在 SmartCloud Enterprise 上加密 Windows 实例的数据

加密位于临时存储和永久存储上的磁盘、卷、文件系统和交换文件

使用用于整个磁盘加密的 TrueCrypt、用于卷加密的 BitLocker、用于文件和文件夹加密的 EFS 以及用于交换文件加密的 fsutil 在 Windows® 实例上设置数据加密。

Mihai Criveti, IT 架构师, IBM China

/developerworks/i/p-mcriveti.jpgMihai Criveti 是一名主要关注云计算和虚拟化的 IT 架构师。他的兴趣包括云计算、虚拟化、企业架构、SOA、中间件、数字取证以及 UNIX 系统。



2013 年 7 月 15 日

在本文中,我们将学习如何进行以下操作:

  • 使用 TrueCrypt 在临时存储和永久存储上设置整个磁盘加密。
  • 使用 Microsoft® BitLocker 设置简单卷加密。
  • 使用 EFS(加密文件系统,Encrypting File System)设置文件系统级别文件和文件夹加密。
  • 备份和还原 EFS 数据加密证书。
  • 使用 fsutil 启用交换文件加密。
  • 使用 SysInternals SDelete 安全地删除数据和消除空闲的磁盘空间。

设置环境

首先,让我们看一看用于设置环境的工具和技术,然后来了解一下表示法和惯例。

表 1. 工具和技术
名称说明所需的基本操作系统映像
TrueCrypt第三方整盘加密。Windows 2003、2008 R1、2008 R2、2012
Microsoft BitLocker 驱动盘加密Windows 逻辑卷加密Windows Server 2008 R1、2008 R2、2012
Microsoft Windows 加密文件系统 (EFS)NTFS 文件系统级别加密Windows 2003 R2、2008 R1、2008 R2、2012
Windows 交换文件加密页面文件加密(使用 fsutil 进行配置)Windows Server 2008 R1、2008 R2、2012
SysInternals SDelete安全删除工具和空闲空间清除工具Windows 2003、2008 R1、2008 R2、2012

表示法和惯例

请遵循以下表示法和惯例:

  • 命令通常会使用一个提示符作为前缀。这样做的目的有两个:
    • 向您显示执行命令所需的权限。
    • 如果不了解某个命令执行的操作,那么可能会妨碍您在控制台中复制/粘贴该命令。
  • 在系统上以管理员用户的身份执行的命令使用 C:\Users\Administrator > 作为前缀。
  • 在系统上以普通用户身份执行的命令使用 C:\Users\user > 作为前缀。
  • 用一个新行将命令输出与命令分隔开,并向右缩进一个制表符(如以下代码所示):
    C:\Users\Administrator> 1st command - to be run as Administrator
    C:\Users\Administrator> 2nd command - (previous command has no output)
        output from 2nd command
    C:\Users\user > 3rd command - to be run as a regular user. Since ^
    this is a long command we split on multiple lines using ^
    the caret character (^)
        output from 3rd command

设置磁盘

在设置磁盘或卷加密时,需要使用额外的临时存储或永久存储。在使用这些磁盘之前,需要让它们处于联机状态。

  1. 选择 Start > Run > diskmgmt.msc
  2. 对于每个脱机磁盘,右键单击并选择 Online

使用 TrueCrypt 加密磁盘

要加密分区而不是整个磁盘,请在运行 TrueCrypt 之前使用 diskmgmt.msc 创建分区。该任务是可选任务。

安装 TrueCrypt

  1. TrueCrypt 网站下载适用于 Windows 的最新版本的 TrueCrypt。
  2. 运行产品安装程序。
  3. 安装产品。
  4. 可选项目:阅读提供的教程。

加密硬盘驱动器

  1. 通过双击桌面上的 TrueCrypt 图标来启动 TrueCrypt。
  2. 选择 Volumes > Create New Volume... > Encrypt a non-system partition / drive > Standard TrueCrypt Volume
  3. 单击 Select Device... 并选择没有启动的临时或永久卷,例如 “Harddisk 1”。
  4. 选择 Encryption Algorithm 和 Hash Algorithm 并单击 Next
  5. 接受卷大小并单击 Next
  6. 设置密码或密钥文件,在使用密钥文件时,确保已经将它们存储在一个安全的位置。
  7. 选择 YES 来启用对大型文件的支持 (NTFS)。
  8. 单击 Format。请注意,非快速格式需要大量的加密时间,具体情况取决于您的磁盘大小。
  9. 关闭 TrueCrypt Volume Creation Wizard。

装载已加密的卷

  1. 启动 TrueCrypt(如果尚未启动)。
  2. 选择一个驱动器号。
  3. 单击 Select Device 并从列表中选择已加密的驱动器或分区。
  4. 单击 Mount 并输入您的密码。
  5. 访问已加密的驱动器。

使用 BitLocker 加密卷

BitLocker 可以在 Windows 2008 R1 和 R2 实例上使用,并且允许您加密位于临时存储或永久存储上的卷。请注意,此时您无法加密系统驱动器 (C:)。

使用 BitLocker 加密卷

  1. 启用 BitLocker 的步骤如下:
    1. 启动服务器管理器。单击 Start,然后右键单击 Computer > Manage
    2. 在服务器管理器中,单击 Features > Add Features。选中 “BitLocker Drive Encryption”。
    3. 单击 Next,然后单击 Install 来安装 BitLocker。
    4. 单击 Close 并确认已经重新启动服务器,然后完成安装。
  2. 初始化磁盘并进行配置。请注意,BitLocker 不支持动态磁盘。您需要在基本磁盘上设置一个简单的卷。
    1. 单击 Start > Run > diskmgmt.msc
    2. 如果您的其他磁盘处于脱机状态,请右键单击每个磁盘并选择 Online
    3. 初始化磁盘。右键单击该磁盘并选择 Initialize Disk。您可以选择小于 2TB 的磁盘选项或者大于 2TB 的磁盘选项 GPT(永久存储)。
    4. 通过右键单击 Unallocated > New Simple Volume 创建一个新的简单卷。
    5. 通过检查该向导来选择大小和分配驱动器号,并使用 NTFS 格式化您的卷(这是必需的)。
  3. 使用 BitLocker 加密卷。请注意,不要加密您的 C: 驱动器。
    1. 转到 Control Panel > System and Security > BitLocker Drive Encryption
    2. 单击位于您设置的其他简单卷旁边的 Turn on BitLocker。不要选择 C: 驱动器。
    3. 确认您想启用 BitLocker。
    4. 选择 Use a password to unlock this drive
    5. 推荐:将恢复密钥保存到您的 RDP 映射的驱动器。
    6. 开始进行加密。
    7. 单击 Close
    8. 如果您稍后需要在此加密的卷上进行维护,那么您始终可以单击 Manage BitLocker
    9. 将一些测试数据放在您的加密卷上。
  4. 重新启动 Windows 并测试新的加密卷。
    1. 打开加密的驱动器。系统应该会弹出 BitLocker Drive Encryption 并要求您输入密码来解锁该驱动器。
    2. 键入您的密码并单击 Unlock
      图 1. 磁盘管理:BitLocker Drive Encryption
      Platinum 实例中的本地 VG 关系
    3. 检查您的测试数据是否仍然位于那里。
    4. 可选项目:测试镜像捕获支持(捕获一个私有镜像并设置子实例)。
  5. 捕获镜像时的一些考虑事项。如果您根据捕获的私有镜像来设置实例,那么您的存储应该设置为脱机。您需要在显示 BitLocker 卷之前运行 diskmgmt.msc,并将您的磁盘设置为 Online

使用 EFS 加密文件系统

EFS 是一种文件系统的加密机制,所有 Windows Server 版本都支持这种机制,并且该机制允许您对文件和文件夹进行加密。

使用 EFS 加密文件夹

您可以使用 EFS 加密文件和文件夹。要加密文件夹的内容,请执行以下操作:

  1. 可选项目:如果文件夹不存在,那么请创建该文件夹。
  2. 右键单击您要加密的文件夹并选择 Properties
  3. 单击 Advanced 并选择 Encrypt contents to secure data。这会加密该文件夹的内容,并创建一个 EFS 证书(如果您还没有证书)。
  4. 单击 OK > Apply > OK
  5. 您的文件夹及其内容现在应该已经被加密。已加密的文件和文件夹在浏览器中用绿色文本进行标记。

使用 cipher 工具

可以使用 cipher 工具加密各个文件,也可以使用 cipher 工具覆盖已删除的数据。

要获得帮助信息,请键入以下命令:

C:\Users\user > cipher /?

要列出文件和文件夹的加密状态,请在没有任何参数的情况下运行 cipher。

C:\CRYPTO > cipher
     Listing c:\CRYPTO\
     New files added to this directory will be encrypted.

    E confidential.txt
    E secrets.xml

要覆盖已删除的数据,请执行以下操作:

  1. 以管理员身份启动命令提示符。
  2. 删除位于您指定的驱动器号和/或文件夹下的数据。例如:
    C:\Users\Administrator > cipher /W:C:\
        To remove as much data as possible, close all other applications while
        running CIPHER /W.
        Writing 0x00
        ...

注意:该命令只会覆盖删除的数据。它与 SDelete 的空闲磁盘空间清除有点类似。

备份和还原 EFS 证书

使用 SYSPREP 镜像捕获功能生成一组新证书。如果您没有备份证书,那么您将失去访问数据的权限。

要备份您的 EFS 证书,请执行以下操作:

  1. 单击 Start > Run > certmgr.msc
  2. 展开 Personal > Certificates
  3. 右键单击 Intended Purpose 字段为 Encrypting File System 的任何证书。
  4. 选择 All Tasks > Export
  5. 单击 Next 并选择 Yes, export the private key
  6. 单击 Next 并确保已选中 Personal Information Exchange - PKCS #12 (.PFX)
  7. 选择 Export all extended properties
  8. 单击 Next 并为您的私钥设置密码,在导入证书时会需要该密码。
  9. 选择安全位置中的某个文件名,然后单击 Next
  10. 检查设置,然后单击 Finish 来导出您的证书。
  11. 单击 OK,然后确保证书正确导出到您选择的位置。

要还原证书,请执行以下操作:

  1. 双击您导出的证书 PFX 文件。
  2. 单击 Next。文件名应该指向您要导入的证书。
  3. 单击 Next 并键入您的私钥密码。
  4. 选中 Include all extended properties 并单击 Next
  5. 选择 Automatically select the certificate store based on the type of certificate 并单击 Next
  6. 查看设置,单击 Finish,然后单击 OK
  7. 验证您的证书是否已添加到 Current User > Personal > Certificates 存储,并查看您现在是否可以访问您的加密文件和文件夹。

使用 fsutil 进行交换文件加密

在 Windows Server 2008 或其更高版本上,支持本机交换文件加密。每次启动 Windows 时都生成一个随机密钥并使用该密钥来加密交换文件。

加密交换文件

  1. 启动管理命令提示符。单击 Start 并右键单击 CMD > Run as Administrator
  2. 测试交换文件是否已被加密。默认情况下,该值设置为 0(未加密):
    fsutil behavior query encryptpagingfile
        EncryptPagingFile = 0
  3. 启用交换文件加密:
    fsutil behavior set encryptpagingfile 1
        NOTE: Changes to this setting require a reboot to take effect.
        EncryptPagingFile = 1
  4. 重新启动。
  5. 在管理命令提示符中查询交换文件加密状态。单击 Start 并右键单击 MD > Run as Administrator
    fsutil behavior query encryptpagingfile
        EncryptPagingFile = 1

使用 SDelete 进行安全删除

要确保从恢复中安全地删除文件(包括使用 EFS 加密的文件),应该使用一个安全的删除工具,如 Mark Russinovich 的 SysInternals SDelete。使用该工具,您还可以执行空闲磁盘控件清除。注意:在撰写本文时,SDelete 似乎不再支持递归删除(版本 1.6),它适用于该产品的早期版本,在未来的版本中很有可能会对此进行修复。

您可以从 Microsoft SysInternals 页面下载 SDelete。

使用 SDelete 删除文件

  • 要删除单个文件,请执行以下操作:
    sdelete -p 1 secrets.txt
        SDelete - Secure Delete v1.6
        Copyright (C) 1999-2010 Mark Russinovich
        Sysinternals - www.sysinternals.com
        
        SDelete is set for 1 pass.
        c:\Users\cmihai\Desktop\secrets.txt...deleted.
        1 files found
  • 要清除空闲空间,请使用以下命令。
    警告:该命令会扩展一个名为 %TEMP%\SDELTEMP 的文件,直到该文件充满您的所有空闲空间。请小心使用。
    sdelete.exe -z
        SDelete - Secure Delete v1.6
        Copyright (C) 1999-2010 Mark Russinovich
        Sysinternals - www.sysinternals.com
        
        SDelete is set for 1 pass.
        Cleaning free space on C:\: 4%
  • 您可以通过运行反删除程序(如 Recuva)来测试所有操作的进展情况。已删除的文件应该显示为不可恢复。

参考资料

学习

获得产品和技术

讨论

条评论

developerWorks: 登录

标有星(*)号的字段是必填字段。


需要一个 IBM ID?
忘记 IBM ID?


忘记密码?
更改您的密码

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件

 


在您首次登录 developerWorks 时,会为您创建一份个人概要。您的个人概要中的信息(您的姓名、国家/地区,以及公司名称)是公开显示的,而且会随着您发布的任何内容一起显示,除非您选择隐藏您的公司名称。您可以随时更新您的 IBM 帐户。

所有提交的信息确保安全。

选择您的昵称



当您初次登录到 developerWorks 时,将会为您创建一份概要信息,您需要指定一个昵称。您的昵称将和您在 developerWorks 发布的内容显示在一起。

昵称长度在 3 至 31 个字符之间。 您的昵称在 developerWorks 社区中必须是唯一的,并且出于隐私保护的原因,不能是您的电子邮件地址。

标有星(*)号的字段是必填字段。

(昵称长度在 3 至 31 个字符之间)

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件.

 


所有提交的信息确保安全。


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=10
Zone=Cloud computing
ArticleID=937318
ArticleTitle=在 SmartCloud Enterprise 上加密 Windows 实例的数据
publish-date=07152013