Windows上的BitLocker和EFS(加密文件系统)有什么不同?

Windows 10、8.1、8和7都包括BitLocker驱动器加密,但这并不是它们提供的唯一加密解决方案。Windows还包括一种名为“加密文件系统”(EFS)的加密方法。以下是它与BitLocker的不同之处。

此功能仅在Windows专业版和企业版上可用。家庭版只能使用更受限制的“设备加密”功能,而且只有当它是一台启用了设备加密的现代PC时才能使用。

BitLocker是全磁盘加密

相关:如何在Windows上设置BitLocker加密

BitLocker是一种全磁盘加密解决方案,可加密整个卷。设置BitLocker时,您将加密整个分区-例如Windows系统分区、内部驱动器上的另一个分区,甚至USB闪存驱动器或其他外部介质上的分区。

通过创建加密的容器文件,可以使用BitLocker仅加密几个文件。但是,这个容器文件本质上是一个虚拟磁盘映像,BitLocker的工作方式是将其视为驱动器并对整个内容进行加密。

如果你打算加密你的硬盘以保护敏感数据不会落入坏人手中,特别是当你的笔记本电脑被盗时,BitLocker是个不错的选择。它将加密整个驱动器,您不必考虑哪些文件已加密,哪些文件未加密。整个系统将被加密。

这不取决于用户帐户。当管理员启用BitLocker时,PC上的每个用户帐户都将对其文件进行加密。BitLocker使用计算机的可信平台模块或TPM硬件。

虽然“驱动器加密”在Windows10和8.1上受到更多限制,但在可以使用它的个人电脑上,它的工作原理类似。它会加密整个驱动器,而不是其中的单个文件。

EFS加密单个文件

相关:如何使用EFS加密Windows 8.1 Pro中的文件和文件夹

EFS-“加密文件系统”-工作方式不同。您可以使用EFS逐个加密单个文件和目录,而不是加密整个驱动器。在BitLocker是一个“设置并忘记它”系统的情况下,EFS要求您手动选择要加密的文件并更改此设置。

您可以从文件资源管理器窗口执行此操作。选择一个文件夹或单个文件,打开属性窗口,单击属性下的“高级”按钮,然后激活“加密内容以保护数据”选项。

此加密是以每个用户为基础的。加密的文件只能由加密它们的特定用户帐户访问。加密是透明的。如果加密文件的用户帐户已登录,则他们无需任何额外身份验证即可访问这些文件。如果其他用户帐户已登录,则无法访问这些文件。

加密密钥存储在操作系统本身中,而不是使用计算机的TPM硬件,攻击者有可能将其提取出来。除非您还启用了BitLocker,否则不会对这些特定的系统文件进行全驱动器加密。

加密的文件也有可能“泄露”到未加密的区域。例如,如果程序在打开包含敏感财务信息的EFS加密文档后创建临时缓存文件,则该缓存文件及其敏感数据将以未加密方式存储在不同的文件夹中。

BitLocker本质上是可以加密整个驱动器的Windows功能,而EFS利用了NTFS文件系统本身的功能。

为什么应该使用BitLocker,而不是EFS

实际上可以同时使用BitLocker和EFS,因为它们是不同的加密层。您可以加密整个驱动器,即使这样做之后,Windows用户也可以激活文件和文件夹的“Encrypt”属性。然而,实际上没有太多理由这样做。

如果您想要加密,最好采用BitLocker形式的全磁盘加密。这不仅是一种“设置好就忘了”的解决方案,您只需启用一次即可忘记,而且更安全。

在写Windows上的加密时,我们往往会掩饰EFS,经常只提到BitLocker,认为这是微软在Windows上的加密解决方案。这是有原因的。BitLocker的全磁盘加密刚刚好于EFS,如果需要加密,您应该使用BitLocker。

那么为什么EFS会存在呢?其中一个原因是,这是Windows的一个较旧的功能。BitLocker是随Windows Vista一起推出的。EFS是在Windows2000中引入的。

在某一点上,BitLocker可能会降低操作系统的整体性能,而EFS可能会稍微轻量级一些。但是,有了相当现代化的硬件,情况就完全不应该是这样了。

只需使用BitLocker,就忘了Windows甚至提供了EFS。它实际使用起来不那么麻烦,而且更安全。

相关文章