文件内容, 请注意: 只加密内容, 文件名称是能够看到的. 证书(大概)由 Windows 用户登录密码保护.
    个人觉得: 只加密部分文件没啥用, 考虑一下别人离线往 system32 里整个木马, 自启动等待你输入密码登录后拷文件.


    建议:
    Bitlocker 全盘加密, 根据情况启用以下 bios 功能:
    - secureboot: 避免 boot-kit 攻击 /伪造 BitLocker 预启动界面来窃取密码.
    - tpm: 用以验证并自动解锁 C: 盘, 实现无交互启动, 每次启动输入密码(BitLocker)反而可能存在风险, 尤其是公共场合.
    - 设置 bios/固件密码, 避免其他人去改 secureboot 设置, 或清除 tpm.


    - 可选: 针对 tpm 的攻击手段不少, tpm 自动解锁存在风险, 尤其是你身边有一堆精通 EE & CS 的高手(狗头保命;;). 若担心此类风险, 可以使用 bitlocker pin + tpm 来缓解一些安全风险, 甚至可以启用最强三重验证: tpm+pin+u 盘.
    不过, bitlocker tpm 自动解锁已经可以挡住 9 成以上的恶意行为了.若周围没有搞安全的大神, 其实可以放心用 tpm 自动解锁.


    - 可选: 加强生物识别验证(人脸 /指纹): 使用生物特征验证+pin 双重验证登录, 比单纯的指纹或 pin 的安全性高一些.但不方便了.


    总结:
    建议用 bitlocker 全盘加密, 可以用 tpm 自动解锁(开机不需要输入 bitlocker 密码), 或者 tpm+pin 验证(开机必须输入 bitlocker pin).
    bitlocker 和指纹没半毛钱关系, 互相没影响的.
    tpm 会影响到指纹 /Windows hello pin(和 bitlocker pin 区别好), 以及 bitlocker 的工作行为. 但只要别去清除 tpm 就没啥事.
    Osk
        5
    Osk   66 天前
    才发现写了一堆, 感觉有点乱, 主要是相似词语太多了:

    EFS 证书
    Windows 用户密码
    Windows hello pin

    bitlocker 解锁证书
    bitlocker pin
    bitlocker 解锁密码

    🤣
    learningman
        6
    learningman   66 天前 via Android
    EFS,不过记得别乱删证书。。。
    shuntdown42
        7
    shuntdown42   66 天前
    veracrypt
    Osk
        8
    Osk   65 天前
    - 为什么 MS 不设计成,用户密码加密用户目录?
    因为 EFS 既不好用, 只加密用户 home 又不安全.


    bitlocker 中, tpm 是可选的,没有 tpm 只是安全性一定程度下降低, 你可以使用 u 盘自动解密 bitlocker, 每次开机时插上 u 盘即可.


    6 代以后的 cpu 配套主板芯片组 intel 基本都在推 fTPM 了的, 笔记本也是, bios 里面找一找 intel ptt 或者 ftpm 的选项呢.


    台式机的 tpm 也不是你想加就能加啊.


    笔记本和台式机都能自行购买 Windows hello 指纹或人脸摄像头, usb 接口的.
    circsqua
        9
    circsqua   37 天前
    @Osk 大致了解了
    bitlocker 大致了解,可以有恢复密钥; TPM 有类似的备份机制吗?(防止意外或者硬件损坏)
    听说开启 TPM 后本机硬件或者 BIOS 变化会触发 BitLocker 恢复模式

    bitlock 加密后的硬盘,更换到其它电脑……会怎样?
    Osk
        10
    Osk   37 天前
    @circsqua TPM 本身好像不给备份的, 应该是 tpm 设计上就不会轻易让人备份里面的明文内容.

    硬件变化, bios 更改关键安全设置等会触发 BitLocker 恢复, 此时需要输入 40 位的数字恢复密码.

    bitlocker 加密后的盘, 在其它计算机上输入密码 /恢复密码(40
    位的数字密码)即可解锁, 解锁后即可以根据需要设置是否自动解锁, 所以一般是让备份恢复密码的, 可以备份于本地文件, 或者存到 OneDrive 里面.
    关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3234 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 05:12 · PVG 13:12 · LAX 22:12 · JFK 01:12
    ♥ Do have faith in what you're doing.